GA联动DDoS防护实现全球服务安全加速_全球加速(GA)-阿里云帮助中心

在全球化业务拓展中，企业常面临网络延迟和DDoS攻击的威胁。通过联动部署全球加速 GA（Global Accelerator）和DDoS防护产品，可加速全球用户访问，同时有效抵御DDoS攻击，保障服务的高可用性和安全性，提升用户体验并降低安全风险。

GA联动DDoS防护产品介绍

DDoS攻击是一种针对目标系统的恶意网络攻击行为，会导致被攻击者的业务无法正常访问。您可以根据业务的安全防护需求选择以下DDoS防护产品：

防护产品	DDoS基础防护	DDoS原生防护	DDoS高防
防护能力	较低 GA与阿里云DDoS防护集成，无需开启，免费为GA实例的加速IP和终端节点出公网IP提供不超过5 Gbps的DDoS基础防护（不同地域支持的最大免费防护流量不同）。	较高 DDoS原生防护支持将GA实例添加为防护对象，为GA实例的加速IP和终端节点出公网IP提供最高数百Gbps全力防护（不同地域最大防护流量不同）。	高 GA支持接入DDoS高防，基于阿里云全球DDoS清洗中心能力，为GA实例的安全CNAME（安全加速IP）提供最高可达Tbps以上的防御能力。
防护原理	DDoS基础防护会默认设置清洗阈值，也支持您手动设置清洗阈值，当触发流量清洗条件时，DDoS基础防护通过对所有来自互联网的流量进行过滤清洗，防御一般常见的网络层、传输层攻击，例如UDP反射攻击、SYN/ACK Flood攻击等，但DDoS基础防护不支持抵御应用层攻击，例如HTTP Flood攻击和CC攻击。当同时满足如下条件时，会触发清洗：入方向流量符合异常流量模型特征。入方向流量的BPS或者PPS超过设置的清洗阈值。如果入方向流量超过防护能力（即黑洞阈值），为避免DDoS攻击对云产品产生更大损害，同时也避免单个云产品被DDoS攻击而影响其他资产正常运行，云产品会进入黑洞，即阿里云会暂时屏蔽云产品的互联网入方向流量。详细介绍，请参见阿里云黑洞策略。	DDoS原生防护主要提供针对三层和四层流量型攻击的防御服务。当流量超出DDoS原生防护的默认清洗阈值后，自动触发流量清洗，实现DDoS攻击防护。 DDoS原生防护采用被动清洗方式为主、主动压制为辅的方式，针对DDoS攻击在反向探测、黑白名单、报文合规等标准技术的基础上，在攻击持续状态下，保证被防护云产品仍可以正常对外提供业务服务。DDoS原生防护通过在阿里云机房出口处建设DDoS攻击检测及清洗系统，采用旁路部署方式。	根据您在DDoS高防中为业务配置的转发规则（即指定网站域名，并将GA安全CNAME作为服务器地址），GA将业务的DNS域名解析或业务IP指向DDoS高防实例IP进行引流。正常业务访问期间，流量不经过高防转发，直接通过GA加速达到源站服务器，不增加延迟。在业务被攻击时，GA会自动切换CNAME指向高防实例IP，流量经过高防清洗后，通过GA的安全CNAME（安全加速IP）接入GA进行加速，确保业务在受到攻击时仍能稳定、高效地提供服务。
参考	查看GA实例基础防护阈值	GA接入DDoS原生防护	GA接入DDoS高防

场景示例

GA接入DDoS原生防护

某企业网站部署在美国（硅谷）地域的阿里云上，通过自有域名对全球多地域终端用户提供服务，转发端口为HTTP 80端口。该网站现面临以下问题：

跨国公网不稳定，经常出现延迟、抖动、丢包等网络问题。
网站频繁遭遇大流量DDoS攻击，导致服务响应不稳定。

您可以通过联动部署GA、DDoS原生防护，有效解决跨域网站服务面临的问题。

全球加速GA：客户端访问请求可通过配置的加速地域，就近接入阿里云加速网络，通过智能选择路由和自动网络调度转发至美国硅谷源站，有效提升服务访问速度；同时，通过启用健康检查可以提高业务的可靠性和可用性、避免异常节点对服务的影响。
DDoS原生防护：DDoS原生防护支持将GA实例添加为防护对象，以实现对GA的加速IP与终端节点出公网IP的防护。当流量超出DDoS原生防护的默认清洗阈值后，自动触发流量清洗，实现DDoS攻击防护。

使用限制

DDoS原生防护目前仅支持在中国内地直接开通。在中国内地以外地域开通时，请联系售前商务经理，获取在线人工帮助。如何联系售前商务经理，请参见联系我们。

前提条件

您的美国（硅谷）服务器ECS01和ECS02已部署了服务。本文以Alibaba Cloud Linux 3操作系统为例，并使用Nginx配置HTTP 80服务。
参考示例：ECS01部署测试服务
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS01, service running on port 80." > index.html
```
您已为自有域名配置DNS解析记录，即已配置了A记录将域名指向2个后端服务器的公网IP。
如果您使用的DNS解析服务为非阿里云云解析DNS，请参见您的DNS服务商操作指导。
如果需要通过HTTPS 443对外提供服务，需要提前创建并申请证书或者上传第三方证书到SSL证书服务并绑定自有域名。
您已购买DDoS原生防护实例。

操作步骤

步骤一：配置全球加速

本文以按量付费的标准型GA实例为例。

在全球加速控制台的标准型实例 > 实例列表列表页面，单击创建标准型按量付费实例。
在实例基础配置向导页面，配置基础信息，单击下一步。
在配置加速区域向导页面，添加加速地域并为其分配带宽，然后单击下一步。
本文场景中，加速区域添加为中国香港，公网质量类型配置为BGP（多线），加速地域其他参数配置可保持默认值或根据实际情况修改。
重要
- 加速地域包含中国内地地域时，自有域名必须完成ICP备案才可对外提供服务。
- 如果带宽峰值设置过低，可能出现限速从而导致流量被丢弃，请合理规划带宽峰值，确保和业务需求匹配。
在配置监听向导页面，配置转发协议与端口，然后单击下一步。
本文场景中，路由类型选择智能路由（原标准监听），协议配置为HTTP，端口配置为80，监听其他参数配置可保持默认值或根据实际情况修改。
说明
如果需要通过HTTPS 443对外提供服务，您可以配置HTTPS 443协议端口监听，关联已创建的证书，并在终端节点组的端口映射中配置监听端口443到后端服务端口80的映射关系，以实现HTTPS安全加速访问HTTP网站。
在配置终端节点组配置向导页面，配置终端节点后端服务，然后单击下一步。
本文场景中，地域选择美国（硅谷），后端服务依次配置ECS01和ECS02，打开健康检查开关，然后阅读并选中数据跨境合规承诺，终端节点组其他参数配置可保持默认值或根据实际情况修改。
在配置审核向导页面，确认GA的配置信息，然后单击提交。
在实例列表页面，找到已创建的GA实例，在CNAME列获取GA实例分配的CNAME。
在后端服务器中放通GA用于连通后端服务的网段。
本文场景中，GA与后端服务器ECS间私网连接，您需要在ECS安全组中放通其所属交换机网段，且需确保该交换机网段的空闲私网IP数量≥8。

步骤二：配置DDoS原生防护

在DDoS原生防护控制台的防护对象页面，单击添加防护对象，将GA实例添加为DDoS原生防护的防护对象。

添加防护对象

添加完成后，可在防护对象页面的GA资产页签下，查看已受防护的GA实例；也可在IP资产页签查看已受防护的公网IP，包括GA的加速IP和终端节点组出公网IP。

步骤三：配置CNAME解析

实际业务场景中，建议您使用自有域名。通过CNAME解析的方式将自有域名指向GA实例分配的CNAME，使业务流量切换至GA，以实现访问加速。

本文场景中，如果您已有指向后端服务器的A记录，您可以先指定中国香港地区来添加指向GA的CNAME记录，以进行测试。待测试成功后，再逐步扩展至其他地区或仅保留指向GA的CNAME记录。

在域名解析页面，找到目标业务域名，在操作列单击解析设置。
说明
对于非阿里云注册域名，需先添加域名到云解析控制台，才可以进行域名解析设置。
在解析设置页面，单击添加记录，配置CNAME记录，然后单击确定。
本文场景中，记录类型配置为CNAME，主机记录配置为www，解析请求来源配置为中国香港，记录值配置为GA实例的CNAME，解析记录其他参数配置可保持默认值或根据实际情况修改。

步骤四：结果验证

GA加速效果验证

本文以中国香港探测点为例，在配置GA前后，分别对网站自有域名使用网络拨测工具进行拨测，查看响应时间以了解数据延迟情况。

测试配置GA前的网络延迟情况。
您可以查看响应时间等信息，其中，解析结果IP列显示为ECS实例的公网IP地址。
测试配置GA后的网络延迟情况。
您可以查看响应时间等信息，其中，解析结果IP列显示为GA实例的加速IP。

经验证，使用GA后，降低了中国香港客户端访问美国（硅谷）服务的延迟。

说明

GA的加速效果以您的实际业务测试为准。

GA健康检查效果验证

在浏览器中输入网站自有域名，访问美国硅谷地域部署的网站。
经测试，可以通过网站自有域名访问美国硅谷地域部署的网站，多次刷新浏览器，应答服务器在ECS01和ECS02间切换。
模拟故障：停止服务器ECS01。
一段时间后，在GA实例的终端节点组页签，查看健康检查状态。
多次刷新浏览器，仍然可以正常访问业务，但应答服务器仅剩ECS02。

DDoS原生防护效果验证

您可以通过DDoS原生防护提供的以下功能，查看防护效果。

业务监控页面可实时查看被防护资产的流量趋势、DDoS攻击事件记录等信息。
攻击分析页面可以查询并分析DDoS原生防护实例上发生的攻击事件详情，包括攻击类型、攻击流量大小、持续时间等。
防护日志页面记录了DDoS原生防护对流量的处理过程，包括攻击检测、流量清洗等详细信息。通过分析防护日志，可以进一步验证防护策略的有效性。

GA接入DDoS高防

某跨国游戏部署在美国（硅谷）地域的阿里云上，通过自有域名对全球多地域玩家提供服务。该网站现面临以下问题：

跨国公网不稳定，经常出现延迟、抖动、丢包等网络问题。
网站频繁遭遇大规模DDoS攻击，导致服务完全中断。

为解决以上问题，该游戏公司计划部署GA，并将其接入DDoS高防：

全球加速GA：客户端访问请求可通过配置的加速地域，就近接入阿里云加速网络，通过智能选择路由和自动网络调度转发至美国硅谷源站，有效提升服务访问速度；同时，通过启用健康检查可以提高业务的可靠性和可用性、避免异常节点对服务的影响。
DDoS高防：GA接入DDoS高防后，正常流量直接通过GA加速达到源站服务器，不增加延迟；在遭受大规模DDoS攻击时，GA通过DNS解析将流量调度至高防机房进行清洗，并将清洗后的流量通过GA的安全CNAME（安全加速IP）接入阿里云加速网络进行加速，最终转发至服务器，以确保游戏服务器的稳定访问。

使用限制

GA接入DDoS高防默认不开放，如需使用，请向商务经理申请。
购买DDoS高防（中国内地）高级版、DDoS高防（非中国内地）安全加速线路（基础版）前，请联系售前商务经理。
仅按量付费标准型GA实例支持配置接入DDoS高防，包年包月标准型GA实例及基础型GA实例不支持。

前提条件

您的美国（硅谷）服务器ECS01和ECS02已部署了服务。本文以Alibaba Cloud Linux 3操作系统为例，并使用Nginx配置HTTP 80服务。
参考示例：ECS01部署测试服务
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS01, service running on port 80." > index.html
```
您已为自有域名配置DNS解析记录，即已配置了A记录将域名指向2个后端服务器的公网IP。
如果您使用的DNS解析服务为非阿里云云解析DNS，请参见您的DNS服务商操作指导。
如果需要通过HTTPS 443对外提供服务，需要提前创建并申请证书或者上传第三方证书到SSL证书服务并绑定自有域名。
您已购买DDoS高防实例。
本文以中国香港区域的客户端访问服务，购买DDoS高防（非中国内地）、保险防护、标准功能的实例为例。
重要
如果您配置的GA加速地域（客户端地域）涉及中国内地地域，您还需要购买DDoS高防（中国内地）实例，并确保自有域名已完成ICP备案。