GA聯動DDoS防護實現全球服務安全加速 - Global Accelerator

在全球化業務拓展中，企業常面臨網路延遲和DDoS攻擊的威脅。通過聯動部署Global Acceleration GA（Global Accelerator）和DDoS防護產品，可加速全球使用者訪問，同時有效抵禦DDoS攻擊，保障服務的高可用性和安全性，提升使用者體驗並降低安全風險。

GA聯動DDoS防護產品介紹

DDoS攻擊是一種針對目標系統的惡意網路攻擊行為，會導致被攻擊者的業務無法正常訪問。您可以根據業務的安全防護需求選擇以下DDoS防護產品：

防護產品	DDoS基礎防護	DDoS原生防護	DDoS高防
防護能力	較低 GA與阿里雲DDoS防護整合，無需開啟，免費為GA執行個體的加速IP和終端節點出公網IP提供不超過5 Gbps的DDoS基礎防護（不同地區支援的最大免費防護流量不同）。	較高 DDoS原生防護支援將GA執行個體添加為防護對象，為GA執行個體的加速IP和終端節點出公網IP提供最高數百Gbps全力防護（不同地區最大防護流量不同）。	高 GA支援接入DDoS高防，基於阿里雲全球DDoS清洗中心能力，為GA執行個體的安全CNAME（安全加速IP）提供最高可達Tbps以上的防禦能力。
防護原理	DDoS基礎防護會預設設定清洗閾值，也支援您手動設定清洗閾值，當觸發流量清洗條件時，DDoS基礎防護通過對所有來自互連網的流量進行過濾清洗，防禦一般常見的網路層、傳輸層攻擊，例如UDP反射攻擊、SYN/ACK Flood攻擊等，但DDoS基礎防護不支援抵禦應用程式層攻擊，例如HTTP Flood攻擊和CC攻擊。 DDoS基礎防護在清洗判定中除了基於您設定的BPS/PPS清洗閾值外，還採用了AI智能分析的方法，基於阿里雲的巨量資料能力，自學習您的業務流量基準，並結合演算法識別異常攻擊。只有當AI智能分析檢測到DDoS攻擊，且請求流量達到您設定的BPS或PPS清洗閾值時，DDoS防護才會觸發流量清洗，避免了使用固定閾值可能導致的誤清洗（例如，正常業務上漲波動超出固定清洗閾值，引起誤清洗）。如果入方向流量超過防護能力（即黑洞閾值），為避免DDoS攻擊對雲產品產生更大損害，同時也避免單個雲產品被DDoS攻擊而影響其他資產正常運行，雲產品會進入黑洞，即阿里雲會暫時屏蔽雲產品的互連網入方向流量。詳細介紹，請參見阿里雲黑洞策略。	DDoS原生防護主要提供針對三層和四層流量型攻擊的防禦服務。當流量超出DDoS原生防護的預設清洗閾值後，自動觸發流量清洗，實現DDoS攻擊防護。 DDoS原生防護採用被動清洗方式為主、主動壓製為輔的方式，針對DDoS攻擊在反向探測、黑白名單、報文合規等標準技術的基礎上，在攻擊持續狀態下，保證被防護雲產品仍可以正常對外提供商務服務。DDoS原生防護通過在阿里雲機房出口處建設DDoS攻擊檢測及清洗系統，採用旁路部署方式。	根據您在DDoS高防中為業務配置的轉寄規則（即指定網站網域名稱，並將GA安全CNAME作為伺服器位址），GA將業務的DNS網域名稱解析或業務IP指向DDoS高防執行個體IP進行引流。正常業務訪問期間，流量不經過高防轉寄，直接通過GA加速達到來源站點伺服器，不增加延遲。在業務被攻擊時，GA會自動切換CNAME指向高防執行個體IP，流量經過高防清洗後，通過GA的安全CNAME（安全加速IP）接入GA進行加速，確保業務在受到攻擊時仍能穩定、高效地提供服務。
參考	查看GA執行個體基礎防護閾值	GA接入DDoS原生防護	GA接入DDoS高防

情境樣本

GA接入DDoS原生防護

某企業網站部署在美國（矽谷）地區的阿里雲上，通過自有網域名稱對全球多地區終端使用者提供服務，轉送連接埠為HTTP 80連接埠。該網站現面臨以下問題：

跨國公網不穩定，經常出現延遲、抖動、丟包等網路問題。
網站頻繁遭遇大流量DDoS攻擊，導致服務響應不穩定。

您可以通過聯動部署GA、DDoS原生防護，有效解決跨域網站服務面臨的問題。

Global AccelerationGA：用戶端訪問請求可通過配置的加速地區，就近接入阿里雲加速網路，通過智能選擇路由和自動網路調度轉寄至美國矽谷來源站點，有效提升服務訪問速度；同時，通過啟用健全狀態檢查可以提高業務的可靠性和可用性、避免異常節點對服務的影響。
DDoS原生防護：DDoS原生防護支援將GA執行個體添加為防護對象，以實現對GA的加速IP與終端節點出公網IP的防護。當流量超出DDoS原生防護的預設清洗閾值後，自動觸發流量清洗，實現DDoS攻擊防護。

使用限制

DDoS原生防護目前僅支援在中國內地直接開通。在中國內地以外地區開通時，請聯絡售前商務經理，擷取線上人工協助。如何聯絡售前商務經理，請參見聯絡我們。

前提條件

您的美國（矽谷）伺服器ECS01和ECS02已部署了服務。本文以Alibaba Cloud Linux 3作業系統為例，並使用Nginx配置HTTP 80服務。
參考樣本：ECS01部署測試服務
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS01, service running on port 80." > index.html
```
您已為自有網域名稱配置DNS解析記錄，即已配置了A記錄將網域名稱指向2個後端伺服器的公網IP。
如果您使用的DNS解析服務為非阿里雲Alibaba Cloud DNS，請參見您的DNS服務商操作指導。
如果需要通過HTTPS 443對外提供服務，需要提前建立並申請認證或者上傳第三方認證到SSL認證服務並綁定自有網域名稱。
您已購買DDoS原生防護執行個體。

操作步驟

步驟一：配置Global Acceleration

本文以隨用隨付的標準型GA執行個體為例。

在Global Acceleration控制台的標準型執行個體 > 執行個體列表列表頁面，單擊建立標準型隨用隨付執行個體。
在執行個體基礎配置嚮導頁面，配置基礎資訊，單擊下一步。
在配置加速地區嚮導頁面，添加加速地區並為其分配頻寬，然後單擊下一步。
本文情境中，加速地區添加為中國香港，公網品質類型配置為BGP（多線），加速地區其他參數配置可保持預設值或根據實際情況修改。
重要
- 加速地區包含中國內地地區時，自有網域名稱必須完成ICP備案才可對外提供服務。
- 如果頻寬峰值設定過低，可能出現限速從而導致流量被丟棄，請合理規劃頻寬峰值，確保和業務需求匹配。
在配置監聽嚮導頁面，配置轉寄協議與連接埠，然後單擊下一步。
本文情境中，路由類型選擇智能路由（原標準監聽），協議配置為HTTP，連接埠配置為80，監聽其他參數配置可保持預設值或根據實際情況修改。
說明
如果需要通過HTTPS 443對外提供服務，您可以配置HTTPS 443協議連接埠監聽，關聯已建立的認證，並在終端節點群組的連接埠映射中配置監聽連接埠443到後端服務連接埠80的映射關係，以實現HTTPS安全加速訪問HTTP網站。
在配置終端節點群組設定精靈頁面，配置終端節點後端服務，然後單擊下一步。
本文情境中，地區選擇美國（矽谷），後端服務依次配置ECS01和ECS02，開啟健全狀態檢查開關，然後閱讀並選中資料跨境合規承諾，終端節點群組其他參數配置可保持預設值或根據實際情況修改。
在組態稽核嚮導頁面，確認GA的配置資訊，然後單擊提交。
在執行個體列表頁面，找到已建立的GA執行個體，在CNAME列擷取GA執行個體分配的CNAME。
在後端伺服器中放通GA用於連通後端服務的網段。
本文情境中，GA與後端伺服器ECS間私網串連，您需要在ECS安全性群組中放通其所屬交換器網段，且需確保該交換器網段的空閑私網IP數量≥8。

步驟二：配置DDoS原生防護

在DDoS原生防護控制台的防護對象頁面，單擊添加防護對象，將GA執行個體添加為DDoS原生防護的防護對象。

添加防護對象

添加完成後，可在防護對象頁面的GA資產頁簽下，查看已受防護的GA執行個體；也可在IP資產頁簽查看已受防護的公網IP，包括GA的加速IP和終端節點群組出公網IP。

步驟三：配置CNAME解析

實際業務情境中，建議您使用自有網域名稱。通過CNAME解析的方式將自有網域名稱指向GA執行個體分配的CNAME，使業務流量切換至GA，以實現訪問加速。

本文情境中，如果您已有指向後端伺服器的A記錄，您可以先指定中國香港地區來添加指向GA的CNAME記錄，以進行測試。待測試成功後，再逐步擴充至其他地區或僅保留指向GA的CNAME記錄。

在網域名稱解析頁面，找到目標業務網域名稱，在操作列單擊解析設定。
說明
對於非阿里雲註冊網域名稱，需先添加網域名稱到雲解析控制台，才可以進行網域名稱解析設定。
在解析設定頁面，單擊添加記錄，配置CNAME記錄，然後單擊確定。
本文情境中，記錄類型配置為CNAME，主機記錄配置為www，解析請求來源配置為中國香港，記錄值配置為GA執行個體的CNAME，解析記錄其他參數配置可保持預設值或根據實際情況修改。

步驟四：結果驗證

GA加速效果驗證

本文以中國香港探測點為例，在配置GA前後，分別對網站自有網域名稱使用網路撥測工具進行撥測，查看回應時間以瞭解資料延遲情況。

測試組態GA前的網路延遲情況。
您可以查看回應時間等資訊，其中，解析結果IP列顯示為ECS執行個體的公網IP地址。
測試組態GA後的網路延遲情況。
您可以查看回應時間等資訊，其中，解析結果IP列顯示為GA執行個體的加速IP。

經驗證，使用GA後，降低了中國香港用戶端訪問美國（矽谷）服務的延遲。

說明

GA的加速效果以您的實際業務測試為準。

GA健全狀態檢查效果驗證

在瀏覽器中輸入網站自有網域名稱，訪問美國矽谷地區部署的網站。
經測試，可以通過網站自有網域名稱訪問美國矽谷地區部署的網站，多次重新整理瀏覽器，應答伺服器在ECS01和ECS02間切換。
類比故障：停止伺服器ECS01。
一段時間後，在GA執行個體的終端節點群組頁簽，查看健全狀態檢查狀態。
多次重新整理瀏覽器，仍然可以正常訪問業務，但應答伺服器僅剩ECS02。

DDoS原生防護效果驗證

您可以通過DDoS原生防護提供的以下功能，查看防護效果。

業務監控頁面可即時查看被防護資產的流量趨勢、DDoS攻擊事件記錄等資訊。
攻擊分析頁面可以查詢並分析DDoS原生防護執行個體上發生的攻擊事件詳情，包括攻擊類型、攻擊流量大小、期間等。
防護日誌頁面記錄了DDoS原生防護對流量的處理過程，包括攻擊檢測、流量清洗等詳細資料。通過分析防護日誌，可以進一步驗證防護策略的有效性。

GA接入DDoS高防

某跨國遊戲部署在美國（矽谷）地區的阿里雲上，通過自有網域名稱對全球多地區玩家提供服務。該網站現面臨以下問題：

跨國公網不穩定，經常出現延遲、抖動、丟包等網路問題。
網站頻繁遭遇大規模DDoS攻擊，導致服務完全中斷。

為解決以上問題，該遊戲公司計劃部署GA，並將其接入DDoS高防：

Global AccelerationGA：用戶端訪問請求可通過配置的加速地區，就近接入阿里雲加速網路，通過智能選擇路由和自動網路調度轉寄至美國矽谷來源站點，有效提升服務訪問速度；同時，通過啟用健全狀態檢查可以提高業務的可靠性和可用性、避免異常節點對服務的影響。
DDoS高防：GA接入DDoS高防後，正常流量直接通過GA加速達到來源站點伺服器，不增加延遲；在遭受大規模DDoS攻擊時，GA通過DNS解析將流量調度至高防機房進行清洗，並將清洗後的流量通過GA的安全CNAME（安全加速IP）接入阿里雲加速網路進行加速，最終轉寄至伺服器，以確保遊戲伺服器的穩定訪問。

使用限制

GA接入DDoS高防預設不開放，如需使用，請向商務經理申請。
購買DDoS高防（中國內地）進階版、DDoS高防（非中國內地）安全加速線路1.0（基礎版）前，請聯絡售前商務經理。
僅隨用隨付標準型GA執行個體支援配置接入DDoS高防，訂用帳戶標準型GA執行個體及基礎型GA執行個體不支援。

前提條件

您的美國（矽谷）伺服器ECS01和ECS02已部署了服務。本文以Alibaba Cloud Linux 3作業系統為例，並使用Nginx配置HTTP 80服務。
參考樣本：ECS01部署測試服務
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS01, service running on port 80." > index.html
```
您已為自有網域名稱配置DNS解析記錄，即已配置了A記錄將網域名稱指向2個後端伺服器的公網IP。
如果您使用的DNS解析服務為非阿里雲Alibaba Cloud DNS，請參見您的DNS服務商操作指導。
如果需要通過HTTPS 443對外提供服務，需要提前建立並申請認證或者上傳第三方認證到SSL認證服務並綁定自有網域名稱。
您已購買DDoS高防執行個體。
本文以中國香港地區的用戶端訪問服務，購買DDoS高防（非中國內地）、保險防護、標準功能的執行個體為例。
重要
如果您配置的GA加速地區（用戶端地區）涉及中國內地地區，您還需要購買DDoS高防（中國內地）執行個體，並確保自有網域名稱已完成ICP備案。