ECS インスタンスがブラックホールフィルタリング状態になった後のワークロード復旧 - Anti-DDoS

Elastic Compute Service (ECS) インスタンスでブラックホールフィルタリングがトリガーされると、Alibaba Cloud はすべてのインバウンドトラフィックを破棄し (パブリック IP アドレスがインターネットからアクセスできなくなり)、アウトバウンドトラフィックもブロックするため、インスタンスは外部ネットワークに接続できなくなります (例：WeChat やサードパーティサービスへの API 呼び出しがタイムアウトします)。これはブラックホールフィルタリングメカニズムの正常な動作であり、サーバー側の障害を示すものではありません。ブラックホールフィルタリングが自動的に解除される時刻を推定し、その時刻になるまで待つことができます。ブラックホールフィルタリングが自動的に解除されると、パブリック IP アドレスはインバウンドおよびアウトバウンドトラフィックの両方で自動的に復旧します。サービスやインスタンスを手動で再起動する必要はありません。緊急時には、ECS インスタンスのパブリック IP アドレスを変更するか、ワークロードを別の ECS インスタンスに移行することで、ワークロードを迅速に復旧できます。本トピックでは、ブラックホールフィルタリングがトリガーされた ECS インスタンスのワークロードを迅速に復旧する方法について説明します。

重要

ECS インスタンスのパブリック IP アドレスを変更した後、またはワークロードを別の ECS インスタンスに移行した後も、攻撃者はドメイン名に ping を実行して新しいパブリック IP アドレスを取得し、攻撃を再開できます。この問題を解決するには、Anti-DDoS Origin または Anti-DDoS Pro インスタンスを購入してください。

ブラックホール自動解除の推定時刻

Anti-DDoS Origin または Anti-DDoS Pro を購入していない場合、ブラックホールフィルタリングが自動的に解除されるまで待つ必要があります。Anti-DDoS Origin または Anti-DDoS Pro を購入している場合は、ワークロードを保護対象のインスタンスに追加した後、ECS インスタンスのブラックホールフィルタリングを手動で解除できます。詳細については、「ブラックホールフィルタリングを解除する (Anti-DDoS Origin)」および「ブラックホールフィルタリングを解除する (Anti-DDoS Pro)」をご参照ください。

ECS インスタンスが最後に攻撃を受けた時刻を確認します。
トラフィックセキュリティコンソールにログオンします。イベントセンター ページで、ECS インスタンスのパブリック IP アドレスを見つけ、詳細を見る をクリックして、ECS インスタンスが最後に攻撃された時刻を確認します。
説明
アセットが複数回の DDoS 攻撃を受けた場合、ブラックホールフィルタリングの期間は、最後の DDoS 攻撃が停止した後に計算されます。
ブラックホールフィルタリングの期間を確認します。
資産ページで、ブラックホールフィルタリングの合計期間を確認できます。デフォルトの期間は 2.5 時間です。実際の期間は、お客様のアセットへの攻撃の頻度に基づき、30 分から 24 時間の範囲で変動します。まれに、期間が長くなる場合があります。
ブラックホールフィルタリングが自動的に解除される時刻を推定します。
たとえば、ECS インスタンスが 12:30 に攻撃を受け、ブラックホールフィルタリングの期間が 150 分である場合、ブラックホールフィルタリングは 15:00 に解除されると推定されます。
説明
推定時刻は参考用です。ECS インスタンスが継続的に DDoS 攻撃を受けている場合、ブラックホールフィルタリングの期間が延長される可能性があります。

ブラックホールフィルタリングが自動的に解除されるまで待つことができます。緊急時には、次のいずれかのソリューションを使用してワークロードを迅速に復旧できます。

重要

ECS インスタンスのパブリック IP アドレスを変更した後、またはワークロードを別の ECS インスタンスに移行した後、実際のビジネス要件に基づいて、DNS レコードやデータベース接続などの設定を変更する必要があります。

ソリューション1：ECS インスタンスのパブリック IP アドレスの変更

重要

ブラックホールフィルタリングがトリガーされた ECS インスタンスのパブリック IP アドレスを頻繁に変更すると、継続的な攻撃トラフィックによってクラウドプラットフォームにリスクが生じる可能性があります。この場合、Alibaba Cloud アカウントが制限され、新しいインスタンスの購入などの操作を実行できなくなる可能性があります。

ECS インスタンスの Elastic IP アドレス (EIP) の変更

(オプション) 新しいEIPを申請します。
詳細については、「EIPの申請」をご参照ください。
ECSインスタンスから現在のEIPの関連付けを解除します。
詳細については、「クラウドリソースからのEIPの関連付けの解除」をご参照ください。
重要
- クラウドリソースから従量課金EIPの関連付けを解除した後も、EIP設定料金が課金されます。不要な料金を回避するには、EIPをリリースします。
  - EIP設定料金については、「従量課金」をご参照ください。
  - 従量課金EIPのリリース方法については、「従量課金EIPのリリース」をご参照ください。
- クラウドリソースからのEIPの関連付けを解除した後、サブスクリプションEIPが不要になった場合は、EIPを解除できます。詳細については、次をご参照ください：
  リソースのサブスクライブ解除のルール
新しいEIPをECSインスタンスに関連付けます。
詳細については、「EIPとECSインスタンスの関連付け」をご参照ください。

ECS インスタンスのシステム割り当てのパブリック IP アドレスの変更

インスタンス作成から6時間以内

インスタンスが作成されてから6時間以内に、ECSコンソールでECSインスタンスの静的パブリックIPアドレスを変更できます。

前提条件

ECSインスタンスのステータスが [停止済み] ([停止済み]) です。
説明
ECSインスタンスがVPCにデプロイされた従量課金インスタンスである場合、インスタンスを標準モードで停止する必要があります。エコノミーモードでインスタンスを停止すると、インスタンスの静的パブリックIPアドレスを変更できない場合があります。詳細については、「節約モード」をご参照ください。
ECSインスタンスの静的パブリックIPアドレスは、インスタンス作成後6時間以内に最大3回変更できます。
説明
インスタンスが作成されてから6時間以内にECSインスタンスの静的パブリックIPアドレスを4回変更するには、このトピックの [6時間以上のインスタンス作成] セクションで説明されている操作を実行します。

手順

ECSコンソー.にログインします。
左側のナビゲーションウィンドウで、インスタンス&画像 > インスタンス.
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
静的パブリックIPアドレスを変更するECSインスタンスを見つけます。 [操作] 列で、 > [ネットワークとセキュリティグループ] > [パブリックIPアドレスの変更] を選択します。
[パブリックIPアドレスの変更] メッセージで情報を確認し、[確認] をクリックします。
インスタンスの静的パブリックIPアドレスが変更されると、前のメッセージに新しい静的パブリックIPアドレスが表示されます。

6時間以上のインスタンス作成

インスタンスの作成から6時間以上経過したECSインスタンスの静的パブリックIPアドレスを直接変更することはできません。

インスタンスがネットワーク使用量に対して帯域幅課金方式を使用するサブスクリプションインスタンスでない場合、インスタンスの静的パブリックIPアドレスをEIPに変換できます。
詳細については、「VPC内のインスタンスのパブリックIPアドレスをEIPに変換する」をご参照ください。
重要
- インスタンスの有効期限が切れる24時間以内にサブスクリプションECSインスタンスの静的パブリックIPアドレスを変更することはできません。
- ネットワーク使用量に対して帯域幅課金課金方法を使用するサブスクリプションECSインスタンスの場合、インスタンスの静的パブリックIPアドレスを変更する前に、ネットワーク使用量の課金方法をトラフィック課金に変更できます。ネットワーク使用量の課金方法を帯域幅課金からトラフィック課金に変更する方法の詳細については、「静的パブリックIPアドレスを使用するECSインスタンスのネットワーク使用量の課金方法の変更」トピックの帯域幅課金からトラフィック課金セクションをご参照ください。
ECSインスタンスからEIPの関連付けを解除します。
詳細については、「クラウドリソースからのEIPの関連付けの解除」をご参照ください。
重要
- クラウドリソースから従量課金EIPの関連付けを解除した後も、EIP設定料金が課金されます。不要な料金を防ぐには、EIPをリリースします。
  - EIP設定料金については、「従量課金」をご参照ください。
  - 従量課金EIPのリリース方法については、「従量課金EIPのリリース」をご参照ください。
- クラウドリソースからのEIPの関連付けを解除した後、サブスクリプションEIPが不要になった場合は、EIPを解除できます。詳細については、次をご参照ください：
  リソースのサブスクライブ解除のルール
ECSインスタンスのパブリック帯域幅を1 Mbit/sを超える値に変更して、システムがインスタンスに新しいパブリックIPアドレスを割り当てることができるようにします。
詳細については、「サブスクリプションインスタンスの帯域幅変更」または「従量課金インスタンスの帯域幅変更」をご参照ください。
新しい静的パブリックIPアドレスは、インスタンスリストページの [IPアドレス] 列に表示されます。詳細については、このトピックの「パブリックIPアドレスの種類の表示」をご参照ください。

ソリューション2：ECS イメージクローニングを使用したビジネスサーバーの置換

ブラックホールフィルタリングがトリガーされた ECS インスタンスのカスタムイメージを作成します。詳細については、「カスタムイメージの作成」をご参照ください。
説明
運用保守中は、ECS インスタンスのスナップショットを定期的に作成することを推奨します。ワークロードを迅速に復旧したい場合は、スナップショットを使用してカスタムイメージを作成してください。詳細については、「ポリシーの作成」および「スナップショットからのカスタムイメージ作成」をご参照ください。
カスタムイメージを使用して、同じ設定の ECS インスタンスを作成します。詳細については、「カスタムイメージまたは共有イメージからの作成」をご参照ください。

ソリューション3：SMC を使用したビジネスサーバーの置換

Server Migration Center (SMC) は、Alibaba Cloud が提供するサーバー移行プラットフォームです。SMC を使用して、ブラックホールフィルタリングがトリガーされた ECS インスタンスを移行し、カスタムイメージを生成します。次に、カスタムイメージを使用して別の ECS インスタンスを作成します。

ブラックホールフィルタリングがトリガーされた ECS インスタンスを移行元として SMC にインポートします。詳細については、「ステップ 1：移行元の情報をインポートする」をご参照ください。
移行タスクを作成して、システム設定とビジネスデータをカスタムイメージに移行します。詳細については、「ステップ 2：移行タスクを作成して開始する」をご参照ください。
カスタムイメージを使用して、同じ設定の ECS インスタンスを作成します。詳細については、「カスタムイメージまたは共有イメージからの作成」をご参照ください。

ソリューション4：ブラックホール状態の ECS インスタンスにログインしビジネスデータを移行

ブラックホールフィルタリングがトリガーされた ECS インスタンスには、インターネット経由で接続できません。Workbench、セッションマネージャー、Virtual Network Computing (VNC)、または同じ VPC 内にある別の ECS インスタンスを使用して、ECS インスタンスに接続できます。

Workbench、セッションマネージャー、または VNC を使用して ECS インスタンスに接続する方法の詳細については、「インスタンスへの接続」をご参照ください。この例では、同じ VPC 内にある別の ECS インスタンスを介して、ブラックホールフィルタリングがトリガーされた ECS インスタンスに接続します。

注意事項

2 つの ECS インスタンスは、同じリージョンおよび同じ VPC 内にあり、同じセキュリティグループに属している必要があります。2 つの ECS インスタンスは接続されている必要があります。セキュリティグループの詳細については、「概要」をご参照ください。

手順

ブラックホールフィルタリングがトリガーされていない ECS インスタンスに、そのプライベート IP アドレスまたはパブリック IP アドレスを使用してログインします。

コマンドを実行するかツールを使用し、プライベート IP アドレスまたはパブリック IP アドレスで、ブラックホールフィルタリングがトリガーされた ECS インスタンスに接続します。

次の表に、一般的な接続方法を示します。

ブラックホールフィルタリングがトリガーされた ECS インスタンスのオペレーティングシステム	ブラックホールフィルタリングがトリガーされていない ECS インスタンスのオペレーティングシステム	接続方法	参考資料
Windows	Windows	Microsoft Terminal Services Client (MSTSC) を使用します。	RDP クライアントまたは Windows App の使用
Windows	Linux	rdesktop を使用します。	RDP クライアントまたは Windows App の使用
Linux	Windows	PuTTY を使用します。	OpenSSH または Xshell の使用ユーザー名とパスワードを使用した Linux インスタンスへの接続
Linux	Linux	SSH コマンドを実行します。 `ssh root@<インスタンスのシステム割り当てパブリック IP アドレスまたは EIP>`	OpenSSH または Xshell の使用ユーザー名とパスワードを使用した Linux インスタンスへの接続

ビジネスデータを、ブラックホールフィルタリングがトリガーされていない ECS インスタンスに移行します。

FAQ

What do I do if blackhole filtering is triggered on my IP address and I cannot change the public IP address?

Blackhole filtering that is triggered by volumetric DDoS attacks cannot be manually deactivated. You must wait for the system to determine that the attack has stopped and then automatically deactivate blackhole filtering.

If your workloads are urgent but you cannot change the public IP address due to account restrictions or resource constraints, you must wait for blackhole filtering to be automatically deactivated. For information about how to estimate the deactivation time, see the "Estimate the time when blackhole filtering is automatically deactivated" section of this topic.

References

For more information about the Alibaba Cloud blackhole filtering policy, see Alibaba Cloud blackhole policy.
For more information about the blackhole filtering thresholds of cloud services, such as ECS, see View the thresholds that trigger blackhole filtering in Anti-DDoS Basic.
For more information about Anti-DDoS, see What is Anti-DDoS Native and What is Anti-DDoS Proxy?.