Cara menggunakan interaksi layanan cloud dengan Anti-DDoS Proxy - Anti-DDoS

Secara default, seluruh trafik dialihkan melalui Anti-DDoS Proxy secara terus-menerus. Hal ini menambah latensi dan biaya meskipun tidak terjadi serangan. Interaksi layanan cloud mengarahkan trafik langsung ke sumber daya cloud Anda dalam kondisi normal. Ketika terdeteksi adanya serangan, trafik secara otomatis dialihkan ke Anti-DDoS Proxy untuk pembersihan (scrubbing). Model berbasis permintaan ini menghilangkan hop jaringan yang tidak perlu, sehingga mengurangi latensi dan mengoptimalkan biaya.

Sebelum memulai

Sumber daya cloud yang didukung

Layanan Anda berjalan pada salah satu sumber daya Alibaba Cloud berikut dengan Alamat IP publik:

Elastic IP Address (EIP)
Instance Elastic Compute Service (ECS)
Instance Server Load Balancer (SLB)
Instance Web Application Firewall (WAF)

Instans Anti-DDoS Proxy

Salah satu instans Anti-DDoS Proxy berikut:

Anti-DDoS Proxy (Chinese Mainland): Profession.
Anti-DDoS Proxy (Outside Chinese Mainland): Insurance atau Unlimited.

Penting

Instans tersebut harus memiliki bandwidth bersih dan permintaan per detik (QPS) yang mencukupi untuk memenuhi kebutuhan layanan Anda. Untuk detailnya, lihat Beli instans Anti-DDoS Proxy.

Persyaratan konfigurasi

Website Anda telah ditambahkan ke instans Anti-DDoS Proxy.
Anda telah memverifikasi bahwa Anti-DDoS Proxy meneruskan trafik dengan benar.

Cara kerja

Interaksi layanan cloud menggunakan routing cerdas berbasis DNS untuk mengarahkan trafik secara dinamis berdasarkan status keamanan sumber daya cloud Anda.

Penting

Interaksi layanan cloud menggunakan DNS untuk mengarahkan trafik. Jika semua sumber daya cloud Anda masuk ke dalam penyaringan blackhole secara bersamaan, layanan Anda menjadi tidak dapat diakses hingga blackhole dicabut. Selama pergantian trafik, layanan Anda mungkin mengalami gangguan singkat. Waktu downtime aktual bergantung pada seberapa cepat cache DNS di sisi klien diperbarui.

Lalu lintas mengalir melalui tiga status:

Kondisi	Jalur trafik	Deskripsi
Normal (tidak ada serangan)	Klien > Sumber daya cloud	Trafik langsung menuju sumber daya cloud Anda tanpa melewati Anti-DDoS Proxy. Hal ini memberikan latensi terendah dan performa terbaik.
Sedang diserang	Klien > Anti-DDoS Proxy > Sumber daya cloud	Sistem secara otomatis memperbarui rekaman DNS agar domain Anda mengarah ke alamat CNAME Anti-DDoS Proxy. Trafik berbahaya dibersihkan, dan hanya lalu lintas sah yang diteruskan ke sumber daya cloud Anda.
Pemulihan (serangan berhenti)	Klien > Sumber daya cloud	Setelah serangan berhenti, Anti-DDoS Proxy menunggu periode tertentu (Waktu Tunggu Pergantian) sebelum mengembalikan rute trafik. Setelah periode tersebut berakhir, sistem memulihkan rekaman DNS agar mengarah ke Alamat IP sumber daya cloud Anda.

Buat aturan interaksi layanan cloud

Masuk ke Konsol Anti-DDoS Proxy.
Pada bilah navigasi atas, pilih wilayah instans Anda.
- Anti-DDoS Proxy (Tiongkok daratan): Pilih wilayah Tiongkok daratan.
- Anti-DDoS Proxy (luar Tiongkok daratan): Pilih wilayah luar Tiongkok daratan.
Pada panel navigasi kiri, pilih Provisioning > Sec-Traffic Manager.
Pada tab General Interaction, klik Create Rule.

Pada panel Create Rule, konfigurasikan parameter lainnya seperti dijelaskan dalam tabel berikut, lalu klik Next.

Parameter	Deskripsi
Interaction Scenario	Pilih Cloud Service Interaction.
Rule Name	Masukkan nama hingga 128 karakter. Hanya huruf, angka, dan garis bawah (_) yang didukung.
Anti-DDoS Pro or Anti-DDoS Premium Instance	Pilih instans Anti-DDoS Proxy yang akan dikaitkan dengan aturan ini.
Resource for Interaction	Masukkan Alamat IP publik dari sumber daya cloud yang ingin Anda lindungi. Jenis berikut diterima: EIP (Elastic IP Address) IP instance ECS IP instance SLB IP instance WAF Klik Add IP Address of Cloud Resource untuk menambahkan lebih banyak alamat. Anda dapat menambahkan hingga 20 alamat IP. Catatan Saat Anda menambahkan beberapa alamat IP, semua alamat tersebut berbagi instans Anti-DDoS Proxy yang sama. Jika satu alamat IP diserang, trafik akan didistribusikan ulang ke alamat-alamat lainnya. Trafik hanya dialihkan ke Anti-DDoS Proxy ketika semua alamat sedang diserang secara bersamaan. Untuk failover independen setiap alamat IP, lihat Multi-path failover.
Waiting Time of Switchback	Periode tunggu pergantian (berapa lama Anti-DDoS Proxy menunggu setelah serangan berhenti sebelum mengembalikan trafik ke sumber daya cloud Anda). Rentang valid: 30 hingga 120 menit. Catatan Kami merekomendasikan 60 menit.

Perbarui rekaman DNS Anda sesuai petunjuk: Untuk mengaktifkan aturan, arahkan rekaman DNS domain Anda ke CNAME yang disediakan oleh Sec-Traffic Manager. Ikuti langkah-langkah berikut:

Verifikasi secara lokal sebelum memperbarui DNS: Sebelum memperbarui rekaman DNS publik Anda, verifikasi aturan dengan mengubah file hosts di komputer lokal Anda. Hal ini membantu Anda mendeteksi konflik kebijakan penerusan origin sebelum memengaruhi trafik produksi. Untuk langkah-langkah detailnya, lihat Validasi konfigurasi penerusan Anda secara lokal.
Kasus risiko umum: Konflik CDN + Anti-DDoS Proxy + OSS
Jika Anda menggunakan CDN bersama Anti-DDoS Proxy untuk menyajikan konten dari Object Storage Service (OSS), perhatikan hal berikut:
- CDN dapat menyesuaikan header Host origin agar sesuai dengan nama bucket OSS, sehingga OSS dapat mengenali permintaan dengan benar.
- Anti-DDoS Proxy tidak memodifikasi header Host origin. Header tersebut diteruskan apa adanya dari permintaan klien.
- Ketika serangan memicu failover ke Anti-DDoS Proxy, header Host mungkin tidak lagi sesuai dengan yang diharapkan OSS, sehingga permintaan gagal. Untuk mencegah hal ini, bind CNAME Anti-DDoS Proxy di file hosts lokal Anda dan verifikasi skenario tersebut sebelum memperbarui DNS publik.

Perbarui rekaman DNS Anda: Setelah memverifikasi aturan secara lokal, perbarui rekaman DNS domain Anda agar mengarah ke CNAME yang disediakan oleh Sec-Traffic Manager.

Pendaftar domain	Cara memperbarui
Alibaba Cloud	Perbarui rekaman di Konsol DNS Alibaba Cloud.
Penyedia pihak ketiga	Masuk ke konsol manajemen pendaftar domain Anda dan perbarui rekaman DNS untuk domain Anda.

Hasil Validasi
Setelah pembaruan DNS, verifikasi bahwa website Anda dapat diakses.
Catatan
- Setelah Anda memperbarui rekaman DNS, aturan mungkin memerlukan waktu hingga benar-benar berlaku karena propagasi DNS (TTL). Untuk detailnya, lihat Ubah rekaman CNAME untuk Traffic Scheduler.
- Jika Anda mengalami masalah, lihat Pemecahan masalah respons lambat, latensi tinggi, dan kegagalan akses untuk layanan yang dilindungi oleh Anti-DDoS Proxy.

Mengalihkan trafik

Interaksi layanan cloud mendukung dua mode pergantian untuk mengakomodasi berbagai skenario operasional.

Catatan

Kedua mode pergantian—otomatis maupun manual—menggunakan DNS. Waktu pergantian aktual bergantung pada propagasi DNS dan konvergensi jaringan. Rencanakan berdasarkan toleransi downtime layanan Anda.

Mode	Deskripsi	Kapan digunakan
Otomatis	Sistem memantau trafik secara real-time dan secara otomatis beralih ke atau keluar dari mode Anti-DDoS Proxy berdasarkan pendeteksian serangan.	Perlindungan 24/7 tanpa pengawasan dan tanpa intervensi manual.
Manual	Anda secara manual memicu failover atau failback dari konsol sesuai kebutuhan operasional Anda.	Pergantian preventif sebelum acara besar. Skenario serangan kompleks yang tidak tercakup oleh kebijakan otomatis. Investigasi gangguan dan simulasi.

Pergantian otomatis

Arah	Kondisi pemicu
Sumber daya cloud > Anti-DDoS Proxy	Semua alamat IP sumber daya yang dilindungi memasuki penyaringan blackhole.
Anti-DDoS Proxy > Sumber daya cloud	Serangan telah berhenti dan periode tunggu pergantian yang dikonfigurasi telah berakhir.

Pergantian manual

Anda dapat secara manual mengalihkan trafik dari tab Interaksi Umum pada halaman Sec-Traffic Manager.

Switch to Anti-DDoS

Prosedur:
1. Pada halaman Sec-Traffic Manager, klik tab General Interaction.
2. Temukan aturan yang skenario interaksinya adalah interaksi layanan cloud dan pembersihan mitigasi DDoS belum dipicu secara otomatis (ditandai dengan ikon di bawah Resource for Interaction).
3. Klik Switch to Anti-DDoS pada kolom Actions untuk memulai failover.
Batasan:
- Anda tidak dapat mengalihkan trafik ke Anti-DDoS Proxy jika instans Proxy berada dalam status blackhole, atau jika waktu tunggu pergantian belum berakhir sejak kejadian blackhole terakhir.
- Setelah failover manual, trafik tidak akan kembali secara otomatis. Anda harus mengklik Switchback untuk mengembalikan trafik ke sumber daya yang dilindungi.

Switchback

Prosedur:
1. Pada halaman Sec-Traffic Manager, klik tab General Interaction.
2. Temukan aturan yang skenario interaksinya adalah interaksi layanan cloud dan trafik saat ini sedang dibersihkan oleh Anti-DDoS Proxy (ditandai dengan ikon di bawah Anti-DDoS Pro or Anti-DDoS Premium Instance).
3. Klik Switchback pada kolom Actions, lalu konfirmasi operasi tersebut.
Batasan:
- Jika semua sumber daya yang dilindungi terkait berada dalam penyaringan blackhole, failback gagal.
- Jika beberapa sumber daya sedang disaring sementara yang lain tidak.
  - Trafik akan kembali terlebih dahulu ke sumber daya yang tersedia.
  - Sumber daya yang tersisa akan melanjutkan trafik secara otomatis setelah penyaringan blackhole-nya dinonaktifkan.

Kelola aturan

Setelah membuat aturan, Anda dapat melakukan operasi berikut dari tab Interaksi Umum.

Operasi

Deskripsi

Edit

Ubah parameter aturan. Interaction Scenario dan Rule Name tidak dapat diubah setelah aturan dibuat.

Delete

Hapus aturan.

Sebelum menghapus aturan, hapus CNAME Sec-Traffic Manager dari rekaman DNS domain Anda. Menghapus aturan saat CNAME masih aktif menyebabkan website Anda menjadi tidak dapat diakses.