阶梯防护表示通过自定义规则,联动使用DDoS高防与DDoS原生防护企业版服务,解决网站业务接入高防防护后,正常业务访问延时增加的问题。阶梯防护可实现由DDoS原生防护防御日常攻击(不增加延时),仅在发生大流量攻击时切换到DDoS高防进行防护。

前提条件

  • 业务使用阿里云公网IP资源,具体包括拥有公网IP的云服务器ECS或负载均衡SLB、弹性公网IP、Web应用防火墙。
  • 已购买DDoS原生防护企业版实例,并为云资源IP(ECS、SLB、EIP、WAF)开启了DDoS原生防护。
    注意 DDoS原生防护企业版实例的地域必须与云资源的地域一致。

    相关操作,请参见购买DDoS原生防护企业版实例添加防护对象

  • 已购买DDoS高防(新BGP)专业版实例、DDoS高防(国际)保险版或无忧版实例。
    注意 DDoS高防实例的业务带宽、QPS等规格必须满足正常业务防护需求。

    相关操作,请参见购买DDoS高防实例

  • 已将网站业务接入DDoS高防实例进行防护。

    相关操作,请参见添加网站

  • 已验证DDoS高防实例可以正常转发业务流量。

    相关操作,请参见本地验证转发配置生效

添加阶梯防护联动规则

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • 中国内地:选择该地域将跳转到DDoS高防(新BGP)控制台。
    • 非中国内地:选择该地域将跳转到DDoS高防(国际)控制台。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择接入管理 > 流量调度器
  4. 通用联动页签,单击添加规则
  5. 添加规则面板,配置阶梯防护规则,并单击下一步
    图 1. DDoS高防(新BGP)阶梯防护规则示例
    阶梯防护规则
    参数 描述
    联动场景 选择阶梯防护
    规则名 为规则命名。

    规则名由英文字母、数字和下划线(_)组成,不超过128个字符。
    高防IP 选择要联动的DDoS高防实例。
    联动资源 设置要联动的云资源IP:选择云资源所在地域,并输入云资源IP地址。
    注意 云资源IP(ECS、SLB、EIP、WAF)必须已经开启DDoS原生防护企业版防护。相关操作,请参见添加防护对象
    单击添加云资源IP,可以添加多个云资源。最多支持添加20个IP。
    说明 添加多个云资源IP时(即多个云资源IP关联一个高防IP),如果一个云资源IP上发生DDoS攻击,将优先使用其他云资源IP,直到无可用云资源IP时,才会切换到高防进行防护。如果您希望云产品多路分摊流量,每路被攻击时单独切换高防,请参见多路分摊切换配置
    回切时间 业务流量联动到DDoS高防进行防护后,允许触发回切流程(切换回云资源IP)的等待时间。攻击结束且经过该等待时间后,业务流量自动回切到云资源IP。

    可选范围:30~120分钟。推荐您设置为60分钟。
  6. 按照页面提示修改域名的DNS解析设置,并单击完成
    要使联动规则生效,您必须在域名的DNS服务商处修改域名的DNS解析(如果域名通过阿里云域名服务注册,只需在云解析DNS控制台操作;否则需要在注册域名的第三方平台操作),将解析指向流量调度器的CNAME地址。
    注意 您修改域名的DNS解析后,流量调度规则将会生效。建议您在修改DNS解析前,先通过修改本地计算机的hosts文件配置,验证流量调度规则,避免因回源策略不一致出现不兼容问题。例如,在CDN和高防联动且回源到OSS的场景,由于CDN回源支持修改回源HOST,而DDoS高防不支持,导致发生攻击自动切换到DDoS高防后,DDoS高防回源到OSS的正常流量无法被识别,出现业务故障。

    关于验证流量调度规则的操作,请参见本地验证转发配置生效

    关于修改域名DNS解析的操作,请参见修改CNAME解析接入流量调度器

配置阶梯防护联动规则后,云资源IP的业务流量默认由DDoS原生防护企业版防护;只有在云资源IP上发生大流量DDoS攻击时,业务流量才会自动切换到DDoS高防进行清洗,保证只有正常业务流量会转发到云资源。业务流量自动切换到DDoS高防后,DDoS高防将在攻击结束后等待一段时间(回切时间),自动将业务流量回切到云资源(由DDoS原生防护企业版进行防护)。

除了自动切换方式,您还可以选择手动切换,即根据业务防护需求,手动将业务流量切换到DDoS高防、回切到云资源。更多信息,请参见相关操作

相关操作

成功添加通用联动规则后,您可以在规则列表,对已添加的规则执行以下操作。

操作 说明
切到高防 在未自动触发DDoS高防清洗(联动资源下有绿色图标)时,手动将业务流量切换到DDoS高防进行清洗。适用于在业务触发黑洞前提前切换,减少业务损伤。切到高防
只有当DDoS高防IP不在黑洞中,才可以正常切换到DDoS高防。
注意 手动将业务流量切换到DDoS高防后,默认不会自动回切到联动资源。如需回切到联动资源,您必须手动执行回切操作。
回切 在业务流量由DDoS高防清洗(高防IP下有绿色图标)时,手动将业务流量回切到联动资源。回切
注意
  • 建议您在执行回切前,确认攻击已经结束并且回切的联动资源线路可用,避免联动资源处于沙箱状态导致业务中断。
  • 如果您通过切到高防操作将业务流量切换到DDoS高防,则只能通过回切操作将流量回切到联动资源。

如果联动资源全部在黑洞中,回切操作将会失败。如果有部分联动资源已经解除黑洞,部分联动资源还在黑洞中,流量将先回切到已经解除黑洞的联动资源上,其他资源等待黑洞解除后自动恢复流量。
编辑 编辑通用联动规则,修改除联动场景规则名以外的参数配置。
删除 删除通用联动规则。
警告 删除联动规则前,请确保网站域名的解析没有指向流量调度器CNAME,否则删除联动规则后,网站将无法正常访问。