ご利用のサービスが大規模な DDoS 攻撃を受けている、または受けることが予想される場合、Anti-DDoS Proxy インスタンスを購入することで、業務継続性を確保できます。Anti-DDoS Proxy は、サービスのトラフィックをスクラビングセンターに転送します。悪意のある攻撃トラフィックはフィルタリングで除去され、正当なトラフィックはオリジンサーバーに転送されます。このプロセスにより、テラビットレベルの DDoS 攻撃を効果的に防御し、サービスの安定性を確保します。
購入ガイド
エディションの紹介
製品タイプ | インスタンスエディション | 主な機能と相違点 | 注記 |
Anti-DDoS Premium/Pro (中国本土) | Professional Plan | 専用 IP アドレス、マルチラインのボーダーゲートウェイプロトコル (BGP) 防御を提供し、基本防御と拡張防御の両方をサポートします。 | - |
Advanced Edition | 月に 2 回の高度な緩和セッションを提供します (毎月リセット)。 | このエディションを有効にするには、アカウントマネージャーにお問い合わせください。 | |
Anti-DDoS Premium/Pro (中国本土以外) | Insurance および Unlimited |
| - |
Sec-CMA 2.0 | 中国本土のユーザー向けにアクセスアクセラレーションとアプリケーションレイヤーの DDoS 対策を提供します。特定の回数の DDoS 緩和セッションを選択すると、China Telecom、China Unicom、China Mobile の回線からの大規模な DDoS 攻撃を防御する機能が追加されます。 | なし | |
Sec-CMA 2.0 (Insurance) および Sec-CMA 2.0 (Unlimited) | 機能は Sec-CMA 2.0 とほぼ同じです。Metering Method of 95th Percentile Burstable Clean Bandwidthと 95th Percentile Burstable QPS モードを無効にできます。 | 機能は Sec-CMA 2.0 に移行されました。新規インスタンスの購入は推奨されません。このオプションは既存のインスタンス専用です。 | |
Mainland China Acceleration および Sec-CMA 1.0 | China Mobile 回線をサポートしないレガシーバージョンです。 | 新規インスタンスの購入は推奨されません。Sec-CMA 2.0 へのアップグレードを推奨します。アップグレードを有効にするには、アカウントマネージャーにお問い合わせください。 |
利用シーンと購入に関する推奨事項
お客様に最適な Anti-DDoS Proxy インスタンスは、サーバーのデプロイリージョンとユーザーソースによって異なります。以下の利用シーンに基づいて、最適な製品エディションを選択してください。
サーバーのデプロイリージョン | ユーザーソース | サービス要件 | 推奨エディション |
中国本土 | 中国本土および中国本土以外 | 一般的な DDoS 対策。 | Anti-DDoS Premium/Pro (中国本土) - Professional Plan |
中国本土以外 | 中国本土以外 | クロスボーダーのアクセスアクセラレーションは不要。 | Anti-DDoS Premium/Pro (中国本土以外) - Insurance または Unlimited |
中国本土以外 | 中国本土 | 低レイテンシーと安定性を確保するために、クロスボーダーのアクセスアクセラレーションが必要。 | Anti-DDoS Premium/Pro (中国本土以外) - Sec-CMA 2.0 |
中国本土以外 | 中国本土および中国本土以外 | サーバーを移行せずに、クロスボーダーのアクセスを高速化し、中国本土以外のユーザーにサービスを提供する必要がある。 | 組み合わせ購入:
|
中国本土以外 | 中国本土および中国本土以外 | ユーザーソースに基づいてサービスを異なるサーバーに移行し、クロスボーダーアクセスを可能にできる。移行後、異なるリージョンのユーザーは、それぞれのリージョンにあるサーバーと防御エディションによってサービスが提供される。 |
|
Anti-DDoS Proxy インスタンスの購入
購入ページへの移動
Anti-DDoS Proxy (中国本土) の購入ページまたはAnti-DDoS Proxy (中国本土以外) の購入ページに移動します。
インスタンスと防御パラメーターの選択
購入ガイドを参照して、[製品タイプ] と 保護プラン を選択します。
Anti-DDoS Premium/Pro (中国本土) - Professional Plan
プロフェッショナル 説明:
接続タイプ: DNS リダイレクト。
リソース予約: 専用 IP アドレス 1 つ。
帯域幅タイプ: マルチライン BGP。
防御能力: 基本防御 (サブスクリプション) + 拡張防御 (従量課金)。
防御パラメーター
[IP バージョン]: Anti-DDoS Proxy インスタンスの IP プロトコル。有効な値: IPv4 および IPv6。詳細については、「機能紹介」をご参照ください。
重要IPv6 アドレスを使用する Anti-DDoS Proxy インスタンスは、IPv6 クライアントからのリクエストを転送できますが、接続タイプには以下の制限が適用されます:
ウェブサイト設定は IPv4 オリジンサーバーのみをサポートします。
ポート設定は IPv4 または IPv6 オリジンサーバーをサポートします。
Basic Bandwidth: インスタンスが防御できる DDoS 攻撃トラフィックの最大量。
Burstable Bandwidth: 従量課金制の防御能力。攻撃トラフィックが Basic Bandwidth を超えた場合、拡張防御が自動的に有効になり、業務継続性を確保します。料金については、「拡張防御帯域幅の課金」をご参照ください。
説明Burstable Bandwidth を Basic Bandwidth と同じ値に設定した場合、拡張防御はトリガーされません。
保護ノード:
防御ノードは、[IP バージョン] が IPv4 に設定されている場合にのみ選択できます。オプションはデフォルト、中国北部、中国 (北京)、中国 (杭州) です。
防御能力とアクセスレイテンシーのバランスに基づいてノードを選択します。詳細については、「防御ノードの選択方法」をご参照ください。
説明例: オリジンサーバーが中国 (杭州) リージョンにある場合、アクセスレイテンシーを最小にするには華東 (杭州) ノードを選択します。防御能力を最大にするにはデフォルトノードを選択します。
Anti-DDoS Premium/Pro (中国本土以外) - Insurance および Unlimited
防御プランの説明:
警告Insurance または Unlimited を単独で使用すると、中国本土のユーザーはレイテンシーが大幅に増加するか、サービスにアクセスできなくなる可能性があります。アクセス品質を最適化するために、これらのプランを Sec-CMA 2.0 と組み合わせて使用することを推奨します。
接続タイプ: DNS リダイレクト。
リソース予約: 専用 Anycast IP アドレス 1 つ。
緩和セッション:
Insurance: 月に 2 回の高度な緩和セッション (毎月更新)
Unlimited: 無制限の高度な緩和セッション
防御パラメーター
IP Registration Address: 必要な IP の地理的位置を選択します。サポートされている地理的位置は、シンガポール、香港 (中国)、日本、米国 (西部)、米国 (東部)、イギリス、ドイツ、マレーシア、インドネシアです。
説明インドネシアの防御ノードは、IP の地理的位置がインドネシアの場合にのみ利用可能です。他の地理的位置はサポートされていません。
マレーシアのノードは、IP の地理的位置がマレーシアの場合にのみ利用可能です。他の地理的位置はサポートされていません。
Anti-DDoS Premium/Pro (中国本土以外) - Sec-CMA 2.0
防御プランの説明:
接続タイプ: DNS リダイレクト。
リソース予約: 専用 Sec-MCA IP アドレス 1 つ。
防御能力: このプランは主に中国本土からのアクセスを高速化するために使用されます。また、インテリジェント防御、グローバル緩和ポリシー、ブラックリストとホワイトリスト、ロケーションブラックリスト、HTTP フラッド緩和など、アプリケーションレイヤーの DDoS 対策も提供します。
回線サポート: China Telecom、China Unicom、China Mobile の回線をサポートします。
防御パラメーター
保護回数: 高度な緩和セッションの数。特定のセッション数を購入すると、China Telecom、China Unicom、China Mobile の回線経由での大規模な DDoS 攻撃を緩和できます。いいえを選択した場合、中国本土からのアクセスアクセラレーションのみが提供されます。
説明DDoS 攻撃開始後、24 時間の継続的な防御ごとに 1 セッションとしてカウントされます。クォータは毎月リセットされます。
IP Registration Address: 必要な IP の地理的位置を選択します。サポートされている地理的位置はシンガポールと日本です。
Anti-DDoS Premium/Pro (中国本土以外) - Mainland China Acceleration
防御プランの説明:
接続タイプ: DNS リダイレクト。
リソース予約: 専用の高速化 IP アドレス 1 つ。
重要このプランは中国本土からのアクセスを高速化するためだけのものであり、DDoS 緩和機能は提供しません。Sec-CMA 2.0 へのアップグレードを推奨します。
Anti-DDoS Premium/Pro (中国本土以外) - Sec-CMA 1.0
防御プランの説明:
接続タイプ: DNS リダイレクト。
リソース予約: 専用 Sec-MCA IP アドレス 1 つ。
緩和セッション: 月に 2 回の高度な緩和セッション (毎月更新)。
説明グローバル高度緩和セッションを購入して、より多くの緩和セッションを取得できます。
防御能力: 中国本土からのアクセスを高速化し、China Telecom と China Unicom の回線経由での DDoS 緩和を提供しますが、China Mobile の回線は対象外です。
説明中国本土以外からの DDoS 攻撃から保護するには、このプランを Insurance または Unlimited と組み合わせて使用します。
回線サポート: China Telecom と China Unicom の回線をサポートします。
重要China Mobile 回線をサポートするには、Sec-CMA 2.0 にアップグレードしてください。
拡張サービス仕様の設定
最大帯域幅: 正当なサービストラフィックのために予約された基本帯域幅。
警告クリーン帯域幅が不足すると、パケット損失が発生したり、サービスに影響が出たりする可能性があります。速やかにクリーン帯域幅をアップグレードするか、バースト可能クリーン帯域幅を設定してください。詳細については、「インスタンスのアップグレード」をご参照ください。
プランの選択: 以下の情報を参照して、適切な仕様を選択してください。
選択の原則
クリーン帯域幅は、すべてのサービスのインバウンドまたはアウトバウンドトラフィックの合計のピーク値のうち、大きい方よりも大きくする必要があります。通常、アウトバウンドトラフィックが主な考慮事項です。サービスが Alibaba Cloud ECS にデプロイされている場合、ピークトラフィックを確認できます。詳細については、「インスタンスのモニタリング情報の表示」をご参照ください。
説明このトラフィックは正当なサービストラフィックを指し、攻撃トラフィックは含まれません。
複数のオリジンサーバーがある場合は、すべてのオリジンサーバーの正当なサービストラフィックの合計を計算します。
例:
3 つのウェブサイトを保護しており、各ウェブサイトのピークアウトバウンドトラフィックが 50 Mbps を超えない場合、合計トラフィックは 150 Mbps を超えません。この場合、150 Mbps を超えるクリーン帯域幅を選択します。
インスタンスのクリーン帯域幅制限:
Anti-DDoS Premium/Pro (中国本土): Professional Plan (20,000 Mbps)、Advanced Edition (20,000 Mbps)
Anti-DDoS Premium/Pro (中国本土以外): Insurance(5,000 Mbps)、Unlimited(5,000 Mbps)、Sec-CMA 2.0 (1,500 Mbps)、Mainland China Acceleration (1,000 Mbps)、Sec-CMA 1.0 (500 Mbps)
[95 パーセンタイル バースト可能クリーン帯域幅]: 従量課金制の防御能力。正当なサービストラフィックが基本の 最大帯域幅 を超えると、拡張防御が自動的に有効になり、業務継続性を確保します。測定方法には、日次 95 パーセンタイルモードと月次 95 パーセンタイルモードがあります。料金については、「バースト可能クリーン帯域幅の課金」をご参照ください。
説明最大バースト可能帯域幅増加 = min(基本 サービス帯域幅 × 9, インスタンスのクリーン帯域幅制限 - 基本 サービス帯域幅)。
[リクエストレート] (クリーン QPS): 攻撃が発生していないときに Anti-DDoS Proxy インスタンスが処理できる同時リクエストの最大レート。これには HTTP および HTTPS リクエストが含まれます。クリーン QPS と接続仕様のマッピングについては、「QPS 仕様と対応する接続制限」をご参照ください。
中国本土: 最大リクエストレートは 100,000 です。
中国本土以外: 最大リクエストレートは 150,000 です。
警告クリーン QPS が不足すると、パケット損失が発生したり、サービスに影響が出たりする可能性があります。速やかにクリーン QPS 仕様をアップグレードするか、バースト可能 QPS を有効にしてください。
95th Percentile Burstable QPS: 従量課金制の防御能力。実際のサービス QPS がクリーン QPS を超えると、拡張防御が自動的に有効になり、業務継続性を確保します。測定方法には、日次 95 パーセンタイルモードと月次 95 パーセンタイルモードがあります。詳細については、「バースト可能 QPS の課金」および「QPS 仕様と対応する接続制限」をご参照ください。
計算式: バースト可能 QPS = min(クリーン QPS × 3, バースト可能 QPS 制限)。
バースト可能 QPS 制限:
中国本土:
IPv4 アドレスを使用する Anti-DDoS Proxy インスタンスの場合、最大バースト可能 QPS は 300,000 です。
IPv6 アドレスを使用する Anti-DDoS Proxy インスタンスの場合、最大バースト可能 QPS は 100,000 です。
中国本土以外: 最大バースト可能 QPS は 150,000 です。
Function Plan: 機能プランは Standard から Enhanced まであり、それぞれ異なる防御能力、ポリシー設定クォータ、パフォーマンス最適化レベルに対応しています。詳細については、「Standard と Enhanced 機能プランの違い」をご参照ください。
Standard:
40 個の HTTP フラッド緩和ポリシールールをサポートします。
最大 200 個のレイヤー 7 ブラックリストおよびホワイトリストポリシーをサポートします。
強化版:
HTTP/HTTPS 以外のアプリケーションレイヤープロトコルからの攻撃をブロックするための強化されたアプリケーションレイヤー保護ポリシーをサポートします。
200 個の HTTP フラッド緩和ポリシールールをサポートします。
最大 2,000 個のレイヤー 7 ブラックリストおよびホワイトリストポリシーをサポートします。
ウェブサイトへのアクセスを高速化するための静的ページキャッシュ機能をサポートします。
Anti-DDoS Proxy と Alibaba Cloud CDN 間のフィルター連携をサポートし、高速化と DDoS 対策の両方を提供します。
[ドメイン]: 追加できる HTTP/HTTPS ドメイン名の数。最大 2,000 まで設定できます。
ドメイン転送設定内のすべてのドメイン名が属するルートドメイン (サイト) の数は、(保護されたドメイン名の数 / 10) を超えることはできません。
ドメイン転送設定内のすべてのドメイン名 (ルートドメイン、サブドメイン、ワイルドカードドメイン名を含む) の合計数は、保護されたドメイン名の数を超えることはできません。
説明保護されたドメイン名の数のクォータを 50 で購入し、3 つのドメイン名 (www.abc.com, *.abc.com, www.xyz.com) を設定したとします。
ルートドメイン (サイト) の数は 2 (abc.com と xyz.com) であり、5 以下 (50/10) の制限を満たしています。
ドメイン名の合計数は 3 であり、50 以下の制限を満たしています。
ポート: 保護できる TCP および UDP ポートの数。
リソースグループ: Resource Management サービスでインスタンスが属するリソースグループを選択します。デフォルト値はデフォルトリソースグループです。リソースグループの詳細については、「リソースグループの作成」をご参照ください。
[数量]: 購入するインスタンスの数を選択します。
[期間]: インスタンスの有効期間を選択します。自動更新を選択すると、インスタンスは有効期限が切れる前に自動的に更新されます。自動更新サイクルは以下のルールに従います。詳細については、「インスタンスの更新」をご参照ください。
月単位で購入した場合、自動更新サイクルは 1 か月です。
年単位で購入した場合、自動更新サイクルは 1 年です。
インスタンス仕様の表示と保護の有効化
仕様情報の表示
Anti-DDoS Pro コンソールのリソース管理ページに移動します。購入したインスタンスの ID をクリックするか、[操作] 列の 管理 をクリックします。詳細ページでは、基本および拡張防御帯域幅、クリーン帯域幅、QPS など、すべての仕様情報を表示できます。
保護の有効化
インスタンスを購入した後、保護は自動的に有効になりません。サービストラフィックを Anti-DDoS インスタンスに転送し、保護を有効にするには、手動で以下の設定を完了する必要があります。
コンソールへのログイン
Anti-DDoS Pro コンソールに移動します。
サービスの追加:
接続管理 セクションで、ドメイン接続 や ポート接続 など、サービスの種類に基づいてサービスを追加します。詳細については、「ウェブサイトの追加」(ウェブサイトサービスの場合) および「ポート転送ルールの作成」(ゲームやアプリなどの非ウェブサイトサービスの場合) をご参照ください。
トラフィックの切り替え:
サービスの DNS レコードを、Anti-DDoS Proxy によって割り当てられた Anti-DDoS Proxy インスタンスの CNAME アドレスまたは IP アドレスに変更します。詳細については、「CNAME または IP アドレスを使用してウェブサイトのトラフィックを Anti-DDoS Proxy インスタンスに転送する」および「CNAME レコードを使用して非ウェブサイトサービスを追加する」をご参照ください。
クォータと制限
ICP 登録: 保護対象のサービスが中国本土にデプロイされたウェブサイトである場合、そのドメイン名は ICP 登録が必要です。
IPv6 オリジンサーバーの制限: IPv6 アドレスタイプの Anti-DDoS インスタンスを購入し、ドメイン名を使用してウェブサイトサービスを追加する場合、Anti-DDoS Proxy は IPv4 プロトコルを使用するオリジンサーバーへのトラフィック転送のみをサポートします。
中国本土以外からのアクセスの制限:
Anti-DDoS Premium/Pro (中国本土以外) - Insurance または Unlimited エディションを単独で使用すると、中国本土のユーザーはレイテンシーが大幅に増加するか、サービスにアクセスできなくなる可能性があります。
説明中国本土のユーザーのスムーズなアクセスを確保するために、Anti-DDoS Premium/Pro (中国本土以外) - Sec-CMA 2.0 も購入することを推奨します。
Anti-DDoS Premium/Pro (中国本土以外) - Sec-CMA 2.0 を単独で使用する場合、デフォルトでは中国本土以外のリージョンからのアクセスはサポートされません。
説明サービスが中国本土以外のクライアントからアクセスされる必要がある場合は、Anti-DDoS Premium/Pro (中国本土以外) - Insurance または Unlimited も購入することを推奨します。
インドネシアやマレーシアなど、一部の防御ノードは、特定の IP 地理的位置を持つインスタンスでのみ利用可能です。
課金
Anti-DDoS Proxy の料金は、サブスクリプションのインスタンス料金と従量課金の拡張料金で構成されます。
インスタンス料金 (サブスクリプション): 基本防御帯域幅、クリーン帯域幅、QPS (クエリ/秒) など、選択した仕様に基づいて月単位または年単位で支払います。詳細については、「Anti-DDoS Proxy (中国本土以外) の Insurance および Unlimited 防御プランの課金」、「Anti-DDoS Proxy (中国本土以外) の CMA の課金」、および「Anti-DDoS Proxy (中国本土以外) の Sec-CMA の課金」をご参照ください。
拡張防御料金 (従量課金): DDoS 攻撃トラフィックが基本防御帯域幅を超えた場合にのみ課金されます。料金は、ピーク攻撃トラフィックに基づいて日次で計算されます。詳細については、「拡張防御帯域幅の測定方法」をご参照ください。
バースト可能クリーン帯域幅/QPS 料金 (従量課金): 通常のサービストラフィックまたは QPS が基本仕様を超えた場合にのみ課金されます。料金は、日次または月次の 95 パーセンタイル帯域幅に基づいて計算されます。詳細については、「バースト可能クリーン帯域幅の課金」および「バースト可能 QPS の課金」をご参照ください。
グローバル高度緩和セッション: 必要に応じて、特定のインスタンスに対してグローバル高度緩和セッションを購入できます。詳細については、「グローバル高度緩和セッションの課金」をご参照ください。
サービスの解約
インスタンス購入後の返金はサポートされていません。購入前にサービス要件を評価してください。
付録
QPS 仕様と対応する接続制限
Anti-DDoS Proxy インスタンスの QPS 仕様は、次の表に示すように、特定の接続制限に対応しています。バースト可能 QPS を有効にする場合は、バースト可能 QPS 値に対応する接続制限を参照してください。
QPS | 新規接続数 | 同時接続数 |
0 < QPS ≤ 5,000 | 5,000 | 100,000 |
5,000 < QPS ≤ 10,000 | 10,000 | 200,000 |
10,000 < QPS ≤ 30,000 | 30,000 | 500,000 |
30,000 < QPS ≤ 50,000 | 50,000 | 1,000,000 |
50,000 < QPS ≤ 100,000 | 80,000 | 1,500,000 |
100,000 < QPS ≤ 150,000 | 100,000 | 2,000,000 |
150,000 < QPS ≤ 200,000 説明 Anti-DDoS Proxy (中国本土) のみでサポートされています。 | 150,000 | 3,000,000 |
200,000 < QPS ≤ 300,000 説明 Anti-DDoS Proxy (中国本土) のみでサポートされています。 | 200,000 | 4,000,000 |
防御ノードの詳細
次の表に示すように、防御能力とアクセスレイテンシーに基づいて適切な防御ノードを選択します。/ は、そのノードが推奨されないことを示します。
オリジンサーバーの場所 | 防御ノード | |||
デフォルト | 中国北部 | 中国 (北京) | 中国 (杭州) | |
中国 (北京) | 強力な防御。1 Tbps 以上の防御能力。 | / | 低レイテンシー。600 Gbps の防御能力。 | / |
中国 (上海) | / | 強力な防御。1 Tbps 以上の防御能力。 | / | 低レイテンシー。600 Gbps の防御能力。 |
中国 (成都) | / | 強力な防御。1 Tbps 以上の防御能力。 | 低レイテンシー。600 Gbps の防御能力。 | / |
中国 (広州) | 強力な防御。1 Tbps 以上の防御能力。 | / | / | 低レイテンシー。600 Gbps の防御能力。 |
中国 (杭州) | 強力な防御。1 Tbps 以上の防御能力。 | / | / | 低レイテンシー。600 Gbps の防御能力。 |
中国 (深セン) | 強力な防御。1 Tbps 以上の防御能力。 | / | / | 低レイテンシー。600 Gbps の防御能力。 |
よくある質問
ルートドメイン (サイト) とは?
ユーザーが登録する完全なドメイン名は「ルートドメイン」として定義されます。例:
aliyun.com はルートドメインです。
サブドメイン (www.aliyun.com や abc.aliyun.com など) やワイルドカードドメイン名 (*.aliyun.com など) はルートドメインではありませんが、すべて同じルートドメイン (サイト) aliyun.com に属します。
Anti-DDoS Proxy と Anti-DDoS Origin の違いは何ですか? どちらのサービスを選ぶべきですか?
主な違いは、接続タイプと保護範囲です。
Anti-DDoS Proxy: プロキシベースのトラフィックスクラビングモデルを使用します。トラフィックを転送することでサービスを保護し、Alibaba Cloud 上および Alibaba Cloud 外部 (データセンターや他のクラウドなど) のサーバーをサポートします。ネットワークレイヤーおよびアプリケーションレイヤー (CC) 攻撃を緩和できます。これは、高い防御能力とサービスの可用性が求められる利用シーンに適しています。
Anti-DDoS Origin: 強化モデルを使用します。ECS や SLB などの Alibaba Cloud アセットのデフォルトの防御しきい値を直接引き上げます。接続が簡単で、DNS の変更は不要です。主にネットワークレイヤーの攻撃を対象としています。
推奨事項:
Anti-DDoS Proxy を選択する場合: サービスがウェブサイトである、CC 攻撃から防御する必要がある、Alibaba Cloud 上でホストされていない、または非常に高い防御能力が必要な場合。
Anti-DDoS Origin を選択する場合: サービスが Alibaba Cloud 上の非ウェブサイトサービスであり、接続プロセスを簡素化したい場合。