本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
階梯防護表示通過自定義規則,聯動使用DDoS高防與DDoS原生防護,解決網站業務接入高防防護后,正常業務訪問延時增加的問題。階梯防護可實現由DDoS原生防護防御日常攻擊(不增加延時),僅在發生大流量攻擊時切換到DDoS高防進行防護。本文介紹如何添加階梯防護聯動規則。
支持的實例類型
DDoS高防(中國內地)專業版、DDoS高防(中國內地)高級版、DDoS高防(非中國內地)保險版或DDoS高防(非中國內地)無憂版。
前提條件
業務使用阿里云公網IP資源,具體包括擁有公網IP的云服務器ECS或負載均衡SLB、彈性公網IP、Web應用防火墻。
已購買DDoS原生防護實例,并為公網IP資產開啟了DDoS原生防護。具體操作,請參見購買DDoS原生防護實例、防護對象。
已購買DDoS高防(中國內地)實例或DDoS高防(非中國內地)實例。具體操作,請參見購買DDoS高防實例。
已將網站業務接入DDoS高防。具體操作,請參見添加網站配置。
已驗證DDoS高防實例可以正常轉發業務流量。具體操作,請參見本地驗證轉發配置生效。
添加階梯防護聯動規則
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內地):選擇中國內地地域。
DDoS高防(非中國內地):選擇非中國內地地域。
在左側導航欄,選擇
。在通用聯動頁簽,單擊添加規則,配置階梯防護規則并單擊下一步。
配置項
說明
聯動場景
選擇階梯防護。
規則名
為規則命名。
規則名由英文字母、數字和下劃線(_)組成,不超過128個字符。
高防IP
選擇要聯動的DDoS高防實例。
聯動資源
設置要聯動的云資源IP:選擇云資源所在地域,并輸入云資源IP地址。
重要云資源IP(ECS、SLB、EIP、WAF)必須已經開啟DDoS原生防護企業版防護。相關操作,請參見防護對象。
單擊添加云資源IP,可以添加多個云資源。最多支持添加20個IP。
說明添加多個云資源IP時(即多個云資源IP關聯一個高防IP),如果一個云資源IP上發生DDoS攻擊,將優先使用其他云資源IP,直到無可用云資源IP時,才會切換到高防進行防護。如果您希望云產品多路分攤流量,每路被攻擊時單獨切換高防,請參見多路分攤切換配置。
回切時間
業務流量聯動到DDoS高防進行防護后,允許觸發回切流程(切換回云資源IP)的等待時間。攻擊結束且經過該等待時間后,業務流量自動回切到云資源IP。
可選范圍:30~120分鐘。推薦您設置為60分鐘。
通過修改本地hosts文件驗證流量調度規則是否生效,避免因回源策略不一致出現兼容性問題。具體操作,請參見本地驗證轉發配置生效。
前往DNS服務商處修改DNS解析,將DNS解析指向流量調度器生成的CNAME地址。具體操作,請參見修改CNAME解析接入流量調度器。
修改解析記錄后,您可以使用瀏覽器測試網站訪問是否正常,如果網站訪問出現異常請先進行異常排查,具體操作,請參見業務接入高防后存在卡頓、延遲、訪問不通等問題。
配置階梯防護聯動規則后,云資源IP的業務流量默認由DDoS原生防護進行防護;只有在云資源IP上發生大流量DDoS攻擊時,業務流量才會自動切換到DDoS高防進行清洗,保證只有正常業務流量會轉發到云資源。業務流量自動切換到DDoS高防后,DDoS高防將在攻擊結束后等待一段時間(回切時間),自動將業務流量回切到云資源(由DDoS原生防護進行防護)。
除了自動切換方式,您還可以選擇手動切換,即根據業務防護需求,手動將業務流量切換到DDoS高防、回切到云資源。
相關操作
切到高防
在未自動觸發DDoS高防清洗,即聯動資源前有圖標時,您可以手動將業務流量切換到DDoS高防進行清洗。適用于在業務觸發黑洞前手動切換到高防,減少業務損傷。
只有當DDoS高防IP不在黑洞中,才可以切換到DDoS高防。
切換到DDoS高防后,默認不會自動回切到聯動資源。如需回切到聯動資源,您必須手動執行回切操作。
在流量調度器頁面的通用聯動頁簽下,定位到聯動場景為階梯防護的規則。
單擊操作列的切到高防,在提示對話框中確認無誤后,單擊確定。
回切
在業務流量由DDoS高防清洗,即高防IP前有圖標時,您可以手動將業務流量回切到聯動資源。
建議您在執行回切前,確認攻擊已經結束并且回切的聯動資源線路可用,避免聯動資源處于沙箱狀態導致業務中斷。
如果您通過切到高防操作將業務流量切換到DDoS高防,則只能通過回切操作將流量回切到聯動資源。
如果聯動資源全部在黑洞中,回切操作將失敗。如果有部分聯動資源已經解除黑洞,部分聯動資源在黑洞,流量將先回切到已經解除黑洞的聯動資源,其他聯動資源待黑洞解除后自動恢復流量。
在流量調度器頁面的通用聯動頁簽下,定位到聯動場景為階梯防護的規則。
單擊操作列的回切,在提示對話框中確認無誤后,單擊確定。
編輯規則
在流量調度器頁面的通用聯動頁簽下,定位到聯動場景為階梯防護的規則。
單擊操作列的編輯,修改高防IP、聯動資源或回切時間后,單擊下一步。
刪除規則
刪除聯動規則前,請確保網站域名的解析沒有指向流量調度器CNAME,否則刪除聯動規則后,網站將無法正常訪問。
在流量調度器頁面的通用聯動頁簽下,定位到聯動場景為階梯防護的規則。
單擊操作列的刪除,在提示對話框中確認無誤后,單擊刪除。