ALB通过DDoS防护(增强版)EIP实现公网访问

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

阿里云EIP提供DDoS防护(增强版)安全防护级别的EIP。DDoS防护(增强版)EIP提供Tbps级的专业DDoS防护能力,适用于大型游戏、重大线上直播等对安全防护级别要求较高且时延较敏感的场景。本文介绍ALB如何绑定DDoS防护(增强版)EIP,并通过DDoS防护(增强版)EIP实现公网访问。

DDoS防护(增强版)EIP介绍

阿里云提供DDoS防护(增强版)EIP,在购买EIP实例时,您可以在弹性公网IP控制台选择购买DDoS防护(增强版)EIP。DDoS防护(增强版)EIP支持在原生防护模式下,提供Tbps级的专业DDoS防护能力。使用DDoS防护(增强版)EIP,您无需额外进行DDoS高防配置,业务IP也无需进行转换。更多信息,请参见DDoS防护(增强版)EIP最佳实践

使用限制

ALB实例所属的地域和DDoS防护(增强版)EIP所属的地域需相同。

DDoS防护(增强版)EIP使用限制

  • 仅按量付费模式、BGP(多线)线路类型的EIP支持选择DDoS防护(增强版),且后续不支持转换为包年包月付费模式

  • 指定IP地址池创建DDoS防护(增强版)EIP时,需要IP地址池也同为DDoS防护(增强版)类型。

  • 目前支持DDoS防护(增强版)的地域:

    支持DDoS防护(增强版)EIP的地域

    区域

    地域

    中国

    华北2(北京)、华北3(张家口)、华东1(杭州)、华东2(上海)、中国香港

    亚太

    菲律宾(马尼拉)、日本(东京)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)

    欧洲与美洲

    美国(弗吉尼亚)、美国(硅谷)、德国(法兰克福)、英国(伦敦)

    支持DDoS防护(增强版)IP地址池的地域

    区域

    地域

    中国

    中国香港

    亚太

    菲律宾(马尼拉)、日本(东京)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)

    欧洲与美洲

    美国(弗吉尼亚)、美国(硅谷)、德国(法兰克福)、英国(伦敦)

ALB实例绑定DDoS防护(增强版)EIP使用限制

  • ALB实例的每个可用区都需要选择DDoS防护(增强版)防护的EIP。

  • 绑定前,要求DDoS防护(增强版)EIP未加入共享带宽。如有加入共享带宽的需求,ALB实例绑定DDoS防护(增强版)EIP后,您可以在负载均衡控制台选择加入共享带宽。仅支持加入BGP(多线)共享带宽。

计费说明

ALB绑定DDoS防护(增强版)EIP实例后,会产生安全防护费用,该费用由DDoS防护服务收取。计费说明

收费项

计费公式

相关文档

实例费

实例费=实例单价(元/小时)×计费时长(小时)

实例费

LCU费

LCU费=max{新建连接数LCU值,并发连接数LCU值,处理数据量LCU值,规则评估数LCU值}×LCU单价×计费时长(小时)

性能容量单位LCU费

公网网络费

私网ALB不收取公网网络费用,只有当您购买公网ALB才会收取公网网络费用。ALB绑定DDoS防护(增强版)EIP后,将会收取EIP的实例费、流量费。更多信息,请参见按量付费

安全防护费

ALB绑定DDoS防护(增强版)EIP实例后,会产生安全防护费用。更多信息,请参见原生防护2.0后付费

警告

购买DDoS防护(增强版)EIP所开通的DDoS原生防护(按量付费)服务是按月开通产品,需至少正式开通30天,30天内不支持停用服务。

前提条件

  • 您已创建了专有网络VPC1。具体操作,请参见创建专有网络

  • 您已在VPC1中创建ECS01和ECS02实例,且ECS01和ECS02实例中部署了2个不同的应用服务。

    • 关于如何创建ECS实例,请参见自定义购买实例

    • 本文ECS01和ECS02部署测试应用服务示例如下:

      ECS01服务部署命令

      yum install -y nginx
      systemctl start nginx.service
      cd /usr/share/nginx/html/
      echo "Hello World ! This is ECS01." > index.html
      

      ECS02服务部署命令

      yum install -y nginx
      systemctl start nginx.service
      cd /usr/share/nginx/html/
      echo "Hello World ! This is ECS02." > index.html
      

  • 您已创建ALB服务器组RS01,并选择ECS01和ECS02作为后端服务器。具体操作,请参见创建和管理服务器组

  • 如需加入共享带宽,您需购买共享带宽。本文您已购买BGP多线共享带宽。具体操作,请参见创建共享带宽实例

操作流程

ALB绑定高防EIP

步骤一:创建DDoS防护(增强版)EIP

ALB实例绑定DDoS防护(增强版)EIP前,您需要先至弹性公网IP管理控制台购买DDoS防护(增强版)EIP。

  1. 登录弹性公网IP管理控制台
  2. 弹性公网IP页面,单击创建弹性公网IP

  3. 在弹性公网IP创建页面,首次购买DDoS防护(增强版)EIP时,请根据页面提示或单击DDoS原生防护(按量付费版),开通DDoS原生防护(按量付费版)。

    警告

    购买DDoS防护(增强版)EIP所开通的DDoS原生防护(按量付费)服务是按月开通产品,需至少正式开通30天,30天内不支持停用服务。

    开通DDoS原生防护(按量付费)服务后,您可登录流量安全产品控制台,在网络安全 > DDoS原生防护 > 账单中心或者网络安全 > DDoS原生防护 > 实例管理页面查看已开通的DDoS原生防护实例的详细信息。

  4. 已开通DDoS原生防护后,在弹性公网IP创建页面,根据以下信息配置EIP,然后单击立即购买并完成支付。

    此处仅列出与本文强相关的配置项。其余参数的配置,请参见申请EIP

    配置

    说明

    付费模式

    选择EIP的付费模式。本文选择按量付费

    地域和可用区

    选择EIP的地域。

    确保EIP的地域和ALB实例的地域相同。本文选择华东1(杭州)

    线路类型

    选择EIP的线路类型。 本文选择BGP(多线)

    安全防护

    根据您的业务需要,选择安全防护级别。本文选择DDoS防护(增强版)

    • 默认:提供不超过5 Gbps的基础DDoS防护能力。

    • DDoS防护(增强版):提供Tbps级专业的DDoS防护能力。

    流量

    选择EIP流量的计量方式。 本文选择按使用流量计费

    购买数量

    根据业务需要,选择购买EIP的数量,购买的DDoS防护(增强版)EIP的数量需与ALB实例的可用区数量相同。

步骤二:ALB实例绑定DDoS防护(增强版)EIP

新购ALB实例

您可以在新购ALB实例时,在购买页选择绑定已创建的DDoS防护(增强版)EIP。

  1. 登录应用型负载均衡ALB控制台
  2. 实例页面,单击创建应用型负载均衡

  3. 应用型负载均衡(按量付费)购买页面,完成以下配置,然后单击立即购买

    此处仅列出和本文强相关的配置项,其余参数的配置请参见创建应用型负载均衡

    • 实例网络类型:选择公网

    • VPC:选择已创建的VPC1。

    • 可用区:选择可用区及交换机,并分别为所选可用区分配已创建的DDoS防护(增强版)EIP。

      说明
      • ALB支持多可用区部署,若当前地域支持2个及2个以上的可用区,为保障业务高可用,请至少选择2个可用区,且ALB不会额外收取可用区的费用。

      • 如果可用区下无交换机,请根据控制台提示创建交换机。

  4. 完成ALB实例监听的配置。本文以配置HTTP监听为例说明,并选择已创建的ALB服务器组RS01。

    1. 返回ALB实例页面,在目标实例操作单击创建监听

    2. 配置监听配置向导,完成监听参数的配置,然后单击下一步

      此处仅列出部分参数的配置,其余参数可保持默认值。更多信息,请参见添加HTTP监听

      • 选择监听协议:选择HTTP

      • 监听端口:输入80

    3. 选择服务器组配置向导,选择已创建的RS01服务器组,然后单击下一步

    4. 配置审核配置向导,确认配置信息,然后单击提交

已有私网ALB实例

如果您需要为已创建的私网ALB实例绑定DDoS防护(增强版)EIP,可在变更网络类型时为该ALB实例分配DDoS防护(增强版)EIP。

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏,选择实例所属的地域。本文选择华东1(杭州)

  3. 实例页面,找到目标私网ALB实例,然后单击实例ID。

  4. 实例详情页签,找到基本信息区域,在网络类型的IPv4右侧单击变更网络类型

  5. 在弹出的变更网络类型对话框中,在分配弹性公网IP下拉框中,选择步骤一:创建DDoS防护(增强版)EIP创建的DDoS防护(增强版)EIP,列表中的所有可用区都分配DDoS防护(增强版)EIP后,单击确定变更

已有公网ALB实例

如果您的公网ALB实例已绑定默认安全防护EIP,该ALB实例需要绑定DDoS防护(增强版)EIP,请执行以下操作:

  1. 公网ALB实例变更为私网。

  2. 再次变更网络类型时,为私网ALB实例分配DDoS防护(增强版)EIP。

说明

新创建的公网ALB实例默认绑定按量付费(按使用流量计费)的BGP多线默认安全防护EIP。

公网ALB实例绑定原生高防EIP

步骤1:公网ALB实例变更为私网ALB实例

  1. 实例页面,找到目标公网ALB实例,然后单击实例ID。

  2. 实例详情页签,找到基本信息区域,在网络类型的IPv4右侧单击变更网络类型

  3. 在弹出的变更网络类型对话框中,确认转换后的影响,然后单击确定变更

    此变更生效大约需要一分钟,在实例详情页签查看网络类型转变为私网后,代表转换成功。

步骤2:私网ALB实例变更为公网ALB实例

  1. 实例页面,找到目标私网ALB实例,然后单击实例ID。

  2. 实例详情页签,找到基本信息区域,在网络类型的IPv4右侧单击变更网络类型

  3. 在弹出的变更网络类型对话框中,在分配弹性公网IP下拉框中,选择步骤一:创建DDoS防护(增强版)EIP创建的DDoS防护(增强版)EIP,列表中的所有可用区都分配DDoS防护(增强版)EIP后,单击确定变更

(可选)步骤三:申请加入共享带宽

如需更大带宽,可申请加入共享带宽。

  1. 在ALB实例页面,找到目标实例,您可以选择以下任意一种方法加入共享带宽。

    • 操作列选择更多操作 > 加入共享带宽,或在共享带宽列单击加入

    • 单击目标实例ID,在实例详情页签,找到付费信息区域,单击加入共享带宽

  2. 加入共享宽带对话框,选择目标共享带宽,单击确认加入

步骤四:设置域名解析

ALB支持将您拥有的常用域名通过CNAME方式解析到ALB实例的公网服务域名上,使您可以更加方便地访问各种网络资源。更多信息,请参见设置CNAME域名解析

  1. 在左侧导航栏,选择应用型负载均衡ALB > 实例

  2. 实例页面,复制已创建的ALB实例的DNS名称。

  3. 完成以下步骤来添加CNAME解析记录。

    1. 登录域名解析控制台

    2. 域名解析页面单击添加域名

    3. 添加域名对话框中输入您的主机域名,然后单击确认

      重要

      您的主机域名需已完成TXT记录验证。

    4. 在目标域名的操作列单击解析设置

    5. 解析设置页面单击添加记录

    6. 添加记录面板配置以下信息完成CNAME解析配置,然后单击确认

      配置

      说明

      记录类型

      在下拉列表中选择CNAME

      主机记录

      您的域名的前缀。

      解析请求来源

      选择默认。

      记录值

      输入域名对应的CNAME地址,即您复制的ALB实例的DNS名称。

      TTL

      全称Time To Live,表示DNS记录在DNS服务器上的缓存时间,本文使用默认值。

      说明
      • 新增CNAME记录实时生效,修改CNAME记录取决于本地DNS缓存的解析记录的TTL到期时间,默认为10分钟。

      • 添加时如遇添加冲突,请换一个解析域名。更多信息请参见解析记录冲突规则

步骤五:访问测试

本文以ALB实例配置HTTP监听为例说明,并选择已创建的ALB服务器组RS01。具体操作,请参见添加HTTP监听

当您为ALB设置域名解析后,您可以在浏览器中输入步骤四:设置域名解析解析的域名,测试ALB实例通过DDoS防护(增强版)EIP实现公网访问。

刷新浏览器,您可以观察到客户端的请求在ECS01和ECS02服务器之间的转换。访问测试图1访问测试图2

相关文档