Saat memperluas bisnis secara global, perusahaan sering menghadapi ancaman seperti latensi jaringan dan serangan DDoS. Dengan menerapkan Global Accelerator (GA) bersama produk perlindungan Anti-DDoS, Anda dapat mempercepat akses pengguna global sekaligus melindungi layanan dari serangan DDoS secara efektif. Hal ini menjamin ketersediaan tinggi dan keamanan layanan, meningkatkan pengalaman pengguna, serta mengurangi risiko keamanan.
Pengenalan GA dan produk perlindungan DDoS
Serangan DDoS adalah serangan jaringan berbahaya yang menargetkan suatu sistem hingga layanannya tidak tersedia. Anda dapat memilih salah satu produk perlindungan DDoS berikut berdasarkan kebutuhan keamanan Anda:
Produk perlindungan | |||
Kemampuan mitigasi | Rendah GA terintegrasi dengan perlindungan DDoS Alibaba Cloud. Anda tidak perlu mengaktifkannya secara manual. Perlindungan dasar DDoS hingga 5 Gbps disediakan secara gratis untuk alamat IP yang dipercepat dan alamat IP publik titik akhir instans GA. Kapasitas mitigasi gratis maksimum bervariasi tergantung wilayah. | Tinggi Anti-DDoS Origin memungkinkan Anda menambahkan instans GA sebagai objek yang dilindungi. Perlindungan tanpa batas hingga ratusan Gbps disediakan untuk alamat IP yang dipercepat dan alamat IP publik titik akhir instans GA. Kapasitas mitigasi maksimum bervariasi tergantung wilayah. | Tinggi GA dapat dihubungkan ke Anti-DDoS Pro dan Anti-DDoS Premium. Berdasarkan kemampuan pusat pembersihan global Alibaba Cloud, GA menyediakan kapasitas mitigasi hingga beberapa Tbps untuk CNAME aman (alamat IP yang dipercepat aman) dari instans GA. |
Cara kerja | Anti-DDoS Basic menggunakan ambang batas pembersihan default yang juga dapat Anda atur secara manual. Saat lalu lintas memenuhi kondisi pembersihan, Anti-DDoS Basic menyaring dan membersihkan seluruh lalu lintas inbound dari Internet untuk melindungi dari serangan umum pada lapisan jaringan dan lapisan transportasi, seperti serangan refleksi UDP dan serangan SYN/ACK Flood. Namun, Anti-DDoS Basic tidak melindungi dari serangan lapisan aplikasi, seperti serangan HTTP Flood dan serangan CC. Selain ambang batas pembersihan BPS dan PPS yang Anda konfigurasi, Anti-DDoS Basic menggunakan analisis cerdas berbasis AI. Dengan memanfaatkan kemampuan big data Alibaba Cloud, Anti-DDoS Basic mempelajari pola lalu lintas Anda dan menggunakan algoritma untuk mendeteksi serangan. Pembersihan lalu lintas hanya dipicu ketika analisis cerdas berbasis AI mendeteksi serangan DDoS dan lalu lintas inbound mencapai ambang batas BPS atau PPS yang Anda tetapkan. Metode ini mencegah positif palsu yang dapat terjadi akibat ambang batas tetap, misalnya ketika fluktuasi lalu lintas layanan normal melebihi ambang batas pembersihan. Jika lalu lintas inbound melebihi kapasitas mitigasi (ambang pemicu blackhole), produk cloud akan dikenai penyaringan blackhole. Ini mencegah serangan DDoS menyebabkan kerusakan lebih lanjut pada produk cloud atau memengaruhi aset lainnya. Penyaringan blackhole berarti Alibaba Cloud sementara waktu memblokir seluruh lalu lintas inbound dari Internet ke produk cloud tersebut. Untuk informasi selengkapnya, lihat Kebijakan penyaringan blackhole Alibaba Cloud. | Anti-DDoS Origin terutama mengatasi serangan DDoS Lapisan 3 dan Lapisan 4. Saat lalu lintas melebihi ambang batas pembersihan default, Anti-DDoS Origin secara otomatis memicu pembersihan lalu lintas untuk mengurangi dampak serangan DDoS. Anti-DDoS Origin menggunakan pembersihan pasif sebagai metode mitigasi utama dan pemblokiran aktif sebagai metode tambahan. Teknologi standar seperti deteksi balik, daftar hitam dan daftar putih, serta kepatuhan paket digunakan untuk mengurangi serangan DDoS. Hal ini memastikan layanan cloud yang dilindungi tetap beroperasi normal selama serangan. Anti-DDoS Origin bekerja dengan menempatkan sistem pendeteksian serangan DDoS dan pembersihan lalu lintas di egress pusat data Alibaba Cloud. Sistem ini ditempatkan dalam mode bypass. | Berdasarkan aturan pengalihan yang Anda konfigurasi untuk layanan di Anti-DDoS Pro dan Anti-DDoS Premium (yaitu, tentukan nama domain website dan gunakan CNAME aman GA sebagai alamat server), GA mengarahkan ulang lalu lintas dengan mengarahkan resolusi nama domain DNS atau alamat IP layanan ke alamat IP instans Anti-DDoS Pro atau Anti-DDoS Premium.
|
Referensi |
Kasus penggunaan
Hubungkan GA ke Anti-DDoS Origin
Situs web perusahaan ditempatkan di Alibaba Cloud di wilayah AS (Silicon Valley) dan melayani pengguna akhir di berbagai wilayah global melalui nama domain kustom. Port pengalihan adalah Port HTTP 80. Situs web ini saat ini menghadapi masalah berikut:
Jaringan publik lintas batas yang tidak stabil, sering mengalami latensi, jitter, dan kehilangan paket.
Serangan DDoS volume tinggi yang sering terjadi sehingga menyebabkan respons layanan tidak stabil.
Anda dapat mengatasi masalah layanan situs web lintas domain ini dengan menerapkan GA bersama Anti-DDoS Origin.
GA: Permintaan akses klien terhubung ke jaringan akselerasi Alibaba Cloud dari area percepatan terdekat. GA menggunakan perutean pintar dan penjadwalan jaringan otomatis untuk meneruskan permintaan ke server origin di wilayah AS (Silicon Valley), yang secara efektif meningkatkan kecepatan akses layanan. Selain itu, Anda dapat mengaktifkan pemeriksaan kesehatan guna meningkatkan keandalan dan ketersediaan bisnis serta mencegah node abnormal memengaruhi layanan.
Anti-DDoS Origin: Anti-DDoS Origin memungkinkan Anda menambahkan instans GA sebagai objek yang dilindungi untuk melindungi alamat IP yang dipercepat dan alamat IP publik titik akhir GA. Saat lalu lintas melebihi ambang batas pembersihan default Anti-DDoS Origin, pembersihan lalu lintas secara otomatis dipicu guna mengurangi dampak serangan DDoS.
Batasan
Anti-DDoS Origin hanya tersedia untuk pembelian langsung di Daratan Tiongkok. Untuk membeli instans di wilayah luar Daratan Tiongkok, hubungi manajer akun Anda untuk bantuan. Untuk informasi lebih lanjut tentang cara menghubungi manajer akun Anda, lihat Hubungi kami.
Prasyarat
Layanan Anda ditempatkan di server ECS01 dan ECS02 di wilayah AS (Silicon Valley). Topik ini menggunakan Alibaba Cloud Linux 3 sebagai contoh dan mengonfigurasi layanan HTTP 80 menggunakan Nginx.
Anda telah mengonfigurasi rekaman DNS untuk nama domain kustom Anda. Anda telah mengonfigurasi rekaman A untuk mengarahkan nama domain ke alamat IP publik kedua server backend.
Jika Anda menggunakan layanan DNS selain Alibaba Cloud DNS, lihat petunjuk penyedia DNS Anda.
Untuk menyediakan layanan melalui HTTPS 443, Anda harus membuat dan mengajukan sertifikat atau mengunggah sertifikat pihak ketiga ke layanan SSL Certificate dan mengikatnya ke nama domain kustom Anda.
Anda telah membeli instans Anti-DDoS Origin.
Prosedur
Langkah 1: Konfigurasikan Global Accelerator
Topik ini menggunakan contoh instans GA standar bayar sesuai penggunaan.
Pada halaman di Konsol Global Accelerator, klik Create Standard Pay-as-you-go Instance.
Pada langkah Basic Instance Configuration, konfigurasikan parameter dan klik Next.
Pada langkah Configure Acceleration Area, tambahkan area percepatan, alokasikan bandwidth ke wilayah tersebut, lalu klik Next.
Dalam contoh ini, atur parameter Acceleration Area ke China (Hong Kong), dan ISP Line Type ke BGP (Multi-ISP). Anda dapat menggunakan nilai default untuk parameter lain atau menyesuaikannya sesuai kebutuhan. Untuk informasi selengkapnya, lihat Add and manage acceleration areas.
PentingJika Anda memerlukan area percepatan di Daratan Tiongkok, Anda harus memiliki pendaftaran ICP untuk nama domain agar dapat menyediakan layanan.
Rencanakan bandwidth yang Anda butuhkan dengan tepat. Bandwidth maksimum yang tidak mencukupi dapat menyebabkan pembatasan kecepatan dan kehilangan paket.
Pada langkah Configure Listeners, konfigurasikan protokol perutean dan port, lalu klik Next.
Dalam contoh ini, atur parameter Routing Type ke Intelligent Routing, Protocol ke HTTP, dan Port ke 80. Anda dapat menggunakan nilai default untuk parameter lain atau menyesuaikannya sesuai kebutuhan. Untuk informasi selengkapnya, lihat Add and manage intelligent routing listeners.
CatatanJika Anda ingin menggunakan port HTTPS 443 untuk menyediakan layanan, Anda dapat memilih HTTPS untuk parameter Protocol dan 443 untuk Port, mengaitkan sertifikat dengan listener, dan mengonfigurasi pemetaan antara port listener 443 dan port layanan backend 80 pada parameter Port Mapping kelompok titik akhir. Dengan demikian, pengguna dapat mengakses situs web HTTP secara aman melalui HTTPS.
Pada halaman wizard Configure Endpoint Group, konfigurasikan layanan backend untuk titik akhir dan klik Next.
Dalam skenario ini, atur Region ke US (Silicon Valley). Untuk Backend Service, konfigurasikan ECS01 dan ECS02 secara berurutan. Aktifkan sakelar Health Check, lalu baca dan pilih Cross-border Data Transfer Compliance Commitment. Anda dapat mempertahankan nilai default untuk parameter kelompok titik akhir lainnya atau menyesuaikannya sesuai kebutuhan.
Pada langkah Configuration Review, konfirmasi konfigurasi GA dan klik Submit.
Pada halaman Instances, temukan instans GA yang telah dibuat dan dapatkan CNAME yang ditetapkan untuk instans GA tersebut di kolom CNAME.
Pada server backend, izinkan segmen jaringan yang digunakan GA untuk terhubung ke layanan backend.
Dalam skenario ini, GA terhubung ke server ECS backend melalui jaringan pribadi. Anda perlu mengizinkan blok CIDR vSwitch-nya di ECS security group dan pastikan jumlah alamat IP pribadi yang tersedia dalam blok CIDR vSwitch tersebut minimal 8.
Langkah 2: Konfigurasikan Anti-DDoS Origin
Pada halaman Protected Objects di Konsol Anti-DDoS Origin, klik Add Protected Object untuk menambahkan instans GA sebagai objek yang dilindungi.
Setelah menambahkan aset, Anda dapat melihat instans GA yang dilindungi pada tab GA Assets di halaman Protected Objects. Anda juga dapat melihat alamat IP publik yang dilindungi, termasuk alamat IP yang dipercepat GA dan alamat IP publik kelompok titik akhir, pada tab IP Assets.
Langkah 3: Konfigurasikan rekaman CNAME
Dalam skenario bisnis aktual, kami merekomendasikan penggunaan nama domain kustom. Anda dapat membuat rekaman CNAME untuk memetakan nama domain kustom ke CNAME yang ditetapkan oleh GA. Dengan demikian, lalu lintas bisnis dialihkan ke GA untuk akses yang dipercepat.
Dalam contoh ini, jika Anda telah membuat rekaman A yang mengarah ke server backend, Anda dapat menentukan wilayah China (Hong Kong) saat menambahkan rekaman CNAME yang mengarah ke instans GA. Jika rekaman CNAME berfungsi sebagaimana mestinya, terapkan rekaman CNAME tersebut ke wilayah lain atau pertahankan hanya rekaman CNAME yang mengarah ke instans GA.
Pada halaman Domain Names, temukan nama domain yang ingin Anda gunakan dan klik DNS Settings di kolom Actions.
CatatanUntuk nama domain yang tidak didaftarkan di Alibaba Cloud, Anda harus menambahkan nama domain ke konsol Cloud DNS sebelum dapat mengonfigurasi rekaman DNS.
Pada halaman DNS Settings, klik Add DNS Record, konfigurasikan rekaman CNAME, lalu klik OK.
Dalam contoh ini, parameter Record Type diatur ke CNAME, parameter Hostname diatur ke www, parameter DNS Request Source diatur ke China (Hong Kong), dan parameter Record Value diatur ke CNAME instans GA. Anda dapat menggunakan nilai default untuk parameter lain atau menyesuaikannya sesuai kebutuhan. Untuk informasi selengkapnya, lihat Add DNS records.
Langkah 4: Verifikasi hasil
Verifikasi kinerja akselerasi GA
Topik ini menggunakan titik probe di Hong Kong (Tiongkok) sebagai contoh. Sebelum dan setelah mengonfigurasi GA, gunakan tool probe jaringan untuk menguji nama domain kustom situs web dan periksa waktu respons guna memahami latensi data.
Uji latensi jaringan sebelum mengonfigurasi GA.
Anda dapat melihat informasi seperti waktu respons. Kolom Resolved IP menampilkan alamat IP publik instance ECS.
Uji latensi jaringan setelah mengonfigurasi GA.
Anda dapat melihat informasi seperti waktu respons. Kolom Resolved IP menampilkan alamat IP yang dipercepat instans GA.
Hasil pengujian menunjukkan bahwa GA mengurangi latensi bagi klien di Hong Kong (Tiongkok) yang mengakses layanan di wilayah AS (Silicon Valley).
Kinerja akselerasi GA bergantung pada hasil pengujian bisnis Anda.
Masukkan nama domain kustom situs web di browser untuk mengakses situs web yang ditempatkan di wilayah AS (Silicon Valley).
Hasil pengujian menunjukkan bahwa Anda dapat mengakses situs web yang ditempatkan di wilayah AS (Silicon Valley) melalui nama domain kustom. Setelah merefresh browser beberapa kali, server yang merespons berganti antara ECS01 dan ECS02.
Simulasikan kegagalan: Hentikan server ECS01.
Setelah beberapa saat, Anda dapat memeriksa Health Check Status pada tab Endpoint Group instans GA.
Setelah merefresh browser beberapa kali, Anda masih dapat mengakses layanan secara normal, tetapi satu-satunya server yang merespons adalah ECS02.
Verifikasi efek perlindungan Anti-DDoS Origin
Anda dapat menggunakan fitur-fitur berikut yang disediakan oleh Anti-DDoS Origin untuk memeriksa efek perlindungan.
Halaman Business Monitoring menyediakan informasi waktu nyata, seperti tren traffic dan catatan event serangan DDoS untuk aset yang dilindungi.
Halaman Attack Analysis memungkinkan Anda mengkueri dan menganalisis detail event serangan pada instans Anti-DDoS Origin, termasuk jenis serangan, volume traffic serangan, dan durasi.
Halaman Mitigation Logs mencatat cara Anti-DDoS Origin menangani lalu lintas, termasuk informasi detail seperti pendeteksian serangan dan pembersihan lalu lintas. Dengan menganalisis log mitigasi, Anda dapat lebih lanjut memverifikasi efektivitas kebijakan mitigasi.
Hubungkan GA ke Anti-DDoS Pro/Premium
Sebuah game multinasional ditempatkan di Alibaba Cloud di wilayah AS (Silicon Valley) dan melayani pemain di berbagai wilayah global melalui nama domain kustom. Game ini saat ini menghadapi masalah berikut:
Jaringan publik lintas batas yang tidak stabil, sering mengalami latensi, jitter, dan kehilangan paket.
Serangan DDoS skala besar yang sering terjadi sehingga menyebabkan gangguan layanan total.
Untuk mengatasi masalah ini, perusahaan game berencana menerapkan GA dan menghubungkannya ke Anti-DDoS Pro dan Anti-DDoS Premium:
GA: Permintaan akses klien diarahkan ke jaringan akselerasi Alibaba Cloud terdekat melalui wilayah akselerasi yang dikonfigurasi. Permintaan tersebut kemudian diteruskan ke server origin di wilayah AS (Silicon Valley) menggunakan perutean pintar dan penjadwalan jaringan otomatis untuk secara efektif meningkatkan kecepatan akses layanan. Selain itu, Anda dapat mengaktifkan pemeriksaan kesehatan guna meningkatkan keandalan dan ketersediaan layanan serta mencegah node abnormal memengaruhi layanan Anda.
Anti-DDoS Pro/Premium: Setelah Anda menghubungkan GA ke Anti-DDoS Pro atau Premium, lalu lintas normal dipercepat dan dikirim langsung ke server origin melalui GA tanpa menambah latensi. Selama serangan DDoS skala besar, GA menggunakan resolusi DNS untuk mengalihkan lalu lintas ke pusat pembersihan anti-DDoS untuk dibersihkan. Lalu lintas yang telah dibersihkan kemudian dipercepat melalui CNAME aman GA (alamat IP yang dipercepat aman) ke jaringan akselerasi Alibaba Cloud dan akhirnya diteruskan ke server. Hal ini memastikan akses stabil ke server game.
Batasan
Menghubungkan GA ke Anti-DDoS Pro dan Anti-DDoS Premium tidak tersedia secara default. Untuk menggunakan fitur ini, hubungi manajer bisnis Anda.
Untuk membeli Edisi Premium Anti-DDoS Pro dan Anti-DDoS Premium (Daratan Tiongkok), atau Sec-MCA 1.0 atau Sec-MCA 1.0 (Edisi Dasar) Anti-DDoS Pro dan Anti-DDoS Premium (luar Daratan Tiongkok), hubungi manajer bisnis Anda.
Hanya instans GA standar bayar sesuai penggunaan yang dapat dihubungkan ke Anti-DDoS Premium. Instans GA standar berlangganan dan instans GA dasar tidak didukung.
Prasyarat
Layanan Anda ditempatkan di server ECS01 dan ECS02 di wilayah AS (Silicon Valley). Topik ini menggunakan Alibaba Cloud Linux 3 sebagai contoh dan mengonfigurasi layanan HTTP 80 menggunakan Nginx.
Anda telah mengonfigurasi rekaman DNS untuk nama domain kustom Anda. Anda telah mengonfigurasi rekaman A untuk mengarahkan nama domain ke alamat IP publik kedua server backend.
Jika Anda menggunakan layanan DNS selain Alibaba Cloud DNS, lihat petunjuk penyedia DNS Anda.
Untuk menyediakan layanan melalui HTTPS 443, Anda harus membuat dan mengajukan sertifikat atau mengunggah sertifikat pihak ketiga ke layanan SSL Certificate dan mengikatnya ke nama domain kustom Anda.
Anda telah membeli instans Anti-DDoS Pro atau Anti-DDoS Premium.
Topik ini menggunakan contoh instans Anti-DDoS Pro atau Anti-DDoS Premium (Luar Daratan Tiongkok) dengan Rencana Mitigasi dan Fungsi Standar yang dibeli untuk klien yang mengakses layanan dari wilayah Hong Kong (Tiongkok).
PentingJika area akselerasi GA yang Anda konfigurasi (wilayah klien) mencakup Daratan Tiongkok, Anda juga perlu membeli instans Anti-DDoS Pro atau Anti-DDoS Premium (Daratan Tiongkok) dan memastikan nama domain kustom Anda telah menyelesaikan pendaftaran ICP.
Prosedur
Langkah 1: Konfigurasikan Global Accelerator
Pada halaman di Konsol Global Accelerator, klik Create Standard Pay-as-you-go Instance.
Pada langkah Basic Instance Configuration, konfigurasikan parameter dan klik Next.
Pada langkah Configure Acceleration Area, tambahkan area percepatan, alokasikan bandwidth ke wilayah tersebut, lalu klik Next.
Dalam contoh ini, atur parameter Acceleration Area ke China (Hong Kong), dan ISP Line Type ke BGP (Multi-ISP). Anda dapat menggunakan nilai default untuk parameter lain atau menyesuaikannya sesuai kebutuhan. Untuk informasi selengkapnya, lihat Add and manage acceleration areas.
PentingJika Anda memerlukan area percepatan di Daratan Tiongkok, Anda harus memiliki pendaftaran ICP untuk nama domain agar dapat menyediakan layanan.
Rencanakan bandwidth yang Anda butuhkan dengan tepat. Bandwidth maksimum yang tidak mencukupi dapat menyebabkan pembatasan kecepatan dan kehilangan paket.
Pada langkah Configure Listeners, konfigurasikan protokol perutean dan port, lalu klik Next.
Dalam contoh ini, atur parameter Routing Type ke Intelligent Routing, Protocol ke HTTP, dan Port ke 80. Anda dapat menggunakan nilai default untuk parameter lain atau menyesuaikannya sesuai kebutuhan. Untuk informasi selengkapnya, lihat Add and manage intelligent routing listeners.
CatatanJika Anda ingin menggunakan port HTTPS 443 untuk menyediakan layanan, Anda dapat memilih HTTPS untuk parameter Protocol dan 443 untuk Port, mengaitkan sertifikat dengan listener, dan mengonfigurasi pemetaan antara port listener 443 dan port layanan backend 80 pada parameter Port Mapping kelompok titik akhir. Dengan demikian, pengguna dapat mengakses situs web HTTP secara aman melalui HTTPS.
Pada halaman Configure an endpoint group, konfigurasikan layanan backend untuk titik akhir dan klik Next.
Dalam skenario ini, Region diatur ke US (Silicon Valley). Untuk Backend Service, tambahkan ECS01 dan ECS02 secara berurutan. Aktifkan sakelar Health Check, lalu baca dan pilih Compliance Commitments Regarding Cross-border Data Transfers. Pertahankan nilai default untuk parameter kelompok titik akhir lainnya atau ubah sesuai kebutuhan.
Pada langkah Configuration Review, konfirmasi konfigurasi GA dan klik Submit.
Pada halaman Instances, temukan instans GA yang telah dibuat dan dapatkan CNAME yang ditetapkan untuk instans GA tersebut di kolom CNAME.
Pada server backend, izinkan segmen jaringan yang digunakan GA untuk terhubung ke layanan backend.
Dalam skenario ini, GA terhubung ke server ECS backend melalui jaringan pribadi. Anda perlu mengizinkan blok CIDR vSwitch-nya di ECS security group dan pastikan jumlah alamat IP pribadi yang tersedia dalam blok CIDR vSwitch tersebut minimal 8.
Langkah 2: Hubungkan instans GA ke Anti-DDoS Pro atau Anti-DDoS Premium
Pada halaman di Konsol Global Accelerator, temukan instans GA target dan klik
> Associate with Anti-DDoS Pro/Premium di kolom Actions.Pada kotak dialog Associate with Anti-DDoS Pro/Premium, pilih instans Anti-DDoS Pro atau Anti-DDoS Premium dan klik OK.
Dalam skenario ini, karena area akselerasi GA adalah Hong Kong (Tiongkok), pilih instans Anti-DDoS Pro or Anti-DDoS Premium (Outside Chinese Mainland). Jika area akselerasi GA yang Anda konfigurasi (wilayah klien) mencakup Daratan Tiongkok, Anda juga harus memilih instans Anti-DDoS Premium atau Anti-DDoS Pro (Chinese Mainland) dan ikuti Langkah 3 untuk mengonfigurasi Website Config untuk instans tersebut.
Di sebelah kanan ID instans, arahkan kursor ke ikon Anti-DDoS Pro/Premium. Pada tooltip Anti-DDoS Proxy, dapatkan Secure GA CNAME.
CatatanSetelah Anda mengonfigurasi GA untuk terhubung ke Anti-DDoS Pro dan Anti-DDoS Premium, setiap area akselerasi diberikan empat alamat IP yang dipercepat. Dua di antaranya adalah alamat IP yang dipercepat aman, yang sesuai dengan rekaman CNAME aman GA. Saat layanan Anda diserang, lalu lintas yang telah dibersihkan oleh Anti-DDoS Pro dan Anti-DDoS Premium dipercepat melalui CNAME aman GA (alamat IP yang dipercepat aman) ke jaringan akselerasi Alibaba Cloud.
Langkah 3: Tambahkan website ke Anti-DDoS Pro atau Anti-DDoS Premium
Pada halaman Website Config di konsol Anti-DDoS Pro Proxy (Outside Chinese Mainland), klik Add Website.
Pada panel Add Website, konfigurasikan pengaturan dalam wizard Website Config, lalu klik Next.
Dalam skenario ini, untuk Instance, pilih instans Anti-DDoS Pro atau Anti-DDoS Premium yang telah Anda beli. Untuk Websites, masukkan nama domain kustom Anda. Untuk Server Address, pilih Origin Domain Name dan masukkan GA secure CNAME dari Langkah 2. Protocol Type dan Server Port harus sesuai dengan protokol dan port listener GA (HTTP 80). Lalu, baca dan pilih Compliance Commitments Regarding Cross-border Data Transfer. Anda dapat mempertahankan nilai default untuk parameter konfigurasi website lainnya atau menyesuaikannya sesuai kebutuhan.
PeringatanUntuk Server Address, pilih GA secure CNAME alih-alih CNAME GA untuk mencegah loop lalu lintas.
Pada wizard Forwarding Settings, konfirmasi konfigurasi dan klik Next.
Dalam skenario ini, Anda dapat mempertahankan konfigurasi default.
Pada halaman Finish, klik Complete and Return to Domain Name List.
Pada server origin, tambahkan alamat IP kembali ke asal Anti-DDoS Pro atau Anti-DDoS Premium ke daftar putih.
Anda perlu menambahkan rentang alamat IP kembali ke asal Anti-DDoS Pro dan Anti-DDoS Premium ke daftar putih perangkat lunak keamanan dan grup keamanan Anda untuk mencegah lalu lintas kembali ke asal diblokir secara tidak sengaja.
Langkah 4: Konfigurasikan rekaman CNAME
Dalam skenario bisnis aktual, kami merekomendasikan penggunaan nama domain kustom. Anda dapat membuat rekaman CNAME untuk memetakan nama domain kustom ke CNAME yang ditetapkan oleh GA. Dengan demikian, lalu lintas bisnis dialihkan ke GA untuk akses yang dipercepat.
Dalam contoh ini, jika Anda telah membuat rekaman A yang mengarah ke server backend, Anda dapat menentukan wilayah China (Hong Kong) saat menambahkan rekaman CNAME yang mengarah ke instans GA. Jika rekaman CNAME berfungsi sebagaimana mestinya, terapkan rekaman CNAME tersebut ke wilayah lain atau pertahankan hanya rekaman CNAME yang mengarah ke instans GA.
Pada halaman Domain Names, temukan nama domain yang ingin Anda gunakan dan klik DNS Settings di kolom Actions.
CatatanUntuk nama domain yang tidak didaftarkan di Alibaba Cloud, Anda harus menambahkan nama domain ke konsol Cloud DNS sebelum dapat mengonfigurasi rekaman DNS.
Pada halaman DNS Settings, klik Add DNS Record, konfigurasikan rekaman CNAME, lalu klik OK.
Dalam contoh ini, parameter Record Type diatur ke CNAME, parameter Hostname diatur ke www, parameter DNS Request Source diatur ke China (Hong Kong), dan parameter Record Value diatur ke CNAME instans GA. Anda dapat menggunakan nilai default untuk parameter lain atau menyesuaikannya sesuai kebutuhan. Untuk informasi selengkapnya, lihat Add DNS records.
Langkah 5: Verifikasi hasil
Verifikasi kinerja akselerasi GA
Topik ini menggunakan titik probe di Hong Kong (Tiongkok) sebagai contoh. Sebelum dan setelah mengonfigurasi GA, gunakan tool probe jaringan untuk menguji nama domain kustom situs web dan periksa waktu respons guna memahami latensi data.
Uji latensi jaringan sebelum mengonfigurasi GA.
Anda dapat melihat informasi seperti waktu respons. Kolom Resolved IP menampilkan alamat IP publik instance ECS.
Uji latensi jaringan setelah mengonfigurasi GA.
Anda dapat melihat informasi seperti waktu respons. Kolom Resolved IP menampilkan alamat IP yang dipercepat instans GA.
Hasil pengujian menunjukkan bahwa GA mengurangi latensi bagi klien di Hong Kong (Tiongkok) yang mengakses layanan di wilayah AS (Silicon Valley).
Kinerja akselerasi GA bergantung pada hasil pengujian bisnis Anda.
Verifikasi fitur pemeriksaan kesehatan GA
Masukkan nama domain kustom situs web di browser untuk mengakses situs web yang ditempatkan di wilayah AS (Silicon Valley).
Hasil pengujian menunjukkan bahwa Anda dapat mengakses situs web yang ditempatkan di wilayah AS (Silicon Valley) melalui nama domain kustom. Setelah merefresh browser beberapa kali, server yang merespons berganti antara ECS01 dan ECS02.
Simulasikan kegagalan: Hentikan server ECS01.
Setelah beberapa saat, Anda dapat memeriksa Health Check Status pada tab Endpoint Group instans GA.
Setelah merefresh browser beberapa kali, Anda masih dapat mengakses layanan secara normal, tetapi satu-satunya server yang merespons adalah ECS02.
Verifikasi efek Anti-DDoS Pro atau Anti-DDoS Premium
Gunakan perintah
curluntuk terhubung ke nama domain kustom Anda dengan menentukan alamat IP instans Anti-DDoS Pro atau Anti-DDoS Premium. Jika koneksi berhasil, tautan antara GA dan Anti-DDoS Pro atau Anti-DDoS Premium berfungsi dengan baik. Saat layanan Anda diserang, GA dapat mengalihkan lalu lintas ke pusat pembersihan anti-DDoS untuk dibersihkan.PeringatanSetelah menghubungkan GA ke Anti-DDoS Pro dan Anti-DDoS Premium, Anda harus memastikan kondisi berikut terpenuhi untuk menghindari gangguan lalu lintas.
Pastikan Anda telah menyelesaikan pengujian konektivitas ini untuk mengonfirmasi bahwa tautan antara GA dan Anti-DDoS Pro atau Anti-DDoS Premium berfungsi dengan baik.
Sebelum melepas instans GA, jangan berhenti berlangganan instans Anti-DDoS Pro atau Anti-DDoS Premium. Anda juga harus memastikan instans Anti-DDoS Pro atau Anti-DDoS Premium belum kedaluwarsa agar status layanannya tetap terjaga.
curl 170.33.XX.XX -H "Host: <your custom domain name>"
Anda dapat menggunakan fitur-fitur berikut yang disediakan oleh Anti-DDoS Pro dan Anti-DDoS Premium untuk melihat efek perlindungan atau segera diberi tahu tentang anomali bisnis.
Halaman Attack Analysis memungkinkan Anda melihat catatan dan detail event serangan pada instans Anti-DDoS Pro atau Anti-DDoS Premium.
Halaman Advanced Mitigation Logs memungkinkan Anda melihat penggunaan sesi mitigasi lanjutan. Anda harus membeli instans yang mencakup sesi mitigasi lanjutan atau sesi mitigasi lanjutan global tambahan untuk melihat informasi ini.
Halaman CloudMonitor Alerts memungkinkan Anda mengatur pemantauan peringatan dan dasbor waktu nyata. Saat terjadi anomali pada layanan Anti-DDoS Anda, CloudMonitor dapat segera mengirimkan peringatan kepada Anda. Hal ini membantu mempersingkat waktu respons dan memulihkan bisnis Anda sesegera mungkin. Anda juga dapat melihat detail pemantauan di dasbor waktu nyata untuk troubleshooting.
Referensi
Biaya GA mencakup biaya instans GA, biaya CU, dan biaya traffic.
Untuk skenario lintas batas, premium bandwidth cross-border acceleration digunakan secara default. Jika Anda memerlukan kualitas jaringan yang lebih tinggi, Anda dapat menggunakan leased line cross-domain acceleration. Untuk informasi selengkapnya, lihat Acceleration configuration selection.
Untuk informasi selengkapnya tentang Anti-DDoS: