如果您的业务是门户网站、电商、社区等,需要在提升用户访问体验的同时又要避免业务突增或网络攻击影响业务稳定性,您可以使用DDoS高防和内容分发网络CDN(Content Delivery Network)或全站加速DCDN(Dynamic Route for Content Delivery Network)联动,DDoS高防保障您的源站稳定可靠,CDN或DCDN提升网络访问速度。本文介绍如何配置DDoS高防和CDN或DCDN联动。
背景信息
DDoS高防和CDN或DCDN联动,即在业务正常访问期间,流量不经过高防清洗就近使用CDN或DCDN节点加速,保障业务分发高可用;仅在业务被攻击时流量切换到DDoS高防进行清洗,保证业务平稳运行。
使用限制
- 联动调动仅适合HTTP和HTTPS业务,不支持视频直播,且不适合以下业务场景:
- 被攻击频率太高(例如,高于每周3次以上)的网站。
- 对防护生效速度要求比较高的场景。业务流量调度到DDoS高防时,防护生效时间受DNS TTL生效时间限制。
- 正常业务流量和QPS比较大的场景。说明 如果您的业务超过3 Gbps、10000 QPS,请通过智能在线联系技术支持人员进行评估。
- CDN或DCDN的加速域名不允许是切入沙箱状态。如果域名已经被切入沙箱,建议您只使用DDoS高防,不用联动功能。
支持联动调度的DDoS高防实例版本
DDoS(新BGP)专业版实例、DDoS(新BGP)高级版实例、DDoS高防(国际)保险版实例、DDoS高防(国际)无忧版实例。
前提条件
- 已为网站域名开启CDN或DCDN加速。具体操作,请参见添加加速域名(CDN联动)或添加服务域名(DCDN联动)。
- 已购买增强功能套餐的DDoS高防实例。具体操作,请参见购买DDoS高防实例。重要 DDoS高防实例的业务带宽、QPS等规格必须满足正常业务防护需求,如果不满足要求,请升级实例规格。具体操作,请参见升级实例。
- 已将网站业务接入DDoS高防实例进行防护,且DDoS高防实例可以正常转发业务流量。具体操作,请参见添加网站和本地验证转发配置生效。
添加联动规则
- 登录DDoS高防控制台。
- 在顶部菜单栏左上角处,选择服务所在地域:
- DDoS高防(新BGP):选择中国内地地域。
- DDoS高防(国际):选择非中国内地地域。
您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。 - 在左侧导航栏,选择CDN/DCDN联动调度页签。 后,单击
- 定位到目标域名,单击操作列的添加联动,在添加联动面板完成各项配置,然后单击下一步。
配置项 说明 DDoS高防实例 从当前域名已关联的DDoS高防实例中,选择要与CDN或DCDN联动的DDoS高防实例。 说明- 如果提示该实例需要购买增强功能才可使用CDN联动功能,请按照页面提示升级实例。
- 如果提示未选择DDoS高防实例,请先将该域名接入DDoS高防实例进行防护。具体操作 ,请参见添加网站。
联动资源 - 如果当前域名已完成阿里云CDN或阿里云DCDN配置,系统自动选择联动资源,您无需操作。
- 如果当前域名未进行阿里云CDN和阿里云DCDN配置,请根据页面提示进行配置,然后再选择联动资源。具体操作,请参见添加加速域名(CDN联动)或添加服务域名(DCDN联动)。
访问QPS 设置触发切换到DDoS高防的最小QPS值。关于流量切换的详细信息,请参见流量切换。 说明 建议您在设置QPS阈值时,考虑业务突增的情形,将阈值设置为业务历史峰值的2~3倍以上,即使网站QPS较低,QPS阈值也建议不要低于500。 - 根据页面提示前往DNS服务商处修改DNS解析,将DNS解析指向流量调度器生成的CNAME地址。重要 您修改域名的DNS解析后,流量调度规则将会生效。建议您在修改DNS解析前,先通过修改本地计算机的hosts文件配置,验证流量调度规则,避免因回源策略不一致出现不兼容问题。具体操作,请参见本地验证转发配置生效。
例如,在CDN和高防联动且回源到OSS的场景,由于CDN回源支持修改回源HOST,而DDoS高防不支持,导致发生攻击自动切换到DDoS高防后,DDoS高防回源到OSS的正常流量无法被识别,出现业务故障。
以网站域名解析托管在阿里云云解析DNS为例介绍,如果您使用其他DNS服务商的域名解析服务,请前往服务商系统修改网站域名的解析记录。
流量切换
添加联动规则后,如果满足切换条件,流量就会在CDN和DDoS高防间、DCDN和DDoS高防间自动互相切换。除了自动切换,您还可以根据业务防护需求,手动将业务流量切换到DDoS高防以及回切到CDN或DCDN。
自动切换
切换类型 | 切换条件 |
---|---|
CDN或DCDN切换到DDoS高防 | 满足如下条件之一即触发切换:
|
DDoS高防回切到CDN或DCDN | 同时满足如下条件时触发切换:
重要 系统仅在08:00~23:00会进行回切操作,其他时间不会触发回切。 |
手动切换
操作 | 说明 |
---|---|
CDN或DCDN切换到DDoS高防 | 在未自动触发DDoS高防清洗时,手动将业务流量切换到DDoS高防进行清洗,适用于在业务触发黑洞前提前切换,减少业务损伤。![]() 只有当DDoS高防IP不在黑洞中,才可以正常切换到DDoS高防。 重要 手动将业务流量切换到DDoS高防后,不会自动回切到CDN或DCDN。如需回切到CDN或DCDN,您必须手动执行回切操作。 |
DDoS高防回切到CDN或DCDN | 在业务流量由DDoS高防清洗时,手动将业务流量回切到CDN或DCDN。![]() 重要
|
更多操作
修改联动调度规则
- 登录DDoS高防控制台。
- 在顶部菜单栏左上角处,选择服务所在地域:
- DDoS高防(新BGP):选择中国内地地域。
- DDoS高防(国际):选择非中国内地地域。
您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。 - 在左侧导航栏,选择CDN/DCDN联动调度页签。 后,单击
- 定位到目标域名,单击操作列的编辑,在编辑联动面板修改DDoS高防实例或访问QPS。
- 单击下一步,然后单击确定。
删除联动调度规则
警告 删除联动规则前,请确保网站域名的解析没有指向流量调度器CNAME,否则删除联动规则后,网站将无法正常访问。
- 登录DDoS高防控制台。
- 在顶部菜单栏左上角处,选择服务所在地域:
- DDoS高防(新BGP):选择中国内地地域。
- DDoS高防(国际):选择非中国内地地域。
您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。 - 在左侧导航栏,选择CDN/DCDN联动调度页签。 后,单击
- 定位到目标域名,单击操作列的删除,在删除规则对话框单击确定。