CDN/DCDN联动调度表示通过自定义规则,联动使用DDoS高防与阿里云CDN或DCDN加速服务,实现在业务正常访问期间,流量不经过高防清洗,就近使用CDN或DCDN节点加速;仅在业务被攻击时,流量切换到DDoS高防进行清洗。

前提条件

  • 已为网站域名开启CDN或DCDN加速。

    相关操作,请参见添加加速域名(CDN联动)、添加加速域名(DCDN联动)。

  • 已购买增强功能套餐的DDoS高防(新BGP)专业版实例或DDoS高防(国际)保险版、无忧版实例。
    重要 DDoS高防实例的业务带宽、QPS等规格必须满足正常业务防护需求。

    相关操作,请参见购买DDoS高防实例

  • 已将网站业务接入DDoS高防实例进行防护。

    相关操作,请参见添加网站

  • 已验证DDoS高防实例可以正常转发业务流量。

    相关操作,请参见本地验证转发配置生效

使用限制

使用CDN/DCDN联动需要满足以下限制条件。
限制项 说明
业务类型 只适合HTTP和HTTPS业务,不支持视频直播。
业务场景 CDN/DCDN联动不适合以下业务场景:
  • 被攻击频率太高(例如,高于每周3次以上)的网站。
  • 对防护生效速度要求比较高的场景。
    说明 调度到DDoS高防时,防护生效时间受DNS TTL生效时间限制。
  • 正常业务流量和QPS比较大的场景。
    说明 如果您的业务超过3 Gbps、10000 QPS,请通过智能在线联系技术支持人员进行评估。
CDN或DCDN状态 CDN或DCDN的加速域名不允许是切入沙箱状态。
说明 如果域名已经被CDN或DCDN切入沙箱,建议您只使用DDoS高防,不用联动。

自动切换的条件

添加CDN/DCDN联动规则时,您需要设置访问QPS阈值,作为CDN/DCDN和DDoS高防间自动相互切换的条件。

自动切换需要满足的具体条件如下:
  • CDN/DCDN切换到高防:
    • 连续3分钟内3次触发QPS超过阈值或连续10分钟内出现6次以上,并且CDN/DCDN上流量不超过10 Gbps,触发切换流程。
    • 当高防侧监测到域名进入沙箱状态,并且CDN/DCDN上流量不超过10 Gbps,触发切换流程。
  • 高防回切到CDN/DCDN:
    • 连续12小时以上,域名QPS低于QPS阈值的80%、CC阻断率低于10%,触发回切流程。
    • 回切检查:要切回的高防IP不在清洗中、黑洞中和沙箱状态且1小时内不存在清洗、黑洞事件。
    • 回切时间范围:上午08时到晚上23时,其他时间不触发回切。

添加联动规则

以下操作步骤描述了在DDoS高防控制台配置CDN/DCDN联动DDoS高防的方法,您也可以在CDN控制台配置CDN联动DDoS高防。相关操作,请参见配置CDN联动DDoS高防

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • DDoS高防(新BGP):选择中国内地地域。
    • DDoS高防(国际):选择非中国内地地域。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择接入管理 > 流量调度器
  4. 单击CDN/DCDN联动调度页签。
  5. 定位到要配置的域名,单击操作列下的添加联动
  6. 添加联动面板,完成联动配置,并单击下一步添加联动配置
    参数 说明
    DDoS高防实例 从当前域名已关联的DDoS高防实例中,选择要与CDN/DCDN联动的DDoS高防实例。

    DDoS高防实例必须是增强功能套餐实例。如果提示该实例需要购买增强功能才可使用CDN联动功能,请按照页面提示,将实例升级为增强功能套餐再进行设置。

    如果提示未选择DDoS高防实例,请先完成域名接入。相关操作,请参见添加网站
    联动资源 如果当前域名已完成阿里云CDN阿里云DCDN配置,则自动选择对应的联动资源,无需手动操作。

    如果当前域名未完成阿里云CDN阿里云DCDN配置,您需要手动选择阿里云CDN阿里云DCDN,并按照页面提示前往配置。

    访问QPS 设置触发切换到DDoS高防的最小QPS值。关于CDN/DCDN与高防的具体切换条件,请参见自动切换的条件
    说明 建议您在设置QPS阈值时,考虑业务突增的情形,将阈值设置为业务历史峰值的2~3倍以上,即使网站QPS较低,QPS阈值也建议不要低于500。
  7. 按照页面提示修改域名的DNS解析设置,并单击完成
    要使联动规则生效,您必须在域名的DNS服务商处修改域名的DNS解析(如果域名通过阿里云域名服务注册,只需在云解析DNS控制台操作;否则需要在注册域名的第三方平台操作),将解析指向流量调度器的CNAME地址。
    重要 您修改域名的DNS解析后,流量调度规则将会生效。建议您在修改DNS解析前,先通过修改本地计算机的hosts文件配置,验证流量调度规则,避免因回源策略不一致出现不兼容问题。例如,在CDN和高防联动且回源到OSS的场景,由于CDN回源支持修改回源HOST,而DDoS高防不支持,导致发生攻击自动切换到DDoS高防后,DDoS高防回源到OSS的正常流量无法被识别,出现业务故障。

    关于验证流量调度规则的操作,请参见本地验证转发配置生效

    关于修改域名DNS解析的操作,请参见修改CNAME解析接入流量调度器

配置CDN/DCDN联动调度规则后,如果域名的访问QPS不满足切换到高防的条件,业务流量不经过DDoS高防清洗,就近使用CDN或DCDN节点加速;只有当域名的访问QPS满足切换到高防的条件时,业务流量才会自动切换到DDoS高防进行清洗,保证只有正常业务流量会转发到源站服务器。业务流量自动切换到DDoS高防后,DDoS高防将在满足回切到CDN/DCDN条件时,自动将业务流量回切到CDN/DCDN。

除了自动切换方式,您还可以选择手动切换,即根据业务防护需求,手动将业务流量切换到DDoS高防、回切到CDN/DCDN。更多信息,请参见相关操作

相关操作

成功添加CDN/DCDN联动调度规则后,您可以在规则列表,对已添加的规则执行以下操作。

操作 说明
切到高防 在未自动触发DDoS高防清洗时,手动将业务流量切换到DDoS高防进行清洗。适用于在业务触发黑洞前提前切换,减少业务损伤。CDN切到高防
只有当DDoS高防IP不在黑洞中,才可以正常切换到DDoS高防。
重要 手动将业务流量切换到DDoS高防后,默认不会自动回切到CDN/DCDN。如需回切到CDN/DCDN,您必须手动执行回切操作。
回切 在业务流量由DDoS高防清洗时,手动将业务流量回切到CDN/DCDN。回切(CDN)
重要
  • 建议您在执行回切前,确认攻击已经结束并且CDN/DCDN线路可用,避免CDN/DCDN处于沙箱状态导致业务中断。
  • 如果您通过切到高防操作将业务流量切换到DDoS高防,则只能通过回切操作将流量回切到联动资源。
编辑 编辑CDN/DCDN联动调度规则,修改切换到高防条件(即访问QPS参数配置)。
删除 删除CDN/DCDN联动调度规则。
警告 删除联动规则前,请确保网站域名的解析没有指向流量调度器CNAME,否则删除联动规则后,网站将无法正常访问。