相比於直接為ECS來源站點伺服器開啟DDoS原生防護,在來源站點前部署負載平衡後再開啟DDoS原生防護,能夠取得更好的防護效果。本文介紹如何為Elastic Compute Service上的網站類業務部署負載平衡,並開啟DDoS原生防護。
前提條件
已建立ECS執行個體並部署業務相關應用。更多資訊,請參見新手指引。
已購買DDoS原生防護執行個體。更多資訊,請參見購買DDoS原生防護執行個體。
背景資訊
使用DDoS原生防護進行網站類業務防護時,推薦您為業務所在Elastic Compute Service執行個體部署Server Load Balancer,並將負載平衡的服務地址添加為DDoS原生防護的防護對象,實現通過SLB丟棄未監聽協議和連接埠的流量並大幅提升來源站點的抗DDoS攻擊能力。上述部署方式對防禦不同類型的DDoS攻擊(例如SSDP、NTP、Memcached等反射型攻擊、UDP Flood攻擊、SYN Flood大包攻擊)有很好的效果。
如果您的來源站點伺服器已經部署了負載平衡,則只需參見防護對象,將負載平衡的服務地址作為DDoS原生防護的防護對象,即可為來源站點伺服器開啟DDoS原生防護。
Server Load Balancer包含ALB、NLB、CLB,本文以CLB為例介紹。詳細資料,請參見Server Load Balancer產品家族介紹。
操作步驟
建立一台公網負載平衡CLB執行個體。具體操作,請參見建立和管理CLB執行個體。
建立Server Load Balancer執行個體時需要注意以下內容:
由於負載平衡不支援跨地區部署,因此應選擇與ECS執行個體相同的地區。
由於DDoS原生防護僅支援防護公網IP資源,因此應選擇公網執行個體類型。
更多資訊,請參見準備工作。
成功建立Server Load Balancer執行個體後,您可以在Server Load Balancer控制台的執行個體管理頁面擷取CLB執行個體的服務地址。
配置Server Load Balancer執行個體。具體操作,請參見配置Server Load Balancer執行個體。
配置Server Load Balancer執行個體時需要注意以下內容:
在選擇協議&監聽時,根據自身業務,只選擇需要監聽的協議(支援TCP、UDP、HTTP、HTTPS)和連接埠。未設定監聽的協議和連接埠的流量將被直接丟棄,不會轉寄到後端ECS執行個體。
在添加後端伺服器時,選擇添加已部署業務應用的ECS來源站點伺服器。
說明由於負載平衡CLB和後端ECS之間通過內網進行通訊,所以在配置完Server Load Balancer執行個體並測試負載平衡正常工作後,建議您關閉後端ECS執行個體的公網訪問。
成功配置Server Load Balancer執行個體後,Server Load Balancer執行個體將按照已有配置 ,將用戶端的請求流量分發到後端ECS執行個體。
修改網域名稱DNS。
如果您的業務是通過IP地址提供服務,您只需將步驟1獲得的Server Load Balancer執行個體的服務地址作為業務IP地址即可,可以跳過該步驟。
如果您的業務是通過網域名稱提供服務,您需要將網域名稱的DNS解析指向步驟1獲得的Server Load Balancer執行個體的服務地址。具體操作請參見設定A記錄網域名稱解析。
將Server Load Balancer執行個體的服務地址添加為您已購買的DDoS原生防護執行個體的防護對象,為Server Load Balancer執行個體開啟DDoS防護。具體操作,請參見防護對象。
成功添加防護對象後,CLB來源站點伺服器將享有DDoS原生防護提供的DDoS攻擊全力防護能力,在業務遭受DDoS攻擊時,自動觸發流量清洗。