ウェブサイトドメイン名を Anti-DDoS Proxy に追加した後は、その DNS レコードを Anti-DDoS Proxy が生成した CNAME アドレスに設定します。これにより、DDoS 攻撃に対する保護機能が有効になります。本トピックでは、迅速な統合から詳細設定までの一連の手順を説明し、サービスのスムーズな移行を実現します。
適用範囲
Anti-DDoS Proxy (中国本土) または Anti-DDoS Proxy (中国本土以外) のインスタンスを購入済みである必要があります。詳細については、「Anti-DDoS Proxy インスタンスの購入」をご参照ください。
ウェブサイトサービスを Anti-DDoS Proxy (中国本土) インスタンスに追加する場合、対象ドメイン名には ICP 登録が必要です。詳細については、「ICP 登録」をご参照ください。
説明Anti-DDoS Proxy (中国本土以外) インスタンスに追加されるウェブサイトは、ICP 登録要件の対象外です。
操作手順
ウェブサイト構成 ページを Anti-DDoS Proxy コンソールで開きます。
画面上部のナビゲーションバーから、ご利用のインスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): 中国本土 リージョンを選択します。
Anti-DDoS Proxy (中国本土以外): 中国本土以外 リージョンを選択します。
ドメイン接続 ページで、ドメインの追加 をクリックします。
説明ページ下部の 一括ドメインインポート をクリックすることで、複数のウェブサイト構成を一度にインポートできます。構成情報は XML ファイル形式である必要があります。ファイルフォーマットの詳細については、「関連操作」をご参照ください。
Web サイトへのアクセス 情報を入力し、次へ をクリックします。
基本構成
Function Plan:関連付ける Anti-DDoS Proxy インスタンスのプランを選択します。選択肢は Standard および 強化 です。
説明Function Plan の横にある
アイコンにカーソルを合わせると、スタンダードプランと拡張プランの機能の違いを表示できます。 詳細については、「スタンダードプランと拡張プランの違い」をご参照ください。インスタンス:関連付ける Anti-DDoS Proxy インスタンスを選択します。
重要ドメイン名は、最大 8 つの Anti-DDoS Proxy インスタンスに関連付けることができます。これらのインスタンスは、同じ Function Plan を使用する必要があります。
ドメイン:保護対象のウェブサイトドメイン名を入力します。完全一致ドメイン名(例:
www.example.com)またはワイルドカードドメイン名(例:*.example.com)を指定できます。説明ワイルドカードドメイン名(例:
*.aliyundoc.com)と完全一致ドメイン名(例:www.aliyundoc.com)の両方に対して構成が存在する場合、Anti-DDoS Proxy は完全一致ドメイン名(www.aliyundoc.com)の転送ルールおよび緩和ポリシーを優先します。ルートドメインを入力した場合、保護されるのはルートドメインのみであり、第 2 レベルドメインおよびその他のサブドメインは保護されません。第 2 レベルドメインを保護したい場合は、第 2 レベルドメインまたはワイルドカードドメイン名を入力してください。
IP アドレスではなく、ドメイン名のみを入力できます。
プロトコル:ウェブサイトがサポートするプロトコルを選択します。
HTTP/HTTPS:Web サービスの基本プロトコルです。
説明HTTPS 設定の詳細については、「HTTPS 構成」タブの説明をご参照ください。
Websocket/Websockets:リアルタイム通信プロトコルです。これらのプロトコルのいずれかを選択すると、HTTP または HTTPS が自動的に選択されます。
サーバー IP:Anti-DDoS Proxy が オリジンフェッチ を実行する際に使用するバックエンドサーバー(オリジンサーバー)のアドレスを設定します。
オリジン IP アドレス:オリジンサーバーのパブリック IP アドレスを入力します。カンマ区切りで複数の IP アドレスを入力できます。例:
オリジンサーバーが Alibaba Cloud 上にある場合:オリジン ECS インスタンスのパブリック IP アドレスを入力します。ECS インスタンスの前に SLB インスタンスが配置されている場合は、SLB インスタンスのパブリック IP アドレスを入力します。
オリジンサーバーが Alibaba Cloud 以外のデータセンターまたは他社クラウドプラットフォーム上にある場合:
ping <ドメイン名>コマンドを実行して、ドメイン名が解決されるパブリック IP アドレスを照会し、その IP アドレスを入力します。
オリジンドメイン名:
利用シーン:オリジンサーバーと Anti-DDoS Proxy の間に別のプロキシサービスが構成されている場合に適しています。例:
WAF を先行プロキシとして使用する場合、WAF インスタンスの CNAME を入力できます。詳細については、「Anti-DDoS Proxy と WAF を併用してウェブサイト保護を強化する」をご参照ください。
配信元サーバードメイン を OSS バケットの デフォルトパブリックエンドポイント に設定する場合、バケットにカスタムドメイン名をアタッチする必要があります。詳細については、「カスタムドメイン名のアタッチ」をご参照ください。
制限事項:最大 10 個のオリジンドメイン名を設定できます。改行で区切ってください。
サーバーポート:オリジンサーバーがウェブサイトサービスをリッスンするために使用する ポート を設定します。
HTTP/Websocket:デフォルトポートは 80 です。
HTTPS/Websockets:デフォルトポートは 443 です。
カスタムサーバーポート:
複数ポート:カンマ区切りで複数のポートを指定できます。Anti-DDoS Proxy インスタンスによって保護されるすべてのウェブサイトサービスにおけるカスタムポートの総数は、10 を超えてはなりません(異なるプロトコルのカスタムポートも含む)。
ポート範囲(HTTP/HTTPS):80 ~ 65535
HTTPS 構成
暗号化認証のために HTTPS を選択した場合、以下の構成を完了します。
証明書の構成: HTTPS を有効にするには、ウェブサイトドメイン名と一致する SSL 証明書を構成する必要があります。
手動アップロード: 証明書名 を指定し、証明書ファイルの内容を 証明書ファイル フィールドに貼り付け、秘密鍵ファイルの内容を 秘密鍵 フィールドに貼り付けます。
説明証明書ファイルが PEM、CER、CRT 形式の場合、テキストエディターでファイルを開き、内容をコピーします。PFX や P7B などの他の形式の場合は、まず PEM 形式に変換してから内容をコピーします。証明書ファイルの形式変換方法については、「証明書の形式変換」または「SSL 証明書を PEM 形式に変換する方法」をご参照ください。
ファイルに複数の証明書(証明書チェーンなど)が含まれる場合、それらの内容を連結して、結合された内容を 証明書ファイル フィールドに貼り付けます。
既存の証明書の選択: Certificate Management Service (Original SSL Certificate) から証明書を申請済み、または Certificate Management Service に証明書をアップロード済みの場合は、直接証明書を選択できます。
TLS セキュリティ設定 の構成:
説明詳細については、「サーバーの HTTPS 証明書向け TLS セキュリティポリシーのカスタマイズ」をご参照ください。
TLS バージョン ::国際標準 HTTPS 証明書がサポートする TLS バージョンを選択します。
TLS 1.0 以降のバージョン。この設定は最高の互換性を提供しますが、セキュリティレベルは低くなります。:TLS 1.0、TLS 1.1、TLS 1.2 をサポートします。
TLS 1.1 以降のバージョン。この設定は良好な互換性と中程度のセキュリティレベルを提供します。:TLS 1.1 および TLS 1.2 をサポートします。
TLS 1.2 以降のバージョン。この設定は良好な互換性と高いセキュリティレベルを提供します。:TLS 1.2 をサポートします。
Enable TLS 1.3 Support:TLS 1.3 をサポートします。
暗号スイート ::国際標準 HTTPS 証明書でサポートされる暗号スイートを選択するか、カスタム暗号スイートを選択します。暗号スイートオプションの
アイコンにカーソルを合わせると、その暗号スイートに含まれる具体的な暗号アルゴリズムを確認できます。
相互認証:
Alibaba Cloud 発行者: デフォルトの CA 証明書を選択 ドロップダウンリストからデフォルトの CA 証明書を選択します。この証明書は、Certificate Management Service (Original SSL Certificate) が発行したものです。
非 Alibaba Cloud 発行者:
まず、自己署名 CA 証明書を Certificate Management Service (Original SSL Certificate) にアップロードします。詳細な手順については、「証明書リポジトリのアップロード」をご参照ください。
デフォルトの CA 証明書を選択 ドロップダウンリストから、アップロード済みの自己署名 CA 証明書を選択します。
OCSP Stapling を有効にする:OCSP とは Online Certificate Status Protocol の略で、サーバー証明書を発行した認証局(CA)に問い合わせて、証明書が失効済みかどうかを確認するために使用されます。サーバーとの TLS ハンドシェイク中に、クライアントは証明書とその対応する OCSP 応答の両方を取得する必要があります。
重要OCSP 応答は CA によってデジタル署名されており、偽造できません。この機能を有効化しても、追加のセキュリティリスクは発生しません。
無効(デフォルト):クライアントは TLS ハンドシェイク中に CA に OCSP クエリを送信し、証明書が失効済みかどうかを確認します。ネットワーク状態が不良な場合、この処理により接続がブロックされ、ページ読み込みの遅延が発生する可能性があります。
有効:Anti-DDoS Proxy が OCSP クエリを実行し、結果を 3,600 秒間キャッシュします。クライアントがサーバーに対して TLS ハンドシェイク要求を開始すると、Anti-DDoS Proxy はキャッシュされた OCSP 応答を証明書チェーンとともにクライアントに送信します。これにより、クライアント側のクエリによるブロッキング問題が回避され、HTTPS のパフォーマンスが向上します。
SM 証明書:SM 証明書ベースの HTTPS 証明書のアップロードは、Anti-DDoS Proxy (中国本土) インスタンスのみがサポートしています。SM2 アルゴリズムのみがサポートされています。
Allow Access Only from SM Certificate-based Clients:このスイッチはデフォルトでオフになっています。
オン:SM 証明書をインストール済みのクライアントからのリクエストのみを処理します。
説明有効化すると、国際標準アルゴリズムを使用する証明書に対する TLS スイート、相互認証、および OCSP ステープリングの構成は適用されません。
オフ:SM 証明書をインストール済みのクライアントおよび国際標準アルゴリズムを使用する証明書をインストール済みのクライアントの両方からのリクエストを処理します。
SM Certificate:選択する前に、SM 証明書を Certificate Management Service にアップロードする必要があります。
SM Cipher Suites for HTTPS Support:以下の暗号スイートがデフォルトで有効化されており、変更できません。
ECC-SM2-SM4-CBC-SM3
ECC-SM2-SM4-GCM-SM3
ECDHE-SM2-SM4-CBC-SM3
ECDHE-SM2-SM4-GCM-SM3
詳細設定
HTTPS リダイレクトの有効化:HTTP および HTTPS の両方をサポートするウェブサイトに適しています。この設定を有効化すると、デフォルトで HTTP リクエストがすべてポート 443 の HTTPS リクエストに強制リダイレクトされます。
重要HTTP および HTTPS の両方のプロトコルを選択し、Websocket プロトコルを選択していない場合にのみ、この設定を有効化できます。
非標準の HTTP ポート(80 以外)でウェブサイトにアクセスし、HTTPS への強制リダイレクトを有効化した場合、アクセス要求はデフォルトで HTTPS ポート 443 にリダイレクトされます。
HTTP/2 の有効化:このスイッチをオンにすると、HTTP/2 を使用するクライアントが Anti-DDoS Proxy にアクセスできます。ただし、Anti-DDoS Proxy はオリジンフェッチにおいて依然として HTTP/1.1 を使用します。HTTP/2 機能の仕様は以下のとおりです:
基本仕様:
接続終了後のアイドルタイムアウト(http2_idle_timeout):120 秒
接続あたりの最大リクエスト数(http2_max_requests):1,000
接続あたりの同時ストリーム数上限(http2_max_concurrent_streams):4
HPACK 展開後の全リクエストヘッダー一覧の最大サイズ(http2_max_header_size):256 KB
HPACK 圧縮後のリクエストヘッダー項目の最大サイズ(http2_max_field_size):64 KB
設定可能な仕様: HTTP 2.0 Stream ストリームの最大数を設定する を設定できます。これは、クライアントと Anti-DDoS Proxy 間で許容される同時ストリーム数の上限です。
Set Forward Connection Timeout:クライアントと Anti-DDoS Proxy の間で確立された永続的 TCP 接続のアイドルタイムアウト期間です。これは、2 つのクライアントリクエスト間の最大待機時間です。
説明指定された期間内に新しいリクエストが受信されない場合、Anti-DDoS Proxy は接続を閉じてリソースを解放します。
転送の設定 を入力し、次へ をクリックします。
オリジンフェッチ設定
Back-to-origin スケジューリングアルゴリズム:複数の オリジン IP アドレス または オリジンドメイン名 を構成する場合、負荷分散アルゴリズムを変更したり、異なるサーバーに重みを設定したりして、オリジンサーバー間でのトラフィック配分を制御できます。
手法
利用シーン
説明
ラウンドロビン(デフォルト)
複数のオリジンサーバーを使用し、高い負荷分散パフォーマンスを必要とするシーン。
すべてのリクエストが、すべてのサーバーアドレスに順番に配信されます。デフォルトでは、すべてのサーバーアドレスに同じ重みが割り当てられます。サーバーの重みを変更することもでき、重みが大きいほどリクエストを受信する確率が高くなります。
IP hash
セッションの一貫性を必要とするシーン。極端なケースでは、負荷不均衡が発生する可能性があります。
同一クライアント IP アドレスからのリクエストは、常に同一のオリジンサーバーに送信され、セッションの一貫性が保証されます。IP ハッシュアルゴリズムを使用する際にもサーバーの重みを設定でき、サーバーの処理能力に応じたトラフィック配分や、パフォーマンスの優れたサーバーを優先させることが可能です。
最小時間
アクセス速度および応答レイテンシーに非常に敏感なサービス(例:ゲーム、オンライントランザクション)。
インテリジェント DNS 解析機能およびオリジンフェッチ向けの最小時間アルゴリズムにより、POP からオリジンサーバーまでの全リンクのレイテンシーを最短に保証します。
Back-to-origin の再試行:ドメイン転送におけるオリジンサーバーの可用性を確認するヘルスチェックの試行回数です。デフォルト値は 3 です。再試行メカニズムは以下のとおりです:
オリジンフェッチの再試行機能は、サービストラフィックがエッジゾーンにアクセスした場合にのみトリガーされます。エッジゾーンがドメイン名のオリジンサーバーが利用不能であると検出した場合、オリジンフェッチを再試行します。
最大再試行回数に達してもオリジンサーバーに到達できない場合、一定期間のサイレンス期間に入ります。この期間中は、オリジンサーバーへのトラフィック転送およびヘルスチェックの送信が停止されます。
サイレンス期間が終了すると、サービストラフィックに基づいて再度オリジンフェッチの再試行機能がトリガーされます。再試行が成功した場合、オリジンサーバーは再アクティブ化されます。
トラフィックマーキング:
Request Header Forwarding Configuration:Anti-DDoS Proxy はリクエストヘッダーの転送をサポートしています。オリジンサーバーにリクエストを転送する際に、HTTP リクエストヘッダーを追加または変更できます。これにより、Anti-DDoS Proxy を通過するトラフィックを識別およびマーキングできます。
Insert X-Client-IP to Get Originating IP Address:クライアントの元の IP アドレスを渡します。
Insert X-True-IP to Forward Client IP:クライアントが接続を確立するために使用した IP アドレスを渡します。
Insert Web-Server-Type to Get Service Type:通常、最初のプロキシによって追加されます。バックエンドサーバーに、どのフロントエンド Web サーバーまたはプロキシがリクエストを処理したかを通知します。
Insert WL-Proxy-Client-IP to Get Connection IP:X-Client-IP と同じ機能です。Oracle WebLogic Server 固有のヘッダーです。
X-Forwarded-Proto (Listener Protocol):クライアントと最初のプロキシ間で使用されるプロトコルです。
トラフィックマーカー
デフォルトマーカー
説明JA3 指紋、JA4 指紋、クライアント TLS 指紋、および HTTP2.0 指紋 の構成には、アカウントマネージャーの支援が必要です。
サービスでデフォルトマーカーではなくカスタムフィールドを使用する場合、以下の カスタムヘッダー をご参照ください。構成後、オリジンサーバーは Anti-DDoS Proxy から転送されたリクエストからこのフィールドを解析します。解析例については、「Anti-DDoS Proxy の構成後に真の送信元 IP アドレスを取得する」をご参照ください。
クライアントの実際の送信元ポート:HTTP ヘッダー内のクライアントの送信元ポートを表すヘッダー項目名です。通常、
X-Forwarded-ClientSrcPortフィールドに記録されます。クライアントの実際の送信元 IP アドレス:HTTP ヘッダー内のクライアントの送信元 IP アドレスを表すヘッダー項目名です。通常、
X-Forwarded-Forフィールドに記録されます。JA3 指紋:HTTP ヘッダー内のクライアント JA3 指紋から生成された MD5 ハッシュ値を表すヘッダー項目名です。通常、
ssl_client_ja3_fingerprint_md5フィールドに記録されます。JA4 指紋:HTTP ヘッダー内のクライアント JA4 指紋から生成された MD5 ハッシュ値を表すヘッダー項目名です。通常、
ssl_client_ja4_fingerprint_md5フィールドに記録されます。クライアント TLS 指紋:HTTP ヘッダー内のクライアント TLS 指紋から生成された MD5 ハッシュ値を表すヘッダー項目名です。通常、ssl_client_tls_fingerprint_md5 フィールドに記録されます。
HTTP2.0 指紋:HTTP ヘッダー内のクライアント HTTP/2.0 指紋から生成された MD5 ハッシュ値を表すヘッダー項目名です。通常、
http2_client_fingerprint_md5フィールドに記録されます。
カスタムヘッダー:Anti-DDoS Proxy を通過するリクエストにカスタム HTTP ヘッダー(フィールド名および値を含む)を追加してマーキングします。Anti-DDoS Proxy がウェブサイトトラフィックを転送する際、構成されたフィールド値をオリジンサーバーに送信されるリクエストに追加します。これにより、バックエンドサービスがトラフィックを分析および追跡できます。
命名制限:元のリクエストヘッダー項目を上書きしないように、以下の予約済みまたは一般的なフィールド名をカスタムヘッダーに使用しないでください:
Anti-DDoS Proxy のデフォルトフィールド:
X-Forwarded-ClientSrcPort:Layer 7 エンジンアクセスにおけるクライアントポート取得にデフォルトで使用されます。X-Forwarded-ProxyPort:Layer 7 エンジンアクセスにおけるリスニングポート取得にデフォルトで使用されます。X-Forwarded-For:Layer 7 エンジンアクセスにおけるクライアント IP アドレス取得にデフォルトで使用されます。ssl_client_ja3_fingerprint_md5:クライアント JA3 指紋の MD5 ハッシュ値取得にデフォルトで使用されます。ssl_client_ja4_fingerprint_md5:クライアント JA4 指紋の MD5 ハッシュ値取得にデフォルトで使用されます。ssl_client_tls_fingerprint_md5:クライアント TLS 指紋の MD5 ハッシュ値取得にデフォルトで使用されます。http2_client_fingerprint_md5:クライアント HTTP/2.0 指紋の MD5 ハッシュ値取得にデフォルトで使用されます。
標準 HTTP フィールド:host、user-agent、connection、upgrade など。
一般的なプロキシフィールド:x-real-ip、x-true-ip、x-client-ip、web-server-type、wl-proxy-client-ip、eagleeye-rpcid、eagleeye-traceid、x-forwarded-cluster、x-forwarded-proto など。
数量制限:最大 5 個のカスタムヘッダーラベルを追加できます。
構成推奨事項:
まず デフォルトマーカー を使用してください。
本番環境に適用する前に、ステージング環境でヘッダー項目の構成を検証してください。
転送パフォーマンスへの影響を避けるため、フィールド値は 100 文字以内にすることを推奨します。
CNAME Reuse:CNAME 再利用を有効化するかどうかを選択します。CNAME 再利用を有効化すると、同一サーバー上でホストされている複数のドメイン名を、DNS レコードを同一の Anti-DDoS Proxy CNAME に設定することで Anti-DDoS Proxy に追加できます。各ドメイン名に対して個別のウェブサイト構成を追加する必要はありません。詳細については、「CNAME 再利用」をご参照ください。
重要このパラメーターは、Anti-DDoS Proxy (中国本土以外) のみでサポートされています。
その他の設定
HTTPS back-to-origin リクエストのリダイレクトの有効化:ウェブサイトがオリジンフェッチ向け HTTPS をサポートしていない場合、この設定を有効化する必要があります。この設定を有効化すると、すべての HTTPS リクエストが HTTP 経由でオリジンサーバーに送信され、すべての Websockets リクエストが Websocket 経由で送信されます。デフォルトのオリジンポートは 80 です。
説明非標準の HTTPS ポート(443 以外)でウェブサイトにアクセスし、オリジンフェッチ向け HTTP を有効化した場合、アクセス要求はデフォルトでオリジンサーバーの HTTP ポート 80 にリダイレクトされます。
HTTP/2.0 Origin:オリジンフェッチ向け HTTP/2.0 を有効化すると、Anti-DDoS Proxy はオリジンサーバーにリクエストを送信する際に HTTP/2.0 を使用します。
警告この機能を構成するには、アカウントマネージャーにお問い合わせください。
オリジンサーバーが HTTP/2.0 をサポートしていない場合、この機能を構成しないでください。そうしないと、ウェブサイトにアクセスできなくなる可能性があります。
Cookie の設定
ステータス:デフォルトで有効です。Anti-DDoS Proxy は、クライアント(例:ブラウザ)に Cookie を挿入してクライアントを識別したり、クライアント指紋を取得したりします。詳細については、「HTTP フラッド攻撃保護の構成」をご参照ください。
重要アプリケーションを Anti-DDoS Proxy に追加した後にログイン失敗またはセッション喪失が発生した場合、このスイッチを無効化してみてください。ただし、このスイッチを無効化すると、一部の HTTP フラッド攻撃保護機能が無効になることに注意してください。
Secure 属性:デフォルトで無効です。この属性を有効化すると、Cookie は HTTPS 接続でのみ送信され、HTTP 接続では送信されません。これにより、Cookie の盗難を防止できます。
説明ウェブサイトサービスが HTTPS 接続のみをサポートする場合、この属性を 有効化 することを推奨します。
新規接続のタイムアウト時間を設定する:Anti-DDoS Proxy がオリジンサーバーへの接続を確立するまで待機する時間です。
説明この期間内に接続が確立されない場合、その試行は失敗とみなされます。
読み取り接続タイムアウトの設定:Anti-DDoS Proxy が接続を確立し、読み取り要求を送信した後に、オリジンサーバーからの応答を待機する最大時間です。
書き込み接続タイムアウトの設定:Anti-DDoS Proxy がデータを送信した後、オリジンサーバーが処理を開始するまで待機する時間です。
説明Anti-DDoS Proxy がすべてのデータをオリジンサーバーに送信できない場合、またはオリジンサーバーがこの期間内にデータの処理を開始しない場合、その試行は失敗とみなされます。
Back-to-origin の長時間接続:キャッシュサーバーとオリジンサーバー間の TCP 接続は、各リクエスト後に閉じるのではなく、一定期間アクティブなままになります。これによりリソースが浪費される可能性があります。 Back-to-origin の長時間接続 を有効化することで、接続確立時間およびリソース消費を削減し、リクエスト処理の効率性および速度を向上させることができます。
長時間接続の再利用リクエスト数:Anti-DDoS Proxy からオリジンサーバーへの単一 TCP 接続で送信できる HTTP リクエスト数です。これにより、頻繁な接続確立および終了に起因するレイテンシーおよびリソース消費が削減されます。
説明この値は、WAF や SLB インスタンスなどのバックエンドオリジンサーバーで構成された永続的接続あたりのリクエスト数以下に設定することを推奨します。これにより、接続終了によるサービス不可の発生を防止できます。
アイドル中の長時間接続のタイムアウト:Anti-DDoS Proxy の接続プール内で、Anti-DDoS Proxy からオリジンサーバーへのアイドル永続的 TCP 接続がオープンなまま維持できる最大時間です。この期間内に新しいリクエストが受信されない場合、接続は閉じられ、システムリソースが解放されます。
説明この値は、WAF や SLB インスタンスなどのバックエンドオリジンサーバーで構成されたタイムアウト期間以下に設定することを推奨します。これにより、接続終了によるサービス不可の発生を防止できます。
検証および本番運用時の注意点
ウェブサイト構成を完了した後は、以下のチェックリストに従って検証および本番運用を行います。これにより、サービス中断を防止できます。
必須操作(必須)
オリジンフェッチ IP アドレスをホワイトリストに追加:オリジンサーバー(ファイアウォールやセキュリティグループなど)のセキュリティポリシーで、Anti-DDoS Proxy のオリジンフェッチ IP アドレス範囲をホワイトリストに追加します。これにより、Anti-DDoS Proxy からオリジンサーバーに転送されるトラフィックがブロックされるのを防ぎます。詳細については、「Anti-DDoS Proxy のオリジンフェッチ IP アドレスをホワイトリストに追加」をご参照ください。
ローカルでの構成検証:DNS レコードを切り替える前に、ローカルの
hostsファイルを変更して、転送構成が期待通りに動作することを検証します。これにより、サービス中断を防止できます。詳細については、「ローカルマシンでトラフィック転送設定を検証する」をご参照ください。DNS レコードの切り替え:ローカル検証が成功した後、ウェブサイトドメイン名の DNS レコードを Anti-DDoS Proxy が提供する CNAME に変更します。これにより、サービストラフィックが Anti-DDoS Proxy に切り替えられ、保護が適用されます。詳細については、「CNAME または IP アドレスを使用してドメイン名を Anti-DDoS Proxy インスタンスに解決する」をご参照ください。
任意操作
オリジン IP アドレスの変更:オリジンサーバーが Alibaba Cloud の ECS インスタンスであり、その IP アドレスが公開されている場合、ECS インスタンスのパブリック IP アドレスを変更することを推奨します。これにより、攻撃者が Anti-DDoS Proxy をバイパスしてオリジンサーバーを攻撃するのを防止できます。詳細については、「静的パブリック IP アドレス」をご参照ください。
DDoS 緩和ポリシーの構成:Anti-DDoS Proxy のデフォルト緩和ポリシー(DDoS グローバルミティゲーション、インテリジェント保護、および 頻度制御)に加えて、必要に応じて ウェブサイトサービスの保護 タブでさらに多くの保護機能を有効化できます。詳細については、「ウェブサイトサービス向け保護」をご参照ください。
重要HTTP フラッド攻撃保護ポリシーを有効化すると、クライアントに Cookie が挿入される場合があります。詳細については、「Cookie の挿入」をご参照ください。
CloudMonitor アラートの構成:Anti-DDoS Proxy の一般的なサービスメトリクス(トラフィックおよび接続数など)および攻撃イベント(ブラックホールフィルタリングおよびクリーニングイベントなど)向けにアラートルールを構成します。これにより、異常な活動を早期に検知し、迅速に対応できます。詳細については、「CloudMonitor アラート」をご参照ください。
ログ分析サービスの構成:ログ分析サービスを有効化して、ウェブサイトアクセスログをデフォルトで 180 日間収集および保存します。これは、ビジネス分析および等級保護のコンプライアンス要件を満たすために有用です。詳細については、「ログ分析機能の迅速な利用」をご参照ください。
クォータおよび制限事項
1 つのドメイン名は最大 8 個の Anti-DDoS Proxy インスタンスに関連付け可能です。
Anti-DDoS Proxy インスタンスの下で構成されるすべてのウェブサイト構成におけるカスタムポート(80 および 443 を除く)の総数は、10 を超えてはなりません。
最大 5 個のカスタムヘッダーラベルを追加できます。
参照
ICP 登録
ICP 登録の確認および対応: Anti-DDoS Proxy (中国本土) は、保護対象のドメイン名の ICP 登録ステータスを定期的に確認します。ICP 登録が無効になった場合、Anti-DDoS Proxy (中国本土) は関連サービスのトラフィック転送を停止し、「ドメイン名の ICP 登録が完了していません。登録ステータスを更新してください。」というメッセージを ドメイン接続 ページに表示します。
二重 ICP 登録要件: オリジンサーバーが Alibaba Cloud のプロダクトである場合、Anti-DDoS Proxy およびオリジンプロダクトの両方の ICP 登録要件を満たす必要があります。そうでないと、オリジンフェッチのトラフィック転送に影響が出る可能性があります。詳細については、各クラウドプロダクトの公式ドキュメントをご参照いただくか、技術サポートにお問い合わせください。例えば、オリジンサーバーが ECS インスタンスである場合、ECS インスタンスの ICP 登録を取得する必要があります。詳細については、「サーバー向け ICP 登録チェック」および「ICP 登録プロセス」をご参照ください。
サービス復旧:ICP 登録が無効であるという通知を受け取った場合、直ちに登録情報を更新してサービスを再開してください。
ウェブサイト構成の削除
不要となったウェブサイト構成を削除するには、以下の手順を実行します。
DNS レコードの復元:ドメイン名の DNS レコードを変更し、Anti-DDoS Proxy インスタンスの IP アドレス、Anti-DDoS Proxy の CNAME、または Sec-Traffic Manager の CNAME を指さないようにします。
警告DNS レコードを復元する前にウェブサイト構成を削除すると、サービスが中断される可能性があります。
ウェブサイト構成の削除
手動削除: ドメイン接続 ページで、対象の構成を見つけ、削除 を 操作 列でクリックします。詳細については、「ウェブサイト構成の削除」をご参照ください。
自動削除:アカウント内の最後の Anti-DDoS Proxy インスタンスがリリースされてから 1 ヶ月後、システムがアカウント内のすべての Anti-DDoS Proxy のドメイン名およびポート転送構成を自動的に削除します。
よくある質問
構成を完了した後にウェブサイトにアクセスすると、502 や 504 エラーが発生するのはなぜですか?
このエラーは、通常、オリジンフェッチの失敗によって発生します。以下の項目を順に確認してください:
オリジンサーバーのファイアウォール/セキュリティグループの確認:Anti-DDoS Proxy のオリジンフェッチ IP アドレス範囲をホワイトリストに追加済みであることを確認します。
「オリジンフェッチ向け HTTP の有効化」構成の確認:オリジンサーバーが HTTP(ポート 80 でリッスン)のみをサポートしているにもかかわらず、Anti-DDoS Proxy で HTTPS を構成し、「オリジンフェッチ向け HTTP の有効化」を有効化していない場合、オリジンフェッチは失敗します。
オリジンサーバーのステータス確認: オリジン IP アドレス が正しいこと、およびオリジンサーバー自体が正常に稼働していることを確認します。
HTTPS を有効化した後にブラウザで証明書エラーが報告されるのはなぜですか?
以下の項目を確認してください:
証明書とドメイン名の不一致:証明書が追加したドメイン名(
wwwおよびルートドメインを含む)をカバーしていることを確認します。例えば、www.example.comの証明書は、ワイルドカード証明書またはマルチドメイン証明書でない限り、example.comには使用できません。不完全な証明書チェーン:証明書をアップロードする際は、サーバー証明書および中間 CA 証明書を含む完全な証明書チェーンをアップロードしてください。
有効期限切れの証明書:アップロードした証明書がまだ有効であるかを確認します。
ウェブサイトトラフィックが本当に Anti-DDoS Proxy を通過しているかを確認するにはどうすればよいですか?
DNS クエリ:コマンドラインで
ping <ドメイン名>またはdig <ドメイン名>を実行します。解決されたアドレスが Anti-DDoS Proxy インスタンスの CNAME またはその CNAME が指す IP アドレスであるかを確認します。コンソールのレポート:Anti-DDoS Proxy コンソールのレポートページで、インバウンドトラフィックのデータがあるかを確認します。
オリジンサーバーのログ:オリジンサーバーの Web アクセスログを確認し、リクエストの送信元 IP アドレスが Anti-DDoS Proxy のオリジンフェッチ IP アドレス範囲に属しているかを確認します。
アプリケーションのログに記録されるのは Anti-DDoS Proxy の IP アドレスのみです。実際の訪問者 IP アドレスを取得するにはどうすればよいですか?
これは想定通りの動作です。プロキシとして、Anti-DDoS Proxy はオリジンサーバーにアクセスする際に自身のオリジンフェッチ IP アドレスを使用します。実際の訪問者 IP アドレスを取得するには、Nginx や Apache などの Web サーバーを構成して、
X-Forwarded-Forリクエストヘッダーから IP アドレスを抽出する必要があります。詳細については、「Anti-DDoS Proxy インスタンスの構成後にクライアントの実際の IP アドレスを取得する」をご参照ください。