DDoS高防流量调度器允许您设置DDoS高防与云资源间的联动规则,仅在特定场景下触发并切换启用DDoS高防,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时更好的防护效果。流量调度器提供云产品联动、阶梯防护、CDN联动功能。本文介绍了它们的使用场景和配置方法。

使用场景

下表描述了DDoS高防流量调度器的不同功能的使用场景。

功能 使用场景 使用效果
云产品联动 日常不使用高防,不增加延迟;被攻击时,需要将DDoS高防前置,防护DDoS攻击。 无攻击时,高防做备用,不增加延迟;被攻击时,自动切换至DDoS高防。云产品联动
阶梯防护 日常使用防护包防御DDoS,无延迟增加;被大流量攻击的时候,需要切到DDoS高防。 防护包抵御日常攻击,不增加延迟;大流量攻击时,切换至DDoS高防。阶梯防护
CDN联动 网站使用CDN加速,又需要防御DDoS攻击;当攻击发生时,需要从CDN切换至DDoS高防。 无攻击时,就近使用CDN节点加速;被攻击时,切换至DDoS高防。CDN联动

使用限制

下表描述了DDoS高防流量调度器的不同功能的使用限制。

功能 限制条件 说明
云产品联动 高防实例规格 DDoS高防实例的QPS、业务带宽等规格满足正常业务防护需求,当流量切至高防时,确保可以承载业务流量。
高防配置 DDoS高防实例预先完成被防护业务的转发配置。
阶梯防护 防护包 购买并使用防护包企业版。
实例规格 防护包业务带宽规格满足防护需求。
高防配置 DDoS高防实例预先完成被防护业务的转发配置。
防护包配置 云资源在防护包的防护对象中。
CDN联动 CDN状态 域名不允许是切入沙箱状态。
说明 如果域名已经被CDN切入沙箱,建议您只用DDoS高防,不用联动。
攻击频率 不适合被攻击频率太高的网站,例如高于每周3次以上。
防护生效敏感度 不适合对防护生效速度要求比较高的场景。
说明 调度到DDoS高防时,防护生效时间受DNS TTL生效时间限制。
业务流量 不适合正常业务流量和QPS比较大的场景。
说明 若超过3 Gbps、10000 QPS时,请提交工单进行评估。
业务类型 只适合HTTP和HTTPS业务,不支持视频直播。
高防版本 仅支持增强功能版本的DDoS高防实例。
启用CDN联动功能时,您需要设置访问QPS阈值,作为CDN和DDoS高防间相互切换的条件。CDN和DDoS高防间相互切换满足以下逻辑和限制。
  • CDN切换到高防
    • 连续3分钟内3次触发QPS超过阈值或连续10分钟内出现6次以上,则触发切换流程。
    • CDN上流量不超过10 Gbps。
      说明 10 Gbps超出了DDoS高防的售卖规格。
  • 高防切换到CDN
    • 连续12小时以上,域名QPS低于QPS阈值的80%、CC阻断率低于10%,则触发回切流程。
    • 回切检查:要切回的高防IP不在清洗黑洞中且1小时内不存在清洗、黑洞事件。
    • 回切时间范围:8:00-23:00。其他时间范围不触发回切。

配置概述

功能 配置说明
云产品联动 云产品联动分为云产品与DDoS高防一对一切换、云产品与DDoS高防多对一切换。 配置步骤如下。
  1. 配置DDoS高防转发。参见添加网站配置
  2. 验证高防实例可以正常转发。参见验证配置生效
  3. 配置流量调度器。
    • 一对一切换,参见添加防护调度规则
    • 多对一切换,包括以下两种配置模式:
      • 优先使用云产品,无可用云产品IP时,切换高防。配置方法同一对一切换,在添加防护调度规则时,选择添加多个需要联动的云资源IP即可。
      • 云产品多路分摊流量,每路被攻击单独切换高防。配置方法参见多路分摊切换配置示例
  4. 将DNS解析到流量调度器。修改域名的DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。
    说明 关于修改域名DNS解析CNAME记录的操作步骤,业务接入DDoS高防配置可供参考,但请注意应该应用流量调度器分配的CNAME地址,而不是DDoS高防CNAME地址。
阶梯防护 阶梯防护分为防护包中云产品与DDoS高防一对一切换、防护包中云产品与DDoS高防多对一切换。配置步骤与云产品联动相同。
CDN联动 配置步骤如下。
  1. 预先配置好CDN,并解析到CDN,经测试可用。 参见添加加速域名
    说明 如果配置了源站防护(安全组),则需要将CDN回源地址加入白名单。
  2. 配置DDoS高防转发。参见添加网站配置
  3. 验证高防实例可以正常转发。参见验证配置生效
  4. 配置流量调度器。参见添加CDN联动
  5. 将DNS解析到流量调度器。修改域名的DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。
    说明 关于修改域名DNS解析CNAME记录的操作步骤,业务接入DDoS高防配置可供参考,但请注意应该应用流量调度器分配的CNAME地址,而不是DDoS高防CNAME地址。

添加防护调度规则

  1. 登录云盾DDoS高防控制台
  2. 在左侧导航栏,单击接入管理 > 流量调度器
  3. 防护调度页签下,单击添加规则添加规则,防护调度
  4. 添加规则侧边页,完成联动规则配置,并单击下一步。联动规则的配置描述见下表。
    配置项 说明
    联动场景 选择规则类型,取值:
    • 云产品联动
    • 阶梯防护(仅支持DDoS防护包防护对象中的云资源,包括ECS、EIP、SLB、WAF)
    规则名 为规则命名。规则名由英文字母、数字和下横线(_)组成,且不超过128个字符。
    高防IP 选择要联动的高防实例。
    云资源 设置要联动的云资源。选择云资源所在地域,并输入云资源IP地址。单击添加源资源IP,可以添加多个云资源。最多支持添加20个IP。
    添加规则配置,防护调度
    成功添加规则,调度器为新建规则分配一个CNAME地址。要使调度规则生效,您需要前往云资源的DNS服务商处修改其DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。添加规则,防护调度

    您可以在防护调度规则列表中查看新建的规则和CNAME地址。

    防护调度

添加CDN联动

  1. 在左侧导航栏,单击接入管理 > 流量调度器
  2. 打开CDN联动调度页签。
    CDN联动调度页签展示了所有已添加到DDoS防护中的网站域名。
  3. 定位到要配置的域名,单击其操作列下的添加联动添加联动
  4. 添加联动侧边页,确认域名信息满足要求后,配置切换至高防条件,即访问QPS的最小值,并单击下一步
    要添加联动,域名信息应满足以下要求。
    • 高防资源:已开通增强功能。增强功能
    • 联动资源:已完成阿里云CDN配置。cdn配置
    添加联动配置
    成功添加联动,调度器为新建规则分配一个CNAME地址。要使调度规则生效,您需要前往云资源的DNS服务商处修改其DNS解析,应用CNAME解析并将解析目标设置为调度器分配的CNAME地址。成功添加联动

    您可以在CDN联动调度规则列表中看到域名的CDN联动状态更新为已开启,并查看其CNAME地址。

多路分摊切换配置示例

以多防护包切换DDoS高防为例,介绍云产品与DDoS高防多对一切换(云产品多路分摊流量,每路被攻击单独切换高防模式)的具体配置方法。其中,CNAME解析记录的更新以阿里云云解析DNS为例截图说明。

  1. 防护包配置。在防护包中添加多个防护对象,示例中是三个。防护对象
  2. 流量调度器配置。为步骤1中的三个防护对象各添加一条阶梯防护规则,三条规则关联同一个高防IP。流量调度器
  3. 域名解析配置。使用同一个主机记录,添加三条CNAME解析记录,记录值分别是步骤2中三条阶梯防护规则的CNAME地址。域名解析
  4. 验证结果。在DNS检测站点上验证步骤3中添加的CNAME记录生效。