セキュアアクセラレーションは、Sec-MCA と、Insurance または Unlimited 緩和プランの Anti-DDoS Pro または Anti-DDoS Premium インスタンス (中国本土以外) を組み合わせたものです。これにより、すべてのキャリアネットワークをカバーする保護アーキテクチャが作成され、グローバルキャリアネットワーク全体でサービスのセキュリティとアクセシビリティが確保されます。このトピックでは、セキュアアクセラレーションルールの設定方法について説明します。
背景情報
Sec-MCA は、中国本土のキャリアからのサービストラフィックのみを保護します。すべてのサービストラフィックを保護するには、Insurance または Unlimited 緩和プランの Anti-DDoS Pro または Anti-DDoS Premium インスタンス (中国本土以外) と一緒に使用する必要があります。このトピックでは、Sec-MCA 2.0 と Unlimited 緩和プランの Anti-DDoS Pro または Anti-DDoS Premium インスタンス (中国本土以外) とのインタラクションの例を示します。この設定により、以下が実現されます。
中国本土の China Telecom、China Unicom、China Mobile からのトラフィックは、Sec-MCA 2.0 インスタンスの IP アドレスにスケジュールされます。
その他のトラフィックは、Unlimited 緩和プランの Anti-DDoS Pro または Anti-DDoS Premium インスタンス (中国本土以外) の IP アドレスにスケジュールされます。
前提条件
サービスが IP アドレスを使用して直接アクセスされる場合、Sec-Traffic Manager を使用してサービストラフィックを自動的にスケジュールすることはできません。
手順
Unlimited 緩和プランの Anti-DDoS Pro または Anti-DDoS Premium インスタンス (中国本土以外) と Sec-MCA 2.0 インスタンスの両方にウェブサイトサービスを追加します。次に、サービストラフィックが期待どおりに転送されることを確認します。
サービスを追加するには、「ウェブサイト構成の追加」または「ポートフォワーディングルールの設定」をご参照ください。
説明サービスを追加するだけで済みます。ドメイン名の名前解決を変更する必要はありません。
サービストラフィックが期待どおりに転送されることを確認するには、「ローカルマシンでのトラフィック転送設定の確認」をご参照ください。
セキュアアクセラレーションルールを設定します。
Anti-DDoS Proxy コンソールにログオンします。
左上のトップメニューバーで、[中国本土以外] リージョンを選択します。
このリージョンを選択すると、[Anti-DDoS Proxy (中国本土以外)] コンソールにリダイレクトされます。
左側のナビゲーションウィンドウで、 を選択します。
[一般インタラクション] タブで、[ルールの追加] をクリックします。
ルールの作成 ページで、Sec-CMA ルールを設定し、OK をクリックします。
パラメーター
説明
インタラクションシナリオ
[セキュアアクセラレーション] を選択します。
ルール名
ルールの名前を入力します。
名前は最大 128 文字で、文字、数字、アンダースコア (_) を使用できます。
セキュアアクセラレーション
Sec-MCA インスタンスの IP アドレスを選択します。
Anti-DDoS Pro/Premium (中国本土以外)
Unlimited 緩和プランの Anti-DDoS Pro または Anti-DDoS Premium インスタンス (中国本土以外) の IP アドレスを選択します。
ルールを追加すると、Sec-Traffic Manager はルールに対して CNAME を生成します。ルールリストでルールとその CNAME を表示できます。
プロンプトに従ってドメイン名の DNS レコードを変更し、[完了] をクリックします。
クラウドサービスインタラクションルールを有効にするには、DNS サービスプロバイダーのウェブサイトでドメイン名の DNS レコードを変更して、ドメイン名を Sec-Traffic Manager によって提供される CNAME にマッピングする必要があります。DNS サービスが Alibaba Cloud DNS によって提供されている場合、Alibaba Cloud DNS コンソールで DNS レコードを変更するだけで済みます。
重要ドメイン名の DNS レコードを変更すると、ネットワークアクセラレーションルールが有効になります。DNS レコードを変更する前に、オンプレミスのコンピューターで hosts ファイルを変更して、クラウドサービスインタラクションルールを検証することをお勧めします。これにより、一貫性のない back-to-origin ポリシーによって引き起こされる互換性の問題を防ぐことができます。CDN では、back-to-origin リクエストの back-to-origin ホストを変更できます。ただし、Anti-DDoS Proxy を使用して back-to-origin リクエストの back-to-origin ホストを変更することはできません。CDN を Anti-DDoS Proxy と一緒に使用して Object Storage Service (OSS) オブジェクトからデータを取得する場合、Anti-DDoS Proxy によって転送されるサービストラフィックは OSS によって識別できません。その結果、サービスが中断されます。back-to-origin ホストの詳細については、「デフォルトの back-to-origin ホストの設定」をご参照ください。
トラフィック転送ルールの検証方法の詳細については、「オンプレミスのコンピューターで転送設定を検証する」をご参照ください。
ドメイン名の DNS レコードの変更方法の詳細については、「CNAME レコードを変更してトラフィックを Sec-Traffic Manager にリダイレクトする」をご参照ください。
関連操作
一般インタラクションルールを追加した後、ルールリストのルールに対して次の操作を実行できます。
操作 | 説明 |
編集 | クラウドサービスインタラクションルールを変更できます。ただし、ルールの [インタラクションシナリオ] と [ルール名] の値は変更できません。 |
削除 | クラウドサービスインタラクションルールを削除できます。 警告 インタラクションルールを削除する前に、ウェブサイトのドメイン名が Sec-Traffic Manager の CNAME を指していないことを確認してください。そうしないと、ルールを削除した後にウェブサイトへのアクセスが失敗する可能性があります。 |
Anti-DDoS へとスイッチバック | Sec-MCA がブラックホールフィルタリングの対象であるか、ネットワーク速度が遅いためにビジネス要件を満たせない場合は、Anti-DDoS へ をクリックできます。これにより、すべてのサービストラフィックが、Insurance または Unlimited 緩和プランの Anti-DDoS Pro または Anti-DDoS Premium インスタンス (中国本土以外) に切り替えられます。 攻撃が停止するか、ネットワークが安定した後、スイッチバック をクリックして、中国本土からのトラフィックを Sec-MCA に切り替え戻すことができます。 |