如何配置非中国内地DDoS高防安全加速_DDoS防护(Anti-DDoS)-阿里云帮助中心

DDoS高防（非中国内地）支持安全加速线路，可以实现中国内地用户对非中国内地业务加速访问的同时，提供大流量DDoS攻击防护能力。本文介绍如何将业务接入安全加速线路。

概述

针对中国内地用户访问非中国内地源站导致的延迟问题，阿里云DDoS防护提供了安全加速线路和加速线路两种访问加速方案。

安全加速线路

自带DDoS防护清洗能力，为所有接入防护的业务提供访问加速和高级防护，在遭受攻击时无需切换至DDoS高防（非中国内地）线路即可缓解DDoS攻击，实现直接进行清洗防护的同时兼顾业务的快速访问。

重要

安全加速线路仅防护中国内地业务流量，非中国内地路由访问不通。如果您有非中国内地的业务访问需求，请搭配使用DDoS高防（非中国内地）保险防护或无限防护，通过流量调度器方案进行接入。

安全加速线路提供了4种实例，不同实例之间的区别如下表所示。

实例类型	防护能力	防护的运营商线路	高级防护次数	是否支持购买防护次数
安全加速线路1.0	2 Tbps	中国内地电信、联通	2次/自然月	支持，请购买高级防护资源包。
安全加速线路1.0（基础版）说明请联系售前商务经理购买。	2 Tbps	中国内地电信、联通	1次/自然月	支持，请购买高级防护资源包。
安全加速线路2.0（保险版）	2 Tbps以上	中国内地电信、联通、移动	2次/自然月	不支持购买防护次数，但可以升级到安全加速线路2.0（无限版）。
安全加速线路2.0（无限版）	2 Tbps以上	中国内地电信、联通、移动	不限次	不涉及

加速线路

仅提供访问加速能力，不带DDoS防护清洗能力，需要和DDoS高防（非中国内地）保险防护或无限防护同时部署。在遭受攻击时只能通过切换至DDoS高防（非中国内地）线路来缓解DDoS攻击，如果攻击频繁，则需频繁切换线路。

限制条件

通过端口接入安全加速线路时，不支持UDP端口接入。

使用安全加速线路2.0

防护中国内地电信、联通和移动线路

单独使用安全加速线路2.0即可，架构图如下。

登录DDoS高防控制台。
在顶部菜单栏左上角处，选择非中国内地，跳转到DDoS高防（非中国内地）控制台。
将业务接入安全加速线路2.0实例。
- 域名接入：接入时实例选择安全加速线路2.0实例。具体操作，请参见添加网站配置。
- 端口接入：在安全加速线路2.0实例中配置端口转发规则。具体操作，请参见配置端口转发规则。
将业务流量切换到安全加速线路2.0实例，开启安全加速。
- 域名接入：将域名解析到DDoS高防的CNAME地址。具体操作，请参见使用CNAME或IP将网站域名解析到DDoS高防。
- 端口接入：将业务地址设置为安全加速线路2.0实例的IP。

防护全部运营商线路

需要安全加速线路2.0与DDoS高防（非中国内地）保险防护或无限防护结合使用，架构图如下。

登录DDoS高防控制台。
在顶部菜单栏左上角处，选择非中国内地，跳转到DDoS高防（非中国内地）控制台。
将业务接入DDoS高防。本文以非中国内地使用DDoS高防（非中国内地）无限防护为例。
- 域名接入：接入时实例需要同时选择DDoS高防（非中国内地）无限防护实例和安全加速线路2.0实例。具体操作，请参见添加网站配置。
- 端口接入：分别在DDoS高防（非中国内地）无限防护实例和安全加速线路实例中配置端口转发规则。具体操作，请参见配置端口转发规则。
  重要
  由于域名解析必须配置为CNAME方式，因此对于业务直接通过IP访问的场景，无法实现业务流量的自动调度。
在流量调度器中配置安全加速规则。
1. 在实例管理 > 流量调度器页面，单击通用联动页签。
2. 单击添加规则，设置规则条件后，单击下一步。
  - 联动场景：选择安全加速。
  - 规则名：自定义规则名称。
  - 安全加速：选择DDoS高防（非中国内地）安全加速线路2.0实例。
  - DDoS高防（非中国内地）：选择DDoS高防（非中国内地）无限防护实例。
  流量调度规则创建后将生成CNAME，您只需将业务域名的DNS解析指向该CNAME即可通过安全流量调度器实现流量的自动调度：
  - 中国内地电信、联通和移动运营商流量调度到安全加速线路2.0实例的IP上。
  - 中国内地其他运营商和非中国内地流量调度到DDoS高防（非中国内地）无限防护实例的IP上。
  说明
  请务必确认调度节点中所选择的独享IP均已经完成业务接入配置，可以将流量正常转发回源站服务器。
在域名解析服务提供商处，修改该域名的DNS解析记录。
将域名解析至安全流量调度规则提供的CNAME，正式将业务流量切换到安全流量调度器，实现自动调度。
说明
流量自动调度功能基于CNAME，因此域名解析必须使用CNAME方式。

使用安全加速线路1.0

安全加速线路1.0不支持防护移动线路。

防护中国内地电信、联通

单独使用DDoS高防（非中国内地）安全加速线路1.0即可，架构图如下。

登录DDoS高防控制台。
在顶部菜单栏左上角处，选择非中国内地，跳转到DDoS高防（非中国内地）控制台。
将业务接入安全加速线路1.0实例。
- 域名接入：接入时实例选择安全加速线路1.0实例。具体操作，请参见添加网站配置。
- 端口接入：在安全加速线路1.0实例中配置端口转发规则。具体操作，请参见配置端口转发规则。
将业务流量切换到安全加速线路1.0实例，开启安全加速。
- 域名接入：将域名解析到DDoS高防CNAME地址。具体操作，请参见使用CNAME或IP将网站域名解析到DDoS高防。
- 端口接入：将业务地址设置为安全加速线路1.0实例的IP。

防护全部运营商线路

需要安全加速线路1.0与DDoS高防（非中国内地）保险防护或无限防护结合使用，架构图如下。

登录DDoS高防控制台。
在顶部菜单栏左上角处，选择非中国内地，跳转到DDoS高防（非中国内地）控制台。
将业务接入DDoS高防。本文以非中国内地使用DDoS高防（非中国内地）无限防护为例。
- 域名接入：接入时实例需要同时选择DDoS高防（非中国内地）无限防护实例和安全加速线路1.0实例。具体操作，请参见添加网站配置。
- 端口接入：分别在DDoS高防（非中国内地）无限防护实例和安全加速线路1.0实例中配置端口转发规则。具体操作，请参见配置端口转发规则。
  重要
  由于域名解析必须配置为CNAME方式，因此对于业务直接通过IP访问的场景，无法实现业务流量的自动调度。
在流量调度器中配置安全加速规则。
1. 在实例管理 > 流量调度器页面，单击通用联动页签。
2. 单击添加规则，设置规则条件后，单击下一步。
  - 联动场景：选择安全加速。
  - 规则名：自定义规则名称。
  - 安全加速：选择DDoS高防（非中国内地）安全加速线路1.0实例。
  - DDoS高防（非中国内地）：选择DDoS高防（非中国内地）无限防护实例。
  流量调度规则创建后将生成CNAME，您只需将业务域名的DNS解析指向该CNAME即可通过安全流量调度器实现流量的自动调度：
  - 中国内地电信、联通运营商流量调度到安全加速线路1.0实例的IP上。
  - 中国内地移动运营商流量和非中国内地流量，调度到DDoS高防（非中国内地）无限防护实例的IP上。
  说明
  请务必确认调度节点中所选择的独享IP均已经完成业务接入配置，可以将流量正常转发回源站服务器。
在域名解析服务提供商处，修改该域名的DNS解析记录。
将域名解析至安全流量调度规则提供的CNAME，正式将业务流量切换到安全流量调度器，实现自动调度。
说明
流量自动调度功能基于CNAME，因此域名解析必须使用CNAME方式。