階層的保護は、Anti-DDoS Origin と Anti-DDoS Proxy を組み合わせて、適応型の DDoS 防御を実現します。デフォルトでは、ご利用のサービスは低レイテンシーの Origin 保護下で実行され、ボリューム型攻撃によってブラックホール状態がトリガーされると、自動的に Proxy ベースのディープスクラビングにエスカレーションされます。このトピックでは、階層的保護ルールの作成、DNS 切り替えの設定、およびトラフィックルーティングの管理方法について説明します。
事前準備
サポートされるクラウドリソース
ご利用のサービスは、パブリック IP アドレスを持つ以下のいずれかの Alibaba Cloud リソースで実行されている必要があります。
Elastic IP Address (EIP)
Elastic Compute Service (ECS) インスタンス
Server Load Balancer (SLB) インスタンス
Web Application Firewall (WAF) インスタンス
Anti-DDoS インスタンス
Anti-DDoS Origin:Enterprise Edition の Anti-DDoS Origin インスタンスを購入し、パブリック IP 資産 (ECS、SLB、EIP、または WAF) に対して Origin 保護を有効にしていること。詳細については、「Anti-DDoS Origin インスタンスの購入」および「Anti-DDoS Origin インスタンスの購入」をご参照ください。
Anti-DDoS Proxy:
Anti-DDoS Premium/Pro (中国本土):Professional Plan。
Anti-DDoS Premium/Pro (中国本土以外):Insurance 版 または Unlimited 版。
重要インスタンスには、サービスの要件を満たすために十分なクリーン帯域幅と秒間クエリ数 (QPS) が必要です。詳細については、「Anti-DDoS Proxy インスタンスの購入」をご参照ください。
設定要件
ご利用のウェブサイトが Anti-DDoS Proxy インスタンスに既に追加されていること。
Anti-DDoS Proxy が トラフィックを正しく転送することを確認済みであること。
仕組み
階層的保護は、リアルタイムの攻撃トラフィックに基づいて動的に調整される 2 段階の防御戦略を使用します。
ステージ 1 — 低レイテンシー保護 (デフォルト):Anti-DDoS Origin がネットワークエッジでトラフィックをスクラビングします。トラフィックが追加のプロキシノードを経由しないため、レイテンシーは最小限に抑えられます。このステージでは、通常のトラフィックと小規模な攻撃を処理します。
ステージ 2 — 高度な緩和 (攻撃のエスカレーション):大規模なボリューム型攻撃により、関連するすべての IP アドレスがブラックホール状態になると、システムは自動的にトラフィックを Anti-DDoS Proxy に再ルーティングし、ディープパケットインスペクションを実行します。クリーンなトラフィックのみがオリジンサーバーに到達します。
クラウドリソースがブラックホール状態になると、そのすべての IP アドレスが到達不能になり、トラフィックは一時的に利用できなくなります。関連付けられた Anti-DDoS Proxy インスタンスを持つ階層的保護ルールは、Proxy を介してトラフィックを再ルーティングすることで、サービスを自動的に復旧できます。
次の表は、各保護ステージの概要です。
ステージ | 保護プロバイダー | トラフィックパス | トリガー条件 |
通常 | Anti-DDoS Origin | クライアント → Anti-DDoS Origin (スクラビング) → クラウドリソース (ECS、SLB、EIP、または WAF) | デフォルト状態。攻撃が検出されないか、小規模な攻撃が検出された場合。 |
緊急 | Anti-DDoS Proxy (Professional、Advanced、Insurance、または Unlimited Edition) | クライアント → Anti-DDoS Proxy (ディープスクラビング) → クラウドリソース | 大規模なボリューム型攻撃により、関連するすべての IP アドレスがブラックホール状態になった場合。 |
自動切り戻し | Anti-DDoS Origin (復旧) | クライアント → Anti-DDoS Origin → クラウドリソース (低レイテンシー復旧) | 攻撃トラフィックが停止し、設定された切り戻し待機時間を超えて安定した場合。 説明 トラフィックの切り替えと切り戻しは、DNS レコードの変更に依存します。伝播には通常 30〜60 秒かかりますが、これはクライアント側の DNS キャッシュのリフレッシュ時間によって異なります。 |
階層的保護ルールの設定
以下の手順に従って、クラウドリソースを Anti-DDoS Proxy インスタンスに関連付けて、攻撃の自動エスカレーションを行う階層的保護ルールを作成します。
ステップ 1:ルールの作成
Anti-DDoS Proxy コンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土):[中国本土] リージョンを選択します。
Anti-DDoS Proxy (中国本土以外):[中国本土以外] リージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
全般 タブで、ルールの作成 をクリックします。
次のパラメーターを設定し、次へ をクリックします。
パラメーター
説明
インタラクションシナリオ
階層型保護 を選択します。
名前
この階層的保護ルールにわかりやすい名前を入力します。例:
production-api-tiered-protection。Anti-DDoS インスタンス
クラウドリソースがデプロイされているリージョンを選択し、リソースのパブリック IP アドレスを入力します。IP アドレスは、Anti-DDoS Origin Enterprise Edition によって既に保護されている ECS、SLB、EIP、または WAF リソースのものである必要があります。
クラウドサービス
攻撃のエスカレーション中にトラフィックスクラビングに使用する Anti-DDoS Proxy インスタンスを選択します。
[クラウドリソースの IP アドレスを追加] をクリックして、さらにアドレスを追加します。最大 20 個の IP アドレスを追加できます。
説明複数の IP アドレスを追加すると、すべてのアドレスが同じ Anti-DDoS Proxy インスタンスを共有します。1 つの IP が攻撃された場合、トラフィックは残りのアドレスに再分配されます。トラフィックが Anti-DDoS Proxy に切り替わるのは、すべてのアドレスが同時に攻撃された場合のみです。
各 IP アドレスの独立したフェイルオーバーについては、「マルチパスフェイルオーバー」をご参照ください。
[切り戻し待機時間]
フェイルバック待機期間 (攻撃が停止してから Anti-DDoS Proxy がトラフィックをクラウドリソースにルーティングし直すまでの待機時間)。有効範囲:30〜120 分。
説明推奨:60 分。
プロンプトに従って DNS レコードを更新します:ルールを有効にするには、ドメインの DNS レコードを Sec-Traffic Manager が提供する CNAME に向けます。以下の手順に従ってください。
DNS 更新前にローカルで検証:パブリック DNS レコードを更新する前に、ローカルコンピューターの hosts ファイルを変更してルールを検証します。これにより、本番トラフィックに影響が及ぶ前に、オリジン転送ポリシーの競合を検出できます。詳細な手順については、「転送設定のローカル検証」をご参照ください。
DNS レコードの更新:ルールをローカルで検証した後、ドメインの DNS レコードを更新して、Sec-Traffic Manager が提供する CNAME に向けます。
ドメインレジストラー
更新方法
Alibaba Cloud
Alibaba Cloud DNS コンソールでレコードを更新します。
サードパーティプロバイダー
ドメインレジストラーの管理コンソールにログインし、ドメインの DNS レコードを更新します。
検証結果
DNS の更新後、ウェブサイトにアクセスできることを確認します。
説明DNS レコードを更新した後、DNS プロパゲーション (TTL) のため、ルールが完全に有効になるまでに時間がかかる場合があります。詳細については、「トラフィックスケジューラの CNAME レコードの変更」をご参照ください。
問題が発生した場合は、「Anti-DDoS Proxy で保護されたサービスの応答遅延、高レイテンシー、アクセス障害のトラブルシューティング」をご参照ください。
トラフィックの切り替え
ティアード保護 ルールは、2 つの切り替えモードをサポートしています。
自動切り替えと手動切り替えの両方とも、DNS ベースのトラフィックスケジューリングに依存します。切り替えは DNS プロパゲーション時間の影響を受ける可能性があります。事前にサービスへの影響を評価してください。
切り替えモード | 説明 | 適用シナリオ |
自動 | システムはリアルタイムのトラフィックと攻撃パターンを監視します。トラフィックを Anti-DDoS Proxy に自動的に切り替えるか、Anti-DDoS Origin に切り戻します。 | 手動介入なしの 24 時間 365 日の自動防御。 |
手動 | ビジネス要件に基づいて、コンソールから手動でトラフィックを Anti-DDoS Proxy に切り替えるか、Anti-DDoS Origin に切り戻します。 | 主要なイベント前のプロアクティブな切り替え。 自動切り替えではカバーされない複雑な攻撃シナリオ。 トラブルシューティングと緊急訓練。 |
自動切り替え
切り替えタイプ | トリガー条件 |
Anti-DDoS Proxy への切り替え | すべてのクラウドリソースの IP アドレスがブラックホール状態になった場合。 |
Anti-DDoS Origin への切り戻し | 攻撃が終了し、切り戻し待機時間が経過した後、システムは自動的にトラフィックを Anti-DDoS Origin に切り戻します。 |
手動切り替え
自動切り替えに加えて、ビジネス要件に基づいて、手動でトラフィックを Anti-DDoS Proxy に切り替えてスクラビングを行ったり、Anti-DDoS Origin に切り戻したりすることができます。
Anti-DDoS へ
手順:
Sec-Traffic Manager ページで、全般 タブをクリックします。
インタラクションシナリオが ティアード保護 であり、クラウドサービス の下に
アイコンが表示され、Anti-DDoS Proxy に自動的に切り替えられていない階層的保護ルールを見つけます。操作 列で、Anti-DDoS へ をクリックします。確認ダイアログで、OK をクリックします。
制限事項:
Proxy インスタンスがブラックホール状態の場合、または最後のブラックホールイベント以降、切り戻しの待機時間が経過していない場合は、トラフィックを Anti-DDoS Proxy に切り替えます。
手動でトラフィックを Anti-DDoS Proxy に切り替えた後、自動切り戻しは無効になります。スイッチバック 操作を使用してトラフィックを元に戻します。
スイッチバック
手順:
Sec-Traffic Manager ページで、全般 タブをクリックします。
連携シナリオがティアード保護 であり、Anti-DDoS Pro or Anti-DDoS Premium Instanceの下にある
アイコンで示されるように、トラフィックが Anti-DDoS Proxy によってスクラビングされている階層的保護ルールを見つけます。操作 列で、スイッチバック をクリックします。確認ダイアログで、OK をクリックします。
制限事項:
関連するすべてのクラウドリソースの IP アドレスがブラックホール状態の場合、切り戻し操作は許可されません。
一部の IP アドレスがブラックホール状態を抜けているが、他の IP アドレスがまだブラックホール状態にある場合:
トラフィックは、ブラックホール状態を抜けた IP アドレスにのみ切り戻されます。
残りの IP アドレスのトラフィックは、ブラックホール状態が終了した後に自動的に復旧します。
ルールの管理
ルールを作成した後、[汎用連携] タブから以下の操作を実行できます。
操作 | 説明 |
編集 | ルールパラメーターを変更します。連携シナリオとルール名は、ルール作成後に変更できません。 |
削除 | ルールを削除します。 ルールを削除する前に、ドメインの DNS レコードから Sec-Traffic Manager の CNAME を削除してください。CNAME がアクティブな状態でルールを削除すると、ウェブサイトにアクセスできなくなります。 |