デフォルトでは、すべてのトラフィックは継続的に Anti-DDoS Proxy を経由します。これにより、攻撃が発生していないときでも、レイテンシの増加やコストが発生します。クラウドプロダクト連携は、通常運用時にはトラフィックを直接クラウドリソースにルーティングします。攻撃が検出されると、トラフィックは自動的に Anti-DDoS Proxy に迂回され、スクラビングが行われます。このオンデマンドモデルにより、不要なネットワークホップが排除され、レイテンシが削減され、コストが最適化されます。
事前準備
サポートされるクラウドリソース
お客様のサービスは、パブリック IP アドレスを持つ以下のいずれかの Alibaba Cloud リソースで実行されている必要があります。
Elastic IP Address (EIP)
Elastic Compute Service (ECS) インスタンス
Server Load Balancer (SLB) インスタンス
Web Application Firewall (WAF) インスタンス
Anti-DDoS Proxy インスタンス
以下のいずれかの Anti-DDoS Proxy インスタンスが必要です。
Anti-DDoS Premium/Pro (中国本土):Professional Plan
Anti-DDoS Premium/Pro (中国本土以外):Insurance または Unlimited
インスタンスは、サービスの要件を満たすために十分なクリーン帯域幅と秒間クエリ数 (QPS) を備えている必要があります。詳細については、「Anti-DDoS Proxy インスタンスの購入」をご参照ください。
構成要件
Web サイトが すでに Anti-DDoS Proxy インスタンスに追加されていること。
仕組み
クラウドプロダクト連携は、DNS ベースのインテリジェントルーティングを使用して、クラウドリソースのセキュリティステータスに基づいてトラフィックを動的に誘導します。
クラウドプロダクト連携は DNS を使用してトラフィックをルーティングします。すべてのクラウドリソースが同時にブラックホールフィルタリングに入ると、ブラックホールが解除されるまでサービスは到達不能になります。トラフィックの切り替え中、サービスに短い中断が発生する場合があります。実際のダウンタイムは、クライアント側の DNS キャッシュが更新される速さによって異なります。
トラフィックフローには 3 つの状態があります。
状態 | トラフィックパス | 説明 |
通常 (攻撃なし) | クライアント > クラウドリソース | トラフィックは Anti-DDoS Proxy を経由せず、直接クラウドリソースに送信されます。これにより、最小のレイテンシと最高のパフォーマンスが実現します。 |
攻撃中 | クライアント > Anti-DDoS Proxy > クラウドリソース | システムは DNS レコードを自動的に更新し、ドメインを Anti-DDoS Proxy の CNAME アドレスに向けます。悪意のあるトラフィックはスクラビングされ、正当なトラフィックのみがクラウドリソースに転送されます。 |
復旧 (攻撃停止後) | クライアント > クラウドリソース | 攻撃が停止すると、Anti-DDoS Proxy は設定された期間 (切り戻し待機時間) 待機してから、トラフィックを元に戻します。この期間が経過すると、システムは DNS レコードを復元し、クラウドリソースの IP アドレスを指すようにします。 |
クラウドプロダクト連携ルールの作成
Anti-DDoS Proxy コンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土):[中国本土] リージョンを選択します。
Anti-DDoS Proxy (中国本土以外):[中国本土以外] リージョンを選択します。
左側のナビゲーションウィンドウで、を選択します。
全般 タブで、ルールの追加 をクリックします。
ルールの追加 パネルで、次の表に示す残りのパラメーターを設定し、次へ をクリックします。
パラメーター
説明
インタラクションシナリオ
クラウドサービスインタラクション を選択します。
名前
最大 128 文字の名前を入力します。英字、数字、アンダースコア (_) のみがサポートされています。
Anti-DDoS Pro or Anti-DDoS Premium Instance
このルールに関連付ける Anti-DDoS Proxy インスタンスを選択します。
クラウドサービス
保護したいクラウドリソースのパブリック IP アドレスを入力します。以下のタイプが受け入れられます。
EIP (Elastic IP Address)
ECS インスタンスの IP
SLB インスタンスの IP
WAF インスタンスの IP
[クラウドリソースの IP アドレスを追加] をクリックして、さらにアドレスを追加します。最大 20 個の IP アドレスを追加できます。
説明複数の IP アドレスを追加すると、すべてのアドレスが同じ Anti-DDoS Proxy インスタンスを共有します。1 つの IP アドレスが攻撃された場合、トラフィックは残りのアドレスに再分配されます。トラフィックが Anti-DDoS Proxy に切り替わるのは、すべてのアドレスが同時に攻撃された場合のみです。
各 IP アドレスの独立したフェールオーバーについては、「マルチパスフェールオーバー」をご参照ください。
切り戻し待機時間
切り戻し待機時間 (攻撃が停止してから Anti-DDoS Proxy がトラフィックをクラウドリソースに戻すまでの待機時間)。有効範囲:30~120 分。
説明60 分を推奨します。
プロンプトに従って DNS レコードを更新する:ルールを有効にするには、ドメインの DNS レコードをトラフィックマネージャーから提供された CNAME に向けます。以下の手順に従ってください。
DNS 更新前のローカル検証:パブリック DNS レコードを更新する前に、ローカルコンピュータの hosts ファイルを変更してルールを検証します。これにより、本番トラフィックに影響が及ぶ前に、オリジン転送ポリシーの競合を検出できます。詳細な手順については、「転送設定のローカル検証」をご参照ください。
典型的なリスクケース:CDN + Anti-DDoS Proxy + OSS の競合
CDN を Anti-DDoS Proxy と共に使用して Object Storage Service (OSS) からコンテンツを配信する場合は、次の点にご注意ください。
CDN は オリジンの Host ヘッダーを OSS バケット名に一致するようにカスタマイズできるため、OSS はリクエストを正しく識別できます。
Anti-DDoS Proxy はオリジンの Host ヘッダーを変更しません。クライアントリクエストからの元の Host ヘッダーをそのまま渡します。
攻撃によって Anti-DDoS Proxy へのフェールオーバーがトリガーされると、Host ヘッダーが OSS の期待するものと一致しなくなり、リクエストが失敗する可能性があります。これを防ぐには、ローカルの hosts ファイルに Anti-DDoS Proxy の CNAME をバインドし、パブリック DNS を更新する前にシナリオを検証してください。
DNS レコードの更新:ルールをローカルで検証した後、ドメインの DNS レコードを更新して、トラフィックマネージャーから提供された CNAME を指すようにします。
ドメインレジストラー
更新方法
Alibaba Cloud
Alibaba Cloud DNS コンソールでレコードを更新します。
サードパーティプロバイダー
ドメインレジストラーの管理コンソールにログインし、ドメインの DNS レコードを更新します。
検証結果
DNS の更新後、Web サイトにアクセスできることを確認します。
説明DNS レコードを更新した後、DNS プロパゲーション (TTL) のため、ルールが完全に有効になるまでに時間がかかる場合があります。詳細については、「トラフィックスケジューラの CNAME レコードの変更」をご参照ください。
問題が発生した場合は、「Anti-DDoS Proxy で保護されたサービスの応答遅延、高レイテンシ、アクセス障害のトラブルシューティング」をご参照ください。
トラフィックの切り替え
クラウドプロダクト連携は、さまざまな運用シナリオに対応するために、2 つの切り替えモードをサポートしています。
自動切り替えと手動切り替えの両方で DNS を使用します。実際の切り替え時間は、DNS プロパゲーションとネットワーク収束によって異なります。サービスのダウンタイム許容度に基づいて計画してください。
モード | 説明 | 使用場面 |
自動 | システムはトラフィックをリアルタイムで監視し、攻撃検出に基づいて Anti-DDoS Proxy モードへの切り替えまたは終了を自動的に行います。 | 手動介入を必要としない 24 時間 365 日の無人保護。 |
マニュアル | 運用上のニーズに応じて、コンソールから手動でフェールオーバーまたはフェイルバックをトリガーします。 | 主要なイベント前の予防的な切り替え。自動ポリシーでカバーされない複雑な攻撃シナリオ。障害調査と訓練。 |
自動切り替え
方向 | トリガー条件 |
クラウドリソース > Anti-DDoS Proxy | すべての保護対象リソースの IP アドレスに、ブラックホールフィルタリングが適用されます。 |
Anti-DDoS Proxy > クラウドリソース | 攻撃が停止し、設定された切り戻し待機時間が経過した場合。 |
手動切り替え
[トラフィックマネージャー] ページの [汎用連携] タブから手動でトラフィックを切り替えることができます。
Anti-DDoS へ
手順:
Sec-Traffic Manager ページで、全般 タブをクリックします。
インタラクションシナリオがクラウドプロダクト連携であり、DDoS スクラビングが自動的にトリガーされていないルールを探します (これは、クラウドサービス の下にある
アイコンで示されます)。操作 列の Anti-DDoS へ をクリックして、フェールオーバーを開始します。
制限事項:
Proxy インスタンスがブラックホール状態にある場合、または最後のブラックホールイベントから切り戻し待機時間が経過していない場合は、トラフィックを Anti-DDoS Proxy に切り替えることはできません。
手動フェールオーバー後、トラフィックは自動的にフェイルバックしません。保護されたリソースにトラフィックを戻すには、スイッチバック をクリックする必要があります。
スイッチバック
手順:
Sec-Traffic Manager ページで、全般 タブをクリックします。
連携シナリオがクラウドプロダクト連携であり、トラフィックが現在 Anti-DDoS Proxy によってスクラビングされている (Anti-DDoS Pro or Anti-DDoS Premium Instance の下の
アイコンで示される) ルールを探します。[操作] 列で[切り戻し]をクリックし、操作を確定します。
制限事項:
関連するすべての保護対象リソースがブラックホールフィルタリング中の場合、フェイルバックは失敗します。
一部のリソースがフィルタリング中で、他のリソースがフィルタリング中でない場合:
トラフィックはまず利用可能なリソースにフェイルバックします。
残りのリソースは、ブラックホールフィルタリングが解除された後、自動的にトラフィックを再開します。
ルールの管理
ルールを作成した後、[汎用連携] タブから以下の操作を実行できます。
操作 | 説明 |
編集 | ルールパラメーターを変更します。インタラクションシナリオとルール名は、ルール作成後は変更できません。 |
削除 | ルールを削除します。 ルールを削除する前に、ドメインの DNS レコードからトラフィックマネージャーの CNAME を削除してください。CNAME がアクティブなままルールを削除すると、Web サイトにアクセスできなくなります。 |