デフォルトでは、Elastic IP (EIP) には Anti-DDoS Basic が含まれており、最大 5 Gbps の保護が提供されます。攻撃トラフィックがこの制限を超えると、ブラックホールルーティングによってすべてのインバウンドトラフィックが破棄され、完全なサービス中断が発生する可能性があります。テラビットレベルの保護と業務継続性を実現するには、Anti-DDoS (拡張) EIP を使用します。
仕組み
Anti-DDoS (拡張) EIP は、 Anti-DDoS Native を使用してテラビットレベルの DDoS 対策を提供します。これにより、大規模なオンラインゲームや主要なライブストリーミングイベントなど、高度なセキュリティを必要とする遅延の影響を受けやすいアプリケーションに最適です。
-
インバウンド:トラフィックはまず Anti-DDoS Native に送信され、検出とクリーニングが行われます。サービスが不正なトラフィックをフィルターした後、クリーンなトラフィックをご利用のインスタンスに転送します。
-
アウトバウンド:EIP はアウトバウンドトラフィックを直接インターネットに送信します。
注意事項
-
回線タイプ:BGP (マルチ ISP)。
-
課金方法:従量課金。
-
IP アドレスプールから Anti-DDoS (拡張) EIP を作成する場合、その IP アドレスプールも Anti-DDoS (拡張) プールである必要があります。
-
サポートされているリージョン:
EIP
-
アジアパシフィック - 中国:中国 (北京)、中国 (杭州)、中国 (上海)、中国 (香港)
-
アジアパシフィック - その他:フィリピン (マニラ)、日本 (東京)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、韓国 (ソウル)、タイ (バンコク)
-
その他:米国 (バージニア)、米国 (シリコンバレー)、ドイツ (フランクフルト)、イギリス (ロンドン)、メキシコ
IP アドレスプール
-
アジアパシフィック - 中国:中国 (香港)
-
アジアパシフィック - その他:フィリピン (マニラ)、日本 (東京)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、韓国 (ソウル)、タイ (バンコク)
-
その他:米国 (バージニア)、米国 (シリコンバレー)、ドイツ (フランクフルト)、イギリス (ロンドン)、メキシコ
-
Anti-DDoS (拡張) の有効化
開始する前に、Anti-DDoS Origin (従量課金) を有効化していることを確認してください。サービスを有効化し、保護対象アセットを追加すると、Alibaba Cloud はサービスが利用中であるとみなし、課金を開始します。このサービスには最低 30 日間のコミットメントが必要であり、この期間中は無効化できません。
コンソール
EIP 購入ページに移動します。その他の設定については、「EIP」をご参照ください。
-
課金方法:従量課金。
-
接続タイプ: BGP (Multi-ISP)。
-
セキュリティ保護: Anti-DDoS Pro/Premium.
-
アドレスプール:
-
デフォルト:Alibaba Cloud のパブリック IP アドレスプールから Anti-DDoS (拡張) EIP を割り当てます。
-
IP アドレスプールを指定:指定された Anti-DDoS (拡張) IP アドレスプールから EIP を割り当てます。
-
EIP が作成されたら、EIP コンソールに移動します。[保護] 列で、対象の EIP の 
アイコンをクリックして、クリーニングしきい値とブラックホールしきい値を確認します。
作成の翌日 (T+1) に、Traffic Security コンソールに移動し、トラフィックセキュリティ > ネットワークセキュリティ > Anti-DDoS Origin 2.0 > ビリングセンター の順に移動すると、使用量の詳細を表示できます。ピーク帯域幅の調整をリクエストするには、詳細な説明 をクリックします。
API
AllocateEipAddress 操作を呼び出し、SecurityProtectionTypes パラメーターを AntiDDoS_Enhanced に設定して、Anti-DDoS (拡張) EIP を作成します。
課金
従量課金の EIP のみが Anti-DDoS (拡張) セキュリティレベルをサポートします。課金項目は次のとおりです:
-
パブリック IP インスタンス料金とパブリックネットワーク料金:EIP の課金にはこれらの料金が含まれます。
-
Anti-DDoS Origin 2.0 料金:この料金は Anti-DDoS Origin サービスによって請求されます。
詳細情報
Anti-DDoS Basic
デフォルトでは、EIP には最大 5 Gbps の DDoS 対策を提供する Anti-DDoS Basic が含まれています。インバウンドのインターネットトラフィックは、まず Alibaba Cloud Anti-DDoS Basic を通過します。Anti-DDoS Basic が DDoS 攻撃プロファイルに一致し、クリーニングしきい値を超えるトラフィックを検出すると、Anti-DDoS Basic はクリーニングを開始し、不正なパケットをフィルターして、クリーンなトラフィックを EIP に転送します。
-
クリーニング:
-
クリーニング方法:攻撃パケットのフィルター、トラフィックのレート制限、パケットのレート制限。
-
クリーニングトリガー:トラフィックが DDoS 攻撃の特性に一致し、そのボリュームがビット/秒 (BPS) またはパケット/秒 (PPS) のクリーニングしきい値に達すると、クリーニングが開始されます。Anti-DDoS Basic は、EIP の帯域幅に基づいてクリーニングしきい値を自動的に設定します。
-
BPS クリーニングしきい値:EIP の帯域幅が 300 Mbps 以下の場合、しきい値は 450 Mbps です。EIP の帯域幅が 300 Mbps を超える場合、しきい値は
EIP 帯域幅の値 × 1.5Mbps です。 -
PPS クリーニングしきい値:EIP の帯域幅が 100 Mbps までの場合、100,000 pps です。100 Mbps を超える帯域幅の場合、しきい値は
EIP 帯域幅の値 × 1000pps です。
-
-
-
ブラックホールルーティング:DDoS 攻撃トラフィックが EIP のブラックホールしきい値 (Anti-DDoS Basic の 5 Gbps の容量、具体的には 5,200 Mbps) を超えると、Alibaba Cloud はブラックホールルーティングを適用して、クラウドリソースをさらなる影響から保護します。このポリシーは EIP へのすべてのインバウンドトラフィックをブロックするため、完全なサービス中断を引き起こす可能性があります。デフォルトでは、ブラックホールは 2.5 時間後に自動的に解除されます。実際の持続時間は、EIP への攻撃の頻度によって異なる場合があります。