高防&GA&GTM联动实现访问安全和业务高可用

应用场景

用户希望自己的业务能够依托阿里云优质的全局网络以减少网络延迟、丢包并提升传输效率。同时,他们对业务的安全和高可用性也有着非常高的要求,当业务存在多个源站时,可以借助全局流量管理产品,对多个源站IP进行探测,及时隔离故障IP,以保障业务的连续性。

方案架构

image

前提条件

  • 域名cloud-example.com已经使用阿里云解析DNS,业务域名为www.cloud-example.com

    说明

    如果您的业务域名不在阿里云解析DNS,也可使用GTM产品。最终在业务域名当前DNS厂商处添加CNAME记录,指向GTM接入域名即可。

  • 已购买GTM实例gtm-cn-vkl3pob**0a,若还没购买实例,请先购买实例

  • 已开通WAF 3.0服务,接入域名为www.cloud-example.com.**.aliyunwaf.com,具体内容请参考购买WAF 3.0包年包月实例

  • 已购买全球加速实例,接入域名为ga-bp1fmarxs5wifowc49f2z.aliyunga**17.com,具体内容请参考创建和管理标准型全球加速实例

  • 欲实现的效果:源站全部正常时,CDN回源至源站1;源站1异常时,CDN回源至源站2;源站12均异常时,CDN回源至源站3;源站1恢复正常时,CDN继续回源至源站1。

设置方法

一、配置GTM

  1. 登录云解析DNS控制台

  2. 左侧导航栏点击全局流量管理,再单击 全局流量管理3.0 页签。

  3. 域名实例配置 页签,单击 创建接入域名 按钮。

  4. 场景选择 弹框中选择 自定义场景

  5. 创建接入域名 页面,单击接入域名图标并完成基础配置,本示例接入域名配置为gtm.cloud-example.com。具体操作可参考接入域名配置

  6. 接入域名 页面单击地址池图标,完成地址池配置并添加地址。具体请参考地址池配置

    说明

    本示例为地址配置Ping健康检查,具体配置可参考健康探测模板

  7. 接入域名 页面,分别完成地址间负载均衡策略配置地址池间负载均衡策略配置。本示例分别选择 顺序(抢占模式)轮询 模式。image

    重要

    本示例主要演示配置操作流程,若您在实际配置中出现红色橙色告警项,请及时排查地址健康检查情况。

  8. 实例配置监控告警,具体信息请参考设置方法

  9. 接入域名 页面,单击接入域名图标,并选择 启用image

  10. 确认启用接入域名 页面,确认接入域名是否正确后,单击 确定

    重要
    • 如果云解析DNS-权威解析存在同名称同类型的域名记录时,针对该域名对应类型的查询请求,系统将首先遵循GTM策略进行智能调度与解析,以实现流量负载均衡或故障切换等高级功能。

    • 禁用或删除GTM域名实例,该域名将通过云解析DNS-权威解析提供解析。

二、配置全球加速GA

  1. 登录全球加速产品控制台

  2. 在左侧导航栏选择 实例列表 ,然后单击 创建加速实例 按钮。 参考创建和管理标准型全球加速实例完成 实例基础配置配置加速区域配置监听配置终端节点组配置审核。终端节点配置为WAFCNAME接入域名www.cloud-example.com.**.aliyunwaf.com

三、配置WAF

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 参考添加域名完成接入域名配置,本示例中,需要防护的域名www.cloud-example.com,源站配置GTM的接入域名为gtm.cloud-example.com

四、业务域名接入全球加速GA

  1. 云解析DNS产品控制台 完成 CNAME 配置。将业务域名www.cloud-example.com通过CNAME记录指向GA接入域名ga-bp1fmarxs5wifowc49f2z.aliyunga**17.comimage