本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
同时部署DDoS原生防护和DDoS高防(中国内地)时,您可以同时享受两者的优势,DDoS原生防护的费用可控、全资产防护、透明部署无延迟,以及DDoS高防的超大攻击流量防护。本文介绍如何为业务同时部署DDoS原生防护和DDoS高防(中国内地)。
流量切换说明
当DDoS攻击不超过原生防护的防御能力时(防御能力具体和所在地域有关,详细介绍,请参见防护能力),业务流量默认解析到云产品,不增加业务延迟;当攻击过大触发黑洞时,高防流量调度器将流量切换到DDoS高防,防御大流量的攻击;攻击停止后,根据流量调度器设置的切换延迟时间,等待一段时间后业务流量回切到云产品。
黑洞触发后通过流量调度器自动完成网站业务流量的切换,中国内地的DNS解析更新约需5~10分钟,非中国内地约需1~3分钟。
切换到DDoS高防(中国内地)后,即使攻击停止也不会马上回切,防止回切后被持续攻击触发频繁切换,出现震荡,导致业务始终在切换状态。
具体架构如下图所示。
方案概览
为业务同时部署DDoS原生防护和DDoS高防(中国内地)分为如下四步:
购买并配置DDoS原生防护:将您的业务接入DDoS原生防护,当DDoS攻击不超过DDoS原生防护的防御能力时,业务流量默认解析到云产品。
购买并配置DDoS高防(中国内地):将您的业务接入DDoS高防,当攻击过大触发黑洞时,高防流量调度器将流量切换到DDoS高防,防护能力取决于您购买时选择的规格。
配置流量调度器:当攻击过大触发黑洞时,高防流量调度器将流量切换到DDoS高防,攻击停止后,根据流量调度器设置的切换延迟时间,等待一段时间后业务流量回切到云产品。
修改DNS解析:将业务的解析指向流量调度器CNAME地址,保障流量转发正常。
1 购买并配置DDoS原生防护
1.1 购买DDoS原生防护实例
本文以购买DDoS原生防护2.0(包年包月)企业版为例。具体操作,请参见购买DDoS原生防护实例。
登录流量安全产品控制台。
在实例管理页面,单击新购原生防护,选择企业版实例并完成购买。
配置项
说明
业务带宽
要防护业务的正常业务规模(以网络带宽来衡量)。
关于业务规模的估算方法,请参见估算业务规模。
IP数量
要防护的IP的总个数。
防护日志
提供防护流量的全量日志分析和报表功能。
资源组
资源组是当前阿里云账号下一组相关的资源,用于对资源组内成员、权限和资源进行独立管理。您可以选择已创建的资源组或新建资源组。
更多信息,请参见创建资源组。
1.2 将源站IP地址添加为防护对象
具体操作,请参见防护对象。
在防护对象页面,地域选择全球,选择您购买的实例后,单击添加防护对象。
您可以选择从资产中添加,也可以选择手工添加。截图以从资产中添加为例。
2 购买并配置DDoS高防(中国内地)
切换到DDoS高防(中国内地)后,黑洞阈值受DDoS高防的最大防护能力限制。您可以配置保底防护+弹性防护结合的方式,节省DDoS高防产品费用。
2.1 购买DDoS高防(中国内地)实例
具体操作,请参见购买DDoS高防实例。
登录DDoS高防控制台。
地域选择中国内地后,在实例管理页面,单击新购实例并完成购买。
配置项
描述
地址类型
选择实例支持的IP协议类型。可选项:IPv4、IPv6。
重要关于IPv4高防IP和IPv6高防IP支持的功能差异,请参见功能介绍。
IPv6高防IP支持转发来自IPv6客户端的请求,对接入业务有以下限制:域名接入只支持IPv4源站,端口接入支持IPv4或IPv6源站。
防护套餐
根据您的业务需要选择套餐类型。本文以专业版为例。
保底防护带宽
选择实例的保底防护带宽,即该DDoS实例可以防御的攻击流量阈值。
弹性防护带宽
选择实例的弹性防护带宽,即最高防护带宽。关于弹性防护带宽的费用,请参见弹性防护带宽计费方式。
业务带宽
选择实例支持处理的正常业务的网络带宽。
警告如果您购买的实例业务带宽不够用,可能会丢包或者影响业务,在这种情况下请及时升级业务带宽。具体操作,请参见升级实例。
您可以根据所有将要接入DDoS高防实例的业务的日常入方向或出方向总流量的峰值,选择合适的业务带宽规格。您选择的最大业务带宽应大于这些业务的网络入、出方向总流量峰值中较大的值。一般情况下,网络出方向的流量会比较大。
您可以参考云服务器(ECS)管理控制台中的流量统计,或者通过您业务源站服务器上的其他流量监控工具来评估您的实际业务流量大小。此处的流量指的是正常的业务流量。例如,您将业务的外部访问流量均接入DDoS高防进行防护。在业务正常访问(未遭受攻击)时,DDoS高防将这些正常访问流量回源到源站服务器;而当业务遭受攻击时,DDoS高防过滤、拦截异常流量后,仅将正常流量回源到源站服务器。因此,您在云服务器(ECS)管理控制台中查看您源站服务器的入方向及出方向的流量即是正常的业务流量。如果您的业务部署在多台源站服务器,则需要统计所有源站服务器的流量总和。
假设您需要将三个网站业务接入DDoS高防实例进行防护,每个业务出方向的正常业务流量峰值均不超过50 Mbps,业务流量总和不超过150 Mbps。这种情况下,您只需确保所购买的实例的最大业务带宽大于150 Mbps即可。 95弹性业务带宽模式
选择是否启用弹性业务带宽。关于弹性业务带宽的费用,请参见弹性业务带宽计费方式。可选项:
不启用:不启用弹性业务带宽。
日95模式:启用弹性业务带宽,计费模式为日95模式。
月95模式:启用弹性业务带宽,计费模式为月95模式。
功能套餐
选择实例的功能套餐类型。可选项:标准功能、增强功能。
关于不同功能套餐的差异说明,请参见标准功能和增强功能的差异。
防护域名数
选择支持接入实例防护的域名配置的数量。支持以10个域名配置为单位增加或减少。
域名配置中支持使用子域名、泛域名,且子域名、泛域名对应不同域名的数量不超过“防护域名数/10”。
例如,DDoS高防(中国内地)专业版实例默认防护域名数为50,表示支持接入最多5个不同的域名对应的子域名、泛域名配置,且所有域名配置的总数不超过50个。
假设要接入防护的域名包括aliyundoc.com、aliyun.com,则支持使用上述域名的子域名(例如www.aliyundoc.com、abc.aliyun.com)、泛域名(*.aliyundoc.com、*.aliyun.com)作为域名接入配置。
业务QPS
选择无攻击状态下实例最大可处理的并发请求速率,包含使用HTTP协议和HTTPS协议的请求。
业务QPS和连接数规格的对应关系,请参见业务QPS与连接数规格说明。
警告如果您购买的实例业务QPS不够用,可能会丢包或者影响业务,在这种情况下请及时升级业务QPS规格或者启用弹性QPS。
95弹性QPS模式
选择是否启用弹性QPS。关于弹性QPS的费用,请参见弹性QPS计费说明。可选项:
不启用:不启用弹性QPS。
日95模式:启用弹性QPS,计费模式为日95模式。
月95模式:启用弹性QPS,计费模式为月95模式。
业务QPS和连接数规格的对应关系,请参见业务QPS与连接数规格说明。
端口数
选择实例支持接入的端口转发配置的数量,包含使用TCP和UDP协议添加的端口转发配置。
资源组
选择实例在资源管理服务中所属的资源组,默认为默认资源组。
关于资源组的更多信息,请参见创建资源组。
2.2 将域名接入高防
在域名接入页面,单击添加网站。
按照指引完成网站接入以及转发配置。详细的配置说明,请参见添加网站配置。
说明设置DNS解析时,需要解析到流量调度器的CNAME地址。因此添加网站业务转发配置后,暂时无需按照页面提示修改DNS解析。
3 配置流量调度器
使用流量调度器,为业务添加阶梯防护调度规则,请将业务解析到流量调度器的CNAME地址。具体操作,请参见阶梯防护。
登录DDoS高防控制台,选择,单击添加规则。
配置项
说明
联动场景
选择阶梯防护。
规则名
为规则命名。
规则名由英文字母、数字和下划线(_)组成,不超过128个字符。
高防IP
选择要联动的DDoS高防实例。
联动资源
单击添加云资源IP,可以添加多个云资源。最多支持添加20个IP。
说明添加多个云资源IP时(即多个云资源IP关联一个高防IP),如果一个云资源IP上发生DDoS攻击,将优先使用其他云资源IP,直到无可用云资源IP时,才会切换到高防进行防护。如果您希望云产品多路分摊流量,每路被攻击时单独切换高防,请参见多路分摊切换配置。
回切时间
业务流量联动到DDoS高防进行防护后,允许触发回切流程(切换回云资源IP)的等待时间。攻击结束且经过该等待时间后,业务流量自动回切到云资源IP。
可选范围:30~120分钟。推荐您设置为60分钟。
说明当DDoS高防实例处于黑洞状态时,或在高防黑洞事件开始时间+回切时间到期前,不允许云资源切换到高防进行防护。
当云资源发生黑洞时,自动切换到高防进行防护。云资源黑洞状态下,不允许从高防回切到云上。云资源解除黑洞后可以立即回切,不受回切时间限制。
完成规则配置后获取CNAME地址。
4 修改DNS解析
前往域名DNS服务商处修改域名的DNS解析,将解析指向流量调度器CNAME地址。具体操作,请参见修改CNAME解析接入流量调度器。
本文以使用阿里云DNS解析为例。
登录阿里云云解析DNS控制台。
在页签,单击添加域名。
根据业务实际情况填写解析记录。
其中记录类型选择CNAME,记录值为流量调度器的CNAME地址。
