流量调度器支持设置DDoS高防和云资源间的联动规则,仅在特定场景下触发并切换启用DDoS高防,保证无DDoS攻击时日常业务流畅运行、发生DDoS攻击时可切换至DDoS高防,为您的业务提供防护。流量调度器包括云产品联动、阶梯防护、CDN/DCDN联动、出海加速、安全加速功能。本文介绍了不同功能的使用场景和配置方法。

使用场景

下表描述了DDoS高防流量调度器的不同功能的使用场景。

功能 使用场景 使用效果
云产品联动 日常不使用高防,不增加延迟;被攻击时,需要将DDoS高防前置,防止DDoS攻击。 无攻击时,高防做备用,不增加延迟;被攻击时,自动切换至DDoS高防。云产品联动
阶梯防护 日常使用防护包防御DDoS攻击,无延迟增加;被大流量攻击的时候,需要切换到DDoS高防。 防护包抵御日常攻击,不增加延迟;大流量攻击时,切换至DDoS高防。阶梯防护
CDN/DCDN联动 网站使用CDN或DCDN加速,又需要防御DDoS攻击;当攻击发生时,需要从CDN或DCDN切换至DDoS高防。 无攻击时,就近使用CDN或DCDN节点加速;被攻击时,切换至DDoS高防。CDN联动
出海加速
说明 仅DDoS高防(国际)支持该功能。
使用DDoS高防(国际)防护业务,无攻击时,业务使用加速IP;被攻击时,需要切换到DDoS高防。 无攻击时,使用加速线路IP;被攻击时,切换至DDoS高防。出海加速
安全加速
说明 仅DDoS高防(国际)支持该功能。
中国内地地区用户对非中国内地业务加速访问的同时,还可以为中国电信、联通和非移动线路提供大流量DDoS攻击防护能力。在遭受攻击时,无需切换至DDoS高防(国际)线路,实现直接进行清洗防护的同时兼顾业务的快速访问。 中国电信和联通以及非移动运营商流量调度到安全加速线路对应的IP上,中国移动和海外流量调度到DDoS高防(国际)对应的IP上。

使用限制

下表描述了DDoS高防流量调度器的不同功能的使用限制。

功能 限制条件 说明
云产品联动 高防实例规格 DDoS高防实例的QPS、业务带宽等规格满足正常业务防护需求,当流量切至高防时,确保可以承载业务流量。
高防配置 DDoS高防实例预先完成被防护业务的转发配置。
阶梯防护 防护包 购买并使用防护包企业版。
实例规格 防护包业务带宽规格满足防护需求。
高防配置 DDoS高防实例预先完成被防护业务的转发配置。
防护包配置 云资源在防护包的防护对象中。
出海加速
说明 仅DDoS高防(国际)支持该功能。
高防实例规格 DDoS高防(国际)实例的QPS、业务带宽等规格满足正常业务防护需求,当流量切至高防时,确保可以承载业务流量。
高防配置 DDoS高防(国际)实例预先完成被防护业务的转发配置。
安全加速
说明 仅DDoS高防(国际)支持该功能。
高防实例规格 DDoS高防(国际)实例的QPS、业务带宽等规格满足正常业务防护需求,当流量切至高防时,确保可以承载业务流量。
高防配置 DDoS高防(国际)实例预先完成被防护业务的转发配置。
CDN/DCDN联动 CDN/DCDN状态 域名不允许是切入沙箱状态。
说明 如果域名已经被CDN或DCDN切入沙箱,建议您只用DDoS高防,不用联动。
攻击频率 不适合被攻击频率太高的网站,例如高于每周3次以上。
防护生效敏感度 不适合对防护生效速度要求比较高的场景。
说明 调度到DDoS高防时,防护生效时间受DNS TTL生效时间限制。
业务流量 不适合正常业务流量和QPS比较大的场景。
说明 若超过3 Gbps、10000 QPS时,请提交工单进行评估。
业务类型 只适合HTTP和HTTPS业务,不支持视频直播。
高防版本 仅支持增强功能版本的DDoS高防实例。

CDN/DCDN和DDoS高防切换条件

启用CDN/DCDN联动功能时,您需要设置访问QPS阈值,作为CDN/DCDN和DDoS高防间相互切换的条件。CDN/DCDN和DDoS高防间相互切换满足以下逻辑和限制。
  • CDN/DCDN切换到高防
    • 连续3分钟内3次触发QPS超过阈值或连续10分钟内出现6次以上,并且CDN/DCDN上流量不超过10 Gbps,则触发切换流程。
      说明 10 Gbps流量超出了DDoS高防的售卖规格。
    • 当高防侧监测到域名进入沙箱状态,并且CDN/DCDN上流量不超过10 Gbps,触发切换流程。
  • 高防切换到CDN/DCDN
    • 连续12小时以上,域名QPS低于QPS阈值的80%、CC阻断率低于10%,则触发回切流程。
    • 回切检查:要切回的高防IP不在清洗中、黑洞中和沙箱状态且1小时内不存在清洗、黑洞事件。
    • 回切时间范围:上午8时到晚上23时,其他时间不触发回切。

配置概述

功能 配置说明
云产品联动 云产品联动分为云产品与DDoS高防一对一切换、云产品与DDoS高防多对一切换。 配置步骤如下。
  1. 配置DDoS高防转发。具体操作请参见添加网站
  2. 验证高防实例可以正常转发。具体操作请参见本地验证转发配置生效
  3. 配置流量调度器。
    • 一对一切换,具体操作请参见添加通用联动规则
    • 多对一切换,包括以下两种配置模式:
      • 优先使用云产品,无可用云产品IP时,切换高防。配置方法同一对一切换,在添加通用联动规则时,选择添加多个需要联动的云资源IP即可。
      • 云产品多路分摊流量,每路被攻击单独切换高防。配置方法请参见多路分摊切换配置
  4. 将DNS解析到流量调度器。修改域名的DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。
    说明 关于修改域名DNS解析CNAME记录的操作步骤,请参见修改CNAME解析接入流量调度器
阶梯防护 阶梯防护分为防护包中云产品与DDoS高防一对一切换、防护包中云产品与DDoS高防多对一切换。配置步骤与云产品联动相同。
出海加速
说明 仅DDoS高防(国际)支持该功能。
配置步骤如下。
  1. 配置DDoS高防转发。具体操作请参见添加网站
  2. 验证高防实例可以正常转发。具体操作请参见本地验证转发配置生效
  3. 配置流量调度器。具体操作请参见添加通用联动规则
  4. 将DNS解析到流量调度器。修改域名的DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。
    说明 关于修改域名DNS解析CNAME记录的操作步骤,请参见修改CNAME解析接入流量调度器
安全加速
说明 仅DDoS高防(国际)支持该功能。
配置步骤如下。
  1. 配置DDoS高防(国际)安全加速线路转发。具体操作请参见配置DDoS高防(国际)加速线路
  2. 配置DDoS高防转发。具体操作请参见添加网站
  3. 验证高防实例可以正常转发。具体操作请参见本地验证转发配置生效
  4. 配置流量调度器。具体操作请参见添加通用联动规则
  5. 将DNS解析到流量调度器。修改域名的DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。
    说明 关于修改域名DNS解析CNAME记录的操作步骤,请参见修改CNAME解析接入流量调度器
CDN/DCDN联动 配置步骤如下。
  1. 预先配置好CDN/DCDN,并解析到CDN/DCDN,经测试可用。 具体操作请参见添加加速域名
    说明 如果配置了源站防护(安全组),则需要将CDN/DCDN回源地址加入白名单。
  2. 配置DDoS高防转发。具体操作请参见添加网站
  3. 验证高防实例可以正常转发。具体操作请参见本地验证转发配置生效
  4. 配置流量调度器。具体操作请参见添加CDN/DCDN联动
  5. 将DNS解析到流量调度器。修改域名的DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。
    说明 关于修改域名DNS解析CNAME记录的操作步骤,请参见修改CNAME解析接入流量调度器

添加通用联动规则

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏,选择服务所在地域:
    • 中国内地:DDoS高防(新BGP)服务
    • 非中国内地:DDoS高防(国际)服务
  3. 在左侧导航栏,单击接入管理 > 流量调度器
  4. 通用联动页签下,单击添加规则
  5. 添加规则页面,完成联动规则配置,并单击下一步
    图 1. DDoS高防(新BGP)云产品联动配置示例
    添加规则配置,防护调度
    图 2. DDoS高防(国际)出海加速配置示例
    出海加速
    图 3. DDoS高防(国际)安全加速配置示例
    安全加速
    参数 描述
    联动场景 选择规则类型,取值:
    • 安全加速
      说明 仅DDoS高防(国际)支持该选项。
    • 出海加速
      说明 仅DDoS高防(国际)支持该选项。
    • 阶梯防护
      说明 仅支持DDoS防护包防护对象中的云资源,包括ECS、EIP、SLB、WAF。
    • 云产品联动
    规则名 为规则命名。

    规则名由英文字母、数字和下横线(_)组成,不超过128个字符。

    DDoS高防IP安全加速场景下对应国际高防 选择要联动的高防实例。
    加速线路IP 出海加速场景下,选择要联动的加速线路IP。
    说明 仅DDoS高防(国际)支持该选项。
    安全加速 安全加速场景下,选择要联动的安全加速线路IP。
    说明 仅DDoS高防(国际)支持该选项。
    云资源 云产品联动阶梯防护场景下,设置要联动的云资源。选择云资源所在地域,并输入云资源IP地址。单击添加云资源IP,可以添加多个云资源。最多支持添加20个IP。
    回切时间 发生联动后,允许触发回切流程的等待时间。
    说明 安全加速场景无需回切,所以没有该选项。

    考虑到黑洞解除的等待时间以及避免频繁触发联动切换,回切时间的最小值为30分钟。推荐您设置为60分钟。

    成功添加规则后,流量调度器为新建规则分配一个CNAME地址。要使联动规则生效,您需要前往云资源的DNS服务商处修改其DNS解析,应用CNAME解析并将解析目标设置为流量调度器分配的CNAME地址。您可以在规则列表中查看新建的规则和CNAME地址。通用联动规则

执行一键回切

通用联动规则添加生效后,如果云资源流量被调度到DDoS高防,您可以根据需要执行一键回切,将流量切回到云资源。
说明 安全加速场景无需回切。
执行回切操作时,可能出现的异常结果如下:
  • 如果联动资源全部在黑洞中,回切动作将会失败。
  • 如果存在部分联动资源已经解除黑洞,部分联动资源还在黑洞中,流量将先回切到已经解除黑洞的联动资源上,其他资源等待黑洞解除后自动恢复流量。
  1. 登录DDoS高防控制台
  2. 在顶部菜单栏,选择服务所在地域:
    • 中国内地:DDoS高防(新BGP)服务
    • 非中国内地:DDoS高防(国际)服务
  3. 在左侧导航栏,单击接入管理 > 流量调度器
  4. 通用联动页签,定位到要操作的规则,单击其操作列下的回切并确认操作。
    说明 只有当发生了联动且流量联动到DDoS高防的时间不小于规则的回切时间回切操作才会出现。

添加CDN/DCDN联动

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏,选择服务所在地域:
    • 中国内地:DDoS高防(新BGP)服务
    • 非中国内地:DDoS高防(国际)服务
  3. 在左侧导航栏,单击接入管理 > 流量调度器
  4. 单击CDN/DCDN联动调度页签。
  5. 定位到要配置的域名,单击其操作列下的添加联动添加联动
  6. 添加联动页面,确认域名信息满足要求后,配置切换至高防条件,即访问QPS的最小值,并单击下一步添加联动配置
    要添加联动,域名信息应满足以下要求:
    • DDoS高防实例:已开通增强功能。
    • 联动资源:已完成阿里云CDN/DCDN配置。
    域名信息
    说明 建议您在设置QPS阈值时,考虑业务突增的情形,将阈值设置为业务历史峰值的2~3倍以上。即使网站QPS较低,QPS阈值也建议不要低于500。
    成功添加联动后,流量调度器为新建规则分配一个CNAME地址。要使调度规则生效,您需要前往云资源的DNS服务商处修改其DNS解析,应用CNAME解析并将解析目标设置为流量调度器分配的CNAME地址。您可以在规则列表中看到域名的CDN联动状态更新为已开启,并查看其CNAME地址。联动已开启

多路分摊切换配置

以多防护包切换DDoS高防为例,介绍云产品与DDoS高防多对一切换(云产品多路分摊流量,每路被攻击单独切换高防模式)的具体配置方法。

  1. 防护包配置。在防护包中添加多个防护对象,例如三个。具体操作请参见添加防护对象
  2. 流量调度器配置。为步骤1中的三个防护对象各添加一条阶梯防护规则,三条规则关联同一个DDoS高防IP。具体操作请参见添加通用联动规则
  3. 域名解析配置。使用同一个主机记录,添加三条CNAME解析记录,记录值分别是步骤2中三条阶梯防护规则的CNAME地址。具体操作请参见修改CNAME解析接入流量调度器
  4. 验证结果。在http://tool.chinaz.com/上验证步骤3中添加的CNAME记录生效。