Cara menggunakan fitur interaksi layanan cloud - Anti-DDoS

Anda dapat membuat aturan interaksi layanan cloud untuk memungkinkan Proxy Anti-DDoS bekerja sama dengan sumber daya Alibaba Cloud yang memiliki alamat IP publik. Fitur ini mencegah penambahan latensi akses layanan setelah situs web ditambahkan ke instance Proxy Anti-DDoS.

Prasyarat

Layanan Anda menggunakan sumber daya Alibaba Cloud dengan alamat IP publik, seperti Elastic IP Address (EIP), Web Application Firewall (WAF), Elastic Compute Service (ECS), atau instance Server Load Balancer (SLB).
Instance Proxy Anti-DDoS (Tiongkok Daratan) dari rencana mitigasi Profession atau instance Proxy Anti-DDoS (Luar Tiongkok Daratan) dari rencana mitigasi Insurance atau Unlimited telah dibeli.
Penting
Bandwidth bersih dan permintaan per detik (QPS) dari instance harus memenuhi persyaratan mitigasi layanan Anda.
Untuk informasi lebih lanjut, lihat Beli Instance Proxy Anti-DDoS.
Situs web Anda telah ditambahkan ke instance untuk perlindungan.
Untuk informasi lebih lanjut, lihat Tambah Satu atau Lebih Situs Web.
Instance mengalihkan lalu lintas layanan sesuai harapan.
Untuk informasi lebih lanjut, lihat Verifikasi Konfigurasi Pengalihan pada Komputer Lokal Anda.

Informasi latar belakang

Setelah menambahkan layanan Anda ke instance Proxy Anti-DDoS, lalu lintas layanan secara otomatis dibersihkan oleh instance tersebut. Kemudian, hanya lalu lintas layanan yang diteruskan ke server asal. Lalu lintas layanan tetap diteruskan oleh instance meskipun tidak ada serangan, yang meningkatkan latensi akses layanan.

Untuk mencegah latensi tambahan, Anda dapat membuat aturan interaksi layanan cloud untuk Pengelola Lalu Lintas Keamanan. Aturan ini memungkinkan lalu lintas layanan dialihkan ke instance untuk pembersihan dan kemudian kembali ke server asal hanya jika terjadi serangan. Jika tidak ada serangan, lalu lintas layanan langsung diteruskan ke server asal.

Buat aturan interaksi layanan cloud

Masuk ke Konsol Proxy Anti-DDoS.
Di bilah navigasi atas, pilih wilayah instance Anda.
- Proxy Anti-DDoS (Tiongkok Daratan): Pilih wilayah Tiongkok Daratan.
- Proxy Anti-DDoS (Luar Tiongkok Daratan): Pilih wilayah Luar Tiongkok Daratan.
Di panel navigasi di sebelah kiri, pilih Provisioning > Sec-Traffic Manager.
Pada tab General Interaction, klik Add Rule.

Di panel Add Rule, konfigurasikan aturan cloud service interaction dan klik Next.

Parameter	Deskripsi
Interaction Scenario	Pilih Cloud Service Interaction.
Rule Name	Masukkan nama untuk aturan. Nama dapat berisi hingga 128 karakter dan dapat mencakup huruf, angka, serta garis bawah (_).
Anti-DDoS Pro	Pilih instance Proxy Anti-DDoS.
Resource for Interaction	Masukkan alamat IP dari cloud resource. Anda dapat memasukkan EIP atau alamat IP dari instance ECS, SLB, atau WAF. Anda dapat mengklik Add IP Address of Cloud Resource untuk menambahkan lebih banyak alamat IP. Anda dapat menambahkan hingga 20 alamat IP. Catatan Setelah Anda menambahkan beberapa alamat IP, alamat IP tersebut akan dikaitkan dengan instance Proxy Anti-DDoS yang ditentukan. Jika salah satu alamat IP diserang, lalu lintas layanan dialihkan ke alamat IP lainnya. Lalu lintas layanan hanya dialihkan ke instance Proxy Anti-DDoS jika semua alamat IP diserang. Untuk informasi lebih lanjut tentang cara mengalihkan lalu lintas ke Proxy Anti-DDoS ketika salah satu alamat IP diserang, lihat Bagikan satu instance Proxy Anti-DDoS di antara beberapa sumber daya cloud.
Waiting Time of Switchback	Tentukan waktu tunggu sebelum lalu lintas layanan dialihkan dari instance Proxy Anti-DDoS Anda kembali ke alamat IP sumber daya cloud. Ketika serangan berhenti dan waktu tunggu yang Anda tentukan berakhir, lalu lintas layanan secara otomatis dialihkan kembali ke alamat IP sumber daya cloud. Anda dapat menentukan nilai yang berkisar antara 30 hingga 120. Unit: menit. Kami merekomendasikan Anda mengatur nilainya menjadi 60. Catatan Jika penyaringan blackhole dipicu untuk instance Proxy Anti-DDoS Anda atau sebelum waktu tunggu yang ditentukan mulai dari waktu mulai acara penyaringan blackhole instance berakhir, lalu lintas layanan sumber daya cloud tidak dapat dialihkan ke instance. Jika penyaringan blackhole dipicu untuk sumber daya cloud, lalu lintas layanan sumber daya cloud secara otomatis dialihkan ke instance Proxy Anti-DDoS Anda untuk perlindungan. Jika penyaringan blackhole tidak dinonaktifkan untuk sumber daya cloud, lalu lintas layanan tidak dapat dialihkan dari instance Proxy Anti-DDoS Anda kembali ke sumber daya cloud. Jika penyaringan blackhole dinonaktifkan untuk sumber daya cloud, lalu lintas layanan dapat segera dialihkan kembali ke sumber daya cloud tanpa memperhatikan waktu tunggu yang ditentukan.

Ubah catatan DNS nama domain sesuai petunjuk dan klik Complete.
Agar aturan interaksi layanan cloud berlaku, Anda harus mengubah catatan DNS nama domain Anda di situs web penyedia layanan DNS Anda untuk memetakan nama domain ke CNAME yang disediakan oleh Pengelola Lalu Lintas Keamanan. Jika layanan DNS Anda disediakan oleh Alibaba Cloud DNS, Anda hanya perlu mengubah catatan DNS di Konsol Alibaba Cloud DNS.
Penting
Setelah mengubah catatan DNS nama domain Anda, aturan percepatan jaringan mulai berlaku. Sebelum mengubah catatan DNS, kami sarankan Anda memodifikasi file hosts di komputer lokal Anda untuk memverifikasi aturan interaksi layanan cloud. Ini membantu mencegah masalah ketidakcocokan yang disebabkan oleh kebijakan kembali ke asal yang tidak konsisten. CDN memungkinkan Anda mengubah host asal untuk permintaan kembali ke asal. Namun, Anda tidak dapat menggunakan Proxy Anti-DDoS untuk mengubah host asal untuk permintaan kembali ke asal. Jika Anda menggunakan CDN bersama dengan Proxy Anti-DDoS untuk mengambil data dari objek Object Storage Service (OSS), lalu lintas layanan yang diteruskan oleh Proxy Anti-DDoS tidak dapat diidentifikasi oleh OSS. Akibatnya, layanan Anda terganggu. Untuk informasi lebih lanjut tentang host asal, lihat Konfigurasikan Host Asal Default.
Untuk informasi lebih lanjut tentang cara memverifikasi aturan pengalihan lalu lintas, lihat Verifikasi Konfigurasi Pengalihan pada Komputer Lokal Anda.
Untuk informasi lebih lanjut tentang cara mengubah catatan DNS nama domain, lihat Ubah Catatan CNAME untuk Mengarahkan Lalu Lintas ke Pengelola Lalu Lintas Keamanan.

Jika tidak ada serangan DDoS yang terjadi pada sumber daya cloud Anda setelah mengaktifkan aturan interaksi layanan cloud, lalu lintas tidak dibersihkan oleh instance Proxy Anti-DDoS Anda dan langsung diteruskan dari klien ke sumber daya cloud. Jika serangan DDoS terjadi pada sumber daya cloud Anda setelah mengaktifkan aturan interaksi layanan cloud, lalu lintas secara otomatis dialihkan ke instance Proxy Anti-DDoS Anda untuk pembersihan, dan hanya lalu lintas layanan yang diteruskan ke sumber daya cloud. Setelah lalu lintas secara otomatis dialihkan ke instance Proxy Anti-DDoS Anda, instance tersebut mengalihkan kembali lalu lintas layanan ke sumber daya cloud ketika serangan berhenti dan waiting time yang Anda tentukan berakhir.

Selain pergantian otomatis, Anda dapat secara manual mengalihkan lalu lintas ke instance Proxy Anti-DDoS Anda untuk pembersihan dan kemudian ke sumber daya cloud berdasarkan persyaratan perlindungan layanan Anda. Untuk informasi lebih lanjut, lihat Langkah Selanjutnya.

Langkah selanjutnya

Setelah aturan interaksi layanan cloud dibuat, Anda dapat melakukan operasi berikut pada aturan tersebut.

Operasi	Deskripsi
Switch to Anti-DDoS	Jika pembersihan lalu lintas tidak secara otomatis dipicu oleh instance Proxy Anti-DDoS Anda, ikon ditampilkan di kolom Resource for Interaction. Anda dapat secara manual mengalihkan lalu lintas sebelum penyaringan blackhole dipicu. Ini mengurangi dampak buruk pada layanan Anda. Lalu lintas hanya dapat dialihkan ke instance Anda jika penyaringan blackhole tidak dipicu untuk alamat IP instance. Penting Setelah Anda secara manual mengalihkan lalu lintas ke instance Proxy Anti-DDoS Anda, lalu lintas tidak dapat secara otomatis dialihkan kembali ke sumber daya cloud yang terkait. Untuk mengalihkan lalu lintas kembali ke sumber daya cloud yang terkait, Anda harus mengklik Switchback untuk secara manual mengalihkan lalu lintas layanan.
Switchback	Jika lalu lintas dibersihkan oleh instance Proxy Anti-DDoS Anda, ikon ditampilkan di kolom Anti-DDoS IP Address. Dalam hal ini, Anda dapat secara manual mengalihkan kembali lalu lintas ke sumber daya cloud yang terkait. Penting Sebelum Anda secara manual mengalihkan lalu lintas, pastikan bahwa serangan berhenti dan sumber daya cloud yang terkait bekerja seperti yang diharapkan. Ini mencegah sumber daya cloud yang terkait dimasukkan ke dalam sandbox dan mencegah gangguan layanan. Jika Anda mengklik Switch to Anti-DDoS untuk mengalihkan lalu lintas ke instance Proxy Anti-DDoS Anda, Anda harus mengklik Switchback untuk mengalihkan kembali lalu lintas ke sumber daya cloud yang terkait. Jika penyaringan blackhole dipicu untuk alamat IP semua sumber daya cloud yang terkait, pergantian gagal. Jika penyaringan blackhole dinonaktifkan untuk sumber daya cloud tertentu, lalu lintas dialihkan kembali ke sumber daya cloud tersebut terlebih dahulu. Setelah penyaringan blackhole dinonaktifkan untuk sumber daya cloud yang tersisa, lalu lintas dialihkan kembali ke sumber daya cloud tersebut.
Edit	Anda dapat memodifikasi aturan interaksi layanan cloud. Namun, Anda tidak dapat mengubah nilai Interaction Scenario dan Rule Name untuk aturan tersebut.
Delete	Anda dapat menghapus aturan interaksi layanan cloud. Peringatan Sebelum Anda menghapus aturan interaksi, pastikan bahwa nama domain situs web Anda tidak mengarah ke CNAME Pengelola Lalu Lintas Keamanan. Jika tidak, akses ke situs web Anda mungkin gagal setelah Anda menghapus aturan.