安全加速通过结合安全加速线路与DDoS高防(非中国内地)保险防护或无限防护实例,构建覆盖全运营商网络的防护架构,确保业务在全球运营商环境下的安全性与访问质量。本文介绍如何配置安全加速规则。
背景信息
安全加速线路仅用于防护中国内地运营商的业务流量,需要和DDoS高防(非中国内地)保险防护或无限防护实例搭配使用,才能防护所有的业务流量。本文以联动使用安全加速线路2.0、DDoS高防(非中国内地)无限防护为例,可以实现:
中国内地电信、联通以及移动运营商流量,调度到安全加速线路2.0对应的IP上。
其他流量,调度到DDoS高防(非中国内地)无限防护对应的IP上。
限制条件
对于业务直接通过IP访问的场景,无法实现业务流量的自动调度,不支持使用流量调度器。
操作步骤
将网站业务分别接入DDoS高防(非中国内地)无限防护和安全加速线路2.0,并确保可以正常转发业务流量。
- 说明
只需完成业务接入配置,无需修改域名解析。
验证业务流量正常转发,请参见本地验证转发配置生效。
配置安全加速规则。
登录DDoS高防控制台。
在顶部菜单栏左上角处,选择非中国内地,跳转到DDoS高防(非中国内地)控制台。
在左侧导航栏,选择。
在通用联动页签单击添加规则,配置联动规则并单击下一步。
参数
描述
联动场景
选择安全加速。
规则名
规则名由英文字母、数字和下划线(_)组成,不超过128个字符。
安全加速
选择安全加速线路实例的IP。
DDoS高防(非中国内地)
选择DDoS高防(非中国内地)无限防护实例的IP。
成功添加规则后,流量调度器为当前规则生成一个CNAME地址。您可以在规则列表中查看已添加的规则和CNAME地址。
修改DNS解析配置:为确保流量调度器的联动规则正常生效,按照页面提示完成 DNS 解析配置变更。
本地环境验证:在正式修改公共 DNS 解析之前,强烈建议先通过修改本地计算机的
hosts文件来模拟解析变更,验证流量调度规则,避免因回源策略不一致出现不兼容问题。典型风险案例如下:说明关于验证流量调度规则的操作,请参见本地验证转发配置生效。
场景:CDN + 高防 + OSS 联动
潜在冲突:
CDN:支持自定义修改回源HOST,可正确识别 OSS 桶。
DDoS 高防:通常不支持修改“回源 HOST",默认使用请求中的 Host 头。
故障现象:当发生攻击触发自动切换至 DDoS 高防时,由于高防透传的 Host 头与 OSS 期望的不匹配,导致正常流量无法被 OSS 识别,进而引发业务访问失败。
修改 DNS 解析记录:完成本地验证且确认无误后,即可执行正式的 DNS 解析变更操作。修改域名的 DNS 解析记录,将其指向流量调度器提供的CNAME 地址。请根据域名注册服务商选择对应的操作路径:
域名注册平台
操作指引
阿里云
直接登录云解析DNS控制台 控制台进行修改。
第三方平台
登录域名所在的第三方注册商管理平台,修改该域名的 DNS 解析记录。
验证结果:修改解析记录后,可以使用浏览器测试网站访问是否正常。
说明修改完成后,受 DNS 全球生效时间(TTL)影响,规则可能需要一定时间才能完全生效。详细操作,请参见修改CNAME解析接入流量调度器。
如果网站访问出现异常请先进行异常排查,具体操作,请参见业务接入DDoS高防后存在卡顿、延迟、访问不通等问题。
相关操作
成功添加通用联动规则后,您可以在规则列表,对已添加的规则执行以下操作。
操作 | 说明 |
编辑 | 编辑通用联动规则,修改除联动场景、规则名以外的参数配置。 |
删除 | 删除通用联动规则。 警告 删除联动规则前,请确保网站域名的解析没有指向流量调度器CNAME,否则删除联动规则后,网站将无法正常访问。 |
切到高防及回切 | 当安全加速线路黑洞或由于网速等原因不满足业务要求时,您可以通过切到高防,将所有业务流量切换到DDoS高防(非中国内地)保险防护和无忧防护。 攻击停止或者网络平稳后,可使用回切功能将中国内地流量切换到安全加速线路。 |