如果您的业务是门户网站、电商、社区等,需要在提升用户访问体验的同时又要避免业务突增或网络攻击影响业务稳定性,您可以使用DDoS高防和内容分发网络CDN(Content Delivery Network)或全站加速DCDN(Dynamic Route for Content Delivery Network)联动,DDoS高防保障您的源站稳定可靠,CDN或DCDN提升网络访问速度。本文介绍如何配置DDoS高防和CDN或DCDN联动。

背景信息

DDoS高防和CDN或DCDN联动,即在业务正常访问期间,流量不经过高防清洗就近使用CDN或DCDN节点加速,保障业务分发高可用;仅在业务被攻击时流量切换到DDoS高防进行清洗,保证业务平稳运行。

联动功能支持两种配置方案:
  • 方案一:在DCDN控制台直接开启DDoS高防,无需繁琐配置即可一键开启DDoS防护。具体操作,请参见边缘DDoS防护
  • 方案二:在DDoS高防控制台配置CDN或DCDN联动调度。具体操作,请参见添加联动规则

使用限制

  • 联动调动仅适合HTTP和HTTPS业务,不支持视频直播,且不适合以下业务场景:
    • 被攻击频率太高(例如,高于每周3次以上)的网站。
    • 对防护生效速度要求比较高的场景。业务流量调度到DDoS高防时,防护生效时间受DNS TTL生效时间限制。
    • 正常业务流量和QPS比较大的场景。
      说明 如果您的业务超过3 Gbps、10000 QPS,请通过智能在线联系技术支持人员进行评估。
  • CDN或DCDN的加速域名不允许是切入沙箱状态。如果域名已经被切入沙箱,建议您只使用DDoS高防,不用联动功能。

支持联动调度的DDoS高防实例版本

DDoS(新BGP)专业版实例、DDoS(新BGP)高级版实例、DDoS高防(国际)保险版实例、DDoS高防(国际)无忧版实例。

前提条件

添加联动规则

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • DDoS高防(新BGP):选择中国内地地域。
    • DDoS高防(国际):选择非中国内地地域。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择接入管理 > 流量调度器后,单击CDN/DCDN联动调度页签。
  4. 定位到目标域名,单击操作列的添加联动,在添加联动面板完成各项配置,然后单击下一步
    配置项说明
    DDoS高防实例从当前域名已关联的DDoS高防实例中,选择要与CDN或DCDN联动的DDoS高防实例。
    说明
    • 如果提示该实例需要购买增强功能才可使用CDN联动功能,请按照页面提示升级实例。
    • 如果提示未选择DDoS高防实例,请先将该域名接入DDoS高防实例进行防护。具体操作 ,请参见添加网站
    联动资源
    • 如果当前域名已完成阿里云CDN阿里云DCDN配置,系统自动选择联动资源,您无需操作。
    • 如果当前域名未进行阿里云CDN阿里云DCDN配置,请根据页面提示进行配置,然后再选择联动资源。具体操作,请参见添加加速域名(CDN联动)添加服务域名(DCDN联动)
    访问QPS设置触发切换到DDoS高防的最小QPS值。关于流量切换的详细信息,请参见流量切换
    说明 建议您在设置QPS阈值时,考虑业务突增的情形,将阈值设置为业务历史峰值的2~3倍以上,即使网站QPS较低,QPS阈值也建议不要低于500。
  5. 根据页面提示前往DNS服务商处修改DNS解析,将DNS解析指向流量调度器生成的CNAME地址。
    重要 您修改域名的DNS解析后,流量调度规则将会生效。建议您在修改DNS解析前,先通过修改本地计算机的hosts文件配置,验证流量调度规则,避免因回源策略不一致出现不兼容问题。具体操作,请参见本地验证转发配置生效

    例如,在CDN和高防联动且回源到OSS的场景,由于CDN回源支持修改回源HOST,而DDoS高防不支持,导致发生攻击自动切换到DDoS高防后,DDoS高防回源到OSS的正常流量无法被识别,出现业务故障。

    以网站域名解析托管在阿里云云解析DNS为例介绍,如果您使用其他DNS服务商的域名解析服务,请前往服务商系统修改网站域名的解析记录。

    1. 登录阿里云云解析DNS控制台,在域名解析页面,定位到目标域名,单击操作列的解析设置
    2. 解析设置页面,定位到要修改的解析记录,单击操作列的修改
      说明 如果要操作的解析记录不在记录列表中,您可以单击添加记录新增一条解析记录。
    3. 修改记录面板,选择记录类型CNAME,并将记录值修改为流量调度器的CNAME地址,然后单击确定
      修改解析记录后,您可以使用浏览器测试网站访问是否正常,如果网站访问出现异常请先进行异常排查,具体操作,请参见业务接入高防后存在卡顿、延迟、访问不通等问题

流量切换

添加联动规则后,如果满足切换条件,流量就会在CDN和DDoS高防间、DCDN和DDoS高防间自动互相切换。除了自动切换,您还可以根据业务防护需求,手动将业务流量切换到DDoS高防以及回切到CDN或DCDN。

自动切换

切换类型切换条件
CDN或DCDN切换到DDoS高防满足如下条件之一即触发切换:
  • 连续3分钟内触发3次访问QPS超过阈值或连续10分钟内出现6次以上,并且CDN或DCDN上流量不超过10 Gbps。
  • DDoS高防监测到域名进入沙箱状态,并且CDN或DCDN上流量不超过10 Gbps。
DDoS高防回切到CDN或DCDN同时满足如下条件时触发切换:
  • 连续12小时以上,域名访问QPS低于阈值的80%,并且CC阻断率低于10%。
  • 要切回的高防IP不在清洗中、黑洞中,且1小时内不存在清洗、黑洞事件。
  • 域名不在沙箱状态。
重要 系统仅在08:00~23:00会进行回切操作,其他时间不会触发回切。

手动切换

操作说明
CDN或DCDN切换到DDoS高防在未自动触发DDoS高防清洗时,手动将业务流量切换到DDoS高防进行清洗,适用于在业务触发黑洞前提前切换,减少业务损伤。CDN切到高防
只有当DDoS高防IP不在黑洞中,才可以正常切换到DDoS高防。
重要 手动将业务流量切换到DDoS高防后,不会自动回切到CDN或DCDN。如需回切到CDN或DCDN,您必须手动执行回切操作。
DDoS高防回切到CDN或DCDN在业务流量由DDoS高防清洗时,手动将业务流量回切到CDN或DCDN。回切(CDN)
重要
  • 建议您在执行回切前,确认攻击已经结束并且CDN或DCDN线路可用,避免CDN或DCDN处于沙箱状态导致业务中断。
  • 如果您手动将业务流量切换到DDoS高防,则只能通过手动进行回切操作将流量回切到CDN或DCDN。

更多操作

修改联动调度规则

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • DDoS高防(新BGP):选择中国内地地域。
    • DDoS高防(国际):选择非中国内地地域。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择接入管理 > 流量调度器后,单击CDN/DCDN联动调度页签。
  4. 定位到目标域名,单击操作列的编辑,在编辑联动面板修改DDoS高防实例访问QPS
  5. 单击下一步,然后单击确定。

删除联动调度规则

警告 删除联动规则前,请确保网站域名的解析没有指向流量调度器CNAME,否则删除联动规则后,网站将无法正常访问。
  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • DDoS高防(新BGP):选择中国内地地域。
    • DDoS高防(国际):选择非中国内地地域。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择接入管理 > 流量调度器后,单击CDN/DCDN联动调度页签。
  4. 定位到目标域名,单击操作列的删除,在删除规则对话框单击确定

相关文档