Alibaba Cloud は、Anti-DDoS Pro/Premium で保護された Elastic IP アドレス (EIP) を提供しています。 Anti-DDoS Pro/Premium で保護された EIP は、Tbit/s レベルの DDoS 攻撃を軽減でき、大規模なゲームやライブストリーミングアクティビティなど、高いセキュリティと低レイテンシが求められるシナリオに最適です。 このトピックでは、NLB インスタンスがインターネットにアクセスできるように、Network Load Balancer (NLB) を Anti-DDoS Pro/Premium で保護された EIP に関連付ける方法について説明します。
Anti-DDoS Pro/Premium で保護された EIP の概要
Alibaba Cloud は、Anti-DDoS Pro/Premium で保護された EIP を提供しています。 Anti-DDoS Pro/Premium で保護された EIP は、EIP コンソールで購入できます。 Anti-DDoS Pro/Premium で保護された EIP は、Tbit/s レベルの DDoS 攻撃を軽減できます。 Anti-DDoS Pro/Premium で保護された EIP を使用する場合、追加の構成を実行したり、NLB インスタンスがサービスを提供するために使用する IP アドレスを変更したりする必要はありません。 詳細については、「Anti-DDoS Pro/Premium で保護された EIP を使用する際のベストプラクティス」をご参照ください。
制限
NLB インスタンスと Anti-DDoS Pro/Premium で保護された EIP は、同じリージョンにデプロイする必要があります。
Anti-DDoS Pro/Premium で保護された EIP の制限
BGP (マルチ ISP) タイプの従量課金 EIP のみ Anti-DDoS Pro/Premium をサポートします
IP アドレスプールを指定して Anti-DDoS Pro/Premium で保護された EIP を作成する場合、IP アドレスプールは Anti-DDoS Pro/Premium タイプである必要があります。
次のリージョンでは、Anti-DDoS Pro/Premium がサポートされています。
Anti-DDoS Pro/Premium で保護された EIP をサポートするリージョン
エリア
リージョン
中国
中国 (北京)、中国 (杭州)、中国 (上海)、中国 (香港)
アジア太平洋
フィリピン (マニラ)、日本 (東京)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)
ヨーロッパ & アメリカ
米国 (バージニア)、米国 (シリコンバレー)、ドイツ (フランクフルト)、英国 (ロンドン)
Anti-DDoS Pro/Premium タイプの IP アドレスプールをサポートするリージョン
エリア
リージョン
中国
中国 (香港)
アジア太平洋
フィリピン (マニラ)、日本 (東京)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)
ヨーロッパ & アメリカ
米国 (バージニア)、米国 (シリコンバレー)、ドイツ (フランクフルト)、英国 (ロンドン)。
NLB インスタンスを Anti-DDoS Pro/Premium で保護された EIP に関連付ける際の制限
Anti-DDoS Pro/Premium で保護された EIP を NLB インスタンスに関連付けるには、EIP がインターネット共有帯域幅インスタンスに関連付けられていないことを確認してください。 EIP をインターネット共有帯域幅インスタンスに関連付ける場合は、EIP を NLB インスタンスに関連付けてから、Server Load Balancer (SLB) コンソールで EIP をインターネット共有帯域幅インスタンスに関連付けることができます。 Anti-DDoS Pro/Premium で保護された EIP は、BGP (マルチ ISP) 回線を使用するインターネット共有帯域幅インスタンスにのみ関連付けることができます。
課金
NLB インスタンスが Anti-DDoS Pro/Premium で保護された EIP に関連付けられると、Anti-DDoS Pro/Premium は保護料金を請求します。
請求対象項目 | 計算式 | 参照 |
インスタンス料金 |
| |
Load Balancer Capacity Unit (LCU) 料金 |
| |
インターネットデータ転送料金 | 内部向け NLB インスタンスを使用している場合、インターネット経由のデータ転送は課金されません。 インターネット向け NLB インスタンスを使用している場合にのみ、インターネット経由のデータ転送が課金されます。 NLB インスタンスが Anti-DDoS Pro/Premium で保護された EIP に関連付けられると、EIP は EIP インスタンスのインスタンス料金とデータ転送料金を請求します。 詳細については、「従量課金」をご参照ください。 | |
保護料金 | NLB インスタンスが Anti-DDoS Pro/Premium で保護された EIP に関連付けられると、保護料金が請求されます。 詳細については、「Anti-DDoS Origin 2.0 (従量課金)」をご参照ください。 警告 Anti-DDoS Pro/Premium で保護された EIP を購入するには、従量課金制で Anti-DDoS Origin を 30 日以上アクティブ化する必要があります。 Anti-DDoS Origin は月単位で課金されます。 最初の 30 日間が経過する前に Anti-DDoS Origin を非アクティブ化することはできません。 | |
前提条件
VPC1 という名前の仮想プライベートクラウド (VPC) が作成されています。 詳細については、「VPC を作成する」をご参照ください。
ECS01 と ECS02 という名前の Elastic Compute Service (ECS) インスタンスが VPC1 に作成されています。 各 ECS インスタンスに NGINX サービスがデプロイされています。
ECS インスタンスの作成方法の詳細については、「ウィザードを使用してインスタンスを作成する」をご参照ください。
NGINX サービスのデプロイ方法の詳細については、「CentOS 7 に LNMP 環境をデプロイする」をご参照ください。
NLB インスタンス用に RS01 という名前のサーバーグループが作成されています。 ECS01 と ECS02 はバックエンドサーバーとして指定されています。 詳細については、「サーバーグループを作成および管理する」をご参照ください。
NLB インスタンスをインターネット共有帯域幅インスタンスに関連付ける場合は、インターネット共有帯域幅インスタンスを購入する必要があります。 この例では、BGP (マルチ ISP) 回線を使用するインターネット共有帯域幅インスタンスが購入されています。 詳細については、「インターネット共有帯域幅を作成する」をご参照ください。
手順
手順 1: Anti-DDoS Pro/Premium で保護された EIP を作成する
NLB インスタンスを Anti-DDoS Pro/Premium で保護された EIP に関連付ける前に、EIP コンソール で Anti-DDoS Pro/Premium で保護された EIP を購入する必要があります。
- Elastic IP アドレスコンソール にログインします。
Elastic IP アドレス ページで、[EIP の作成] をクリックします。
Anti-DDoS Pro/Premium で保護された EIP を初めて購入する場合は、Anti-DDoS Origin (従量課金) をクリックして、従量課金方式を使用する Anti-DDos Origin をアクティブ化します。
警告Anti-DDoS Pro/Premium で保護された EIP を購入するには、まず従量課金制で Anti-DDoS Origin をアクティブ化する必要があります。 Anti-DDoS Origin は月単位で課金されます。 最小サブスクリプション期間は 30 日間です。 最初の 30 日間が経過する前に Anti-DDoS Origin を無効にすることはできません。
従量課金制の Anti-DDoS Origin をアクティブ化したら、Traffic Security コンソール にログインします。 左側のナビゲーションウィンドウで、 または を選択して、Anti-DDoS Origin インスタンスの詳細を表示します。
EIP 購入ページでパラメータを構成し、[今すぐ購入] をクリックして、支払いを完了します。
次の表は、このトピックに関連するパラメータについて説明しています。 詳細については、「EIP を申請する」をご参照ください。
パラメータ
説明
課金方式
EIP の課金方式を選択します。 この例では、[従量課金] が選択されています。
リージョン
EIP を作成するリージョンを選択します。
EIP と NLB インスタンスは、同じリージョンにデプロイする必要があります。 この例では、[中国 (杭州)] が選択されています。
インターネット接続タイプ
EIP の回線タイプを選択します。 この例では、[BGP (マルチ ISP)] が選択されています。
セキュリティ保護
ビジネス要件に基づいて Anti-DDoS のエディションを選択します。 この例では、[Anti-DDoS (拡張エディション)] が選択されています。 有効な値:
[デフォルト]: 最大 5 Gbit/s の DDoS 攻撃を軽減できる Anti-DDoS Origin。
[Anti-DDoS (拡張エディション)]: Tbit/s レベルの DDoS 攻撃を軽減できる Anti-DDoS Pro/Premium。
ネットワークトラフィック
データ転送の計測方法を選択します。 この例では、[トラフィック別] が選択されています。
数量
購入する EIP の数を選択します。
手順 2: NLB インスタンスを Anti-DDoS Pro/Premium で保護された EIP に関連付ける
NLB インスタンスの購入時または NLB インスタンスのネットワークタイプの変更時に、NLB インスタンスを Anti-DDoS Pro/Premium で保護された EIP に関連付けることができます。 シナリオに基づいて、次のいずれかの方法を選択します。
NLB インスタンスを購入する
NLB インスタンスの購入時に、NLB インスタンスを Anti-DDoS Pro/Premium で保護された EIP に関連付けることができます。
NLB コンソール にログインします。
上部のナビゲーションバーで、NLB インスタンスをデプロイするリージョンを選択します。 この例では、[中国 (杭州)] が選択されています。
[インスタンス] ページで、[NLB の作成] をクリックします。
NLB (従量課金) 国際サイト ページで、次のパラメータを構成し、[今すぐ作成] をクリックして、プロンプトに従って支払いを完了します。
次のセクションでは、このトピックに関連するパラメータのみについて説明します。 詳細については、「NLB インスタンスを作成する」をご参照ください。
ネットワークタイプ: [インターネット向け] を選択します。
VPC: VPC1 を選択します。
ゾーン: ゾーンと vSwitch を選択します。 Anti-DDoS Pro/Premium で保護された EIP は、指定されたゾーンに作成されます。
説明NLB はマルチゾーンデプロイメントをサポートしています。 選択したリージョンが 2 つ以上のゾーンをサポートしている場合は、高可用性を確保するために 2 つ以上のゾーンを選択してください。 NLB によって追加料金は発生しません。
ゾーンで vSwitch を使用できない場合は、プロンプトに従って NLB コンソールでゾーンに vSwitch を作成します。
NLB インスタンスは、Anti-DDoS Pro/Premium で保護された EIP と Anti-DDoS Origin で保護された EIP の両方に同時に関連付けることができます。 デフォルトオプションの [EIP を自動的に割り当てる] を選択すると、データ転送による従量課金方式と BGP (マルチ ISP) 回線を使用する従量課金 EIP が作成されます。 EIP は Anti-DDoS Origin によって保護されます。
NLB インスタンスのリスナーを構成します。 この例では、TCP リスナーが構成され、RS01 に関連付けられています。
インスタンス ページで、管理する NLB インスタンスを見つけ、リスナーの作成 を 操作 列でクリックします。
[リスナーの構成] ステップで、次のパラメータを構成し、次へ をクリックします。
次のセクションでは、このトピックに関連するパラメータについて説明します。 その他のパラメータにはデフォルト値を使用します。 詳細については、「TCP リスナーを追加する」をご参照ください。
リスナープロトコル: リスナープロトコル。 ビジネス要件に基づいてプロトコルを選択します。 この例では、[TCP] が選択されています。
リスナーポート: NLB インスタンスが listen するポート。 この例では、ポート 80 が指定されています。
[サーバーグループ] ステップで、RS01 を選択し、次へ をクリックします。
[確認] ステップで、構成を確認し、送信 をクリックします。
既存の内部向け NLB インスタンスを使用する
既存の NLB インスタンスを Anti-DDoS Pro/Premium で保護された EIP に関連付ける必要がある場合は、NLB インスタンスのネットワークタイプを変更することで関連付けを実行します。
NLB コンソール にログインします。
上部のナビゲーションバーで、NLB インスタンスがデプロイされているリージョンを選択します。 この例では、[中国 (杭州)] が選択されています。
インスタンス ページで、管理する内部向け NLB インスタンスを見つけ、インスタンス ID をクリックします。
インスタンス詳細ページの インスタンスの詳細 タブで、基本情報 セクションに移動し、ネットワークタイプ パラメータの右側にある IPv4 の横にある ネットワークタイプの変更 をクリックします。
ネットワークタイプの変更 ダイアログボックスで、[IP タイプ] パラメータを [EIP] に設定し、手順 1: Anti-DDoS Pro/Premium で保護された EIP を作成する で作成した EIP を [EIP の割り当て] ドロップダウンリストから選択し、OK をクリックします。
NLB インスタンスは、Anti-DDoS Pro/Premium で保護された EIP と Anti-DDoS Origin で保護された EIP の両方に同時に関連付けることができます。 [EIP の購入] を選択すると、データ転送による従量課金方式と BGP (マルチ ISP) 回線を使用する従量課金 EIP が作成されます。 EIP は Anti-DDoS Origin によって保護されます。
既存のインターネット向け NLB インスタンスを使用する
インターネット向け NLB インスタンスが Anti-DDoS Origin で保護された EIP に関連付けられており、NLB インスタンスを Anti-DDoS Pro/Premium で保護された EIP に関連付ける場合は、次の操作を実行します。
NLB インスタンスのネットワークタイプをインターネット向けから内部向けに変更します。
ネットワークタイプを変更するときに、NLB インスタンスを Anti-DDoS Pro/Premium で保護された EIP に関連付けます。
インターネット向け NLB インスタンスの作成時にデフォルトオプションの [EIP を自動的に割り当てる] を選択すると、NLB インスタンスはデータ転送による従量課金方式と BGP (マルチ ISP) 回線を使用する従量課金 EIP に関連付けられ、EIP は Anti-DDoS Origin によって保護されます。
手順 1: NLB インスタンスのネットワークタイプをインターネット向けから内部向けに変更する
インスタンス ページで、管理するインターネット向け NLB インスタンスを見つけ、インスタンス ID をクリックします。
インスタンス詳細ページの インスタンスの詳細 タブで、基本情報 セクションに移動し、インスタンスの詳細 パラメータの右側にある IPv4 の横にある ネットワークタイプの変更 をクリックします。
ネットワークタイプの変更 メッセージで、情報を確認し、OK をクリックします。
変更が有効になるまで約 1分かかります。 インスタンスの詳細 タブの ネットワークタイプ パラメータの値が [プライベート] に変わると、ネットワークタイプが変更されます。
手順 2: NLB インスタンスのネットワークタイプを内部向けからインターネット向けに変更する
インスタンス ページで、管理する内部向け NLB インスタンスを見つけ、インスタンス ID をクリックします。
インスタンスの詳細 タブで、基本情報 セクションに移動し、ネットワークタイプ パラメータの右側にある IPv4 の横にある ネットワークタイプの変更 をクリックします。
ネットワークタイプの変更 ダイアログボックスで、[IP タイプ] パラメータを [EIP] に設定し、手順 1: Anti-DDoS Pro/Premium で保護された EIP を作成する で作成した EIP を [EIP の割り当て] ドロップダウンリストから選択し、OK をクリックします。
NLB インスタンスは、Anti-DDoS Pro/Premium で保護された EIP と Anti-DDoS Origin で保護された EIP の両方に同時に関連付けることができます。 [EIP の購入] を選択すると、データ転送による従量課金方式と BGP (マルチ ISP) 回線を使用する従量課金 EIP が作成されます。 EIP は Anti-DDoS Origin によって保護されます。
(オプション) 手順 3: インターネット共有帯域幅インスタンスを NLB インスタンスに関連付ける
NLB インスタンスがインターネット共有帯域幅インスタンスに関連付けられていない場合、2 つのゾーンにデプロイされた NLB インスタンスの帯域幅はデフォルトで 400 Mbit/s に達する可能性があります。 より高い帯域幅が必要な場合は、NLB インスタンスをインターネット共有帯域幅インスタンスに関連付けることができます。
インスタンス ページで、管理する NLB インスタンスを見つけ、次のいずれかの方法を使用して NLB インスタンスをインターネット共有帯域幅インスタンスに関連付けます。
操作列の
アイコンをクリックし、EIP 帯域幅プランに関連付ける を選択します。 または、EIP 帯域幅プラン列で 関連付け をクリックします。 管理する NLB インスタンスの ID をクリックします。 インスタンス詳細ページの インスタンスの詳細 タブで、[課金情報] セクションの [EIP 帯域幅プランに関連付ける] をクリックします。
[EIP 帯域幅プランに関連付ける] ダイアログボックスで、ドロップダウンリストからインターネット共有帯域幅インスタンスを選択し、[OK] をクリックします。
手順 4: DNS レコードを作成する
NLB を使用すると、CNAME レコードを使用して、頻繁にアクセスするドメイン名を NLB インスタンスの公開アクセス可能なドメイン名にマッピングできます。 これにより、ネットワークリソースへのアクセスが容易になります。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、NLB インスタンスがデプロイされているリージョンを選択します。 この例では、[中国 (杭州)] が選択されています。
次の手順を実行して CNAME レコードを作成します。
説明ドメイン名が Alibaba Cloud Domains を使用して登録されていない場合は、DNS レコードを構成する前に、ドメイン名を Alibaba Cloud DNS に追加する必要があります。 詳細については、「ドメイン名を管理する」をご参照ください。 ドメイン名が Alibaba Cloud Domains を使用して登録されている場合は、この手順をスキップします。
Alibaba Cloud DNS コンソール にログインします。
[権限のある DNS 解決] ページで、ドメイン名を見つけ、[アクション] 列の [DNS 設定] をクリックします。
ドメイン名詳細ページの [DNS 設定] タブで、[DNS レコードの追加] をクリックします。
[DNS レコードの追加] パネルで、パラメータを構成し、[OK] をクリックします。 次の表にパラメータを示します。
パラメータ
説明
レコードタイプ
ドロップダウンリストから [CNAME] を選択します。
ホスト名
ドメイン名のプレフィックス。 この例では、@ と入力します。
説明ドメイン名がルートドメイン名の場合、@ と入力します。
DNS リクエストソース
[デフォルト] を選択します。
レコード値
CNAME、つまり NLB インスタンスのドメイン名を入力します。
TTL 期間
CNAME レコードが DNS サーバーにキャッシュされる有効期間 (TTL) 値を指定します。 この例では、デフォルト値が使用されます。
手順 5: ネットワーク接続をテストする
この例では、NLB インスタンスの TCP リスナーとサーバーグループ RS01 を使用して、ネットワーク接続をテストします。 詳細については、次のトピックを参照してください。
NLB インスタンスの DNS レコードを作成したら、ブラウザから 手順 4: DNS レコードを作成する で構成したドメイン名にアクセスして、NLB インスタンスが Anti-DDoS Pro/Premium で保護された EIP を使用してインターネットにアクセスできるかどうかをテストできます。
次の図は、リクエストが ECS01 と ECS02 に転送できることを示しています。
