云产品联动适用于使用了阿里云公网IP资源或者全球加速服务的业务,在接入DDoS高防进行防护后,实现云产品与DDoS高防联动使用:业务正常访问期间(无攻击),流量不经过高防清洗,直达源站服务器,不增加业务延时;业务被攻击时,自动切换至DDoS高防进行防护,流量经过高防清洗后转发到源站服务器。

前提条件

  • 业务使用了阿里云公网IP资源(包括拥有公网IP的云服务器ECS或负载均衡SLB、弹性公网IP、Web应用防火墙)或者全球加速服务。

    关于全球加速服务与DDoS高防进行联动的限制,请参见全球加速与DDoS高防联动

  • 已开通DDoS高防实例,并且业务已完成DDoS高防转发配置。更多信息,请参见添加网站(适用于网站业务接入)、添加规则(适用于非网站业务接入)。
    注意 DDoS高防实例的业务带宽、QPS等规格必须满足正常业务防护需求,确保当流量切换到DDoS高防时,高防实例可以承载业务流量。
  • 已验证DDoS高防实例可以正常转发业务。更多信息,请参见本地验证转发配置生效

背景信息

业务正常接入DDoS高防后,所有业务流量都经过DDoS高防转发,其中攻击流量被清洗,只有正常访问流量被转发到源站服务器。在业务正常访问期间(无攻击),由于正常业务流量也都经过DDoS高防转发,会给业务带来少量延迟。

如果您希望在业务正常访问期间不增加延迟,则可以使用流量调度器创建一条云产品联动调度规则,实现业务正常访问期间,流量直达源站服务器,仅在业务被攻击时,切换使用DDoS高防进行防护。业务切换到DDoS高防进行防护后,可以在指定时间后自动回切到正常访问模式,也支持手动执行回切操作。

全球加速与DDoS高防联动

全球加速服务(详见什么是全球加速)与DDoS高防联动时,您需要根据全球加速实例的上车点地理位置选择合适的高防实例进行联动:上车点在中国内地地域时,应选择与DDoS高防(新BGP)实例联动;上车点在中国内地以外地域时,应选择与DDoS高防(国际)实例联动。
  • 全球加速和DDoS高防(新BGP)联动
    • 业务通过域名接入DDoS高防(详见添加网站)时,需要在网站信息中选择源站域名类型的服务器地址,并填写全球加速实例提供的CNAME地址。网站信息

      这样可以实现经过高防清洗后的流量就近上车(新BGP高防专线回源阿里云,不受上车点黑洞影响),同时保障防护效果和加速效果。

      您可以在全球加速控制台的实例详情中获取全球加速实例的CNAME地址。更多信息,请参见步骤1:获取加速域名的CNAME地址全球加速CNAME地址
    • 业务通过端口接入DDoS高防(详见添加规则)时,需要在端口转发规则中将源站IP设置为业务服务器的IP地址(暂不支持设置为域名格式)。
      说明 该场景只有防护效果,无加速效果。
      源站IP
  • 全球加速和DDoS高防(国际)联动
    无论业务通过域名接入或者端口接入,都需要将服务器地址(或源站IP)设置为业务服务器的IP地址。
    说明 该场景只有防护效果,无加速效果。

操作步骤

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏,选择服务所在地域:
    • 中国内地:DDoS高防(新BGP)服务
    • 非中国内地:DDoS高防(国际)服务
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,单击接入管理 > 流量调度器
  4. 通用联动页签下,单击添加规则
  5. 添加规则页面,配置云产品联动规则,并单击下一步
    图 1. DDoS高防(新BGP)云产品联动规则示例
    添加规则配置,防护调度
    参数 描述
    联动场景 选择云产品联动
    规则名 为规则命名。

    规则名由英文字母、数字和下横线(_)组成,不超过128个字符。

    高防IP 选择要联动的DDoS高防实例。
    联动资源 设置要联动的云资源,支持云资源IP全球加速实例
    • 云资源IP:选择云资源所在地域,并输入云资源IP地址。
      单击添加云资源IP,可以添加多个云资源。最多支持添加20个IP。
      说明 添加多个云资源IP时(即多个云资源IP对应一个高防IP),如果一个云资源上发生DDoS攻击,将优先使用其他云资源,直到无可用云资源IP时,才会切换到高防进行防护。如果您希望云产品多路分摊流量,每路被攻击时单独切换高防,请参见多路分摊切换配置
    • 全球加速实例:选择要联动的全球加速线路实例。仅支持选择一个实例。
    回切时间 发生联动后,允许触发回切流程的等待时间。

    考虑到黑洞解除的等待时间以及避免频繁触发联动切换,回切时间的最小值为30分钟。推荐您设置为60分钟。

    成功添加规则后,流量调度器为当前规则生成一个CNAME地址。您可以在规则列表中查看已添加的规则和CNAME地址。CNAME
  6. 修改域名DNS。
    要使联动规则生效,您需要前往业务域名的DNS服务商处,修改域名的DNS解析,将解析指向流量调度器的CNAME地址。更多信息,请参见修改CNAME解析接入流量调度器

相关操作

  • 执行一键回切:通用联动规则生效后,如果云资源流量被调度到DDoS高防且未超过回切时间,您可以执行一键回切(单击操作列下的回切),将流量手动切回到云资源。
    说明 只有当发生了联动且流量联动到DDoS高防的时间小于规则的回切时间回切操作才会出现。
    执行回切操作时,可能出现以下异常结果:
    • 如果联动资源全部在黑洞中,回切动作将会失败。
    • 如果存在部分联动资源已经解除黑洞,部分联动资源还在黑洞中,流量将先回切到已经解除黑洞的联动资源上,其他资源等待黑洞解除后自动恢复流量。
  • 编辑联动规则:您可以在流量调度器的通用联动规则列表编辑已添加的规则(单击操作列下的编辑),修改除联动场景规则名以外的配置。
  • 删除联动规则:您可以在流量调度器的通用联动规则列表删除已添加的规则(单击操作列下的删除)。
    警告 删除联动规则前,请确保网站不再指向流量调度器CNAME,否则删除后网站将无法正常转发。