全部产品
Search
文档中心

DDoS 防护:DDoS高防和CDN或DCDN联动

更新时间:Feb 22, 2024

当网站既需要访问加速,又需要进行DDoS防护时,可以使用DDoS高防和加速产品(CDN或DCDN)联动。通过流量调度器的智能调度,业务正常访问期间,流量不经过DDoS高防清洗就近使用加速产品的节点加速,仅在业务被攻击时流量切换到DDoS高防进行清洗,由高防将清洁流量直接转发给源站,保证业务平稳运行。本文介绍如何配置DDoS高防和加速产品(CDN或DCDN)联动。

功能介绍

业务既需要访问加速又需要DDoS防护时,阿里云支持如下两种方案:

  • 方案一:DCDN的边缘DDoS防护(推荐)

    域名接入DCDN后,在DCDN侧直接配置边缘DDoS防护,无需繁琐配置即可一键开启DDoS防护。无需在DDoS高防侧配置。具体操作,请参见防护配置

    说明

    仅DCDN支持边缘DDoS防护,CDN不支持。您可以将CDN的域名迁移到DCDN,然后使用边缘DDoS防护。具体操作,请参见将CDN域名升级至DCDN产品

  • 方案二:DDoS高防和CDN联动,或者DDoS高防和DCDN联动

    即本文介绍的内容,攻击流量经过高防清洗后,清洁流量直接转发给源站。您需要在加速产品和DDoS高防分别配置域名接入,然后在DDoS高防的流量调度器中配置联动。

联动时攻击流量调度到高防清洗后,将清洁流量转发给源站。DCDN的边缘DDoS防护,攻击流量调度到高防清洗后,将清洁流量转发给DCDN,攻击时依然实现加速效果。具体请参见下图。

image

注意事项

  • 如果您的业务带宽超过3 Gbps或QPS超过10000,使用联动功能前,请联系您的商务经理进行评估。

  • 攻击频率太高(例如,高于每周3次以上)的网站,建议您只使用DDoS高防,避免流量在加速产品和DDoS高防间频繁切换影响您的业务。

  • 仅当DDoS高防IP是IPv4时,支持配置联动,IPv6不支持配置联动。

  • 发生攻击时,业务流量调度到DDoS高防时,防护生效时间可能受DNS TTL生效时间限制。

  • 使用联动功能前,请确保您的域名在加速产品中不处于沙箱状态。关于沙箱的详细信息,请参见沙箱说明。处于沙箱状态时,如需设置DDoS防护并解除域名的沙箱状态,请联系您的商务经理。

支持联动的DDoS高防实例类型

DDoS(中国内地)专业版实例、DDoS(中国内地)高级版实例、DDoS高防(非中国内地)保险版实例、DDoS高防(非中国内地)无忧版实例,且实例必须为增强功能套餐。

前提条件

操作步骤

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择接入管理 > 流量调度器后,单击CDN/DCDN联动调度页签。

    说明

    首次使用联动调度前,需要单击立即进行授权,按照指引授权DDoS高防访问加速产品。

  4. 定位到目标域名,单击操作列的添加联动,在添加联动面板完成配置后,单击下一步

    配置项

    说明

    DDoS高防实例

    选择要与加速产品联动的DDoS高防实例。

    说明
    • 提示该实例需要购买增强功能才可使用CDN联动功能:请按照指引升级实例,将实例的套餐升级为增强功能。

    • 提示未选择DDoS高防实例:请先将域名接入DDoS高防实例进行防护。具体操作 ,请参见添加网站

    联动资源

    系统会自动选择联动资源。

    如果域名未添加到加速产品中,请根据页面指引进行配置,等待约10分钟后再设置联动。具体操作,请参见添加加速域名(CDN)添加服务域名(DCDN)

    访问QPS

    设置触发切换到DDoS高防的最小QPS值。

    关于流量切换的详细信息,请参见流量切换

    说明

    建议您在设置QPS阈值时,考虑业务突增的情形,将阈值设置为业务历史峰值的2~3倍以上,即使网站QPS较低,QPS阈值也建议不要低于500。

  5. 通过修改本地host文件验证流量调度规则是否生效,避免因回源策略不一致出现兼容性问题。具体操作,请参见本地验证转发配置生效

    例如,在CDN和高防联动且回源到OSS的场景,由于CDN回源支持修改回源HOST,而DDoS高防不支持,导致发生攻击自动切换到DDoS高防后,DDoS高防回源到OSS的正常流量无法被识别,出现业务故障。

  6. 前往DNS服务商处修改DNS解析,将DNS解析指向流量调度器生成的CNAME地址。具体操作,请参见修改CNAME解析接入流量调度器

    说明

    域名接入加速产品、DDoS高防以及配置联动规则时,会生成3个CNAME地址,加速产品提供的CNAME、DDoS高防提供的CNAME,以及配置联动规则时流量调度器生成的CNAME,您需要将域名解析到流量调度器生成的CNAME。

流量切换

流量支持自动切换和手动切换。满足自动切换条件时,流量会在加速产品和DDoS高防间自动互相切换。您还可以根据业务防护需求,手动将业务流量切换到DDoS高防以及回切到加速产品。通常建议您使用自动切换。

自动切换

切换类型

切换条件

加速产品切换到DDoS高防

满足如下条件之一即触发切换:

  • 连续3分钟内3次访问QPS超过阈值或连续10分钟内出现6次以上,并且加速产品上正常业务流量不超过10 Gbps。

  • DDoS高防监测到域名进入沙箱状态,并且加速产品上正常业务流量不超过10 Gbps。

DDoS高防回切到加速产品

同时满足如下条件时触发切换:

  • 连续12小时以上,域名访问QPS低于阈值的80%,并且攻击请求低于10%。

  • 要切回的高防IP不在清洗中、黑洞中,且1小时内不存在清洗、黑洞事件。

  • 域名不在沙箱状态。

重要

系统仅在08:00~23:00会进行回切操作,其他时间不会触发回切。

手动切换

操作

说明

加速产品切换到DDoS高防

在未自动触发DDoS高防清洗时,手动将业务流量切换到DDoS高防进行清洗。如果您的业务流量突增但未达到自动切换的条件,为避免攻击对业务影响,您可以手动切换。CDN切到高防

重要
  • 只有当DDoS高防IP不在黑洞中,才可以正常切换到DDoS高防。

  • 手动将业务流量切换到DDoS高防后,不会自动回切到加速产品。如需回切到加速产品,您必须手动执行回切操作。

DDoS高防回切到加速产品

如果是正常业务突增导致的流量切到高防,为避免影响业务,您可以手动将流量回切到加速产品。回切(CDN)

重要

建议您在执行回切前,确认DDoS攻击已经结束并且域名不处于沙箱状态。

相关操作

  • 修改联动调度规则:在CDN/DCDN联动调度页签,定位到目标域名,单击操作列的编辑,修改DDoS高防实例访问QPS

  • 删除联动调度规则:在CDN/DCDN联动调度页签,定位到目标域名,单击操作列的删除

    警告

    删除联动规则前,请确保网站域名的解析没有指向流量调度器CNAME,否则删除联动规则后,网站将无法正常访问。

相关文档

常见问题