DDoS阶梯调度最佳实践

约束条件

• DDoS原生高级防护只能防护购买区域的公网IP资源，不能跨区域防护。
• 防护域名（www.example.com）部署在华为云上，且部署在支持购买DDoS原生高级防护实例的区域（例如，华北-北京四）。
• 防护域名（www.example.com）未接入WAF。

前提条件

• 已购买“DDoS原生高级防护”，且购买时选择开启联动防护。
• 已获取防护域名（www.example.com）的源站公网IP地址。
• 如果防护域名（www.example.com）未部署在“华东-上海一”区域，则防护域名所在区域已准备了备用公网IP地址。
• 已成功购买DDoS原生高级防护实例。

  区域：选择防护域名（www.example.com）部署的区域（例如，华北-北京四）

• 已成功购买DDoS高防实例。

操作步骤

1. 登录管理控制台。
2. 添加防护对象。
   1. 进入DDoS原生高级防护实例列表页面。
   2. 在目标实例所在框的右上方，单击“设置防护对象”。
   3. 在弹出的“设置防护对象”对话框中，勾选防护域名（www.example.com）的源站公网IP后，单击“确定”。

3. 创建防护策略。
   1. 进入DDoS原生高级防护的防护策略页面。
   2. 在防护策略列表的左上方，单击“创建策略”。
   3. 在弹出的“创建策略”对话框中，设置“策略名称”并选择所属实例后，单击“确定”。

4. 在4中创建的防护策略所在行的“操作”列中，单击“配置策略”，配置防护策略。

   有关配置防护策略的详细操作，请参见配置防护策略。

5. 将防护域名（www.example.com）接入DDoS高防。
   1. 进入DDoS高防域名列表入口。
   2. 在域名列表左上角，单击“添加域名”。
   3. 填写域名信息，如图2所示，单击“下一步”。
      图2 配置网站类域名信息
      
      

      “源站类型”选择“源站IP”，源站IP配置说明如下：

      • 如果防护域名部署在“华东-上海一”区域，源站IP配置为防护域名的源站公网IP地址。
      • 如果防护域名未部署在“华东-上海一”区域，源站IP需要配置为防护域名所在区域同一网段准备的备用公网IP地址。
   4. 在高防实例名称列表中选择实例与线路后，单击“提交并继续”。
   5. 单击“下一步”后，单击“完成”。
      防护域名接入DDoS高防，获取域名的CNAME值（12b6003fd3c2e618.huaweisafedns.com），如图3所示。

      图3 防护域名接入DDoS高防
      

6. 配置阶梯调度规则。
   1. 进入阶梯调度页面。
   2. 在阶梯调度列表框左上角，单击“添加规则”。
   3. 在弹出添加规则对话框中，配置调度规则后，单击“确定”。
      • 分组调度：选择DDoS原生防护对象中的云资源。
      • 高防CNAME：填写为5.e中的CNAME值。

      规则配置完成后，获取调度CNAME值，如图4所示。

      图4 获取调度CNAME值
      

7. 参考添加CNAME类型记录集添加DNS解析。
   • “主机记录”：配置的域名。
   • “记录类型”：选择“CNAME-将域名指向另外一个域名”。
   • “线路类型”：全网默认。
   • “TTL(秒)”：一般建议设置为5分钟，TTL值越大，则DNS记录的同步和更新越慢。
   • “值”：输入6.c中的CNAME值。
   • 其他的设置保持不变。

生效机制

DNS解析记录生效后，阶梯调度策略即可生效。