如何配置非中國內地DDoS高防安全加速 - Anti-DDoS

DDoS高防（非中國內地）支援安全加速線路，可以實現中國內地使用者對非中國內地業務加速訪問的同時，提供大流量DDoS攻擊防護能力。本文介紹如何將業務接入安全加速線路。

概述

針對中國內地使用者訪問非中國內地來源站點導致的延遲問題，阿里雲DDoS防護提供了安全加速線路和加速線路兩種訪問加速方案。

安全加速線路

功能描述：內建DDoS防護清洗能力，為所有接入防護的業務提供訪問加速和進階防護，在遭受攻擊時無需切換至DDoS高防（非中國內地）線路即可緩解DDoS攻擊，實現直接進行清洗防護的同時兼顧業務的快速存取。
重要
安全加速線路僅防護中國內地業務流量，非中國內地路由訪問不通。如果您有非中國內地的業務訪問需求，請搭配使用DDoS高防（非中國內地）保險防護或無限防護，通過流量調度器方案進行接入。

執行個體類型：安全加速線路提供了4種執行個體，不同執行個體之間的區別如下表所示。

說明

安全加速線路1.0已不支援新購，若有需要請聯絡售前商務經理購買。
安全加速線路2.0（保險版）、安全加速線路2.0（無限版）功能已遷移至安全加速線路2.0，不推薦新購。

執行個體類型	防護能力	防護的電訊廠商線路	進階防護次數	是否支援購買防護次數
安全加速線路1.0	2 Tbps	中國內地電信、聯通	2次/自然月	支援，請購買進階防護資源套件。
安全加速線路1.0（基礎版）	2 Tbps	中國內地電信、聯通	1次/自然月	支援，請購買進階防護資源套件。
安全加速線路2.0	2 Tbps以上	中國內地電信、聯通、移動	支援選擇：否、1次、2次、無限次。	不支援，但可在購買時選擇不同的規格。
安全加速線路2.0（保險版）	2 Tbps以上	中國內地電信、聯通、移動	2次/自然月	不支援，但可以升級至安全加速線路2.0和安全加速線路2.0（無限版）。
安全加速線路2.0（無限版）	2 Tbps以上	中國內地電信、聯通、移動	不限次	不涉及。

加速線路

提供訪問加速能力，不帶DDoS防護清洗能力，需要和DDoS高防（非中國內地）-保险防护、无限防护同時部署。在遭受攻擊時只能通過切換至DDoS高防（非中國內地）線路來緩解DDoS攻擊，如果攻擊頻繁，則需頻繁切換線路。

限制條件

通過連接埠接入安全加速線路時，不支援UDP連接埠接入。

使用安全加速線路2.0

防護中國內地電信、聯通和移動線路

單獨使用安全加速線路2.0即可，架構圖如下。

登入DDoS高防控制台。
在頂部功能表列左上方處，選擇非中國內地，跳轉到DDoS高防（非中國內地）控制台。
將業務接入安全加速線路2.0執行個體。
- 網域名稱接入：接入時執行個體選擇安全加速線路2.0執行個體。具體操作，請參見添加網站配置。
- 連接埠接入：在安全加速線路2.0執行個體中配置連接埠轉寄規則。具體操作，請參見配置連接埠轉寄規則。
將業務流量切換到安全加速線路2.0執行個體，開啟安全加速。
- 網域名稱接入：將網域名稱解析到DDoS高防的CNAME地址。具體操作，請參見使用CNAME或IP將網站網域名稱解析到DDoS高防。
- 連接埠接入：將業務地址設定為安全加速線路2.0執行個體的IP。

防護全部電訊廠商線路

需要安全加速線路2.0與DDoS高防（非中國內地）保險防護或無限防護結合使用，架構圖如下。

登入DDoS高防控制台。
在頂部功能表列左上方處，選擇非中國內地，跳轉到DDoS高防（非中國內地）控制台。
將業務接入DDoS高防。本文以非中國內地使用DDoS高防（非中國內地）無限防護為例。
- 網域名稱接入：接入時執行個體需要同時選擇DDoS高防（非中國內地）無限防護執行個體和安全加速線路2.0執行個體。具體操作，請參見添加網站配置。
- 連接埠接入：分別在DDoS高防（非中國內地）無限防護執行個體和安全加速線路執行個體中配置連接埠轉寄規則。具體操作，請參見配置連接埠轉寄規則。
  重要
  由於網域名稱解析必須配置為CNAME方式，因此對於業務直接通過IP訪問的情境，無法實現業務流量的自動調度。
在流量調度器中配置安全加速規則。
1. 在執行個體管理 > 流量調度器頁面，單擊通用聯動頁簽。
2. 單擊添加規則，設定規則條件後，單擊下一步。
  - 聯動情境：選擇安全加速。
  - 規則名：自訂規則名稱。
  - 安全加速：選擇DDoS高防（非中國內地）安全加速線路2.0執行個體。
  - DDoS高防（非中國內地）：選擇DDoS高防（非中國內地）無限防護執行個體。
  流量調度規則建立後將產生CNAME，您只需將業務網域名稱的DNS解析指向該CNAME即可通過安全流量調度器實現流量的自動調度：
  - 中國內地電信、聯通和行動電信業者流量調度到安全加速線路2.0執行個體的IP上。
  - 中國內地其他電訊廠商和非中國內地流量調度到DDoS高防（非中國內地）無限防護執行個體的IP上。
  說明
  請務必確認調度節點中所選擇的獨享IP均已經完成業務接入配置，可以將流量正常轉寄回來源站點伺服器。
在網域名稱解析服務提供者處，修改該網域名稱的DNS解析記錄。
將網域名稱解析至安全流量調度規則提供的CNAME，正式將業務流量切換到安全流量調度器，實現自動調度。
說明
流量自動調度功能基於CNAME，因此網域名稱解析必須使用CNAME方式。

使用安全加速線路1.0

安全加速線路1.0不支援防護移動線路。

防護中國內地電信、聯通

單獨使用DDoS高防（非中國內地）安全加速線路1.0即可，架構圖如下。

登入DDoS高防控制台。
在頂部功能表列左上方處，選擇非中國內地，跳轉到DDoS高防（非中國內地）控制台。
將業務接入安全加速線路1.0執行個體。
- 網域名稱接入：接入時執行個體選擇安全加速線路1.0執行個體。具體操作，請參見添加網站配置。
- 連接埠接入：在安全加速線路1.0執行個體中配置連接埠轉寄規則。具體操作，請參見配置連接埠轉寄規則。
將業務流量切換到安全加速線路1.0執行個體，開啟安全加速。
- 網域名稱接入：將網域名稱解析到DDoS高防CNAME地址。具體操作，請參見使用CNAME或IP將網站網域名稱解析到DDoS高防。
- 連接埠接入：將業務地址設定為安全加速線路1.0執行個體的IP。

防護全部電訊廠商線路

需要安全加速線路1.0與DDoS高防（非中國內地）保險防護或無限防護結合使用，架構圖如下。

登入DDoS高防控制台。
在頂部功能表列左上方處，選擇非中國內地，跳轉到DDoS高防（非中國內地）控制台。
將業務接入DDoS高防。本文以非中國內地使用DDoS高防（非中國內地）無限防護為例。
- 網域名稱接入：接入時執行個體需要同時選擇DDoS高防（非中國內地）無限防護執行個體和安全加速線路1.0執行個體。具體操作，請參見添加網站配置。
- 連接埠接入：分別在DDoS高防（非中國內地）無限防護執行個體和安全加速線路1.0執行個體中配置連接埠轉寄規則。具體操作，請參見配置連接埠轉寄規則。
  重要
  由於網域名稱解析必須配置為CNAME方式，因此對於業務直接通過IP訪問的情境，無法實現業務流量的自動調度。
在流量調度器中配置安全加速規則。
1. 在執行個體管理 > 流量調度器頁面，單擊通用聯動頁簽。
2. 單擊添加規則，設定規則條件後，單擊下一步。
  - 聯動情境：選擇安全加速。
  - 規則名：自訂規則名稱。
  - 安全加速：選擇DDoS高防（非中國內地）安全加速線路1.0執行個體。
  - DDoS高防（非中國內地）：選擇DDoS高防（非中國內地）無限防護執行個體。
  流量調度規則建立後將產生CNAME，您只需將業務網域名稱的DNS解析指向該CNAME即可通過安全流量調度器實現流量的自動調度：
  - 中國內地電信、聯通電訊廠商流量調度到安全加速線路1.0執行個體的IP上。
  - 中國內地行動電信業者流量和非中國內地流量，調度到DDoS高防（非中國內地）無限防護執行個體的IP上。
  說明
  請務必確認調度節點中所選擇的獨享IP均已經完成業務接入配置，可以將流量正常轉寄回來源站點伺服器。
在網域名稱解析服務提供者處，修改該網域名稱的DNS解析記錄。
將網域名稱解析至安全流量調度規則提供的CNAME，正式將業務流量切換到安全流量調度器，實現自動調度。
說明
流量自動調度功能基於CNAME，因此網域名稱解析必須使用CNAME方式。