同時部署DDoS原生防護和DDoS高防(中國內地)時,您可以同時享受兩者的優勢,DDoS原生防護的費用可控、全資產防護、透明部署無延遲,以及DDoS高防的超大攻擊流量防護。本文介紹如何為業務同時部署DDoS原生防護和DDoS高防(中國內地)。
流量切換說明
當DDoS攻擊不超過原生防護的防禦能力時(防禦能力具體和所在地區有關,詳細介紹,請參見版本防護能力對比),業務流量預設解析到雲產品,不增加業務延遲;當攻擊過大觸發黑洞時,高防流量調度器將流量切換到DDoS高防,防禦大流量的攻擊;攻擊停止後,根據流量調度器設定的切換延遲時間,等待一段時間後業務流量回切到雲產品。
黑洞觸發後通過流量調度器自動完成網站業務流量的切換,中國內地的DNS解析更新約需5~10分鐘,非中國內地約需1~3分鐘。
切換到DDoS高防(中國內地)後,即使攻擊停止也不會馬上回切,防止回切後被持續攻擊觸發頻繁切換,出現震蕩,導致業務始終在切換狀態。
具體架構如下圖所示。
方案概覽
為業務同時部署DDoS原生防護和DDoS高防(中國內地)分為如下四步:
購買並配置DDoS原生防護:將您的業務接入DDoS原生防護,當DDoS攻擊不超過DDoS原生防護的防禦能力時,業務流量預設解析到雲產品。
購買並配置DDoS高防(中國內地):將您的業務接入DDoS高防,當攻擊過大觸發黑洞時,高防流量調度器將流量切換到DDoS高防,防護能力取決於您購買時選擇的規格。
配置流量調度器:當攻擊過大觸發黑洞時,高防流量調度器將流量切換到DDoS高防,攻擊停止後,根據流量調度器設定的切換延遲時間,等待一段時間後業務流量回切到雲產品。
修改DNS解析:將業務的解析指向流量調度器CNAME地址,保障流量轉寄正常。
1 購買並配置DDoS原生防護
1.1 購買DDoS原生防護執行個體
本文以購買DDoS原生防護2.0(訂用帳戶)企業版為例。具體操作,請參見購買DDoS原生防護執行個體。
登入流量安全產品控制台。
在執行個體管理頁面,單擊新購原生防護,選擇企業版執行個體並完成購買。
配置項
說明
業務頻寬
要防護業務的正常業務規模(以網路頻寬來衡量)。
關於業務規模的估算方法,請參見原生防護1.0(訂用帳戶)。
IP數量
要防護的IP的總個數。
防護日誌
提供防護流量的全量日誌分析和報表功能。
資源群組
資源群組是當前阿里雲帳號下一組相關的資源,用於對資源群組內成員、許可權和資源進行獨立管理。您可以選擇已建立的資源群組或建立資源群組。
更多資訊,請參見建立資源群組。
1.2 將來源站點IP地址添加為防護對象
具體操作,請參見防護對象。
在防護對象頁面,地區選擇全球,選擇您購買的執行個體後,單擊添加防護對象。
您可以選擇從資產中添加,也可以選擇手工添加。截圖以從資產中添加為例。
2 購買並配置DDoS高防(中國內地)
切換到DDoS高防(中國內地)後,黑洞閾值受DDoS高防的最大防護能力限制。您可以配置保底防護+彈性防護結合的方式,節省DDoS高防產品費用。
2.1 購買DDoS高防(中國內地)執行個體
具體操作,請參見購買DDoS高防執行個體。
登入DDoS高防控制台。
地區選擇中國內地後,在執行個體管理頁面,單擊新購執行個體並完成購買。
配置項
描述
地址類型
選擇執行個體支援的IP協議類型。可選項:IPv4、IPv6。
重要關於IPv4高防IP和IPv6高防IP支援的功能差異,請參見功能介紹。
IPv6高防IP支援轉寄來自IPv6用戶端的請求,對接入業務有以下限制:網域名稱接入只支援IPv4來源站點,連接埠接入支援IPv4或IPv6來源站點。
套餐類型
根據您的業務需要選擇套餐類型。本文以專業版為例。
保底防護頻寬
選擇執行個體的保底防護頻寬,即該DDoS執行個體可以防禦的攻擊流量閾值。
彈性防護頻寬
選擇執行個體的彈性防護頻寬,即最高防護頻寬。關於彈性防護頻寬的費用,請參見彈性防護頻寬計費方式。
業務頻寬
選擇執行個體支援處理的正常業務的網路頻寬。
警告如果您購買的執行個體業務頻寬不夠用,可能會丟包或者影響業務,在這種情況下請及時升級業務頻寬。具體操作,請參見升級執行個體。
您可以根據所有將要接入DDoS高防執行個體的業務的日常入方向或出方向總流量的峰值,選擇合適的業務頻寬規格。您選擇的最大業務頻寬應大於這些業務的網路入、出方向總流量峰值中較大的值。一般情況下,網路出方向的流量會比較大。
您可以參考Elastic Compute Service管理主控台中的流量統計,或者通過您業務來源站點伺服器上的其他流量監控工具來評估您的實際業務流量大小。此處的流量指的是正常的業務流量。例如,您將業務的外部存取流量均接入DDoS高防進行防護。在業務正常訪問(未遭受攻擊)時,DDoS高防將這些正常訪問流量回源到來源站點伺服器;而當業務遭受攻擊時,DDoS高防過濾、攔截異常流量後,僅將正常流量回源到來源站點伺服器。因此,您在Elastic Compute Service管理主控台中查看您來源站點伺服器的入方向及出方向的流量即是正常的業務流量。如果您的業務部署在多台來源站點伺服器,則需要統計所有來源站點伺服器的流量總和。
假設您需要將三個網站業務接入DDoS高防執行個體進行防護,每個業務出方向的正常業務流量峰值均不超過50 Mbps,業務流量總和不超過150 Mbps。這種情況下,您只需確保所購買的執行個體的最大業務頻寬大於150 Mbps即可。 95彈性業務頻寬模式
選擇是否啟用彈性業務頻寬。關於彈性業務頻寬的費用,請參見彈性業務頻寬計費說明。可選項:
不啟用:不啟用彈性業務頻寬。
日95模式:啟用彈性業務頻寬,計費模式為日95模式。
月95模式:啟用彈性業務頻寬,計費模式為月95模式。
功能套餐
選擇執行個體的功能套餐類型。可選項:標準功能、增強功能。
關於不同功能套餐的差異說明,請參見標準功能和增強功能的差異。
防護網域名稱數
選擇支援接入執行個體防護的網域名稱配置的數量。支援以10個網域名稱配置為單位增加或減少。
網域名稱配置中支援使用子網域名稱、泛網域名稱,且子網域名稱、泛網域名稱對應不同網域名稱的數量不超過“防護網域名稱數/10”。
例如,DDoS高防(中國內地)專業版執行個體預設防護網域名稱數為50,表示支援接入最多5個不同的網域名稱對應的子網域名稱、泛網域名稱配置,且所有網域名稱配置的總數不超過50個。
假設要接入防護的網域名稱包括aliyundoc.com、aliyun.com,則支援使用上述網域名稱的子網域名稱(例如www.aliyundoc.com、abc.aliyun.com)、泛網域名稱(*.aliyundoc.com、*.aliyun.com)作為網域名稱接入配置。
業務QPS
選擇無攻擊狀態下執行個體最大可處理的並發請求速率,包含使用HTTP協議和HTTPS協議的請求。
業務QPS和串連數規格的對應關係,請參見購買DDoS高防執行個體。
警告如果您購買的執行個體業務QPS不夠用,可能會丟包或者影響業務,在這種情況下請及時升級業務QPS規格或者啟用彈性QPS。
95彈性QPS模式
選擇是否啟用彈性QPS。關於彈性QPS的費用,請參見彈性QPS計費說明。可選項:
不啟用:不啟用彈性QPS。
日95模式:啟用彈性QPS,計費模式為日95模式。
月95模式:啟用彈性QPS,計費模式為月95模式。
業務QPS和串連數規格的對應關係,請參見購買DDoS高防執行個體。
連接埠數
選擇執行個體支援接入的連接埠轉寄配置的數量,包含使用TCP和UDP協議添加的連接埠轉寄配置。
資源群組
選擇執行個體在資源管理服務中所屬的資源群組,預設為預設資源群組。
關於資源群組的更多資訊,請參見建立資源群組。
2.2 將網域名稱接入高防
在網域名稱接入頁面,單擊添加網站。
按照指引完成網站接入以及轉寄配置。詳細的配置說明,請參見添加網站配置。
說明設定DNS解析時,需要解析到流量調度器的CNAME地址。因此添加網站業務轉寄配置後,暫時無需按照頁面提示修改DNS解析。
3 配置流量調度器
使用流量調度器,為業務添加階梯防護調度規則,請將業務解析到流量調度器的CNAME地址。具體操作,請參見階梯防護。
登入DDoS高防控制台,選擇,單擊添加規則。
配置項
說明
聯動情境
選擇階梯防護。
規則名
為規則命名。
規則名由英文字母、數字和底線(_)組成,不超過128個字元。
高防IP
選擇要聯動的DDoS高防執行個體。
聯動資源
單擊添加雲資源IP,可以添加多個雲資源。最多支援添加20個IP。
說明添加多個雲資源IP時(即多個雲資源IP關聯一個高防IP),如果一個雲資源IP上發生DDoS攻擊,將優先使用其他雲資源IP,直到無可用雲資源IP時,才會切換到高防進行防護。如果您希望雲產品多路分攤流量,每路被攻擊時單獨切換高防,請參見多路分攤切換配置。
回切時間
業務流量聯動到DDoS高防進行防護後,允許觸發回切流程(切換回雲資源IP)的等待時間。攻擊結束且經過該等待時間後,業務流量自動回切到雲資源IP。
可選範圍:30~120分鐘。推薦您設定為60分鐘。
說明當DDoS高防執行個體處於黑洞狀態時,或在高防黑洞事件開始時間+回切時間到期前,不允許雲資源切換到高防進行防護。
當雲資源發生黑洞時,自動切換到高防進行防護。雲資源黑洞狀態下,不允許從高防回切到雲上。雲資源解除黑洞後可以立即回切,不受回切時間限制。
完成規則配置後擷取CNAME地址。
4 修改DNS解析
前往網域名稱DNS服務位址修改網域名稱的DNS解析,將解析指向流量調度器CNAME地址。具體操作,請參見修改CNAME解析接入流量調度器。
本文以使用阿里雲DNS解析為例。
在頁簽,單擊添加域名。
根據業務實際情況填寫解析記錄。
其中記錄類型選擇CNAME,記錄值為流量調度器的CNAME地址。
