GA と Anti-DDoS Origin を使用して、グローバルサービスを安全に加速する - Global Accelerator

グローバルビジネスの拡大において、企業はネットワーク遅延の問題や分散型サービス拒否 (DDoS) 攻撃に直面することがよくあります。Global Accelerator (GA) と Anti-DDoS Origin を一緒にデプロイすることで、グローバルユーザーアクセスを高速化し、DDoS 攻撃を防止し、高可用性とセキュリティを確保し、ユーザーエクスペリエンスを向上させ、セキュリティリスクを軽減できます。

例

企業の Web サイトは、米国 (シリコンバレー) リージョンの Alibaba Cloud にデプロイされています。この Web サイトは、カスタムドメイン名を使用して、世界中の複数のリージョンのエンドユーザーにサービスを提供しています。転送ポートは HTTP ポート 80 です。この Web サイトは、次の問題に直面しています。

国境を越えたネットワークが不安定です。ネットワーク遅延の増大、ネットワークジッター、パケット損失などのネットワークの問題が頻繁に発生する可能性があります。
Web サイトは DDoS 攻撃に頻繁に遭遇し、サービス中断が発生します。
バックエンドサーバーが不安定で、サービスが中断される可能性があります。

GA と Anti-DDoS Origin を使用すると、クロスドメイン Web サイトサービスが直面する問題を効果的に解決できます。

GA: クライアントリクエストは、構成されたアクセラレーションリージョンを通じて、Alibaba Cloud アクセラレーションネットワークの最も近いアクセスポイントにルーティングできます。インテリジェントルーティングと自動ネットワークスケジューリングにより、リクエストは米国 (シリコンバレー) のオリジンサーバーに転送できます。これにより、サービスアクセス速度が効果的に向上します。同時に、ヘルスチェックを有効にすることで、サービスの信頼性と可用性を向上させ、異常なノードがサービスに与える影響を回避できます。
Anti-DDoS Origin: GA インスタンスを保護対象オブジェクトとして追加して、GA の高速化 IP アドレスとエンドポイントのパブリック IP アドレスを保護できます。トラフィックが Anti-DDoS Origin のデフォルトのトラフィッククリーニングしきい値を超えると、トラフィッククリーニングが自動的にトリガーされ、DDoS 攻撃が軽減されます。

制限事項

Anti-DDoS Origin インスタンスは、中国本土でのみ直接購入できます。中国本土以外で Anti-DDoS Origin インスタンスを購入する場合は、アカウントマネージャーにお問い合わせください。アカウントマネージャーへの連絡方法の詳細については、「お問い合わせ」をご参照ください。

前提条件

サービスは、米国 (シリコンバレー) の ECS01 と ECS02 にデプロイされています。この例では、Alibaba Cloud Linux 3 オペレーティングシステムが使用されています。NGINX は、ポート 80 を使用するバックエンド HTTP サービスを構成するために使用されます。
例: ECS01 にテストサービスをデプロイする
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
// ECS01 にメッセージを表示する index.html を作成します。
echo "Hello World !  This is ECS01, service running on port 80." > index.html
```
2 つのA レコードが作成され、カスタムドメイン名がバックエンドサーバーのパブリック IP アドレスにマッピングされます。
サードパーティの DNS サービスを使用する場合は、サービスプロバイダーが提供するユーザーガイドを参照してください。
HTTPS 443 を介して外部サービスを提供する必要がある場合は、証明書を作成して申請するか、サードパーティの証明書を証明書管理サービスにアップロードして、カスタムドメイン名を証明書に関連付ける必要があります。
Anti-DDoS Origin インスタンスが購入されます。

手順

ステップ 1: GA を構成する

この例では、従量課金制の標準 GA インスタンスを使用します。

GA コンソールの [標準インスタンス] > [インスタンス] ページで、GA コンソール[従量課金制標準インスタンスの作成] をクリックします。
[基本インスタンス構成] ステップで、基本情報を構成し、[次へ] をクリックします。
[アクセラレーションエリアの構成] ステップで、アクセラレーションリージョンを追加し、リージョンに帯域幅を割り当ててから、[次へ] をクリックします。
この例では、[アクセラレーションリージョン] パラメーターは [中国 (香港)] に設定され、[ISP 回線タイプ] パラメーターは [BGP (マルチ ISP)] に設定されています。他のパラメーターにはデフォルト値を使用するか、ビジネス要件に基づいてパラメーターを変更できます。詳細については、「アクセラレーションエリアを追加および管理する」をご参照ください。
重要
最大帯域幅に小さい値を指定すると、速度制限が発生し、パケットがドロップされる可能性があります。ビジネス要件に基づいて最大帯域幅を指定してください。
[リスナーの構成] ステップで、転送プロトコルとポートを構成し、[次へ] をクリックします。
この例では、[ルーティングタイプ] パラメーターは [インテリジェントルーティング] に設定され、[プロトコル] パラメーターは [HTTP] に設定され、[ポート] パラメーターは [80] に設定されています。他のパラメーターにはデフォルト値を使用するか、ビジネス要件に基づいてパラメーターを変更できます。詳細については、「インテリジェントルーティングリスナーを追加および管理する」をご参照ください。
説明
HTTPS 443 を使用して外部サービスを提供する場合は、[プロトコル] で [HTTPS] を選択し、[ポート] で [443] を選択し、作成した証明書をリスナーに関連付け、エンドポイントグループの [ポートマッピング] パラメーターでリスナーポート 443 とバックエンドサービスポート 80 の間のマッピングを構成できます。これにより、ユーザーは HTTPS 経由で HTTP Web サイトに安全にアクセスできます。
[エンドポイントグループの構成] ステップで、エンドポイントを構成し、[次へ] をクリックします。
この例では、[米国 (シリコンバレー)] が [リージョン] パラメーターに選択されています。ECS01 と ECS02 は [バックエンドサービス] パラメーターに設定されています。次に、[ヘルスチェック] が有効になり、[国境を越えたデータ転送に関するコンプライアンスのコミットメント] が選択されています。他のパラメーターにはデフォルト値を使用するか、ビジネス要件に基づいてパラメーターを変更できます。詳細については、「インテリジェントルーティングリスナーのエンドポイントグループを設定する」をご参照ください。
[構成の確認] ステップで、構成を確認し、[送信] をクリックします。
[インスタンス] ページで、作成した GA インスタンスを見つけ、[CNAME] 列に GA インスタンスに割り当てられた CNAME を取得します。

ステップ 2: Anti-DDoS Origin を構成する

Anti-DDoS Origin コンソールの [保護対象オブジェクト] ページで、[保護対象オブジェクトの追加] をクリックして、GA インスタンスを保護対象オブジェクトとして追加します。

添加防护对象

GA インスタンスが追加されると、[保護対象オブジェクト] ページの [GA アセット] タブで、保護されている GA インスタンスを表示できます。また、[IP アドレスアセット] タブで、GA インスタンスの保護されているパブリック IP アドレスを表示することもできます。

ステップ 3: CNAME レコードを構成する

CNAME レコードを構成して、サービスドメイン名を GA インスタンスによって割り当てられた CNAME にマッピングします。これにより、サービスへのアクセスが高速化されます。

この例では、バックエンドサーバーを指す A レコードをすでに作成している場合は、GA インスタンスを指す CNAME レコードを追加するときに、中国 (香港) リージョンを指定できます。CNAME レコードが期待どおりに機能する場合は、CNAME レコードを他のリージョンに適用するか、GA インスタンスを指す CNAME レコードのみを保持します。

権威 DNS 解決ページで、使用するドメイン名を見つけ、[アクション] 列の [DNS 設定] をクリックします。
説明
Alibaba Cloud に登録されていないドメイン名の場合、DNS レコードを構成する前に、Alibaba Cloud DNS コンソールにドメイン名を追加する必要があります。
[DNS 設定] ページで、[DNS レコードの追加] をクリックし、CNAME レコードを構成してから、[OK] をクリックします。
この例では、[レコードタイプ] パラメーターは [CNAME] に設定され、[ホスト名] パラメーターは [www] に設定され、[DNS リクエストソース] パラメーターは [Asia_Hong Kong] に設定され、[レコード値] パラメーターは GA インスタンスの CNAME に設定されています。他のパラメーターにはデフォルト値を使用するか、ビジネス要件に基づいてパラメーターを変更できます。詳細については、「DNS レコードを追加する」をご参照ください。

ステップ 4: 結果を確認する

GA の高速化パフォーマンスを確認する

この例では、中国 (香港) リージョンの検出ポイントが使用されます。GA を構成する前と後で、ネットワーク検出ツールを使用して応答時間を確認できます。

GA を構成する前にネットワーク遅延をテストします。
応答時間などの情報を表示できます。[解析結果 IP] 列の IP アドレスは、ECS インスタンスに割り当てられたパブリック IP アドレスです。
GA を構成した後にネットワーク遅延をテストします。
応答時間などの情報を表示できます。GA インスタンスの高速化 IP アドレスは、[解析結果 IP] 列に表示されます。

テスト結果によると、中国 (香港) リージョンから米国 (シリコンバレー) リージョンへのデータ伝送のネットワーク遅延が軽減されています。

説明

高速化パフォーマンスは、実際のワークロードによって異なります。

GA ヘルスチェックを確認する

ブラウザに Web サイトのドメイン名を入力して、米国 (シリコンバレー) リージョンにデプロイされている Web サイトにアクセスします。
結果は、ドメイン名を使用して Web サイトにアクセスできることを示しています。ブラウザを複数回更新すると、ECS01 と ECS02 から応答が返されます。
障害をシミュレートする: ECS01 を停止します。
しばらくしてから、GA インスタンスの [エンドポイントグループ] タブで [ヘルスチェックステータス] を表示します。
ブラウザを複数回更新すると、サービスには引き続き正常にアクセスできますが、ECS02 のみが応答を返します。

Anti-DDoS Origin のパフォーマンスを確認する

Anti-DDoS Origin によって提供される次の機能を使用して、保護パフォーマンスを表示できます。

ビジネスモニタリングページでは、保護されているアセットのトラフィックトレンドと DDoS 攻撃イベントをリアルタイムで表示できます。
攻撃分析ページでは、攻撃タイプ、攻撃トラフィック量、期間など、Anti-DDoS Origin インスタンスへの攻撃の詳細をクエリして分析できます。
保護ログページには、攻撃検出やトラフィッククリーニングなど、Anti-DDoS Origin によるトラフィックの処理が記録されます。保護ログを分析することで、保護ポリシーの有効性をさらに検証できます。

Global Accelerator:GA と Anti-DDoS Origin を使用して、グローバルサービスを安全に加速する

例