全局流量管理&WAF&GA&SLB联动

本文主要介绍全局流量管理如何与Web应用防火墙、全球加速、SLB联动使用。通过全局流量管理解决自建DNS不支持智能解析调度,且可对GA、WAF及源站实现高可用、故障切换。

实践架构

11

前置GTM:实现智能解析及故障转移,若域名DNS服务商支持智能解析,且不考虑故障冗余可去除此层GTM架构。

GA:实现全球加速,本例为针对中国内地向海外服务器进行请求加速。

WAF:实现Web应用防护,智能分配解析请求至就近节点。

后置GTM:实现多源地址故障冗余,及智能解析调度。

准备工作

具备以下资源:

资源名称

资源内容

备注

全局流量管理

gtm-cn-*****q5a001

GTM①

说明

实现智能解析调度及故障切换

gtm-cn-*****id880y

GTM②

说明

实现源站多个节点的高可用

Web应用防火墙

vbrqh41*********uohrsiojoxfkcfmh.aliyunwaf5.com

境外WAF

全球加速

ga-bp1y0fo9******jo9c2mq.aliyunga0017.com

GA加速

域名

demo.test.alidns.com

测试域名

负载均衡SLB

123.123.XXX.XXX

124.124.XXX.XXX

境外-A-SLB

境外-B-SLB

配置步骤

一、全局流量管理(后置GTM配置)

  1. 访问云解析DNS-全局流量管理

  2. 在全局流量管理实例列表中,找到目标实例,点击操作区域的配置按钮(以下配置仅供参考,需在配置时进行真实资源替换)。

    基本配置

    • 实例名称:后置GTM

    • 业务域名:WAF分配的CNAME域名地址

    • CNAME接入域名:自定义接入域名

    • 全局TTL:10分钟

    image..png

    地址池配置

    • 地址池名称:境外-A-SLB(境外-B-SLB)

    • 地址池类型:Ipv4

    • 负载均衡策略:返回全部地址

    • 地址列表:

      • 地址:123.123.XXX.XXX(124.124.XXX.XXX)

      • 模式:智能返回

    说明

    需要创建两个地址池:境外-A-SLB境外-B-SLB。地址池名称与地址分别填入上述内容即可。

    访问策略使用“基于地理位置的访问策略”可忽略地址归属区域配置。

    image..png

    image..png

    健康检查配置

    目前GTM支持PING、TCP、HTTP(S)协议的健康检查,详情可参考:开启健康检查

    说明

    如果地址池为SLB或者阿里云地址,监控节点中请根据业务场景选择运营商监控节点。

    1

    4

访问策略配置

启用“基于地理位置的访问策略”,并进行配置。配置详情参考:访问策略

22

  • 策略名称:全局

  • 解析请求来源:全局-全局

  • 地址池类型:ipv4

  • 主地址池:境外-A-SLB

  • 备地址池:境外-B-SLB

3

二、Web应用防火墙配置(境外)

登录Web应用防火墙控制台,进行境外实例配置。详情参考什么是Web应用防火墙以下配置仅供参考,需在配置时进行真实资源替换

  • 域名:demo.test.alidns.com

  • 服务器地址:gtm-cn-npk20id880y.gtm-a4b5.com

说明

境内与境外实例配置一致。

获取GTM(全局流量管理)系统分配域名方法:

登录云解析控制台->全局流量管理->基本配置->CNAME接入域名(公网)

3

三、全球加速(GA)配置

登录全球加速控制台,进行配置。详情参考什么是全球加速

大致步骤如下:

  • 购买精品带宽包。

  • 配置监听。

  • 配置加速区域。

image.png

image.png

image.png

四、全局流量管理(前置GTM配置)

基本配置

  • 实例名称:前置GTM

  • 业务域名:填入实际业务域名

  • CNAME接入域名:系统分配接入域名

  • 全局TTL:10分钟

11

地址池配置

分别进行GA加速地址池、WAF(境外)地址池、源站地址池配置。

111

  • GA加速地址池:

地址池名称:GA加速

地址池类型:域名

地址列表:填入实际业务分配的GA加速CNAME域名

22

  • WAF(境外)地址池:

地址池名称:WAF(境外)

地址池类型:域名

地址列表:填入实际业务分配的WAF(境外)CNAME域名33源站地址池:

地址池名称:源站

地址池类型:IPV4

地址列表:填入实际业务源站地址(本案例中填入境外SLB其中一个地址)

image..png

访问策略配置

启用“基于地理位置的访问策略”,并进行全局、境外访问策略配置。

  • 全局访问策略配置:

策略名称:全局

解析请求来源:全局-全局

主地址池集合:

①地址池类型:域名

②选择地址:GA加速

③负载均衡策略:按权重返回地址(地址池类型为域名时,负载均衡策略仅支持“按权重返回地址”)

备地址池集合:

①地址池类型:域名

②选择地址:WAF(境外)

③负载均衡策略:按权重返回地址(地址池类型为域名时,负载均衡策略仅支持“按权重返回地址”)55511111211

  • 境外访问策略配置:

策略名称:境外

解析请求来源:境外地区-境外

主地址池集合:

①地址池类型:域名

②选择地址:WAF(境外)

③负载均衡策略:按权重返回地址(地址池类型为域名时,负载均衡策略仅支持“按权重返回地址”)

备地址池集合:

①地址池类型:IPV4

②选择地址:境外SLB-A

③负载均衡策略:返回全部地址

12333332124122

五、配置DNS解析

  1. 访问云解析DNS-公网权威解析,点击目标域名的解析设置,进入解析设置页面。

  2. 点击添加记录按钮,添加一条CNAME记录,记录值填写为GTMCNAME接入域名。完成解析记录添加后,应用服务即正式接入全局流量管理。