文档

DDoS原生防护和负载均衡组合使用方案

更新时间:

本文介绍了为搭建在云服务器ECS上的网站类业务部署负载均衡,并开启DDoS原生防护企业版防护的配置方法。相比于直接为ECS源站服务器开启DDoS原生防护企业版防护,在源站前部署负载均衡后再开启DDoS原生防护,能够取得更好的防护效果。

前提条件

背景信息

使用DDoS原生防护企业版防护网站类业务时,推荐您为业务所在云服务器ECS实例部署负载均衡SLB并将负载均衡的服务地址添加为DDoS原生防护企业版的防护对象,实现通过SLB丢弃未监听协议和端口的流量并大幅提升源站的抗DDoS攻击能力。上述部署方式对防御不同类型的DDoS攻击(例如SSDP、NTP、Memcached等反射型攻击、UDP Flood攻击、SYN Flood大包攻击)有很好的效果。
本文将指导您为ECS源站服务器部署负载均衡并开启DDoS原生防护企业版防护。
说明 如果您的源站服务器已经部署了负载均衡,则只需参见防护对象,将负载均衡的服务地址作为DDoS原生防护企业版的防护对象,即可为源站服务器开启DDoS原生防护企业版防护。

操作步骤

  1. 创建一台公网负载均衡SLB实例。
    具体操作请参见创建和管理CLB实例
    创建负载均衡实例时需要注意以下内容:
    • 由于负载均衡不支持跨地域部署,因此应选择与ECS实例相同的地域。
    • 由于DDoS原生防护仅支持防护公网IP资源,因此应选择公网实例类型。
    更多信息,请参见准备工作
    成功创建负载均衡实例后,您可以在负载均衡SLB控制台实例管理页面获取SLB实例的服务地址负载均衡实例
  2. 配置负载均衡实例。
    具体操作请参见配置负载均衡实例
    配置负载均衡实例时需要注意以下内容:
    • 在选择协议&监听时,根据自身业务,只选择需要监听的协议(支持TCPUDPHTTPHTTPS)和端口。未设置监听的协议和端口的流量将被直接丢弃,不会转发到后端ECS实例。
    • 在添加后端服务器时,选择添加已部署业务应用的ECS源站服务器。
    说明 由于负载均衡SLB和后端ECS之间通过内网进行通信,所以在配置完负载均衡实例并测试负载均衡正常工作后,建议您关闭后端ECS实例的公网访问。
    成功配置负载均衡实例后,负载均衡实例将按照已有配置 ,将客户端的请求流量分发到后端ECS实例。
  3. 修改域名DNS。
    • 如果您的业务是通过IP地址提供服务,您只需将步骤1获得的负载均衡实例的服务地址作为业务IP地址即可,可以跳过该步骤。
    • 如果您的业务是通过域名提供服务,您需要将域名的DNS解析指向步骤1获得的负载均衡实例的服务地址。具体操作请参见设置A记录域名解析
  4. 将负载均衡实例的服务地址添加为您已购买的DDoS原生防护企业版实例的防护对象,为负载均衡实例开启DDoS原生防护企业版防护。
    具体操作请参见防护对象
    成功添加防护对象后,SLB源站服务器将享有DDoS原生防护企业版提供的DDoS攻击全力防护能力,在业务遭受DDoS攻击时,自动触发流量清洗。
  • 本页导读 (1)
文档反馈