Anti-DDoS Origin インスタンスを購入した後、パブリック IP アセットを保護対象として追加すると、Anti-DDoS Origin によってデフォルトの緩和ポリシーが適用されます。このトピックでは、保護対象の追加方法、クロスボーダー攻撃に対する近源抑制の有効化方法、および強化 EIP アセットを追加する際の一般的な障害シナリオのトラブルシューティング方法について説明します。
事前準備
Anti-DDoS Origin インスタンスを使用して保護対象 (強化された EIP アセットなど) を追加するには、サービスにリンクされたロール (SLR) の承認を完了する必要があります。インスタンスの管理 ページに移動し、Anti-DDoS Origin インスタンスが他のクラウド製品にアクセスできるように、承認を完了してください。
ロール名: AliyunServiceRoleForDDoSBgp。ポリシー: AliyunServiceRolePolicyForDDoSBgp。
保護対象の追加
Anti-DDoS Origin を初めて使用する場合は、保護対象を追加する際に、Anti-DDoS Origin が他のクラウド製品にアクセスできるよう、クラウド製品の承認を完了してください。
標準層クラウド製品
自動
適用範囲
すべてのエディションの Anti-DDoS Origin 2.0 インスタンス。
サポートされるアセット:
現在の Alibaba Cloud アカウント配下のアセットの自動追加をサポートします。
マルチアカウント管理が有効になっている場合、メンバーアカウント配下の ECS、EIP (NAT を含む)、IPv6 ゲートウェイ、および SLB アセットのみをサポートします。他のアセットタイプはサポートしていません。
自動追加ルール
トリガー条件:クラウド製品は、そのステータスが スクラビング または ブラックホール の場合にのみ自動的に追加されます。
既存のアセット:自動追加を有効にすると、ステータス要件を満たす既存のクラウド製品は 5~30 分以内に追加されます。
新規作成されたアセット:ステータスルールを満たす新規作成されたクラウド製品も、保護対象として自動的に追加されます。
複数のインスタンス:
Anti-DDoS Origin 2.0 (従量課金) インスタンスを購入した場合、アセットは優先的に従量課金インスタンスに追加されます。
複数の Anti-DDoS Origin 2.0 (サブスクリプション) インスタンスを購入し、すべてで自動追加が有効になっている場合、保護を有効にするインスタンスはランダムに選択されます。
自動追加の有効化
Traffic Security コンソールにログインします。
上部のナビゲーションバーの左上隅で、インスタンスのリソースグループを選択し、リージョンとしてグローバルを選択します。
左側のナビゲーションウィンドウで、 を選択します。
保護対象 ページで、対象のインスタンスを選択し、有効化 の下にある 攻撃ステータスによる分類 をクリックして、アセットがどのステータスで自動的に保護対象として追加されるかを設定します。
手動
適用範囲
インスタンスタイプ | エディション | 保護可能なアセット範囲 |
[Anti-DDoS Origin 1.0 (Subscription)] | [Enterprise Edition] | 現在のアカウントのアセット |
[Anti-DDoS Origin 2.0 (Subscription)] | [Inclusive Edition (中小企業向け)] | 現在のアカウントのアセット |
[Enterprise Edition] | 現在のアカウントのアセット、およびメンバーアカウントの ECS、EIP (NAT を含む)、IPv6 ゲートウェイ、SLB アセット | |
[Anti-DDoS Origin 2.0 (Pay-as-you-go)] | [Enterprise Edition] | 現在のアカウントのアセット、およびメンバーアカウントのアセット |
現在のアカウントからのアセットの追加
Anti-DDoS Origin 2.0
Traffic Security コンソールにログインします。
上部のナビゲーションバーの左上隅で、インスタンスのリソースグループを選択し、リージョンとして グローバル を選択します。
左側のナビゲーションウィンドウで、 を選択します。
保護対象 ページで、対象のインスタンスを選択し、保護対象の追加 をクリックします。
アセットから追加 または 手動で追加 を選択し、OK をクリックします。
[アセットから追加]:利用可能なアセットから、現在の Alibaba Cloud アカウント配下のパブリック IP アセットを選択します。
[手動で追加]:現在の Alibaba Cloud アカウント配下のパブリック IP アセットを手動で入力します。
追加した IP アセットが保護対象リストに 正常 ステータスで表示されることを確認します。
Anti-DDoS Origin 1.0
Traffic Security コンソールにログインします。
上部メニューの左上隅で、インスタンスのリソースグループとリージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
保護対象 ページで、対象のインスタンスを選択し、保護対象の追加 をクリックします。
アセットから追加 または 手動で追加 を選択し、OK をクリックします。
[アセットから追加]:利用可能なアセットから、現在の Alibaba Cloud アカウント配下のパブリック IP アセットを選択します。
[手動で追加]:現在の Alibaba Cloud アカウント配下のパブリック IP アセットを手動で入力します。
追加した IP アセットが保護対象リストに 正常 ステータスで表示されることを確認します。
メンバーアカウントからのアセットの追加
現在の Alibaba Cloud アカウントでマルチアカウント管理が有効になっており、管理アカウントである場合、メンバーアカウントのパブリック IP アセットを保護対象として追加できます。詳細については、「マルチアカウント統合管理の設定手順」をご参照ください。
Traffic Security コンソールにログインします。
上部のナビゲーションバーの左上で、インスタンスのリソースグループを選択し、リージョンに グローバル を選択します。
左側のナビゲーションウィンドウで、 を選択します。
保護対象 ページで、対象のインスタンスを選択し、保護対象の追加 をクリックします。
メンバーアカウントの資産追加 タブの アセットの所属 エリアで、対象のアカウントを選択します。
利用可能なアセットから、保護が必要なメンバーアカウントのアセットを選択し、OK をクリックします。
追加した IP アセットが保護対象リストに 正常 ステータスで表示されることを確認します。
拡張層クラウド製品
適用範囲
Anti-DDoS Origin 2.0 (Subscription)-Enterprise Edition インスタンスと Anti-DDoS Origin 2.0 (Pay-as-you-go) インスタンスにのみ適用されます。
サポートされるクラウド製品: [Anti-DDoS (Enhanced Edition) EIP] (強化 EIP)。
強化 EIP の仕組み
強化 EIP を購入すると、システムは自動的にそれを保護対象として、Anti-DDoS Origin 2.0 (Pay-as-you-go) インスタンスまたは Anti-DDoS Origin 2.0 (Subscription)-Enterprise Edition インスタンスに追加します。 手動での設定は不要です。
コンソールから手動で強化 EIP を追加することはできません。
自動追加ルール
新規購入された強化 EIP (Resource Directory シナリオ以外):
[Anti-DDoS Origin 2.0 (Pay-as-you-go)] インスタンスのみを所有している場合、EIP は自動的に従量課金インスタンスに追加されます。
Anti-DDoS Origin 2.0 (Subscription)-Enterprise Edition インスタンスのみをお持ちの場合、 EIP はエンタープライズ版インスタンスに自動的に追加されます。
従量課金インスタンスとサブスクリプションの Enterprise Edition インスタンスの両方がある場合、EIP は優先的に従量課金インスタンスに追加されます。
Resource Directory (RD) マルチアカウントシナリオ (サブアカウントが強化 EIP アセットを購入): EIP は階層戦略に基づいて自動的に関連付けられます:
従量課金インスタンスはサブスクリプションインスタンスより優先されます。
メインアカウントのリソースはメンバーアカウントのリソースより優先されます。
サブスクリプションインスタンスは、残りの容量が大きいものが優先されます。
優先度
アカウント
インスタンス
1
RD 管理アカウント
Anti-DDoS Origin 2.0 (従量課金)
2
RD member account
Anti-DDoS Origin 2.0 (従量課金)
3
RD メインアカウント
Anti-DDoS Origin 2.0 (サブスクリプション) - Enterprise
説明残りの容量が大きいものが優先されます。
4
RD メンバーアカウント
Anti-DDoS Origin 2.0 (サブスクリプション) - Enterprise
説明残りの容量が大きいものが優先されます。
強化 EIP のライフサイクル
強化 EIP アセットのライフサイクルは、Anti-DDoS Origin 2.0 (サブスクリプション) - Enterprise インスタンスと連携しています:
強化 EIP がリリースされると、アセット情報が API を介して Anti-DDoS Origin に同期され、アセットはインスタンスから自動的に削除されます。
Anti-DDoS Origin (サブスクリプション) インスタンスが期限切れになると、トラフィック転送を停止するためのメッセージが EIP に同期されます。転送が停止した後、インスタンスを更新すると EIP は再び使用可能になります。インスタンスが更新されない場合、EIP は Anti-DDoS Origin のライフサイクルに従って停止およびリリースされます。
Anti-DDoS Origin インスタンスが停止およびリリースされると、関連付けられた強化 EIP も自動的にリリースされます。強化 EIP はサービスの提供を停止し、関連する設定とデータは完全に削除され、復旧できません。
警告データの損失を避けるため、Anti-DDoS Origin インスタンスがリリースされる前に、ビジネスとデータを強化 EIP から移行してください。
保護対象の管理
近源抑制の有効化
近源抑制は、指定された抑制期間内にすべてのクロスボーダートラフィックを破棄します。これは、サービス自体にクロスボーダートラフィックがないシナリオに適しています。近源抑制は通常、キャリアバックボーンネットワーク上のコアルーターを使用して、攻撃元に近い特定のリージョンからのトラフィックを破棄します。
リージョンサポートルール:
中国本土のパブリック IP アセット: 近源抑制が有効になると、中国本土外 (海外リージョン、香港、マカオ、台湾を含む) からのすべてのトラフィックがブロックされます。
中国本土外 (海外リージョン、香港、マカオ、台湾を含む) のパブリック IP アセット: 近源抑制はサポートされていません。
ブロック解除メカニズム: 抑制期間が終了すると、トラフィックブロックは自動的に解除されます。ブロックを早期に解除するには、手動で近源抑制を無効にする必要があります。
クォータと制限: 有効な近源抑制ポリシーには時間制限があり、月間のクォータは 10 回です。
トラフィックセキュリティコンソールの攻撃分析ページを確認して、すべての攻撃トラフィックがクロスボーダー IP から発信されているかどうかを判断してください。もしそうであれば、月間クォータを無駄にしないように、パブリック IP アセットの近源抑制を有効にしてください。
手順
Traffic Security コンソールにログインします。
画面の左上で、リソースグループとリージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
対象のインスタンスを選択した後、対象の IP を見つけ、Cross-Border Traffic Blocking 列のスイッチを切り替えます。抑制期間を設定します。
説明抑制期間は 30 分から 1 日の範囲で、開始時刻と終了時刻で指定します。一度有効になると、期間は変更できません。変更するには、有効な近源抑制を無効にしてから、新しい期間で再度有効にする必要があります。
アセットリストで設定を確認します。抑制期間が終了すると、トラフィックブロックは自動的に解除され、近源抑制のステータスは無効に変わります。
保護対象の詳細の表示
Traffic Security コンソールにログインします。
画面の左上で、リソースグループとリージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
保護対象 ページで、表示したいインスタンスを選択すると、そのインスタンス配下にあるパブリック IP アセットの保護設定の詳細が表示されます。
IP アセットと WAF アセット
項目
説明
[Asset IP Address]
このインスタンスにバインドされているパブリック IP アセット。
[アセットの所属]
現在の Alibaba Cloud アカウントでマルチアカウント管理が有効になっており、管理アカウントであり、Anti-DDoS Origin 2.0 Enterprise インスタンスを使用している場合に表示されます。パブリック IP アセットが属する Alibaba Cloud アカウントを示します。
[トラフィックスクラブ]
トラフィックスクラビングをトリガーする最小アクセス帯域幅。トラフィック (Mbps) とパケットレート (PPS) を含みます。詳細については、「保護対象のスクラビングしきい値の説明」をご参照ください。
[アセットエリア]
パブリック IP アセットが属するリージョン。
[アセットタイプ]
パブリック IP アセットのアセットタイプ。
[ステータス]
パブリック IP アセットの DDoS セキュリティステータス。
[正常]
[ブラックホール中]: 操作 列の ブラックホール解除 をクリックします。ブラックホール解除 ダイアログボックスで、残りのブラックホール解除回数を表示します。解除を確認した後、確定 をクリックします。ブラックホールイベントの記録を表示します。詳細については、「ブラックホールイベントの記録の表示」をご参照ください。
[保護テンプレート]
パブリック IP アセットに関連付けられている保護ポリシーテンプレート。
値が デフォルト の場合、パブリック IP アセットが Anti-DDoS Origin のデフォルトの保護機能を使用しており、保護ポリシーが設定されていないことを示します。 カスタム保護ポリシテンプレートの場合は、テンプレートをクリックすると保護設定ページに移動して、テンプレートの詳細を表示できます。
[Cross-Border Traffic Blocking]
近源抑制が有効になっているかどうか。
[操作]
[削除]:保護対象を削除します。この操作は、アセットがブラックホール状態の場合にのみサポートされます。
[ブラックホール解除]:この操作は、アセットがブラックホール状態の場合にのみサポートされます。
[リアルタイム有効ポリシーの表示]:このパブリック IP アセットにリアルタイムで有効な保護ポリシーの具体的な情報を表示します。
[Anti-DDoS (Enhanced Edition) EIP] (強化 EIP)
項目
説明
IP
強化 EIP アドレス。
[アセットの所属]
現在の Alibaba Cloud アカウントでマルチアカウント管理が有効になっており、管理アカウントである場合に表示されます。強化 EIP が属する Alibaba Cloud アカウントを示します。
[トラフィックスクラブ]
トラフィックスクラビングをトリガーする最小アクセス帯域幅。トラフィック (Mbps) とパケットレート (PPS) を含みます。詳細については、「保護対象のスクラビングしきい値の説明」をご参照ください。
[アセットエリア]
強化 EIP が属するリージョン。
[アセットタイプ]
Anti-DDoS Native (Advanced) EIP (強化 EIP)。
[ポート数]
強化 EIP 配下でポート保護が設定されているポートの数。対象の IP の左側にあるアイコンをクリックすると、どのポートに保護ポリシーが設定されているかを確認できます。
[ステータス]
強化 EIP の DDoS セキュリティステータス。
[正常]
[ブラックホール中]: 操作 列の ブラックホール解除 をクリックします。ブラックホール解除 ダイアログボックスで、残りのブラックホール解除回数を表示します。解除を確認した後、確定 をクリックします。ブラックホールイベントの記録を表示します。詳細については、「ブラックホールイベントの記録の表示」をご参照ください。
[保護テンプレート]
強化 EIP に関連付けられている保護ポリシーテンプレート。
値が デフォルト の場合、その強化 EIP は保護ポリシーが設定されておらず、Anti-DDoS Origin のデフォルトの保護機能を使用していることを示します。カスタム保護ポリシーテンプレートの場合、テンプレートをクリックすると保護設定ページに移動し、テンプレートの詳細を表示できます。
[Cross-Border Traffic Blocking]
近源抑制が有効になっているかどうか。
[操作]
[ポートの追加]:指定されたポートを追加します。この操作は、強化 EIP がブラックホール状態の場合にのみサポートされます。
[ブラックホール解除]:この操作は、強化 EIP がブラックホール状態の場合にのみサポートされます。
[リアルタイム有効ポリシーの表示]:強化 EIP の保護ポリシーの詳細を表示します。
保護対象の削除
保護対象 ページで、対象のインスタンスを選択します。
アセットリストで、対象のパブリック IP アセットまたは強化 EIP を見つけ、[操作] 列の 削除 をクリックします。
保護対象の削除 ダイアログボックスで、警告を確認し、確定 をクリックします。
インスタンスの関連付けを一括調整
Traffic Security コンソールにログインします。
上部メニューの左上隅で、インスタンスのリソースグループを選択し、リージョンとして [すべてのリージョン] を選択します。
左側のナビゲーションウィンドウで、 を選択します。
対応するアセットタブ (例:Anti-DDoS (Enhanced) が有効な EIP) に移動し、リストの下にある [インスタンスの関連付けを一括調整] をクリックします。
ダイアログボックスで、対象の Anti-DDoS Origin インスタンスを選択し、OK をクリックします。
警告以下のいずれかの条件が発生した場合、一括移行全体が失敗します。部分的な移行はサポートされていません:
アセットリージョンの不一致: 移行先インスタンスが、移行対象アセットのリージョンをサポートしていない (例:中国本土のアセットが、中国本土以外のリージョンのみをサポートするインスタンスに移行される)。
容量不足: 移行対象アセットの数が、移行先インスタンスの保護 IP 上限を超えている。
攻撃中: スクラビング状態の IP は、関連付けられているインスタンスを切り替えることができません。
次のステップ
よくある質問
強化 EIP は自動的に保護対象として追加されますか?
はい。強化 EIP を購入すると、自動的に保護対象として追加されます。手動での設定は不要です。詳細については、「自動追加ルール」をご参照ください。
強化 EIP で近源抑制を有効にできますか?
はい。保護対象として、強化 EIP はクロスボーダー DDoS 攻撃を受けている際に近源抑制を有効にして、中国本土外からのトラフィックをブロックできます。近源抑制ポリシーには月間 10 回のクォータがあります。攻撃を受けている場合にのみ使用してください。
強化 EIP のライフサイクルは Anti-DDoS Origin インスタンスとどのように関連していますか?
強化 EIP のライフサイクルは Anti-DDoS Origin 2.0 (サブスクリプション) - Enterprise インスタンスと連携しています。強化 EIP がリリースされると、アセットは Anti-DDoS Origin インスタンスから自動的に削除されます。Anti-DDoS Origin インスタンスが期限切れになりリリースされると、関連付けられた強化 EIP も自動的にリリースされます。詳細については、「強化 EIP のライフサイクル」をご参照ください。
IP 容量がいっぱいになった場合はどうすればよいですか?
Anti-DDoS Origin インスタンスの保護 IP 容量を増やすか、新しいインスタンスを購入してください。関連する操作については、「インスタンス管理」および「料金」をご参照ください。
メンバーアカウントから管理アカウントにアセットを切り替えるにはどうすればよいですか?
パブリック IP アセットは 1 つのインスタンスでのみ保護できます。まずメンバーアカウント配下の保護対象を削除してから、管理アカウント配下で追加してください。
"The IP address does not belong to you" というエラーが表示された場合はどうすればよいですか?
以下の手順でトラブルシューティングを行ってください:
入力した IP アドレスが正しいことを確認します。
保護対象 IP に対応するクラウド製品のリージョンを確認し、そのリージョンが Anti-DDoS Origin インスタンスのリージョンと一致することを確認します。
保護対象 IP が WAF IP の場合は、WAF インスタンスのリージョンを確認し、Anti-DDoS Origin がそのリージョンをサポートしていることを確認します。サポートされているリージョンについては、「Anti-DDoS Origin とは」をご参照ください。
保護対象IPのタイプが IPv6 の場合は、パブリック帯域幅が有効になっているかどうかを確認します。ECS で IPv6 パブリック帯域幅を有効にする方法については、「IPv6 通信」をご参照ください。
強化 EIP の追加に失敗した場合はどうすればよいですか?
強化 EIP が保護対象として追加できない場合、以下の一般的な原因と解決策を確認してください:
SLRが承認されていません:EIP 拡張機能には、サービスリンクロール (SLR) の承認が必要です。インスタンスの管理 ページに移動し、指示に従って承認を完了してください。
リージョンの不一致: 強化 EIP のリージョンが Anti-DDoS Origin インスタンスのリージョンと一致しません。インスタンスをアップグレードして、強化 EIP のリージョンを含めてください。
容量不足: インスタンスの IP 容量がいっぱいです。インスタンスをアップグレードして IP 容量を増やしてください。
エディションの不一致: 現在のインスタンスエディションはこの機能をサポートしていません。Anti-DDoS Origin 2.0 Enterprise Edition にアップグレードしてください。
インスタンスの有効期限切れ:インスタンスの有効期限が切れました。インスタンスを更新してください。
インスタンスのリリース: インスタンスはリリースされています。新しいインスタンスを購入してください。
STS チェックエラー: サービス側のエラーが発生しました。後でもう一度試すか、テクニカルサポートにお問い合わせください。