全部产品
Search

搜索本产品

    Anti-DDoS:Menambahkan konfigurasi website

    文档中心

    Anti-DDoS:Menambahkan konfigurasi website

    更新时间:Feb 07, 2026

    Setelah menambahkan nama domain website ke Anti-DDoS Proxy, arahkan rekaman DNS domain tersebut ke alamat CNAME yang dihasilkan oleh Anti-DDoS Proxy agar website terlindungi dari serangan DDoS. Panduan ini memandu Anda melalui seluruh proses—mulai dari integrasi cepat hingga konfigurasi lanjutan—untuk memastikan transisi layanan berjalan lancar.

    Lingkup

    • Instans Anti-DDoS Proxy (Tiongkok daratan) atau Anti-DDoS Proxy (luar Tiongkok daratan) telah dibeli. Untuk informasi lebih lanjut, lihat Beli instans Anti-DDoS Proxy.

    • Jika layanan website Anda ditambahkan ke instans Anti-DDoS Proxy (Tiongkok daratan), nama domain tersebut harus memiliki pendaftaran ICP. Untuk informasi lebih lanjut, lihat Pendaftaran ICP.

      Catatan

      Website yang ditambahkan ke instans Anti-DDoS Proxy (luar Tiongkok daratan) tidak tunduk pada persyaratan pendaftaran ICP.

    Prosedur

    1. Masuk ke halaman Website Config di konsol Anti-DDoS Proxy.

    2. Pada bilah navigasi atas, pilih wilayah instans Anda.

      • Anti-DDoS Proxy (Tiongkok daratan): Pilih wilayah Tiongkok daratan.

      • Anti-DDoS Proxy (luar Tiongkok daratan): Pilih wilayah luar Tiongkok daratan.

    3. Pada halaman Website Config, klik Add Website.

      Catatan

      Anda juga dapat mengklik Batch Import di bagian bawah halaman untuk mengimpor beberapa konfigurasi website sekaligus dalam bentuk file XML. Untuk informasi lebih lanjut mengenai format file, lihat Operasi lainnya.

    4. Masukkan informasi Website Config dan klik Next.

      Konfigurasi dasar

      • Function Plan: Pilih paket fungsi instans Anti-DDoS Proxy yang ingin Anda asosiasikan. Opsi: Standard dan Enhanced.

        Catatan

        Arahkan kursor ke ikon Function plan description setelah Function Plan untuk melihat perbedaan fitur antara paket fungsi Standard dan Enhanced. Untuk informasi lebih lanjut, lihat perbedaan antara paket fungsi Standard dan Enhanced.

      • Instance: Pilih instans Anti-DDoS Proxy yang ingin Anda asosiasikan.

        Penting

        Satu nama domain dapat diasosiasikan dengan maksimal delapan instans Anti-DDoS Proxy. Instans-instans tersebut harus menggunakan Function Plan yang sama.

      • Websites: Masukkan nama domain website yang ingin Anda lindungi. Anda dapat memasukkan nama domain yang cocok persis, seperti www.example.com, atau nama domain wildcard, seperti *.example.com.

        Catatan

        • Jika terdapat konfigurasi untuk nama domain wildcard (misalnya, *.aliyundoc.com) dan nama domain yang cocok persis (misalnya, www.aliyundoc.com), Anti-DDoS Proxy akan memprioritaskan aturan pengalihan dan kebijakan mitigasi dari nama domain yang cocok persis (www.aliyundoc.com).

        • Jika Anda memasukkan domain root, hanya domain root tersebut yang dilindungi. Domain tingkat kedua dan subdomain lainnya tidak dilindungi. Jika ingin melindungi domain tingkat kedua, masukkan domain tingkat kedua tersebut atau nama domain wildcard.

        • Anda hanya dapat memasukkan nama domain, bukan alamat IP.

      • Protocol Type: Pilih protokol yang didukung oleh website.

        • HTTP / HTTPS: Protokol dasar untuk layanan web.

          Catatan

          Untuk informasi mengenai pengaturan HTTPS, lihat penjelasan pada tab konfigurasi HTTPS.

        • Websocket / Websockets: Protokol komunikasi real-time. Jika Anda memilih salah satu protokol ini, HTTP atau HTTPS akan dipilih secara otomatis.

      • Server Address: Tetapkan alamat server backend (server origin) yang digunakan oleh Anti-DDoS Proxy selama proses origin fetch.

        • Origin IP Address: Masukkan alamat IP publik server origin. Anda dapat memasukkan beberapa alamat IP, dipisahkan dengan koma. Contoh:

          • Server origin berada di Alibaba Cloud: Masukkan alamat IP publik instans ECS origin. Jika instans SLB ditempatkan sebelum instans ECS, masukkan alamat IP publik instans SLB tersebut.

          • Server origin berada di pusat data yang tidak dikelola oleh Alibaba Cloud atau berada di platform cloud lain: Jalankan perintah ping <nama domain> untuk menanyakan alamat IP publik yang menjadi tujuan resolusi nama domain tersebut. Kemudian, masukkan alamat IP publik tersebut.

        • Origin Domain Name:

      • Server Port: Tetapkan port yang digunakan oleh server origin untuk mendengarkan layanan website.

        • HTTP/Websocket: Port default adalah 80.

        • HTTPS/Websockets: Port default adalah 443.

        • Custom Server Port:

          • Multiple ports: Anda dapat menentukan beberapa port, dipisahkan dengan koma. Jumlah total port kustom untuk semua layanan website yang dilindungi oleh instans Anti-DDoS Proxy tidak boleh melebihi 10. Ini termasuk port kustom untuk protokol yang berbeda.

          • Port range (HTTP/HTTPS): 80 hingga 65535

      Konfigurasi HTTPS

      Jika Anda memilih HTTPS untuk autentikasi terenkripsi, lengkapi konfigurasi berikut.

      • Konfigurasikan sertifikat: Untuk mengaktifkan HTTPS, Anda harus mengonfigurasi Sertifikat SSL yang sesuai dengan nama domain website.

        • Upload: Tentukan Certificate Name, lalu tempelkan konten file sertifikat ke bidang Certificate File, dan konten file kunci privat ke bidang Private Key.

          Catatan

          • Jika file sertifikat dalam format PEM, CER, atau CRT, buka file tersebut di editor teks dan salin isinya. Untuk format lain seperti PFX atau P7B, konversi file tersebut ke format PEM terlebih dahulu, lalu salin isinya. Untuk informasi mengenai cara mengonversi format file sertifikat, lihat Mengonversi format sertifikat atau Bagaimana cara mengonversi Sertifikat SSL ke format PEM?

          • Jika file mencakup beberapa sertifikat (seperti rantai sertifikat), gabungkan isinya dan tempelkan konten gabungan tersebut ke bidang Certificate File.

        • Select Existing Certificate: Jika Anda telah mengajukan sertifikat dari Certificate Management Service (Original SSL Certificate) atau telah mengunggah sertifikat ke Certificate Management Service, Anda dapat langsung memilih sertifikat tersebut.

      • Konfigurasikan TLS Security Settings:

        Catatan

        Untuk informasi lebih lanjut, lihat Menyesuaikan kebijakan keamanan TLS untuk sertifikat HTTPS server.

        • TLS Versions for SSL Certificate: Pilih versi TLS yang didukung oleh sertifikat HTTPS standar internasional.

          • TLS 1.0 and later. This setting provides the best compatibility but low security.: Mendukung TLS 1.0, TLS 1.1, dan TLS 1.2.

          • TLS 1.1 and later. This setting provides good compatibility and medium security.: Mendukung TLS 1.1 dan TLS 1.2.

          • TLS 1.2 and later. This setting provides good compatibility and high security level.: Mendukung TLS 1.2.

          • Enable TLS 1.3 Support: Mendukung TLS 1.3.

        • Cipher Suites for SSL Certificate: Pilih paket sandi yang didukung untuk sertifikat HTTPS standar internasional, atau pilih paket sandi kustom. Arahkan kursor ke ikon 问号 pada opsi paket sandi untuk melihat paket sandi yang termasuk di dalamnya.

      • Mutual Authentication:

        • Issued by Alibaba Cloud: Pilih sertifikat CA default dari daftar drop-down A default CA certificate is required.. Sertifikat ini dikeluarkan oleh Certificate Management Service (Original SSL Certificate) milik Alibaba Cloud.

        • Not Issued by Alibaba Cloud:

          • Pertama, unggah sertifikat CA self-signed ke Certificate Management Service (Original SSL Certificate). Untuk petunjuk detail, lihat Upload Certificate Repository.

          • Pada daftar drop-down A default CA certificate is required., pilih sertifikat CA yang ditandatangani sendiri yang telah diunggah.

      • Enable OCSP Stapling: OCSP merupakan singkatan dari Online Certificate Status Protocol. OCSP digunakan untuk menanyakan otoritas sertifikat (CA) yang menerbitkan sertifikat server guna memeriksa apakah sertifikat tersebut telah dicabut. Selama proses jabat tangan TLS dengan server, klien harus memperoleh sertifikat dan respons OCSP yang sesuai.

        Penting

        Respons OCSP ditandatangani secara digital oleh CA dan tidak dapat dipalsukan. Mengaktifkan fitur ini tidak menimbulkan risiko keamanan tambahan.

        • Disabled (Default): Klien mengirim kueri OCSP ke CA selama proses jabat tangan TLS untuk memverifikasi apakah sertifikat telah dicabut. Proses ini memblokir koneksi dan dapat menyebabkan penundaan pemuatan halaman jika jaringan buruk.

        • Enabled: Anti-DDoS Proxy melakukan kueri OCSP dan menyimpan hasilnya dalam cache selama 3.600 detik. Ketika klien menginisiasi permintaan jabat tangan TLS ke server, Anti-DDoS Proxy mengirimkan respons OCSP yang di-cache bersama rantai sertifikat ke klien. Hal ini menghindari masalah pemblokiran yang disebabkan oleh kueri dari sisi klien dan meningkatkan kinerja HTTPS.

      • SM Certificate: Hanya instans Anti-DDoS Proxy (Tiongkok daratan) yang mendukung pengunggahan sertifikat HTTPS berbasis SM. Hanya algoritma SM2 yang didukung.

        • Allow Access Only from SM Certificate-based Clients: Sakelar ini dimatikan secara default.

          • Aktif: Hanya memproses permintaan dari klien yang memiliki sertifikat SM yang terpasang.

            Catatan

            Jika diaktifkan, konfigurasi paket sandi TLS, autentikasi timbal balik, dan pengikatan OCSP untuk sertifikat yang menggunakan algoritma standar internasional tidak akan berlaku.

          • Nonaktif: Memproses permintaan dari klien yang memiliki sertifikat SM dan klien yang memiliki sertifikat yang menggunakan algoritma standar internasional.

        • SM Certificate: Anda harus mengunggah sertifikat SM ke Certificate Management Service sebelum memilihnya.

        • SM Cipher Suites for HTTPS Support: Paket sandi berikut diaktifkan secara default dan tidak dapat diubah.

          • ECC-SM2-SM4-CBC-SM3

          • ECC-SM2-SM4-GCM-SM3

          • ECDHE-SM2-SM4-CBC-SM3

          • ECDHE-SM2-SM4-GCM-SM3

      Pengaturan lanjutan

      • Enable HTTPS Redirection: Pengaturan ini cocok untuk website yang mendukung HTTP dan HTTPS. Setelah Anda mengaktifkan pengaturan ini, semua permintaan HTTP akan diarahkan secara paksa ke permintaan HTTPS pada port 443 secara default.

        Penting

        • Anda hanya dapat mengaktifkan pengaturan ini jika memilih protokol HTTP dan HTTPS, serta tidak memilih protokol Websocket.

        • Jika Anda mengakses website melalui port HTTP non-standar (selain 80) dan mengaktifkan pengalihan paksa ke HTTPS, permintaan akses akan diarahkan ke port HTTPS 443 secara default.

      • HTTP/2 Listener: Jika sakelar ini diaktifkan, klien yang menggunakan HTTP/2 dapat mengakses Anti-DDoS Proxy. Namun, Anti-DDoS Proxy tetap menggunakan HTTP/1.1 untuk origin fetch. Spesifikasi fitur HTTP/2 adalah sebagai berikut:

        • Spesifikasi dasar:

          • Timeout idle setelah koneksi ditutup (http2_idle_timeout): 120 detik

          • Jumlah maksimum permintaan per koneksi (http2_max_requests): 1.000

          • Jumlah maksimum stream konkuren per koneksi (http2_max_concurrent_streams): 4

          • Ukuran maksimum seluruh daftar header permintaan setelah dekompresi HPACK (http2_max_header_size): 256 K

          • Ukuran maksimum bidang header permintaan yang dikompresi HPACK (http2_max_field_size): 64 K

        • Spesifikasi yang dapat dikonfigurasi: Anda dapat Upper Limit for HTTP/2 Streams. Ini adalah jumlah maksimum stream konkuren yang diizinkan antara klien dan Anti-DDoS Proxy.

      • Set Forward Connection Timeout: Ini adalah periode timeout idle untuk koneksi TCP persisten yang dibuat antara klien dan Anti-DDoS Proxy. Ini merupakan waktu tunggu maksimum antara dua permintaan klien.

        Catatan

        Jika tidak ada permintaan baru yang diterima dalam periode yang ditentukan, Anti-DDoS Proxy akan menutup koneksi untuk melepaskan resource.

    5. Masukkan Forwarding Settings dan klik Next.

      Pengaturan kembali-ke-asal

      • Back-to-origin Scheduling Algorithm: Jika Anda mengonfigurasi beberapa Origin IP Addresses atau Origin Domain Names, Anda dapat mengubah algoritma penyeimbangan beban atau menetapkan bobot untuk server yang berbeda guna menentukan cara distribusi traffic di antara server origin.

        Metode

        Skenario

        Deskripsi

        Round-robin (Default)

        Skema yang menggunakan beberapa server origin dan membutuhkan kinerja penyeimbangan beban tinggi.

        Semua permintaan didistribusikan ke semua alamat server secara bergiliran. Secara default, semua alamat server memiliki bobot yang sama. Anda dapat mengubah bobot server. Bobot yang lebih besar menunjukkan probabilitas yang lebih tinggi untuk menerima permintaan.

        IP hash

        Skema yang memerlukan konsistensi sesi. Dalam kasus ekstrem, ketidakseimbangan beban dapat terjadi.

        Permintaan dari alamat IP klien yang sama selalu diarahkan ke server origin yang sama untuk memastikan konsistensi sesi. Anda dapat menetapkan bobot untuk server saat menggunakan algoritma IP hash. Hal ini memungkinkan Anda mendistribusikan traffic berdasarkan kemampuan pemrosesan server dan memprioritaskan server dengan kinerja lebih baik.

        Least time

        Layanan yang sangat sensitif terhadap kecepatan akses dan latensi respons, seperti game dan transaksi online.

        Kemampuan penguraian DNS cerdas dan algoritma least time untuk origin fetch memastikan latensi terpendek untuk seluruh tautan dari POP ke server origin.

      • Retry Back-to-origin Requests: Jumlah probe pemeriksaan kesehatan untuk memeriksa ketersediaan server origin untuk penerusan domain. Nilai default adalah 3. Mekanisme retry bekerja sebagai berikut:

        1. Fitur retry kembali-ke-asal hanya dipicu ketika traffic layanan mengakses node tepi. Saat node tepi mendeteksi bahwa server origin suatu domain tidak tersedia, fitur tersebut akan mencoba kembali origin fetch.

        2. Jika server origin masih tidak dapat dijangkau setelah jumlah maksimum retry, server tersebut memasuki periode diam. Selama periode ini, tidak ada traffic yang diteruskan ke server origin, dan tidak ada probe yang dikirim.

        3. Setelah periode diam berakhir, fitur retry kembali-ke-asal dipicu kembali berdasarkan traffic layanan. Jika retry berhasil, server origin diaktifkan kembali.

      • Traffic Marking:

        • Request Header Forwarding Configuration: Anti-DDoS Proxy mendukung penerusan header permintaan. Anda dapat menambahkan atau memodifikasi header permintaan HTTP saat meneruskan permintaan ke server origin Anda. Hal ini membantu mengidentifikasi dan menandai traffic yang melewati Anti-DDoS Proxy.

          • Insert X-Client-IP to Get Originating IP Address: Meneruskan alamat IP asli klien.

          • Insert X-True-IP to Forward Client IP: Meneruskan alamat IP yang digunakan klien untuk membuat koneksi.

          • Insert Web-Server-Type to Get Service Type: Biasanya ditambahkan oleh proxy pertama. Memberi tahu server backend proxy atau server web frontend mana yang menangani permintaan.

          • Insert WL-Proxy-Client-IP to Get Connection IP: Fungsi yang sama dengan X-Client-IP. Header khusus untuk Oracle WebLogic Server.

          • X-Forwarded-Proto (Listener Protocol): Protokol yang digunakan antara klien dan proxy pertama.

        • Tanda lalu lintas

          • Tanda default

            Catatan

            • JA3 Fingerprint, JA4 Fingerprint, Client TLS Fingerprint, dan HTTP/2 Fingerprint memerlukan bantuan manajer akun Anda untuk dikonfigurasi.

            • Jika layanan Anda menggunakan bidang kustom alih-alih tanda default, lihat Custom Header di bawah. Setelah dikonfigurasi, server origin Anda mengurai bidang ini dari permintaan yang diteruskan oleh Anti-DDoS Proxy. Untuk contoh penguraian, lihat Dapatkan alamat IP sumber asli setelah mengonfigurasi Anti-DDoS Proxy.

            • Originating Port: Nama bidang header untuk port asal klien dalam header HTTP. Biasanya direkam dalam bidang X-Forwarded-ClientSrcPort.

            • Originating IP Address: Nama bidang header untuk alamat IP asal klien dalam header HTTP. Biasanya direkam dalam bidang X-Forwarded-For.

            • JA3 Fingerprint: Nama bidang header untuk nilai hash MD5 yang dihasilkan dari sidik jari JA3 klien dalam header HTTP. Biasanya direkam dalam bidang ssl_client_ja3_fingerprint_md5.

            • JA4 Fingerprint: Nama bidang header untuk nilai hash MD5 yang dihasilkan dari sidik jari JA4 klien dalam header HTTP. Biasanya direkam dalam bidang ssl_client_ja4_fingerprint_md5.

            • Client TLS Fingerprint: Nama bidang header untuk nilai hash MD5 yang dihasilkan dari sidik jari TLS klien dalam header HTTP. Biasanya direkam dalam bidang ssl_client_tls_fingerprint_md5.

            • HTTP/2 Fingerprint: Nama bidang header untuk nilai hash MD5 yang dihasilkan dari sidik jari HTTP/2.0 klien dalam header HTTP. Biasanya direkam dalam bidang http2_client_fingerprint_md5.

          • Custom Header: Tambahkan header HTTP kustom (termasuk nama bidang dan nilainya) untuk menandai permintaan yang melewati Anti-DDoS Proxy. Saat Anti-DDoS Proxy meneruskan traffic website, nilai bidang yang dikonfigurasi akan ditambahkan ke permintaan yang dikirim ke server origin Anda. Hal ini membantu layanan backend Anda menganalisis dan melacak traffic.

            • Batasan penamaan: Untuk menghindari penimpaan bidang header permintaan asli, jangan gunakan nama bidang berikut yang merupakan bidang cadangan atau umum untuk header kustom Anda:

              • Bidang default Anti-DDoS Proxy:

                • X-Forwarded-ClientSrcPort: Digunakan secara default untuk mendapatkan port klien untuk akses mesin Lapisan 7.

                • X-Forwarded-ProxyPort: Digunakan secara default untuk mendapatkan port pendengar untuk akses mesin Lapisan 7.

                • X-Forwarded-For: Digunakan secara default untuk mendapatkan alamat IP klien untuk akses mesin Lapisan 7.

                • ssl_client_ja3_fingerprint_md5: Digunakan secara default untuk mendapatkan nilai hash MD5 sidik jari JA3 klien.

                • ssl_client_ja4_fingerprint_md5: Digunakan secara default untuk mendapatkan nilai hash MD5 sidik jari JA4 klien.

                • ssl_client_tls_fingerprint_md5: Digunakan secara default untuk mendapatkan nilai hash MD5 sidik jari TLS klien.

                • http2_client_fingerprint_md5: Digunakan secara default untuk mendapatkan nilai hash MD5 sidik jari HTTP/2.0 klien.

              • Bidang HTTP standar: Seperti host, user-agent, connection, dan upgrade.

              • Bidang proxy umum: Seperti x-real-ip, x-true-ip, x-client-ip, web-server-type, wl-proxy-client-ip, eagleeye-rpcid, eagleeye-traceid, x-forwarded-cluster, dan x-forwarded-proto.

            • Batasan jumlah: Anda dapat menambahkan hingga lima label header kustom.

            • Rekomendasi konfigurasi:

              • Gunakan tanda default terlebih dahulu.

              • Verifikasi konfigurasi bidang header di lingkungan staging sebelum menerapkannya ke lingkungan produksi.

              • Kami menyarankan agar nilai bidang tidak melebihi 100 karakter untuk menghindari dampak pada kinerja penerusan.

      • CNAME Reuse: Pilih apakah akan mengaktifkan penggunaan kembali CNAME. Setelah Anda mengaktifkan penggunaan kembali CNAME, Anda dapat menambahkan beberapa nama domain yang dihosting pada server yang sama ke Anti-DDoS Proxy dengan mengarahkan rekaman DNS-nya ke CNAME Anti-DDoS Proxy yang sama. Anda tidak perlu menambahkan konfigurasi website terpisah untuk setiap nama domain. Untuk informasi lebih lanjut, lihat Penggunaan kembali CNAME.

        Penting

        Parameter ini hanya didukung oleh Anti-DDoS Proxy (luar Tiongkok daratan).

      Pengaturan lainnya

      • Enable HTTP Redirection of Back-to-origin Requests: Jika website Anda tidak mendukung HTTPS untuk origin fetch, Anda harus mengaktifkan pengaturan ini. Setelah Anda mengaktifkan pengaturan ini, semua permintaan HTTPS dikirim ke server origin melalui HTTP, dan semua permintaan Websockets dikirim melalui Websocket. Port origin default adalah 80.

        Catatan

        Jika Anda mengakses website melalui port HTTPS non-standar (selain 443) dan mengaktifkan HTTP untuk origin fetch, permintaan akses akan diarahkan ke port HTTP 80 server origin secara default.

      • HTTP/2.0 Origin: Setelah Anda mengaktifkan HTTP/2.0 untuk origin fetch, Anti-DDoS Proxy menggunakan HTTP/2.0 untuk mengirim permintaan ke server origin.

        Peringatan

        • Untuk mengonfigurasi fitur ini, hubungi manajer akun Anda.

        • Jika server origin Anda tidak mendukung HTTP/2.0, jangan konfigurasi fitur ini. Jika tidak, website Anda akan menjadi tidak dapat diakses.

      • Cookie Settings

        • Delivery Status: Diaktifkan secara default. Anti-DDoS Proxy menyisipkan cookie ke klien, seperti browser, untuk membedakan klien atau mendapatkan sidik jari klien. Untuk informasi lebih lanjut, lihat Konfigurasikan Perlindungan flood HTTP.

          Penting

          Jika Anda mengalami kegagalan login atau kehilangan sesi setelah menambahkan aplikasi Anda ke Anti-DDoS Proxy, Anda dapat mencoba menonaktifkan sakelar ini. Perhatikan bahwa jika Anda menonaktifkan sakelar ini, beberapa fitur perlindungan flood HTTP menjadi tidak efektif.

        • Secure Attribute: Dinonaktifkan secara default. Jika Anda mengaktifkan atribut ini, cookie hanya dikirim melalui koneksi HTTPS, bukan koneksi HTTP. Hal ini membantu melindungi cookie dari pencurian.

          Catatan

          Kami menyarankan Anda mengaktifkan atribut ini jika layanan website Anda hanya mendukung koneksi HTTPS.

      • Configure New Connection Timeout Period: Waktu yang ditunggu Anti-DDoS Proxy untuk membuat koneksi ke server origin.

        Catatan

        Jika koneksi tidak berhasil dibuat dalam periode ini, upaya tersebut dianggap gagal.

      • Configure Read Connection Timeout Period: Waktu maksimum yang ditunggu Anti-DDoS Proxy untuk menerima respons dari server origin setelah koneksi dibuat dan permintaan baca dikirim.

      • Configure Write Connection Timeout Period: Waktu yang ditunggu Anti-DDoS Proxy setelah mengirim data dan sebelum server origin mulai memprosesnya.

        Catatan

        Jika Anti-DDoS Proxy gagal mengirim semua data ke server origin atau server origin tidak mulai memproses data dalam periode ini, upaya tersebut dianggap gagal.

      • Back-to-origin Persistent Connections: Koneksi TCP antara server cache dan server origin tetap aktif untuk periode tertentu alih-alih ditutup setelah setiap permintaan. Hal ini dapat membuang resource. Aktifkan Back-to-origin Persistent Connections untuk mengurangi waktu pembuatan koneksi dan konsumsi resource, serta meningkatkan efisiensi dan kecepatan pemrosesan permintaan.

        • Requests Reusing Persistent Connections: Jumlah permintaan HTTP yang dapat dikirim melalui satu koneksi TCP dari Anti-DDoS Proxy ke server origin. Hal ini mengurangi latensi dan konsumsi resource yang disebabkan oleh pembuatan dan penghentian koneksi yang sering.

          Catatan

          Kami menyarankan agar Anda menetapkan nilai ini kurang dari atau sama dengan jumlah permintaan per koneksi persisten yang dikonfigurasi pada server origin backend Anda, seperti instans WAF atau SLB. Hal ini mencegah ketidaktersediaan layanan akibat penghentian koneksi.

        • Timeout Period of Idle Persistent Connections: Waktu maksimum koneksi TCP persisten idle dari Anti-DDoS Proxy ke server origin yang dapat tetap terbuka dalam kolam koneksi Anti-DDoS Proxy. Jika tidak ada permintaan baru yang diterima dalam periode ini, koneksi akan ditutup untuk melepaskan resource sistem.

          Catatan

          Kami menyarankan agar Anda menetapkan nilai ini kurang dari atau sama dengan periode timeout yang dikonfigurasi pada server origin backend Anda, seperti instans WAF atau SLB. Hal ini mencegah ketidaktersediaan layanan akibat penghentian koneksi.

    Validasi dan go-live

    Setelah menyelesaikan konfigurasi website, ikuti daftar periksa ini untuk melakukan validasi dan go-live guna mencegah gangguan layanan.

    • Operasi inti (Wajib)

      1. Tambahkan alamat IP kembali-ke-asal ke daftar putih: Dalam kebijakan keamanan server origin Anda, seperti firewall atau security group, tambahkan rentang alamat IP kembali-ke-asal Anti-DDoS Proxy ke daftar putih. Hal ini mencegah traffic yang diteruskan dari Anti-DDoS Proxy ke server origin Anda diblokir. Untuk informasi lebih lanjut, lihat Tambahkan alamat IP kembali-ke-asal Anti-DDoS Proxy ke daftar putih.

      2. Verifikasi konfigurasi secara lokal: Sebelum mengalihkan rekaman DNS, modifikasi file hosts lokal untuk memverifikasi bahwa konfigurasi penerusan berfungsi sebagaimana mestinya. Hal ini membantu mencegah gangguan layanan. Untuk informasi lebih lanjut, lihat Verifikasi pengaturan penerusan lalu lintas pada mesin lokal.

      3. Alihkan rekaman DNS: Setelah verifikasi lokal berhasil, ubah rekaman DNS nama domain website Anda ke CNAME yang disediakan oleh Anti-DDoS Proxy. Operasi ini mengalihkan traffic layanan Anda ke Anti-DDoS Proxy untuk perlindungan. Untuk informasi lebih lanjut, lihat Gunakan CNAME atau alamat IP untuk mengarahkan nama domain ke instans Anti-DDoS Proxy.

    • Operasi opsional

      • Ubah alamat IP origin: Jika server origin Anda adalah instans ECS Alibaba Cloud dan alamat IP-nya terpapar, kami menyarankan Anda mengubah alamat IP publik instans ECS tersebut. Hal ini mencegah penyerang melewati Anti-DDoS Proxy untuk menyerang server origin Anda. Untuk informasi lebih lanjut, lihat Alamat IP publik statis.

      • Konfigurasi kebijakan mitigasi DDoS: Selain kebijakan mitigasi bawaan Anti-DDoS Proxy (Anti-DDoS Global Mitigation Policy, Intelligent Protection, dan Frequency Control), Anda dapat mengaktifkan fitur perlindungan tambahan pada tab Protection for Website Services sesuai kebutuhan. Untuk informasi selengkapnya, lihat Perlindungan DDoS untuk Layanan Website.

        Penting

        Mengaktifkan kebijakan perlindungan flood HTTP dapat menyisipkan cookie ke klien. Untuk informasi lebih lanjut, lihat Penyisipan cookie.

      • Konfigurasikan peringatan CloudMonitor: Konfigurasikan aturan peringatan untuk metrik layanan umum Anti-DDoS Proxy, seperti traffic dan koneksi, serta peristiwa serangan, seperti penyaringan blackhole dan peristiwa pembersihan. Hal ini memungkinkan Anda menerima peringatan tepat waktu untuk aktivitas anomali dan merespons dengan cepat. Untuk informasi lebih lanjut, lihat Peringatan CloudMonitor.

      • Konfigurasikan layanan analisis log: Aktifkan layanan analisis log untuk mengumpulkan dan menyimpan log akses website selama 180 hari secara default. Hal ini berguna untuk analisis bisnis dan memenuhi persyaratan kepatuhan perlindungan terklasifikasi. Untuk informasi lebih lanjut, lihat Cara cepat menggunakan fitur analisis log.

    Kuota dan batasan

    • Satu nama domain dapat diasosiasikan dengan maksimal delapan instans Anti-DDoS Proxy.

    • Jumlah total port kustom (selain 80 atau 443) untuk semua konfigurasi website di bawah satu instans Anti-DDoS Proxy tidak boleh melebihi 10.

    • Anda dapat menambahkan maksimal lima label header kustom.

    Referensi

    Pendaftaran ICP

    • Pemeriksaan dan penanganan pendaftaran ICP: Anti-DDoS Proxy (Tiongkok daratan) secara berkala memeriksa status pendaftaran ICP untuk nama domain yang dilindungi. Jika pendaftaran ICP menjadi tidak valid, Anti-DDoS Proxy (Tiongkok daratan) akan menghentikan penerusan traffic untuk layanan terkait dan menampilkan pesan "Nama domain belum menyelesaikan pendaftaran ICP. Harap perbarui status pendaftaran." pada halaman Website Config.

    • Persyaratan pendaftaran ICP ganda: Jika server origin adalah produk Alibaba Cloud, server tersebut harus memenuhi persyaratan pendaftaran ICP dari Anti-DDoS Proxy dan produk origin. Jika tidak, penerusan traffic kembali-ke-asal akan terpengaruh. Untuk informasi lebih lanjut, lihat dokumentasi resmi setiap produk cloud atau hubungi dukungan teknis. Misalnya, jika server origin adalah instans ECS, Anda harus mendapatkan pendaftaran ICP untuk instans ECS tersebut. Untuk informasi lebih lanjut, lihat Pemeriksaan pendaftaran ICP untuk server dan Proses pendaftaran ICP.

    • Pemulihan layanan: Jika Anda menerima notifikasi bahwa pendaftaran ICP Anda tidak valid, segera perbarui informasi pendaftaran Anda untuk melanjutkan layanan.

    Hapus konfigurasi website

    Jika konfigurasi website tidak lagi diperlukan, Anda dapat menghapusnya sebagai berikut:

    1. Pulihkan rekaman DNS: Ubah rekaman DNS nama domain sehingga tidak lagi mengarah ke alamat IP instans Anti-DDoS Proxy, CNAME Anti-DDoS Proxy, atau CNAME Sec-Traffic Manager.

      Peringatan

      Jika Anda menghapus konfigurasi website sebelum memulihkan rekaman DNS, layanan Anda mungkin terganggu.

    2. Hapus konfigurasi website

      • Hapus secara manual: Pada halaman Website Config, temukan konfigurasi target, lalu klik Delete di kolom Actions. Untuk informasi selengkapnya, lihat Hapus konfigurasi situs web.

      • Hapus secara otomatis: Satu bulan setelah instans Anti-DDoS Proxy terakhir di bawah akun Anda dirilis, sistem secara otomatis menghapus semua konfigurasi nama domain dan penerusan port Anti-DDoS Proxy di bawah akun tersebut.

    FAQ

    • Mengapa saya mendapatkan error 502 atau 504 saat mengakses website setelah menyelesaikan konfigurasi?

      Error ini biasanya terjadi karena origin fetch gagal. Periksa item berikut secara berurutan:

      1. Periksa firewall/security group server origin: Pastikan Anda telah menambahkan rentang alamat IP kembali-ke-asal Anti-DDoS Proxy ke daftar putih.

      2. Periksa konfigurasi "Enable HTTP for Origin Fetch": Jika server origin Anda hanya mendukung HTTP (mendengarkan pada port 80), tetapi Anda telah mengonfigurasi HTTPS di Anti-DDoS Proxy tanpa mengaktifkan "Enable HTTP for Origin Fetch", origin fetch akan gagal.

      3. Periksa status server origin: Pastikan Origin IP Address benar dan server origin itu sendiri berjalan dengan baik.

    • Mengapa browser saya melaporkan error sertifikat setelah saya mengaktifkan HTTPS?

      Periksa item berikut:

      1. Ketidakcocokan sertifikat-nama domain: Pastikan sertifikat mencakup nama domain yang Anda tambahkan, termasuk domain www dan domain root. Misalnya, sertifikat untuk www.example.com tidak dapat digunakan untuk example.com kecuali jika sertifikat tersebut adalah sertifikat wildcard atau multi-domain.

      2. Rantai sertifikat tidak lengkap: Saat mengunggah sertifikat, pastikan Anda mengunggah rantai sertifikat lengkap (sertifikat server plus sertifikat CA perantara).

      3. Sertifikat kedaluwarsa: Periksa apakah sertifikat yang diunggah masih berlaku.

    • Bagaimana cara memastikan bahwa traffic website saya melewati Anti-DDoS Proxy?

      1. Kueri DNS: Di command line, jalankan ping <nama domain Anda> atau dig <nama domain Anda>. Periksa apakah alamat yang diselesaikan adalah CNAME instans Anti-DDoS Proxy atau alamat IP yang ditunjuknya.

      2. Laporan konsol: Pada halaman laporan konsol Anti-DDoS Proxy, periksa apakah terdapat data traffic inbound.

      3. Log server origin: Periksa log akses web server origin Anda untuk memastikan bahwa alamat IP sumber permintaan termasuk dalam rentang alamat IP kembali-ke-asal Anti-DDoS Proxy.

    • Log aplikasi saya hanya mencatat alamat IP Anti-DDoS Proxy. Bagaimana cara mendapatkan alamat IP pengunjung asli?

      Hal ini wajar. Sebagai proxy, Anti-DDoS Proxy menggunakan alamat IP kembali-ke-asalnya untuk mengakses server origin Anda. Untuk mendapatkan alamat IP pengunjung asli, Anda perlu mengonfigurasi server web Anda (seperti Nginx atau Apache) untuk mengekstrak alamat IP dari header permintaan X-Forwarded-For. Untuk informasi lebih lanjut, lihat Dapatkan alamat IP asli klien setelah Anda mengonfigurasi instans Anti-DDoS Proxy.