相比于直接为ECS源站服务器开启DDoS原生防护,在源站前部署负载均衡后再开启DDoS原生防护,能够取得更好的防护效果。本文介绍如何为云服务器ECS上的网站类业务部署负载均衡,并开启DDoS原生防护。
前提条件
已创建ECS实例并部署业务相关应用。更多信息,请参见新手指引。
已购买DDoS原生防护实例。更多信息,请参见购买DDoS原生防护实例。
背景信息
使用DDoS原生防护进行网站类业务防护时,推荐您为业务所在云服务器ECS实例部署负载均衡SLB,并将负载均衡的服务地址添加为DDoS原生防护的防护对象,实现通过SLB丢弃未监听协议和端口的流量并大幅提升源站的抗DDoS攻击能力。上述部署方式对防御不同类型的DDoS攻击(例如SSDP、NTP、Memcached等反射型攻击、UDP Flood攻击、SYN Flood大包攻击)有很好的效果。
如果您的源站服务器已经部署了负载均衡,则只需参见防护对象,将负载均衡的服务地址作为DDoS原生防护的防护对象,即可为源站服务器开启DDoS原生防护。
负载均衡SLB包含ALB、NLB、CLB,本文以CLB为例介绍。详细信息,请参见负载均衡SLB产品家族介绍。
操作步骤
创建一台公网负载均衡CLB实例。具体操作,请参见创建和管理CLB实例。
成功创建负载均衡实例后,您可以在负载均衡SLB控制台的实例管理页面获取CLB实例的服务地址。
配置负载均衡实例。具体操作,请参见配置负载均衡实例。
配置负载均衡实例时需要注意以下内容:
在选择协议&监听时,根据自身业务,只选择需要监听的协议(支持TCP、UDP、HTTP、HTTPS)和端口。未设置监听的协议和端口的流量将被直接丢弃,不会转发到后端ECS实例。
在添加后端服务器时,选择添加已部署业务应用的ECS源站服务器。
说明由于负载均衡CLB和后端ECS之间通过内网进行通信,所以在配置完负载均衡实例并测试负载均衡正常工作后,建议您关闭后端ECS实例的公网访问。
成功配置负载均衡实例后,负载均衡实例将按照已有配置 ,将客户端的请求流量分发到后端ECS实例。
修改域名DNS。
如果您的业务是通过IP地址提供服务,您只需将步骤1获得的负载均衡实例的服务地址作为业务IP地址即可,可以跳过该步骤。
如果您的业务是通过域名提供服务,您需要将域名的DNS解析指向步骤1获得的负载均衡实例的服务地址。具体操作请参见设置A记录域名解析。
将负载均衡实例的服务地址添加为您已购买的DDoS原生防护实例的防护对象,为负载均衡实例开启DDoS防护。具体操作,请参见防护对象。
成功添加防护对象后,CLB源站服务器将享有DDoS原生防护提供的DDoS攻击全力防护能力,在业务遭受DDoS攻击时,自动触发流量清洗。