DDoS阶梯调度最佳实践
购买DDoS原生防护-全力防基础版时选择开启联动防护后,通过配置DDoS阶梯调度策略,可以自动联动调度DDoS高防对DDoS原生防护-全力防基础版防护的云资源进行防护,防御海量攻击。
配置DDoS阶梯调度后,当发生海量攻击时,系统联动调度DDoS高防对DDoS原生高级防护对象中的华为云上云资源进行防护,业务流量经过DDoS高防转发。DDoS阶梯调度工作原理如图1所示。
- 当业务有正常访问/日常攻击时,DDoS原生高级防护提供DDoS攻击全力防护能力,在业务遭受DDoS攻击时,自动触发流量清洗。
- 当业务遭受海量流量攻击导致封堵时,DDoS阶梯调度自动调度高防CNAME,联动高防DDoS将恶意攻击流量引流到高防IP进行清洗,确保重要业务不被攻击中断。
本章节以网站类业务“www.example.com”域名为例,介绍如何配置DDoS阶梯调度。
约束条件
- DDoS原生高级防护只能防护购买区域的公网IP资源,不能跨区域防护。
- 防护域名(www.example.com)部署在华为云上,且部署在支持购买DDoS原生高级防护实例的区域(例如,华北-北京四)。
- 防护域名(www.example.com)未接入WAF。
前提条件
操作步骤
- 登录管理控制台。
- 添加防护对象。
- 进入DDoS原生高级防护实例列表页面。
- 在目标实例所在框的右上方,单击“设置防护对象”。
- 在弹出的“设置防护对象”对话框中,勾选防护域名(www.example.com)的源站公网IP后,单击“确定”。
- 创建防护策略。
- 进入DDoS原生高级防护的防护策略页面。
- 在防护策略列表的左上方,单击“创建策略”。
- 在弹出的“创建策略”对话框中,设置“策略名称”并选择所属实例后,单击“确定”。
- 在4中创建的防护策略所在行的“操作”列中,单击“配置策略”,配置防护策略。
有关配置防护策略的详细操作,请参见配置防护策略。
- 将防护域名(www.example.com)接入DDoS高防。
- 配置阶梯调度规则。
- 参考添加CNAME类型记录集添加DNS解析。
- “主机记录”:配置的域名。
- “记录类型”:选择“CNAME-将域名指向另外一个域名”。
- “线路类型”:全网默认。
- “TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢。
- “值”:输入6.c中的CNAME值。
- 其他的设置保持不变。
生效机制
DNS解析记录生效后,阶梯调度策略即可生效。