CDN/DCDN联动调度适用于网站业务开启了阿里云CDN或DCDN加速服务且已接入DDoS高防进行防护后,实现CDN/DCDN加速和DDoS高防联动使用:业务正常访问期间(无攻击),流量不经过高防清洗,就近使用CDN或DCDN节点加速;业务被攻击时,自动切换到DDoS高防进行防护,流量经过高防清洗后转发到源站服务器。

前提条件

  • 已为网站域名开启CDN/DCDN加速。相关操作,请参见添加加速域名(CDN联动)、添加加速域名(DCDN联动)。

    关于CDN/DCDN与高防联动的限制,请参见使用限制

  • 已购买增强功能套餐的DDoS高防(新BGP、国际)实例,并且网站业务已接入的DDoS高防实例。相关操作,请参见添加网站
    注意 DDoS高防实例的业务带宽、QPS等规格必须满足正常业务防护需求,确保当流量切换到DDoS高防时,高防实例可以承载业务流量。

    不支持使用DDoS高防(国际)安全加速线路与CDN/DCDN进行联动。

  • 已验证DDoS高防实例可以正常转发业务。更多信息,请参见本地验证转发配置生效

使用限制

使用CDN/DCDN联动需要满足以下限制条件。
限制项 说明
业务类型 只适合HTTP和HTTPS业务,不支持视频直播。
业务场景 CDN/DCDN联动不适合以下业务场景:
  • 被攻击频率太高(例如,高于每周3次以上)的网站。
  • 对防护生效速度要求比较高的场景。
    说明 调度到DDoS高防时,防护生效时间受DNS TTL生效时间限制。
  • 正常业务流量和QPS比较大的场景。
    说明 如果您的业务超过3 Gbps、10000 QPS,请提交 工单进行评估。
CDN/DCDN状态 CDN/DCDN的加速域名不允许是切入沙箱状态。
说明 如果域名已经被CDN或DCDN切入沙箱,建议您只使用DDoS高防,不用联动。
CDN/DCDN和DDoS高防切换 添加CDN/DCDN联动时,您需要设置访问QPS阈值,作为CDN/DCDN和DDoS高防间相互切换的条件。CDN/DCDN和DDoS高防间相互切换需要满足以下条件:
  • CDN/DCDN切换到高防:
    • 连续3分钟内3次触发QPS超过阈值或连续10分钟内出现6次以上,并且CDN/DCDN上流量不超过10 Gbps,则触发切换流程。
      说明 10 Gbps流量超出了DDoS高防的售卖规格。
    • 当高防侧监测到域名进入沙箱状态,并且CDN/DCDN上流量不超过10 Gbps,触发切换流程。
  • 高防切换到CDN/DCDN:
    • 连续12小时以上,域名QPS低于QPS阈值的80%、CC阻断率低于10%,则触发回切流程。
    • 回切检查:要切回的高防IP不在清洗中、黑洞中和沙箱状态且1小时内不存在清洗、黑洞事件。
    • 回切时间范围:上午8时到晚上23时,其他时间不触发回切。

操作步骤

以下操作步骤描述了在DDoS高防控制台配置CDN/DCDN联动DDoS高防的方法,您也可以在CDN控制台配置CDN联动DDoS高防。相关操作,请参见配置CDN联动DDoS高防

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • 中国内地:选择该地域将跳转到DDoS高防(新BGP)控制台。
    • 非中国内地:选择该地域将跳转到DDoS高防(国际)控制台。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择接入管理 > 流量调度器
  4. 单击CDN/DCDN联动调度页签。
  5. 定位到要配置的域名,单击操作列下的添加联动
  6. 添加联动面板,完成联动配置,并单击下一步添加联动配置
    参数 说明
    DDoS高防实例 从当前域名已关联的DDoS高防实例中,选择要与CDN联动的DDoS高防实例。

    DDoS高防实例必须是增强功能套餐实例。如果提示该实例需要购买增强功能才可使用CDN联动功能,请按照页面提示,将实例升级为增强功能套餐再进行设置。

    如果提示未选择DDoS高防实例,请先完成域名接入。相关操作,请参见添加网站

    联动资源 如果当前域名已完成阿里云CDN阿里云DCDN配置,则自动选择对应的联动资源,无需手动操作。

    如果当前域名未完成阿里云CDN阿里云DCDN配置,您需要手动选择阿里云CDN阿里云DCDN,并按照页面提示前往配置。

    访问QPS 设置触发切换到DDoS高防的最小QPS值。关于CDN/DCDN与高防的具体切换条件,请参见使用限制
    说明 建议您在设置QPS阈值时,考虑业务突增的情形,将阈值设置为业务历史峰值的2~3倍以上,即使网站QPS较低,QPS阈值也建议不要低于500。
    成功添加规则后,流量调度器为当前规则生成一个CNAME地址。您可以在域名列表中查看域名的联动状态和CNAME地址。
  7. 修改域名DNS。
    要使联动规则生效,您需要前往业务域名的DNS服务商处,修改域名的DNS解析,将解析指向流量调度器的CNAME地址。更多信息,请参见 修改CNAME解析接入流量调度器

相关操作

  • 编辑联动规则:您可以在流量调度器的CDN/DCDN联动调度列表,单击操作列下的编辑,编辑已添加的联动规则(例如,修改访问QPS设置)。
  • 删除联动规则:您可以在流量调度器的CDN/DCDN联动调度列表,单击操作列下的删除,删除已添加的联动规则。
    警告 删除联动规则前,请确保网站域名的解析已不再指向流量调度器CNAME,否则删除联动规则后,网站流量将无法正常转发。