您可以同时部署DDoS原生防护企业版和DDoS高防(中国内地),通过DDoS高防流量调度器的阶梯防护联动规则,保证正常业务流畅体验的前提下增强DDoS防护能力。本文介绍了同时部署DDoS原生防护企业版和DDoS高防(中国内地)的配置方法。
背景信息
同时部署DDoS原生防护企业版和DDoS高防(中国内地),当DDoS攻击不超过原生防护企业版的防御能力时(防御能力具体和所在地域有关,一般不低于100~300 Gbps),业务流量默认解析到云产品,不增加业务延迟;当攻击过大触发黑洞时,高防流量调度器将流量切换到DDoS高防,防御大流量的攻击,此时存在约20 ms的业务延时;攻击停止后,根据流量调度器设置的切换延迟时间,等待一段时间后业务流量回切到云产品。
黑洞触发后通过流量调度器自动完成网站业务流量的切换,中国内地的DNS解析更新约需5~10分钟,非中国内地约需1~3分钟。
切换到DDoS高防(中国内地)后,黑洞阈值受高防的最大防护能力限制。开通实例时可以配置30 Gbps保底+300 Gbps弹性,您可以通过工单联系技术支持人员升级到1 Tbps甚至更高。
切换到DDoS高防(中国内地)后,即使攻击停止也不会马上回切,防止回切后被持续攻击触发频繁切换,出现震荡,导致业务始终在切换状态。流量调度器支持设置切换延迟时间,默认是120分钟(2小时)。
同时部署DDoS原生防护企业版和DDoS高防(中国内地)时,您可以同时享受两者的优势。例如DDoS原生防护企业版的费用可控、全资产防护、透明部署无延迟,和DDoS高防(中国内地)的超大攻击流量防护。
网络架构
具体架构如下图所示。
操作步骤
开通DDoS原生防护企业版。
具体操作,请参见购买DDoS原生防护实例。
将业务的源站IP地址添加为DDoS原生防护企业版的防护对象。
具体操作,请参见防护对象。
开通DDoS高防(中国内地)专业版。
具体操作,请参见购买DDoS高防实例。
添加网站配置接入DDoS高防。
具体操作,请参见添加网站配置。
说明成功添加网站业务转发配置后,无需按照页面提示修改DNS解析。
使用流量调度器,为业务添加阶梯防护调度规则,将业务解析到流量调度器的Cname地址。
具体操作,请参见阶梯防护。
说明成功添加调度规则后,您可以在通用联动规则列表获取规则对应的流量调度器Cname地址。
前往域名DNS服务商处修改域名的DNS解析,将解析指向流量调度器Cname地址。
具体操作,请参见修改CNAME解析接入流量调度器。