文档首页/ DDoS防护 AAD/ 最佳实践/ DDoS阶梯调度最佳实践
更新时间:2024-10-09 GMT+08:00
分享

DDoS阶梯调度最佳实践

购买DDoS原生防护-全力防基础版时选择开启联动防护后,通过配置DDoS阶梯调度策略,可以自动联动调度DDoS高防对DDoS原生防护-全力防基础版防护的云资源进行防护,防御海量攻击。

配置DDoS阶梯调度后,当发生海量攻击时,系统联动调度DDoS高防对DDoS原生高级防护对象中的华为云上云资源进行防护,业务流量经过DDoS高防转发。DDoS阶梯调度工作原理如图1所示。

  • 当业务有正常访问/日常攻击时,DDoS原生高级防护提供DDoS攻击全力防护能力,在业务遭受DDoS攻击时,自动触发流量清洗。
  • 当业务遭受海量流量攻击导致封堵时,DDoS阶梯调度自动调度高防CNAME,联动高防DDoS将恶意攻击流量引流到高防IP进行清洗,确保重要业务不被攻击中断。
图1 DDoS阶梯调度工作原理

本章节以网站类业务“www.example.com”域名为例,介绍如何配置DDoS阶梯调度。

约束条件

  • DDoS原生高级防护只能防护购买区域的公网IP资源,不能跨区域防护。
  • 防护域名(www.example.com)部署在华为云上,且部署在支持购买DDoS原生高级防护实例的区域(例如,华北-北京四)。
  • 防护域名(www.example.com)未接入WAF。

前提条件

  • 已购买“DDoS原生高级防护”,且购买时选择开启联动防护。
  • 已获取防护域名(www.example.com)的源站公网IP地址。
  • 如果防护域名(www.example.com)未部署在“华东-上海一”区域,则防护域名所在区域已准备了备用公网IP地址。
  • 已成功购买DDoS原生高级防护实例。

    区域:选择防护域名(www.example.com)部署的区域(例如,华北-北京四)

  • 已成功购买DDoS高防实例。

操作步骤

  1. 登录管理控制台。
  2. 添加防护对象。

    1. 进入DDoS原生高级防护实例列表页面。
    2. 在目标实例所在框的右上方,单击“设置防护对象”
    3. 在弹出的“设置防护对象”对话框中,勾选防护域名(www.example.com)的源站公网IP后,单击“确定”

  3. 创建防护策略。

    1. 进入DDoS原生高级防护的防护策略页面。
    2. 在防护策略列表的左上方,单击“创建策略”
    3. 在弹出的“创建策略”对话框中,设置“策略名称”并选择所属实例后,单击“确定”

  4. 4中创建的防护策略所在行的“操作”列中,单击“配置策略”,配置防护策略。

    有关配置防护策略的详细操作,请参见配置防护策略

  5. 将防护域名(www.example.com)接入DDoS高防。

    1. 进入DDoS高防域名列表入口。
    2. 在域名列表左上角,单击“添加域名”
    3. 填写域名信息,如图2所示,单击“下一步”
      图2 配置网站类域名信息

      “源站类型”选择“源站IP”,源站IP配置说明如下:

      • 如果防护域名部署在“华东-上海一”区域,源站IP配置为防护域名的源站公网IP地址。
      • 如果防护域名未部署在“华东-上海一”区域,源站IP需要配置为防护域名所在区域同一网段准备的备用公网IP地址。
    4. 在高防实例名称列表中选择实例与线路后,单击“提交并继续”
    5. 单击“下一步”后,单击“完成”
      防护域名接入DDoS高防,获取域名的CNAME值(12b6003fd3c2e618.huaweisafedns.com),如图3所示。
      图3 防护域名接入DDoS高防

  6. 配置阶梯调度规则。

    1. 进入阶梯调度页面。
    2. 在阶梯调度列表框左上角,单击“添加规则”
    3. 在弹出添加规则对话框中,配置调度规则后,单击“确定”
      • 分组调度:选择DDoS原生防护对象中的云资源。
      • 高防CNAME:填写为5.e中的CNAME值。

      规则配置完成后,获取调度CNAME值,如图4所示。

      图4 获取调度CNAME值

  7. 参考添加CNAME类型记录集添加DNS解析。

    • “主机记录”:配置的域名。
    • “记录类型”:选择“CNAME-将域名指向另外一个域名”
    • “线路类型”:全网默认。
    • “TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢。
    • “值”:输入6.c中的CNAME值。
    • 其他的设置保持不变。

生效机制

DNS解析记录生效后,阶梯调度策略即可生效。

相关文档