Setelah membeli instans Anti-DDoS Origin, tambahkan aset IP publik Anda sebagai objek yang dilindungi agar Anti-DDoS Origin dapat menerapkan kebijakan mitigasi default. Topik ini menjelaskan cara menambahkan objek yang dilindungi, mengaktifkan penekanan dekat sumber untuk serangan lintas batas, serta memecahkan masalah umum saat menambahkan aset EIP ditingkatkan.
Sebelum memulai
Untuk menambahkan objek yang dilindungi (seperti aset EIP ditingkatkan) menggunakan instans Anti-DDoS Origin, Anda harus menyelesaikan otorisasi Service Linked Role (SLR). Buka halaman Instance Management dan selesaikan otorisasi untuk mengizinkan instans Anti-DDoS Origin mengakses produk cloud lainnya.
Nama peran: AliyunServiceRoleForDDoSBgp. Kebijakan: AliyunServiceRolePolicyForDDoSBgp.
Tambahkan objek yang dilindungi
Jika ini pertama kalinya Anda menggunakan Anti-DDoS Origin, selesaikan otorisasi produk cloud saat menambahkan objek yang dilindungi agar Anti-DDoS Origin dapat mengakses produk cloud lain milik Anda.
Produk cloud tier standar
Otomatis
Cakupan penerapan
Semua edisi instans Anti-DDoS Origin 2.0.
Aset yang didukung:
Mendukung penambahan otomatis aset di bawah Akun Alibaba Cloud saat ini.
Jika manajemen multi-akun diaktifkan, hanya aset ECS, EIP (termasuk NAT), gateway IPv6, dan SLB di bawah akun anggota yang didukung. Jenis aset lain tidak didukung.
Aturan penambahan otomatis
Kondisi pemicu: Produk cloud hanya ditambahkan secara otomatis jika statusnya Scrubbing atau Blackhole.
Aset yang sudah ada: Setelah Anda mengaktifkan penambahan otomatis, produk cloud yang sudah ada dan memenuhi persyaratan status akan ditambahkan dalam waktu 5 hingga 30 menit.
Aset yang baru dibuat: Produk cloud yang baru dibuat dan memenuhi aturan status juga akan ditambahkan secara otomatis sebagai objek yang dilindungi.
Beberapa instans:
Jika Anda telah membeli instans Anti-DDoS Origin 2.0 (pay-as-you-go), aset akan diprioritaskan ditambahkan ke instans pay-as-you-go tersebut.
Jika Anda memiliki beberapa instans Anti-DDoS Origin 2.0 (langganan) dan semuanya mengaktifkan penambahan otomatis, instans yang berlaku untuk perlindungan dipilih secara acak.
Aktifkan penambahan otomatis
Masuk ke Konsol Keamanan Lalu Lintas, di panel navigasi kiri, pilih DDoS.
Di pojok kiri atas bilah navigasi atas, pilih kelompok sumber daya instans dan pilih All Regions sebagai wilayah.
Di panel navigasi kiri, pilih .
Di halaman Protected Objects, pilih instans target dan klik Protection Status by Attack Status di bawah Enable. Konfigurasikan dalam kondisi status aset apa aset tersebut ditambahkan secara otomatis sebagai objek yang dilindungi.
Manual
Cakupan penerapan
Jenis instans | Edisi | Cakupan aset yang dapat dilindungi |
Anti-DDoS Origin 1.0 (Subscription) | Enterprise | Aset akun saat ini |
Anti-DDoS Origin 2.0 (Subscription) | Inclusive Edition for Small and Medium Enterprises | Aset akun berjalan |
Enterprise | Aset akun saat ini, serta aset ECS, EIP (termasuk NAT), gateway IPv6, dan SLB dari akun anggota | |
Anti-DDoS Origin 2.0 (Pay-as-you-go) | Enterprise | Aset akun saat ini, aset akun anggota |
Tambahkan aset dari akun saat ini
Anti-DDoS Origin 2.0
Masuk ke Konsol Keamanan Lalu Lintas, di panel navigasi kiri, pilih DDoS.
Di pojok kiri atas bilah navigasi atas, pilih kelompok sumber daya instans dan pilih All Regions sebagai wilayah.
Di panel navigasi kiri, pilih .
Di halaman Protected Objects, pilih instans target dan klik Add Object for Protection.
Pilih Add Asset atau Add Manually, lalu klik Confirm.
Add Asset: Dari aset yang tersedia, pilih aset IP publik di bawah Akun Alibaba Cloud saat ini.
Add Manually: Masukkan secara manual aset IP publik di bawah Akun Alibaba Cloud saat ini.
Verifikasi bahwa aset IP yang ditambahkan muncul dalam daftar objek yang dilindungi dengan status Normal.
Anti-DDoS Origin 1.0
Masuk ke Konsol Keamanan Lalu Lintas, di panel navigasi kiri, pilih DDoS.
Di pojok kiri atas bilah navigasi atas, pilih kelompok sumber daya dan wilayah instans.
Di panel navigasi kiri, pilih .
Di halaman Protected Objects, pilih instans target dan klik Add Object for Protection.
Pilih Add Asset atau Add Manually, lalu klik Confirm.
Add Asset: Dari aset yang tersedia, pilih aset IP publik di bawah Akun Alibaba Cloud saat ini.
Add Manually: Masukkan secara manual aset IP publik di bawah Akun Alibaba Cloud saat ini.
Verifikasi bahwa aset IP yang ditambahkan muncul dalam daftar objek yang dilindungi dengan status Normal.
Tambahkan aset dari akun anggota
Jika Akun Alibaba Cloud saat ini telah mengaktifkan manajemen multi-akun dan merupakan akun manajemen, Anda dapat menambahkan aset IP publik dari akun anggota sebagai objek yang dilindungi. Untuk detailnya, lihat Petunjuk konfigurasi untuk manajemen terpadu multi-akun.
Masuk ke Konsol Keamanan Lalu Lintas, di panel navigasi kiri, pilih DDoS.
Di pojok kiri atas bilah navigasi atas, pilih kelompok sumber daya instans dan pilih All Regions sebagai wilayah.
Di panel navigasi kiri, pilih .
Di halaman Protected Objects, pilih instans target dan klik Add Object for Protection.
Di tab Add Assets of Members, pada area Owner Account of Asset, pilih akun target.
Dari aset yang tersedia, pilih aset dari akun anggota yang perlu dilindungi, lalu klik Confirm.
Verifikasi bahwa aset IP yang ditambahkan muncul dalam daftar objek yang dilindungi dengan status Normal.
Produk cloud tier ditingkatkan
Cakupan penerapan
Hanya berlaku untuk instans Anti-DDoS Origin 2.0 (Subscription)-Enterprise dan instans Anti-DDoS Origin 2.0 (Pay-as-you-go).
Produk cloud yang didukung: Anti-DDoS Native (Advanced) EIP (EIP ditingkatkan).
Cara kerja EIP ditingkatkan
Setelah Anda membeli EIP ditingkatkan, sistem secara otomatis menambahkannya sebagai objek yang dilindungi ke instans Anti-DDoS Origin 2.0 (Pay-as-you-go) atau instans Anti-DDoS Origin 2.0 (Subscription)-Enterprise. Tidak diperlukan konfigurasi manual.
Anda tidak dapat menambahkan EIP ditingkatkan secara manual dari konsol.
Aturan penambahan otomatis
EIP ditingkatkan yang baru dibeli (skenario non-Direktori Sumber Daya):
Jika Anda hanya memiliki instans Anti-DDoS Origin 2.0 (Pay-as-you-go), EIP tersebut akan ditambahkan secara otomatis ke instans pay-as-you-go.
Jika Anda hanya memiliki instans Anti-DDoS Origin 2.0 (Subscription)-Enterprise, EIP tersebut akan ditambahkan secara otomatis di bawah instans Edisi Perusahaan.
Jika Anda memiliki instans pay-as-you-go dan instans langganan Enterprise, EIP tersebut akan diprioritaskan ditambahkan ke instans pay-as-you-go.
Skenario multi-akun Direktori Sumber Daya (RD) (sub-akun membeli aset EIP ditingkatkan): EIP dikaitkan secara otomatis berdasarkan strategi hierarkis:
Instans pay-as-you-go diprioritaskan daripada instans langganan.
Sumber daya akun utama diprioritaskan daripada sumber daya akun anggota.
Instans langganan lebih memilih yang memiliki kapasitas sisa lebih besar.
Prioritas
Akun
Instance
1
Akun manajemen RD
Anti-DDoS Origin 2.0 (pay-as-you-go)
2
Akun anggota RD
Anti-DDoS Origin 2.0 (pay-as-you-go)
3
Akun utama RD
Anti-DDoS Origin 2.0 (langganan) - Edisi Perusahaan
CatatanLebih memilih yang memiliki kapasitas sisa lebih besar.
4
Akun anggota RD
Anti-DDoS Origin 2.0 (langganan) - Edisi Perusahaan
CatatanLebih memilih yang memiliki kapasitas sisa lebih besar.
Siklus hidup EIP ditingkatkan
Siklus hidup aset EIP ditingkatkan selaras dengan instans Anti-DDoS Origin 2.0 Edisi Perusahaan:
Ketika EIP ditingkatkan dilepas, informasi aset disinkronkan ke Anti-DDoS Origin melalui API, dan aset tersebut secara otomatis dihapus dari instans.
Ketika instans Anti-DDoS Origin (langganan) kedaluwarsa, pesan disinkronkan ke EIP untuk menghentikan penerusan traffic. Setelah penerusan dihentikan, EIP tetap dapat digunakan setelah Anda memperpanjang instans. Jika instans tidak diperpanjang, EIP mengikuti siklus hidup Anti-DDoS Origin untuk penangguhan dan pelepasan.
Ketika instans Anti-DDoS Origin ditangguhkan dan dilepas, EIP ditingkatkan yang terkait juga secara otomatis dilepas. EIP ditingkatkan berhenti menyediakan layanan, dan konfigurasi serta data terkait dihapus secara permanen dan tidak dapat dipulihkan.
PeringatanMigrasikan bisnis dan data Anda dari EIP ditingkatkan sebelum instans Anti-DDoS Origin dilepas untuk menghindari kehilangan data.
Kelola objek yang dilindungi
Aktifkan penekanan dekat sumber
Penekanan dekat sumber membuang semua traffic lintas batas dalam periode penekanan tertentu. Ini berlaku untuk skenario di mana layanan itu sendiri tidak memiliki traffic lintas batas. Penekanan dekat sumber umumnya menggunakan router inti pada backbone network penyedia layanan untuk membuang traffic dari wilayah tertentu yang dekat dengan sumber serangan.
Aturan dukungan wilayah:
Aset IP publik di Tiongkok daratan: Setelah penekanan dekat sumber diaktifkan, semua traffic dari luar Tiongkok daratan (termasuk wilayah luar negeri, Hong Kong, Makau, dan Taiwan) diblokir.
Aset IP publik di luar Tiongkok daratan (termasuk wilayah luar negeri, Hong Kong, Makau, dan Taiwan): Penekanan dekat sumber tidak didukung.
Mekanisme pembukaan blokir: Blokir traffic secara otomatis dicabut ketika periode penekanan berakhir. Untuk mencabut blokir lebih awal, nonaktifkan secara manual penekanan dekat sumber.
Kuota dan batasan: Kebijakan penekanan dekat sumber yang aktif memiliki batas waktu dan kuota bulanan sebanyak 10 kali penggunaan.
Periksa halaman analisis serangan di Konsol Keamanan Lalu Lintas untuk menentukan apakah seluruh traffic serangan berasal dari IP lintas batas. Jika ya, aktifkan penekanan dekat sumber untuk aset IP publik guna menghindari pemborosan kuota bulanan Anda.
Prosedur
Masuk ke Konsol Keamanan Lalu Lintas, di panel navigasi kiri, pilih DDoS.
Di bilah navigasi atas, pilih kelompok sumber daya tempat instans berada dan wilayah tempat instans berlokasi.
Instans Anti-DDoS Origin 1.0 (Langganan): Pilih wilayah tempat instans berlokasi.
Instans Anti-DDoS Origin 2.0 (Langganan) dan Anti-DDoS Origin 2.0 (Pay-as-you-go): Pilih Semua Wilayah.
Di panel navigasi kiri, pilih .
Setelah memilih instans target, temukan IP target dan alihkan sakelar di kolom Cross-Border Traffic Blocking. Tetapkan durasi penekanan.
CatatanDurasi penekanan berkisar antara 30 menit hingga 1 hari, ditentukan oleh waktu mulai dan waktu berakhir. Setelah aktif, durasi tidak dapat diubah. Untuk mengubahnya, nonaktifkan penekanan dekat sumber yang aktif dan aktifkan kembali dengan durasi baru.
Lihat konfigurasi di daftar aset. Setelah durasi penekanan berakhir, blokir traffic secara otomatis dibatalkan dan status penekanan dekat sumber berubah menjadi dinonaktifkan.
Lihat detail objek yang dilindungi
Masuk ke Konsol Keamanan Lalu Lintas, di panel navigasi kiri, pilih DDoS.
Di bilah navigasi atas, pilih kelompok sumber daya tempat instans berada dan wilayah tempat instans berlokasi.
Instans Anti-DDoS Origin 1.0 (Langganan): Pilih wilayah tempat instans berlokasi.
Instans Anti-DDoS Origin 2.0 (Langganan) dan Anti-DDoS Origin 2.0 (Pay-as-you-go): Pilih Semua Wilayah.
Di panel navigasi kiri, pilih .
Di halaman Protected Objects, pilih instans yang ingin dilihat. Lihat detail konfigurasi perlindungan aset IP publik di bawah instans ini.
Aset IP dan aset WAF
Item
Deskripsi
Asset IP Address
Aset IP publik yang terikat ke instans ini.
Owner Account of Asset
Ditampilkan ketika Akun Alibaba Cloud saat ini telah mengaktifkan manajemen multi-akun, merupakan akun manajemen, dan menggunakan instans Anti-DDoS Origin 2.0 Edisi Perusahaan. Ini menunjukkan Akun Alibaba Cloud tempat aset IP publik tersebut berada.
Traffic Scrubbing Threshold
Bandwidth akses minimum yang memicu pembersihan lalu lintas, termasuk traffic (Mbps) dan laju paket (PPS). Untuk informasi lebih lanjut, lihat Deskripsi ambang batas pembersihan untuk objek yang dilindungi.
Asset Region
Wilayah tempat aset IP publik tersebut berada.
Asset Type
Jenis aset dari aset IP publik tersebut.
Status
Status keamanan DDoS dari aset IP publik tersebut.
Normal
Under blackhole: Klik Actions di kolom Deactivate Blackhole Filtering. Pada kotak dialog Deactivate Blackhole Filtering, periksa sisa waktu hingga deaktivasi blackhole. Setelah mengonfirmasi deaktivasi, klik OK. Lihat catatan event blackhole. Untuk detail selengkapnya, lihat View blackhole event records.
Mitigation Policy
Templat kebijakan perlindungan yang terkait dengan aset IP publik tersebut.
Jika nilainya Default, artinya aset IP publik tersebut menggunakan kemampuan perlindungan default Anti-DDoS Origin tanpa kebijakan perlindungan yang ditetapkan. Jika menggunakan templat kebijakan perlindungan kustom, klik templat tersebut untuk membuka halaman konfigurasi perlindungan guna melihat detail templat.
Cross-Border Traffic Blocking
Apakah penekanan dekat sumber diaktifkan.
Actions
Delete: Hapus objek yang dilindungi. Operasi ini hanya didukung saat aset berada dalam status blackhole.
Deactivate Blackhole Filtering: Operasi ini hanya didukung saat aset berada dalam status blackhole.
View Applied Policy: Lihat informasi spesifik kebijakan perlindungan yang berlaku secara real-time untuk aset IP publik ini.
Anti-DDoS Native (Advanced) EIP (EIP ditingkatkan)
Item
Deskripsi
IP
Alamat EIP ditingkatkan.
Owner Account of Asset
Ditampilkan ketika Akun Alibaba Cloud saat ini telah mengaktifkan manajemen multi-akun dan merupakan akun manajemen. Ini menunjukkan Akun Alibaba Cloud tempat EIP ditingkatkan tersebut berada.
Traffic Scrubbing Threshold
Bandwidth akses minimum yang memicu pembersihan lalu lintas, termasuk traffic (Mbps) dan laju paket (PPS). Untuk informasi lebih lanjut, lihat Deskripsi ambang batas pembersihan untuk objek yang dilindungi.
Asset Region
Wilayah tempat EIP ditingkatkan tersebut berada.
Asset Type
EIP dengan Anti-DDoS (Ditingkatkan) diaktifkan (EIP ditingkatkan).
Ports
Jumlah port yang dikonfigurasi dengan perlindungan port di bawah EIP ditingkatkan. Klik ikon di sebelah kiri IP target untuk melihat port mana saja yang telah dikonfigurasi kebijakan perlindungannya.
Status
Status keamanan DDoS dari EIP ditingkatkan tersebut.
Normal
Under blackhole: Klik Actions di kolom Deactivate Blackhole Filtering. Di kotak dialog Deactivate Blackhole Filtering, lihat sisa jumlah pencabutan blackhole. Setelah mengonfirmasi pencabutan, klik OK. Lihat catatan event blackhole. Untuk detailnya, lihat Lihat catatan event blackhole.
Mitigation Policy
Templat kebijakan perlindungan yang terkait dengan EIP ditingkatkan tersebut.
Jika nilainya Default, artinya EIP ditingkatkan tersebut menggunakan kemampuan perlindungan default Anti-DDoS Origin tanpa kebijakan perlindungan yang ditetapkan. Jika menggunakan templat kebijakan perlindungan kustom, klik templat tersebut untuk membuka halaman konfigurasi perlindungan guna melihat detail templat.
Cross-Border Traffic Blocking
Apakah penekanan dekat sumber diaktifkan.
Actions
Add Port: Tambahkan port tertentu. Operasi ini hanya didukung saat EIP ditingkatkan berada dalam status blackhole.
Deactivate Blackhole Filtering: Operasi ini hanya didukung saat EIP ditingkatkan berada dalam status blackhole.
View Applied Policy: Lihat detail kebijakan perlindungan EIP ditingkatkan tersebut.
Hapus objek yang dilindungi
Di halaman Protected Objects, pilih instans target.
Di daftar aset, temukan aset IP publik atau EIP ditingkatkan target dan klik Delete di kolom Actions.
Di kotak dialog Delete Protected Object, tinjau peringatan dan klik OK.
Penyesuaian binding instans massal
Masuk ke Konsol Keamanan Lalu Lintas, di panel navigasi kiri, pilih DDoS.
Di pojok kiri atas bilah navigasi atas, pilih kelompok sumber daya Instans dan tetapkan Semua Wilayah sebagai wilayah.
Di panel navigasi kiri, pilih .
Buka tab aset yang sesuai, seperti EIP dengan Anti-DDoS (Ditingkatkan) Diaktifkan, lalu klik Batch Adjust Instance Binding di bawah daftar.
Di kotak dialog, pilih instans Anti-DDoS Origin target dan klik Confirm.
PeringatanSeluruh migrasi massal gagal jika salah satu kondisi berikut terjadi. Migrasi parsial tidak didukung:
Ketidaksesuaian wilayah aset: Instans tujuan tidak mendukung wilayah aset yang akan dimigrasikan (misalnya, aset Tiongkok daratan dimigrasikan ke instans yang hanya mendukung wilayah non-Tiongkok daratan).
Kapasitas tidak mencukupi: Jumlah aset yang akan dimigrasikan melebihi batas IP yang dilindungi dari instans tujuan.
Sedang diserang: IP dalam status scrubbing tidak dapat mengganti instans binding.
Langkah berikutnya
FAQ
Apakah EIP ditingkatkan ditambahkan secara otomatis sebagai objek yang dilindungi?
Ya. Setelah Anda membeli EIP ditingkatkan, aset tersebut secara otomatis ditambahkan sebagai objek yang dilindungi. Tidak diperlukan konfigurasi manual. Untuk detailnya, lihat Aturan penambahan otomatis.
Bisakah saya mengaktifkan penekanan dekat sumber untuk EIP ditingkatkan?
Ya. Sebagai objek yang dilindungi, EIP ditingkatkan dapat mengaktifkan penekanan dekat sumber saat mengalami serangan DDoS lintas batas untuk memblokir traffic dari luar Tiongkok daratan. Kebijakan penekanan dekat sumber memiliki kuota bulanan sebanyak 10 kali penggunaan. Gunakan hanya saat sedang diserang.
Bagaimana hubungan siklus hidup EIP ditingkatkan dengan instans Anti-DDoS Origin?
Siklus hidup EIP ditingkatkan selaras dengan instans Anti-DDoS Origin 2.0 Edisi Perusahaan. Ketika EIP ditingkatkan dilepas, aset tersebut secara otomatis dihapus dari instans Anti-DDoS Origin. Ketika instans Anti-DDoS Origin kedaluwarsa dan dilepas, EIP ditingkatkan yang terkait juga secara otomatis dilepas. Untuk detailnya, lihat Siklus hidup EIP ditingkatkan.
Apa yang harus saya lakukan jika kapasitas IP penuh?
Tingkatkan kapasitas IP yang dilindungi dari instans Anti-DDoS Origin Anda, atau beli instans baru. Untuk operasi terkait, lihat Manajemen instans dan Harga.
Bagaimana cara memindahkan aset dari akun anggota ke akun manajemen?
Aset IP publik hanya dapat dilindungi oleh satu instans. Hapus terlebih dahulu objek yang dilindungi di bawah akun anggota, lalu tambahkan di bawah akun manajemen.
Apa yang harus saya lakukan jika menerima error "Alamat IP tidak milik Anda"?
Pecahkan masalah dengan mengikuti langkah-langkah berikut:
Verifikasi bahwa alamat IP yang Anda masukkan benar.
Periksa wilayah produk cloud yang sesuai dengan IP yang dilindungi, dan pastikan sesuai dengan wilayah instans Anti-DDoS Origin.
Jika IP yang dilindungi adalah IP WAF, periksa wilayah instans WAF dan pastikan Anti-DDoS Origin mendukung wilayah tersebut. Untuk wilayah yang didukung, lihat Apa itu Anti-DDoS Origin.
Jika jenis IP yang dilindungi adalah IPv6, periksa apakah bandwidth publik diaktifkan. Untuk cara mengaktifkan bandwidth publik IPv6 untuk ECS, lihat Komunikasi IPv6.
Apa yang harus saya lakukan jika EIP ditingkatkan gagal ditambahkan?
Jika EIP ditingkatkan gagal ditambahkan sebagai objek yang dilindungi, periksa penyebab umum dan solusi berikut:
SLR belum diotorisasi: Fitur EIP ditingkatkan memerlukan otorisasi Service Linked Role (SLR). Buka halaman Instance Management dan selesaikan otorisasi sesuai petunjuk.
Ketidaksesuaian wilayah: Wilayah EIP ditingkatkan tidak sesuai dengan wilayah instans Anti-DDoS Origin. Tingkatkan instans untuk mencakup wilayah EIP ditingkatkan tersebut.
Kapasitas tidak mencukupi: Kapasitas IP instans penuh. Tingkatkan instans untuk menambah kapasitas IP.
Ketidaksesuaian edisi: Edisi instans saat ini tidak mendukung fitur ini. Tingkatkan ke Anti-DDoS Origin 2.0 Edisi Perusahaan.
Instans kedaluwarsa: Instans telah kedaluwarsa. Perpanjang instans.
Instans dilepas: Instans telah dilepas. Beli instans baru.
Error pemeriksaan STS: Terjadi error di sisi layanan. Coba lagi nanti atau hubungi dukungan teknis.