跨地域Web安全加速(海外域名)

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

全球加速依托阿里云优质BGP带宽和全球传输网络,通过联动DDoS高防和Web应用防火墙,可以有效防御DDoS攻击和Web攻击,同时可以通过全局流量管理实现故障隔离或流量切换,为Web服务商提供一套高安全的跨地域加速方案。

背景信息

某Web服务部署在美国(硅谷)地域的阿里云上,后端服务器为4个绑定了阿里云弹性公网IP的ECS实例,Web服务通过域名www.example.us(海外域名)对外提供服务,转发端口为TCP 9000端口。Web服务面临以下问题:

  • Web域名为海外域名,暂不能托管在中国内地的服务器上,但客户端主要集中在中国内地。

  • Web服务经常受到各类Web攻击和DDoS攻击,严重影响Web应用服务的安全性和可用性。

  • 跨国公网不稳定,经常出现延迟、抖动、丢包等网络问题。

  • 后端服务器不稳定,业务存在中断的风险。

跨域安全加速

如上图部署架构,您可以联动部署全球加速、DDoS高防、Web应用防火墙、全局流量管理。部署完成后,可以有效解决跨域Web服务面临的问题。

  • DDoS高防可以有效防御DDoS攻击。

    旁路部署DDoS高防,仅在特定场景下触发并切换启用DDoS高防,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时更好的防护效果。

  • 全球加速可以提高加速区域用户的网络访问速度。

    中国内地用户的访问请求通过中国香港接入点进入阿里云加速网络 ,然后通过智能选择路由和自动网络调度,把网络访问请求送达至美国硅谷源站。

  • Web应用防火墙可以有效防御各类Web攻击。

    所有访问Web的公网流量都会经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,确保源站IP安全、稳定、可用。

  • 全局流量管理可以实现故障隔离或流量切换。

    • 如果主服务器组运行正常时,客户端的访问流量均转发到主服务器组。

    • 如果主服务器组因故障不可用时,流量迅速切换到备服务器组,并在主服务器组恢复正常后,客户端流量切回主服务器组。

配置步骤

海外域名加速步骤

步骤一:创建全局流量管理实例

全局流量管理是一种流量管理服务,可以帮助您精细化的管理客户端访问流量。

完成以下操作,创建全局流量管理实例。

  1. 登录阿里云云解析DNS控制台

  2. 在左侧导航栏,单击全局流量管理

  3. 全局流量管理页面,单击创建实例

  4. 在购买页面,根据以下信息配置全局流量管理实例。

    1. 套餐版本:分为标准版旗舰版。本方案选择标准版

    2. 购买数量:选择购买实例的数量。

    3. 购买时长:选择购买实例的时长。

  5. 单击立即购买完成支付。

步骤二:配置访问策略

访问策略可以将不同来源的访问请求转发到不同的后端服务器,并可以根据实际业务需要设置备用后端服务器。

完成以下操作,为全局流量管理配置访问策略。

  1. 登录阿里云云解析DNS控制台

  2. 在左侧导航栏,单击全局流量管理

  3. 全局流量管理页面,找到目标全局流量管理实例,单击操作列下的配置

  4. 选择配置方法对话框,选择快速入门

  5. 访问策略配置向导下,根据以下信息配置访问策略。

    1. 策略名称:输入访问策略的名称。

    2. 解析请求来源: 选择解析请求来源。

      选中解析请求来源后,该区域的用户访问应用服务时会智能调度到所配置的后端服务器地址池。本方案选择全局

    3. 主地址池集合:单击主地址池集合页签。

      主地址池集合是业务正常情况下,全局流量管理将用户访问流量转发到的后端服务器地址池。

      本方案您需要先单击新增地址池,将美国源站服务器1和服务器2添加到主地址池,并配置健康检查,然后再选择主地址池。健康检查配置详情,请参见TCP健康检查

    4. 备地址池集合:单击备地址池集合

      备地址池集合是在主地址池集合中的服务器因故障不可用时,全局流量管理将用户访问流量切换到的后端服务器地址池。

      本方案您需要单击新增地址池,将美国源站服务器3和服务器4添加到备地址池,并配置健康检查,然后再选择备地址池。健康检查配置详情,请参见TCP健康检查

  6. 单击下一步

步骤三:配置基础信息

配置访问策略后,您需要配置全局流量管理实例的基础信息,包括主域名信息、CNAME接入域名、全局TTL、报警通知组等相关信息。

完成以下操作,为全局流量管理配置基础信息。

  1. 基本配置配置向导下,配置基础信息。

    1. 实例名称:输入实例名称。

      实例名称是便于识别该实例用于某个应用服务的标识。

    2. 业务域名(公网):输入客户端访问的域名。本方案输入www.example.us

    3. CNAME接入域名:选择接入域名的类型。

      • 系统分配接入域名:适用于后端服务地址池中都是阿里云地址或海外地址。

      • 自定义接入域名:适用于后端服务地址池中有自建IDC的地址。

      本方案中,后端服务地址均为阿里云弹性公网IP,所以选择系统分配接入域名

    4. 全局TTL:域名解析对应IP地址的生效时间。本方案选择1分钟

      全局流量管理是以域名形式对外提供流量管理服务,全局TTL即域名对应IP地址信息在运营商DNS系统内的缓存生效时间,默认提供1分钟的TTL时间。如果使用自定义接入域名方式,全局TTL需要与自定义域名的云解析套餐支持的最小TTL保持一致。

    5. 报警通知组:当业务出现异常时,用于接收通知消息的联系组。

      说明
      • 如果您未配置报警通知组,请先前往云监控控制台设置。详细信息,请参见创建报警联系人或报警联系组

      • 如果您已经配置了报警通知组,但您使用子账号配置基础信息,请先使用主账号授权。授权成功后,子账号才能读取到报警通知组信息。

  2. 单击完成

基本信息配置完成后,系统会自动分配一个CNAME接入域名用于解析要调度的后端服务IP。

步骤四:开通Web应用防火墙

Web应用防火墙WAF基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。

本方案以包年包月为例,介绍如何开通Web应用防火墙。

  1. 进入阿里云官网Web应用防火墙产品详情页

  2. 单击立即购买

  3. Web应用防火墙(包月)页面,完成以下配置。

    1. 商品类型:默认选择Web应用防火墙(包年包月)

    2. 地域:选择WAF服务主机所在地域。

      本方案WAF服务主机所在地域为美国(硅谷),所以选择海外地区

    3. 套餐选择:选择要使用的WAF套餐类型。本方案选择云WAF

    4. 版本:选择要开通的WAF服务的版本。

      不同WAF版本适用的业务规模和支持的防护功能不同。详细信息,请参见套餐和版本说明。本方案选择企业版

    5. Bot管理:选择开启或关闭Bot管理功能。
      如果您需要缓解机器流量对业务造成的安全威胁,您可以开通Bot管理功能模块。详细信息,请参见设置爬虫威胁情报规则设置合法爬虫规则。本方案选择关闭
    6. APP防护:选择开启或关闭APP防护。
      如果您的业务支持原生APP端且存在可信通信、防机器脚本滥刷等安全需求,您可以开通APP防护模块。详细信息,请参见设置App防护。本方案选择关闭
    7. 域名扩展包:指定要开通的域名扩展包数量。
      当您有多个域名(或超过10个子域名)需要接入WAF进行防护时,您可以开通域名扩展包。详细信息,请参见域名扩展包。本方案不购买域名扩展包。
    8. 带宽扩展包:指定要开通的带宽扩展包大小,单位Mbps。
      当您需要接入WAF进行防护的业务总带宽超过所选套餐规格时,您可以开通带宽扩展包。详细信息,请参见额外带宽扩展包。本方案选择100Mbps
    9. 域名独享资源包:指定要开通的独享IP数量。
      当您有重要的域名需要使用独立的WAF IP进行防护时,您可以开通域名独享IP资源包。详细信息,请参见独享IP包。本方案不购买域名独享资源包。
    10. 智能负载均衡:选择开启或关闭智能负载均衡。

      智能负载均衡通过多节点智能接入技术,助力业务支持多节点、多线路自动调度容灾,提高业务的可靠性。详细信息,请参见智能负载均衡。本方案选择关闭

    11. 日志服务:选择开启或关闭日志服务。
      日志服务将WAF所有的日志信息实时存储至日志服务存储空间中,同时提供查询分析和展示在线报表等功能。本方案选择关闭
    12. 可视化大屏服务:选择要开通的可视化大屏服务类型。
      如果您需要通过接入数据大屏来展示和分析网站的整体业务及安全状况,您可以开通可视化大屏服务。详细信息,请参见数据大屏。本方案选择未开启
    13. 购买时长:选择WAF服务的有效时长。
  4. 单击立即购买完成支付。

步骤五:添加网站配置

开通Web应用防火墙后,您需要配置WAF防护网站的转发信息。

完成以下操作,通过DNS配置模式将被防护域名的访问流量指向WAF。

  1. 登录Web应用防火墙控制台

  2. 在顶部状态栏,选择Web应用防火墙实例的地域。本方案选择海外地区

  3. 在左侧导航栏,选择资产中心 > 网站接入

  4. 网站接入页面,单击网站接入

  5. 根据配置向导完成相关任务。

    1. 域名:输入要防护的域名。 本方案输入www.example.us

      说明
      • 支持使用精确域名(例如www.aliyun.com)和泛域名(例如*.aliyun.com)格式。

        • 使用泛域名后,Web应用防火墙将自动匹配该泛域名对应的子域名。

        • 如果同时存在泛域名和精确域名配置,则精确域名的转发规则和防护策略优先生效。

      • 暂不支持添加.edu域名。如果您需要添加.edu域名,请加入钉群(钉群号:21715946),联系产品技术专家进行咨询。

    2. 协议类型:选中网站支持的协议类型。本方案选中HTTP

      说明
      • 如果网站支持HTTPS加密认证,请勾选HTTPS,并在添加网站后上传证书和私钥文件。详细信息,请参见添加域名

      • 勾选HTTPS后,可使用高级设置实现HTTP强制跳转和HTTP回源等功能,保证访问平滑。详细信息,请参见添加域名

      • 使用HTTP2.0协议,需要符合以下要求:

        • 您的WAF实例已升级至企业版或旗舰版。

        • 您已勾选HTTPS协议。

    3. 服务器地址:选择服务器地址类型,然后输入网站的源站服务器地址。

      支持IP域名(如CNAME)格式。网站接入WAF后,WAF将过滤后的访问请求转发至该地址。本方案选择域名(如CNAME),然后输入步骤三配置基础信息后系统为全局流量管理分配的CNAME地址。详细信息,请参见步骤三:配置基础信息

    4. 服务器端口:配置网站的协议端口。

      WAF通过所配置的端口为网站提供流量的接入与转发服务,网站域名的业务流量只通过所配置的服务端口进行转发;对于未配置的端口,WAF不会转发任何该端口的访问请求流量到源站服务器,因此这些端口的启用和漏洞不会对源站服务器造成任何安全威胁。

      重要

      配置的协议和端口必须与您所接入的网站业务源站IP(在WAF中配置的服务器IP地址)的协议和端口(在WAF中配置的服务器端口)一致,不支持端口转换功能。

      本方案输入自定义9000端口。

      说明

      WAF默认支持以下端口:80/8080(HTTP)和443/8443(HTTPS)。企业版和旗舰版WAF实例支持更多的非标端口,且对被防护域名使用的不同端口的总数有相应限制。详细信息,请参见WAF支持的端口

    5. 负载均衡算法:如果配置了多个源站IP,勾选IP hash轮询。WAF将根据所选择的方式在多个源站IP间分发访问请求,实现负载均衡。

    6. WAF前是否有七层代理(高防/CDN等):根据该网站业务的实际情况选择是否有七层代理(高防/CDN等)。本方案选择

    7. 启用流量标记:配置是否开启WAF流量标记功能。如果您需要对经过WAF的请求进行标记(用以区分没有经过WAF的请求,便于后端服务统计分析),则可以开启该功能,并设置一个自定义的HTTP头部标记字段,包含Header字段名称Header字段值。本方案选择开启该功能。

      说明

      请不要填写标准的HTTP头部字段(如User-agent等),否则会导致标准字段被自定义的字段值覆盖。

    8. 资源组:从资源组列表中选择域名所属的资源组。

  6. 单击下一步。在添加域名页面,单击复制Cname,记录下WAF分配的CNAME地址。

    WebCNAME
  7. 单击下一步,查看WAF IP地址,然后单击完成,返回网站列表

步骤六:创建全球加速实例

  1. 登录全球加速管理控制台
  2. 实例列表页面,单击创建加速实例
  3. 在购买页面,根据以下信息配置全球加速实例,然后单击去购买,并按照页面提示完成支付。

    配置

    说明

    实例类型

    选择标准型实例

    实例规格

    选择购买标准型全球加速实例的规格。本文选择中型Ⅰ

    标准型全球加速支持的实例规格,请参见标准型全球加速实例规格

    加速IP类型

    默认选择弹性公网IP

    带宽计费方式

    默认选择按带宽

    资源组

    选择标准型全球加速实例所属的资源组。

    该资源组为当前阿里云账号在资源管理中创建的资源组。更多信息,请参见创建资源组

    购买时长

    选择购买标准型全球加速实例的时长。

    选中到期自动续费(需保证您的账户余额充足)可开启标准型全球加速实例自动续费功能。

    服务协议

    查阅并选中相关服务协议。

实例创建成功后,系统会自动分配一个CNAME用于解析要加速的后端服务的域名。CNAME

步骤七:购买并绑定基础带宽包

基础带宽包提供了覆盖全球的公网接入带宽和阿里云内网传输带宽。实现全球加速您需要购买基础带宽包并将基础带宽包绑定到全球加速实例。

  1. 实例列表页面,单击购买基础带宽包
  2. 在购买页面,配置基础带宽包,然后单击立即购买完成支付。

    1. 带宽类型:选择购买基础带宽包的带宽类型。

      本方案中源站域名为海外域名,该域名不能托管在中国内地的服务器上,所以选择精品加速带宽,中国内地用户通过中国香港精品公网访问部署在美国硅谷的Web服务。

      基础带宽包支持标准加速带宽、增强加速带宽和精品加速带宽三种带宽类型。带宽类型不同,加速类型、加速后端服务和加速范围也不同,如下表所示。

      带宽类型

      加速类型

      加速后端服务

      加速范围

      标准加速带宽

      加速部署在阿里云上的应用

      • 标准型全球加速实例:

        • 阿里云公网IP

        • 云服务器 ECS

        • 传统型负载均衡 CLB(原SLB)

        • 应用型负载均衡 ALB

        • 对象存储 OSS

        • 交换机(vSwitch)

      • 基础型全球加速实例:

        • 传统型负载均衡 CLB(原SLB)

        • 辅助网卡类型的弹性网卡 ENI

        • 云服务器 ECS

        • 网络型负载均衡 NLB

      默认的加速区域和后端服务区域都位于中国内地

      增强加速带宽

      • 加速部署在阿里云上的应用

      • 加速部署在非阿里云的应用

      • 标准型全球加速实例:

        • 阿里云公网IP

        • 云服务器 ECS

        • 传统型负载均衡 CLB(原SLB)

        • 应用型负载均衡 ALB

        • 对象存储 OSS

        • 交换机(vSwitch)

        • 自定义IP

        • 自定义域名

      • 基础型全球加速实例 :不涉及

      默认的加速区域和后端服务区域都位于中国内地

      精品加速带宽

      • 加速部署在阿里云上的应用

      • 加速部署在非阿里云的应用

      • 标准型全球加速实例:

        • 阿里云公网IP

        • 云服务器 ECS

        • 传统型负载均衡 CLB(原SLB)

        • 应用型负载均衡 ALB

        • 对象存储 OSS

        • 交换机(vSwitch)

        • 自定义IP

        • 自定义域名

      • 基础型全球加速实例 :

        • 传统型负载均衡 CLB(原SLB)

        • 辅助网卡类型的弹性网卡 ENI

        • 云服务器 ECS

        • 网络型负载均衡 NLB

      默认的加速区域和后端服务区域都位于海外(如果要加速中国内地到海外的访问,需选择中国香港作为加速地域)

      说明
      • 基础型全球加速实例的带宽计费方式为按带宽时,仅支持绑定带宽类型为标准加速带宽和精品加速带宽的基础带宽包。

      • 2023年06月08日之后创建的标准型全球加速实例可直接使用专有网络类型ECS、专有网络类型CLB和ALB类型的后端服务。如果您的标准型全球加速实例创建于该时间之前,且需要使用以上后端服务类型,请向商务经理申请升级实例。

      • 2023年08月01日之后创建的基础型全球加速实例可直接使用私网NLB类型的后端服务。如果您的基础型全球加速实例创建于该时间之前,且需要使用该后端服务类型,请向商务经理申请升级实例。

    2. 带宽峰值:选择购买基础带宽包的带宽峰值。本方案设置为10 Mbps。

    3. 资源组:选择基础带宽包所属的资源组。

      该资源组为当前阿里云账号在资源管理中创建的资源组。更多信息,请参见创建资源组

    4. 购买时长:选择购买基础带宽包的时长。

  3. 返回实例列表页面,单击已创建的全球加速实例ID。
  4. 单击带宽包管理页签。
  5. 基础带宽包区域,单击去绑定基础带宽包

  6. 绑定基础带宽包对话框,根据以下信息选择目标基础带宽包,单击确定

    • 资源组:选择要绑定的基础带宽包所在资源组。

    • 绑定基础带宽包:在下拉列表中选择要绑定的基础带宽包。

    绑定成功后,基础带宽包的状态变成可用

步骤八:添加加速区域

在购买基础带宽包后,您便可以添加加速区域,指定访问后端服务的用户的所在地域并分配加速带宽。

  1. 实例列表页面,单击步骤六:创建全球加速实例中创建的全球加速实例ID。

  2. 在实例详情页,单击加速区域页签,然后选择需要进行访问加速的区域。本方案选择亚太

  3. 在加速区域页签下,单击添加加速区域

  4. 添加加速区域对话框,根据以下信息配置加速区域,然后单击确定

    1. 选择加速地域:选择访问加速服务用户的所属地域。本方案选中中国(香港),然后单击添加至列表

    2. 带宽:选择加速服务的地域带宽。本方案选择10 Mbps。

    3. IP地址协议:选择接入全球加速服务的IP地址协议。本方案选择IPv4

加速区域添加成功后,全球加速会为每个加速区域中的地域分配一个加速IP,用来加速用户访问。

步骤九:创建监听

监听负责检查连接请求。系统会根据您指定的端口和协议转发来自客户端的入站连接。

  1. 实例列表页面,单击步骤六:创建全球加速实例中创建的全球加速实例ID。

  2. 默认进入实例详情页的监听页签,单击添加监听
  3. 配置监听和协议的配置向导页面,配置监听。然后单击下一步
    参数描述
    监听名称输入监听的名称。 名称长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)和短划线(-)。
    协议选择监听的协议类型。本方案选择TCP
    端口指定用来接收请求并向终端节点进行转发的监听端口,端口取值范围:1~65499。本方案输入9000
    客户端亲和性选择是否保持客户端亲和性。保持客户端亲和性,即客户端访问有状态的应用程序时,可以将来自同一客户端的所有请求都定向到同一终端节点。本方案选择源IP

步骤十:设置终端节点组

  1. 节点组名称区域输入节点组名称。

  2. 选择终端节点组所属的地域,即请求要访问的目标服务器的所属地域。

    本方案要将流量转发到Web应用防火墙,所以选择美国硅谷

  3. 选择后端服务部署在阿里云还是非阿里云。本方案选择非阿里云

  4. 选择开启或关闭保持客户端源IP。开启后,后端服务器可以通过该功能获取客户端源IP。本教程选择关闭保持客户端源IP。

  5. 配置终端节点。

    1. 后端服务类型:选择自定义域名

    2. 后端服务:输入步骤五添加网站配置后WAF分配的CNAME地址。详细信息,请参见步骤五:添加网站配置

    3. 权重:输入终端节点的权重,权重取值范围:0~255。全球加速根据您配置的权重按比例将流量路由到终端节点。

      警告

      如果某个终端节点的权重设置为0,全球加速将终止向该终端节点分发流量,请您谨慎操作。

  6. 单击下一步查看监听和终端节点组配置,确认无误后,再单击下一步

步骤十一:开通DDoS高防(国际)实例

部署在中国内地以外的业务服务器,可以通过DDoS高防(国际)降低DDoS攻击风险。DDoS高防(国际)依托先进的分布式近源清洗方式清洗攻击流量,并将过滤后的正常流量返回至源站服务器,保障业务稳定运行。

完成以下操作,开通DDoS高防(国际)实例。

  1. 登录DDoS高防控制台
  2. 实例管理页面,单击新购实例
  3. 在购买页面,完成DDoS高防(国际)实例的购买配置。

    1. 商品类型:选择DDoS高防(国际)

    2. 防护套餐:选择DDoS高防(国际)实例的防护套餐。

      本方案选择无忧版

    3. 业务带宽:选择DDoS高防(国际)实例的业务带宽。

      业务带宽即在无攻击状态下本实例最大可容纳的正常业务流量。本方案选择100Mbps

    4. 功能套餐:选择功能套餐。

      支持标准功能增强功能。关于标准功能和增强功能的差异,请参见DDoS高防(新BGP&国际)功能套餐。本方案选择增强功能

    5. 防护域名数:选择支持接入防护的HTTP/HTTPS域名数量。

      关于防护域名数的详细说明,请参见购买DDoS高防实例。本方案选择10

    6. 业务QPS:选择业务QPS。

      业务QPS是无攻击状态下本实例最大可容纳HTTP/HTTPS的并发请求速率。本方案选择3000

    7. 防护端口数:选择支持的防护端口数量。

      防护端口数即通过TCP/UDP协议转发支持的最大条目数。本方案选择50

    8. 购买数量:选择购买当前配置的实例的数量。

    9. 购买时长:选择要购买实例的有效期。

  4. 单击立即购买并完成支付。

步骤十二:添加网站

网站配置定义了接入DDoS高防的网站业务的流量转发信息。

完成以下操作,在DDoS高防中添加要防护的网站信息。

  1. 登录DDoS高防控制台
  2. 在顶部状态栏,选择服务所在地域。本方案选择非中国内地

  3. 在左侧导航栏,单击接入管理 > 域名接入
  4. 域名接入页面,单击添加网站
  5. 添加网站页面,填写网站信息。

    1. 功能套餐:选择要关联的DDoS高防实例的功能套餐规格。

      支持标准功能增强功能,详细信息,请参见DDoS高防(新BGP&国际)功能套餐。本方案选择增强功能

    2. 实例:选中要关联的DDoS高防实例。一个网站域名最多支持关联八个DDoS高防实例,且不支持关联不同功能套餐的实例。
    3. 网站:输入要防护的网站域名。 本方案输入www.example.us

    4. 协议类型:选择网站支持的协议类型。本方案保持默认选择的HTTPHTTPS
    5. 服务器地址:选择源站地址类型,并指定源站服务器地址。本方案选择源站IP,然后输入步骤八添加加速区域后全球加速实例分配给中国香港地域的加速IP。详细信息,请参见步骤八:添加加速区域

    6. 服务器端口:根据选择的协议类型指定服务器端口。 本方案指定端口为9000

  6. 单击添加

步骤十三:配置流量调度器

您可以通过DDoS高防流量调度器配置DDoS高防与云资源间的联动规则,仅在特定场景下触发并切换启用DDoS高防,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时达到更好的防护效果。

完成以下操作,配置流量调度器。

  1. 登录DDoS高防控制台
  2. 在顶部状态栏处,选择服务所在地域。本方案选择非中国内地

  3. 在左侧导航栏,单击接入管理 > 流量调度器
  4. 通用联动页签下,单击添加规则
  5. 添加规则面板,完成联动规则配置。

    1. 联动场景:选择规则的联动场景。本方案选择云产品联动
    2. 规则名:输入规则名称。
      规则名由英文字母、数字和下横线(_)组成,不超过128个字符。
    3. 高防IP:选择要联动的DDoS高防实例。本方案选择步骤十一中创建的DDoS高防实例。

    4. 联动资源:选择云资源所在地域,然后输入云资源IP地址。

      单击添加云资源IP,可以添加多个云资源。最多支持添加20个IP。

      本方案选择中国香港,然后输入步骤八添加加速区域后全球加速实例分配给中国香港地域的加速IP。详细信息,请参见步骤八:添加加速区域

    5. 回切时间:发生联动后,允许触发回切流程的等待时间。

      考虑到黑洞解除的等待时间以及避免频繁触发联动切换,回切时间的最小值为30分钟。本方案设置为60分钟。

  6. 单击下一步

  7. 单击完成
    成功添加规则后,流量调度器为新建规则分配一个CNAME地址。流量调度器

步骤十四:将DNS解析到流量调度器

使用流量调度器添加调度规则后,您必须更新规则对应域名的DNS解析CNAME记录,将中国内地区域用户的业务流量切换至流量调度器,使规则生效。

说明

如果您使用其他DNS服务商的域名解析服务,请登录服务商系统修改网站域名的解析记录。

完成以下操作,将DNS解析到流量调度器。

  1. 登录阿里云云解析DNS控制台
  2. 域名解析页面,找到目标域名,单击操作列下的解析设置
  3. 解析设置页面,单击添加记录

  4. 添加记录对话框,配置记录,然后单击确定

    1. 记录类型:选择记录类型。

      本方案需要将Web域名指向另一个域名,所以选择CNAME

    2. 主机记录:输入加速域名的前缀。

      本方案输入www

    3. 解析线路:选择默认

    4. 记录值:设置为步骤十三配置流量调度器后为新建规则分配的CNAME地址。详细信息,请参见步骤十三:配置流量调度器

    5. TTL:域名解析的生效时间。

      本方案选择10分钟

  5. 重复上述步骤,分别为中国联通中国电信中国移动中国教育网线路添加记录。

    添加cname记录

步骤十五:访问测试

在接入地域(本方案为中国内地)下,使用Windows电脑测试全球加速联动DDoS高防(国际)、Web应用防火墙、全局流量管理后的防护和加速效果。

  1. 在浏览器中使用Web服务域名(本方案为海外域名www.example.us)访问美国(硅谷)地域部署的Web服务。

  2. 在cmd窗口下,执行nslookup <Web服务域名>查看解析结果。

    • 源站未被攻击时:解析结果为配置的全球加速的IP。

    • 源站被攻击时:解析结果为DDoS高防(国际)IP。

  3. 执行nslookup <全局流量管理的CNAME接入域名>查看解析结果。

    • 主服务器组(本方案为美国硅谷服务器1和服务器2)正常运行时:解析结果为美国硅谷服务器1或服务器2的IP。

    • 主服务器组(本方案为美国硅谷服务器1和服务器2)异常时:解析结果为美国硅谷服务器3或服务器4的IP。

  4. 执行以下命令,查看数据包延迟情况。

    curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http[s]://<Web服务域名>[:<端口>]"

    其中:
    • time_connect:连接时间,从开始到建立TCP连接完成所用的时间。
    • time_starttransfer:开始传输时间。在客户端发出请求后,到后端服务器响应第一个字节所用的时间。
    • time_total:连接总时间。客户端发出请求后,到后端服务器响应会话所用的时间。