文档

云产品联动

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

云产品联动表示通过自定义规则,联动使用DDoS高防与阿里云公网IP资源,解决网站业务接入高防防护后,正常业务访问延时增加的问题。

前提条件

  • 业务使用阿里云公网IP资源,具体包括拥有公网IP的云服务器ECS或负载均衡SLB、弹性公网IP、Web应用防火墙。

  • 已购买DDoS高防(中国内地)专业版实例、DDoS高防(非中国内地)保险版或无忧版实例。

    重要

    DDoS高防实例的业务带宽、QPS等规格必须满足正常业务防护需求。

    相关操作,请参见购买DDoS高防实例

  • 已将网站业务接入DDoS高防实例进行防护。

    相关操作,请参见添加网站配置

  • 已验证DDoS高防实例可以正常转发业务流量。

    相关操作,请参见本地验证转发配置生效

背景信息

业务接入DDoS高防防护后,默认所有业务流量都经过DDoS高防转发,其中攻击流量被清洗后丢弃,只有正常业务流量被转发到源站服务器。在业务正常访问期间(无攻击时),由于正常业务流量也经过DDoS高防转发,会给业务访问带来少量延迟。

如果您希望在业务正常访问期间不增加延迟,则可以通过流量调度器创建一条云产品联动调度规则,实现业务正常访问期间,流量直达源站服务器(不增加延时);仅在业务被攻击时,流量切换到DDoS高防,经清洗后再转发到源站服务器。

添加云产品联动规则

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择接入管理 > 流量调度器

  4. 通用联动页签,单击添加规则

  5. 添加规则面板,配置云产品联动规则,并单击下一步

    图 1. DDoS高防(中国内地)云产品联动规则示例添加规则配置,防护调度

    参数

    描述

    联动场景

    选择云产品联动

    规则名

    为规则命名。

    规则名由英文字母、数字和下划线(_)组成,不超过128个字符。

    高防IP

    选择要联动的DDoS高防实例。

    联动资源

    输入要联动的云资源IP,可以使用ECS实例IP、SLB实例IP、WAF实例IP、EIP。

    单击添加云资源IP,可以添加多个云资源。最多支持添加20个IP。

    说明

    添加多个云资源IP时(即多个云资源IP关联一个高防IP),如果一个云资源IP上发生DDoS攻击,将优先使用其他云资源IP,直到无可用云资源IP时,才会切换到高防进行防护。如果您希望云产品多路分摊流量,每路被攻击时单独切换高防,请参见多路分摊切换配置

    回切时间

    业务流量联动到DDoS高防进行防护后,允许触发回切流程(切换回云资源IP)的等待时间。攻击结束且经过该等待时间后,业务流量自动回切到云资源IP。

    可选范围:30~120分钟。推荐您设置为60分钟。

  6. 按照页面提示修改域名的DNS解析设置,并单击完成

    要使联动规则生效,您必须在域名的DNS服务商处修改域名的DNS解析(如果域名通过阿里云域名服务注册,只需在云解析DNS控制台操作;否则需要在注册域名的第三方平台操作),将解析指向流量调度器的CNAME地址。

    重要

    您修改域名的DNS解析后,流量调度规则将会生效。建议您在修改DNS解析前,先通过修改本地计算机的hosts文件配置,验证流量调度规则,避免因回源策略不一致出现不兼容问题。例如,在CDN和高防联动且回源到OSS的场景,由于CDN回源支持修改回源HOST,而DDoS高防不支持,导致发生攻击自动切换到DDoS高防后,DDoS高防回源到OSS的正常流量无法被识别,出现业务故障。

    关于验证流量调度规则的操作,请参见本地验证转发配置生效

    关于修改域名DNS解析的操作,请参见修改CNAME解析接入流量调度器

配置云产品联动规则后,如果云资源上未发生DDoS攻击,业务流量不经过DDoS高防清洗,直接由客户端到云资源;只有在云资源上发生DDoS攻击时,业务流量才会自动切换到DDoS高防进行清洗,保证只有正常业务流量会转发到云资源。业务流量自动切换到DDoS高防后,DDoS高防将在攻击结束后等待一段时间(回切时间),自动将业务流量回切到云资源。

除了自动切换方式,您还可以选择手动切换,即根据业务防护需求,手动将业务流量切换到DDoS高防进行清洗、回切到云资源。更多信息,请参见相关操作

相关操作

成功添加通用联动规则后,您可以在规则列表,对已添加的规则执行以下操作。

操作

说明

切到高防

在未自动触发DDoS高防清洗(联动资源下有绿色图标)时,手动将业务流量切换到DDoS高防进行清洗。适用于在业务触发黑洞前提前切换,减少业务损伤。切到高防

只有当DDoS高防IP不在黑洞中,才可以正常切换到DDoS高防。

重要

手动将业务流量切换到DDoS高防后,默认不会自动回切到联动资源。如需回切到联动资源,您必须手动执行回切操作。

回切

在业务流量由DDoS高防清洗(高防IP下有绿色图标)时,手动将业务流量回切到联动资源。回切

重要
  • 建议您在执行回切前,确认攻击已经结束并且回切的联动资源线路可用,避免联动资源处于沙箱状态导致业务中断。

  • 如果您通过切到高防操作将业务流量切换到DDoS高防,则只能通过回切操作将流量回切到联动资源。

如果联动资源全部在黑洞中,回切操作将会失败。如果有部分联动资源已经解除黑洞,部分联动资源还在黑洞中,流量将先回切到已经解除黑洞的联动资源上,其他资源等待黑洞解除后自动恢复流量。

编辑

编辑通用联动规则,修改除联动场景规则名以外的参数配置。

删除

删除通用联动规则。

警告

删除联动规则前,请确保网站域名的解析没有指向流量调度器CNAME,否则删除联动规则后,网站将无法正常访问。

  • 本页导读 (1)
文档反馈