阶梯防护适用于业务联动使用DDoS原生防护企业版和DDoS高防防御DDoS攻击,实现以下效果:使用原生防护企业版抵御日常攻击,业务流量直达源站服务器,不增加延迟;发生大流量攻击时,自动切换至DDoS高防进行防护,流量经过DDoS高防清洗后转发到源站服务器。
前提条件
- 业务使用了阿里云公网IP资源(包括拥有公网IP的云服务器ECS或负载均衡SLB、弹性公网IP、Web应用防火墙)。
- 已开通DDoS原生防护企业版实例,并将业务使用的阿里云公网IP地址添加为DDoS原生防护企业版的防护对象。更多信息,请参见添加防护对象。
说明 DDoS原生防护企业版实例的地域必须与要添加的防护对象(例如ECS、SLB、EIP、WAF等云资源)的地域一致。
- 已开通DDoS高防实例,并且业务已完成DDoS高防转发配置。更多信息,请参见添加网站(适用于网站业务接入)、添加规则(适用于非网站业务接入)。
注意 DDoS高防实例的业务带宽、QPS等规格必须满足正常业务防护需求,确保当流量切换到DDoS高防时,高防实例可以承载业务流量。
- 已验证DDoS高防实例可以正常转发业务。更多信息,请参见本地验证转发配置生效。
操作步骤
- 在添加规则页面,配置阶梯防护规则,并单击下一步。
图 1. DDoS高防(新BGP)阶梯防护规则示例 
参数 描述 联动场景 选择阶梯防护。 规则名 为规则命名。 规则名由英文字母、数字和下横线(_)组成,不超过128个字符。
高防IP 选择要联动的DDoS高防实例。 联动资源 设置要联动的云资源IP:选择云资源所在地域,并输入云资源IP地址。 说明 必须使用已添加为DDoS原生防护企业版防护对象的云资源(包括ECS、SLB、EIP、WAF)的IP。单击添加云资源IP,可以添加多个云资源。最多支持添加20个IP。说明 添加多个云资源IP时(即多个云资源IP对应一个高防IP),如果一个云资源上发生DDoS攻击,将优先使用其他云资源,直到无可用云资源IP时,才会切换到高防进行防护。如果您希望云产品多路分摊流量,每路被攻击时单独切换高防,请参见多路分摊切换配置。回切时间 发生联动后,允许触发回切流程的等待时间。 考虑到黑洞解除的等待时间以及避免频繁触发联动切换,回切时间的最小值为30分钟。推荐您设置为60分钟。
成功添加规则后,流量调度器为当前规则生成一个CNAME地址。您可以在规则列表中查看已添加的规则和CNAME地址。
相关操作
- 执行一键回切:通用联动规则生效后,如果云资源流量被调度到DDoS高防且未超过回切时间,您可以执行一键回切(单击操作列下的回切),将流量手动切回到云资源。
说明 只有当发生了联动且流量联动到DDoS高防的时间小于规则的回切时间,回切操作才会出现。执行回切操作时,可能出现以下异常结果:
- 如果联动资源全部在黑洞中,回切动作将会失败。
- 如果存在部分联动资源已经解除黑洞,部分联动资源还在黑洞中,流量将先回切到已经解除黑洞的联动资源上,其他资源等待黑洞解除后自动恢复流量。
- 编辑联动规则:您可以在流量调度器的通用联动规则列表编辑已添加的规则(单击操作列下的编辑),修改除联动场景、规则名以外的配置。
- 删除联动规则:您可以在流量调度器的通用联动规则列表删除已添加的规则(单击操作列下的删除)。
警告 删除联动规则前,请确保网站不再指向流量调度器CNAME,否则删除后网站将无法正常转发。
在文档使用中是否遇到以下问题
更多建议
匿名提交