ALB通过DDoS防护（增强版）EIP实现公网访问

DDoS防护（增强版）EIP介绍

阿里云提供DDoS防护（增强版）EIP，在购买EIP实例时，您可以在弹性公网IP控制台选择购买DDoS防护（增强版）EIP。DDoS防护（增强版）EIP支持在原生防护模式下，提供Tbps级的专业DDoS防护能力。使用DDoS防护（增强版）EIP，您无需额外进行DDoS高防配置，业务IP也无需进行转换。更多信息，请参见DDoS防护（增强版）EIP最佳实践。

使用限制

ALB实例所属的地域和DDoS防护（增强版）EIP所属的地域需相同。

计费说明

前提条件

• 您已创建了专有网络VPC1。具体操作，请参见创建专有网络。

• 您已在VPC1中创建ECS01和ECS02实例，且ECS01和ECS02实例中部署了2个不同的Nginx服务。

  • 关于如何创建ECS实例，请参见自定义购买实例。

  • 关于如何部署Nginx服务，请参见手动部署LNMP环境（CentOS 7）。

• 您已创建ALB服务器组RS01，并选择ECS01和ECS02作为后端服务器。具体操作，请参见创建和管理服务器组。

• 如需加入共享带宽，您需购买共享带宽。本文您已购买BGP多线共享带宽。具体操作，请参见创建共享带宽实例。

操作流程

步骤一：创建DDoS防护（增强版）EIP

ALB实例绑定DDoS防护（增强版）EIP前，您需要先至弹性公网IP管理控制台购买DDoS防护（增强版）EIP。

1. 登录弹性公网IP管理控制台。

2. 在弹性公网IP页面，单击创建弹性公网IP。

3. 在弹性公网IP创建页面，首次购买DDoS防护（增强版）EIP时，请根据页面提示或单击DDoS原生防护（按量付费版），开通DDoS原生防护（按量付费版）。

   警告

   购买DDoS防护（增强版）EIP所开通的DDoS原生防护（按量付费）服务是按月开通产品，需至少正式开通30天，30天内不支持停用服务。

   开通DDoS原生防护（按量付费）服务后，您可登录流量安全产品控制台，在网络安全 > DDoS原生防护 > 账单中心或者网络安全 > DDoS原生防护 > 实例管理页面查看已开通的DDoS原生防护实例的详细信息。

4. 已开通DDoS原生防护后，在弹性公网IP创建页面，根据以下信息配置EIP，然后单击立即购买并完成支付。

   此处仅列出与本文强相关的配置项。其余参数的配置，请参见申请EIP。

   配置	说明
   付费模式	选择EIP的付费模式。本文选择按量付费。
   地域和可用区	选择EIP的地域。 确保EIP的地域和ALB实例的地域相同。本文选择华东1（杭州）。
   线路类型	选择EIP的线路类型。 本文选择BGP（多线）。
   安全防护	根据您的业务需要，选择安全防护级别。本文选择DDoS防护（增强版）。 默认：提供不超过5 Gbps的基础DDoS防护能力。 DDoS防护（增强版）：提供Tbps级专业的DDoS防护能力。
   流量	选择EIP流量的计量方式。 本文选择按使用流量计费。
   购买数量	根据业务需要，选择购买EIP的数量，购买的DDoS防护（增强版）EIP的数量需与ALB实例的可用区数量相同。

步骤二：ALB实例绑定DDoS防护（增强版）EIP

新购ALB实例

您可以在新购ALB实例时，在购买页选择绑定已创建的DDoS防护（增强版）EIP。

1. 登录应用型负载均衡ALB控制台。

2. 在实例页面，单击创建应用型负载均衡。

3. 在应用型负载均衡（按量付费）购买页面，完成以下配置，然后单击立即购买。

   此处仅列出和本文强相关的配置项，其余参数的配置请参见创建应用型负载均衡。

   • 实例网络类型：选择公网。

   • VPC：选择已创建的VPC1。

   • 可用区：选择可用区及交换机，并分别为所选可用区分配已创建的DDoS防护（增强版）EIP。

     说明

     • ALB支持多可用区部署，若当前地域支持2个及2个以上的可用区，为保障业务高可用，请至少选择2个可用区，且ALB不会额外收取可用区的费用。

     • 如果可用区下无交换机，请根据控制台提示创建交换机。

4. 完成ALB实例监听的配置。本文以配置HTTP监听为例说明，并选择已创建的ALB服务器组RS01。

   1. 返回ALB实例页面，在目标实例操作单击创建监听。

   2. 在配置监听配置向导，完成监听参数的配置，然后单击下一步。

      此处仅列出部分参数的配置，其余参数可保持默认值。更多信息，请参见添加HTTP监听。

      • 选择监听协议：选择HTTP。

      • 监听端口：输入80。

   3. 在选择服务器组配置向导，选择已创建的RS01服务器组，然后单击下一步。

   4. 在配置审核配置向导，确认配置信息，然后单击提交。

已有私网ALB实例

如果您需要为已创建的私网ALB实例绑定DDoS防护（增强版）EIP，可在变更网络类型时为该ALB实例分配DDoS防护（增强版）EIP。

1. 登录应用型负载均衡ALB控制台。

2. 在顶部菜单栏，选择实例所属的地域。本文选择华东1（杭州）。

3. 在实例页面，找到目标私网ALB实例，然后单击实例ID。

4. 在实例详情页签，找到基本信息区域，在网络类型的IPv4右侧单击变更网络类型。

5. 在弹出的变更网络类型对话框中，在分配弹性公网IP下拉框中，选择步骤一：创建DDoS防护（增强版）EIP创建的DDoS防护（增强版）EIP，列表中的所有可用区都分配DDoS防护（增强版）EIP后，单击确定变更。

已有公网ALB实例

如果您的公网ALB实例已绑定默认安全防护EIP，该ALB实例需要绑定DDoS防护（增强版）EIP，请执行以下操作：

1. 公网ALB实例变更为私网。

2. 再次变更网络类型时，为私网ALB实例分配DDoS防护（增强版）EIP。

步骤1：公网ALB实例变更为私网ALB实例

1. 在实例页面，找到目标公网ALB实例，然后单击实例ID。

2. 在实例详情页签，找到基本信息区域，在网络类型的IPv4右侧单击变更网络类型。

3. 在弹出的变更网络类型对话框中，确认转换后的影响，然后单击确定变更。

   此变更生效大约需要一分钟，在实例详情页签查看网络类型转变为私网后，代表转换成功。

步骤2：私网ALB实例变更为公网ALB实例

1. 在实例页面，找到目标私网ALB实例，然后单击实例ID。

2. 在实例详情页签，找到基本信息区域，在网络类型的IPv4右侧单击变更网络类型。

3. 在弹出的变更网络类型对话框中，在分配弹性公网IP下拉框中，选择步骤一：创建DDoS防护（增强版）EIP创建的DDoS防护（增强版）EIP，列表中的所有可用区都分配DDoS防护（增强版）EIP后，单击确定变更。

（可选）步骤三：申请加入共享带宽

如需更大带宽，可申请加入共享带宽。

1. 在ALB实例页面，找到目标实例，您可以选择以下任意一种方法加入共享带宽。

   • 在操作列选择 > 加入共享带宽，或在共享带宽列单击加入。

   • 单击目标实例ID，在实例详情页签，找到付费信息区域，单击加入共享带宽。

2. 在加入共享宽带对话框，选择目标共享带宽，单击确认加入。

步骤四：设置域名解析

ALB支持将您拥有的常用域名通过CNAME方式解析到ALB实例的公网服务域名上，使您可以更加方便地访问各种网络资源。更多信息，请参见设置CNAME域名解析。

1. 在左侧导航栏，选择应用型负载均衡ALB > 实例。

2. 在实例页面，复制已创建的ALB实例的DNS名称。

3. 完成以下步骤来添加CNAME解析记录。

   1. 登录域名解析控制台。

   2. 在域名解析页面单击添加域名。

   3. 在添加域名对话框中输入您的主机域名，然后单击确认。

      重要

      您的主机域名需已完成TXT记录验证。

   4. 在目标域名的操作列单击解析设置。

   5. 在解析设置页面单击添加记录。

   6. 在添加记录面板配置以下信息完成CNAME解析配置，然后单击确认。

      配置	说明
      记录类型	在下拉列表中选择CNAME。
      主机记录	您的域名的前缀。
      解析请求来源	选择默认。
      记录值	输入域名对应的CNAME地址，即您复制的ALB实例的DNS名称。
      TTL	全称Time To Live，表示DNS记录在DNS服务器上的缓存时间，本文使用默认值。

      说明

      • 新增CNAME记录实时生效，修改CNAME记录取决于本地DNS缓存的解析记录的TTL到期时间，默认为10分钟。

      • 添加时如遇添加冲突，请换一个解析域名。更多信息请参见解析记录冲突规则。

步骤五：访问测试

本文以ALB实例配置HTTP监听为例说明，并选择已创建的ALB服务器组RS01。具体操作，请参见添加HTTP监听。

当您为ALB设置域名解析后，您可以在浏览器中输入步骤四：设置域名解析解析的域名，测试ALB实例通过DDoS防护（增强版）EIP实现公网访问。

相关文档

• 创建应用型负载均衡

• 变更ALB实例的网络类型

• 更新实例可用区

• 实例性能指标

• DDoS防护（增强版）EIP最佳实践