aad
网站类业务接入
更新时间:
2020/02/26 GMT+08:00
操作场景
用户可以选择使用域名接入,将业务通过CNAME解析的方式接入高防IP。
每个用户最多可以接入50个域名。
前提条件
- 已获取管理控制台的登录帐号与密码。
- 已成功购买高防实例。
操作步骤
网站类业务接入操作步骤如图1所示。
- 配置域名接入:
- 登录管理控制台。
- 选择,进入DDoS高防管理界面。
- 在左侧导航树中,选择,进入“域名接入”界面。
- 单击“添加域名”,进入“配置域名接入”界面。
图2 添加域名
- 填写域名信息,单击“下一步”。
图3 填写域名信息
表1 域名信息参数说明 参数名称
说明
防护域名
用户的实际业务对外提供服务所使用的域名。
企业项目
- 企业项目:在“企业项目”的下拉列表中选择项目名称。
- 非企业项目:忽略此项。
业务类型
选择“网站类”。
协议/端口
- 根据业务实际情况选择端口:
- HTTP/WebSocket的可选端口包括:80、81、82、83、84、8078、8080、8081、8087、8097、28443。
- HTTPS/WebSockets的可选端口包括:443、7443、8443。
说明:同一高防线路内,网站类业务和非网站类业务不能复用同一个端口号。
源站类型
- 源站IP:真实服务器的IP地址,最多可输入20个IP地址,IP地址间以“,”分隔。
须知:
- 请用户填写真实有效的公网IP地址。
- 如果要与其它域名复用同一个高防IP与端口,请确保其它域名与当前域名的“源站类型”相同。
- 如果要与其它域名复用同一个高防IP与端口,当前域名的“源站类型”选择“源站IP”时,需要先开启其它域名的“WEB基础防护”。
- 源站域名:该参数当前仅支持华为云WAF CNAME。
须知:
- 如果要与其它域名复用同一个高防IP与端口,请确保其它域名与当前域名的“源站类型”相同。
- 在通过华为云WAF CNAME接入到DDoS高防前,请确保您的业务在接入WAF时选择了使用代理,否则接入高防后会导致业务不通。
- 如果要与其它域名复用同一个高防IP与端口,请确保其它域名与当前域名是在同一个WAF区域接入的WAF防护。
- 华为云WAF接入DDoS高防后,如果后续您的业务需要拆除WAF防护,请首先把业务从DDoS高防拆除。
- 在高防实例名称列表中选择实例与线路后,单击“提交并继续”。
图4 选择实例与线路
- 一个域名可以选择多条线路(高防IP)。选择多个高防IP的限制条件是:各高防IP所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。
- 华为云为每个高防实例配置了多运营商线路,是为了避免您的用户产生跨运营商访问。建议您在选择实例与线路时要选择一组完整的实例线路。
- 记录域名的CNAME信息,并将CNAME添加到DNS,单击“下一步”。
修改DNS解析的操作步骤请参见添加CNAME。
- 配置高防IP加白。
- 如果源站未配置防火墙,单击“完成”。
- 如果源站已配置防火墙,请将高防回源IP地址段添加到源站防火墙白名单后,单击“完成”。
系统跳转至“域名接入”界面,新接入的域名添加到了“域名接入”的域名列表中。
- (可选)开启“CNAME自动调度”功能。
由于高防“CNAME自动调度”可实现基于运营商来源的流量负载均衡,启用“CNAME自动调度”功能后,当某条高防IP线路被黑洞时,它可将流量自动切换至其他高防IP线路,以保障您的业务正常运行。
- (可选)如果配置域名接入中“源站类型”选择的“源站IP”,请执行如下步骤:在该域名所在行的“安全防护”列,开启“WEB基础防护”。
开启“WEB基础防护”后,DDoS高防才会对您的流量进行七层防护。
- 上传证书(可选):
如果配置域名接入中选择“HTTPS/WebSockets”协议并且“源站类型”选择“源站IP”,请执行如下步骤上传证书:
- 对于未上传证书的网站类HTTPS/WebSockets域名,执行如下步骤:
- 对于已上传证书的网站类HTTPS/WebSockets域名,执行如下步骤:
- 在该域名所在行的“业务类型”列中,单击“更换”。
- 更换证书方式与2相同。
参数
名称
说明
证书
文件
- 证书输入格式如下:
-----BEGIN CERTIFICATE----- MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYD VQQGEwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3 ZWkxDzANBgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZz ZXJ2ZXIxIjAgBgkqhkiG9w0BCQEWE3p3YW5nd2VpZGtkQDE2My5jb20wHhcNMTUw MzE4MDMzNjU5WhcNMjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNV BAgTAlpKMQswCQYDVQQHEwJIWjEPMA0GA1UEChMGaHVhda2VpMQ8wDQY...... -----END CERTIFICATE-----
- 证书文件内容的复制方法:
- PEM格式证书:用文本编辑器直接打开进行复制。
- 非PEM格式证书:先转换成PEM格式,再用文本编辑器直接打开进行复制。
说明:
证书转换方法请参考如何将非PEM格式的证书转换为PEM格式?。
私钥
文件
私钥输入格式如下:
-----BEGIN RSA PRIVATE KEY----- MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYDVQQG EwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3ZWkxDzAN BgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZzZXJ2ZXIxIjAg BgkqhkiG9w0BCQEWE3poYW5nd2VpZGtkQDE2My5jb20wHhcNMTUwMzE4MDMzNjU5WhcN MjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNVBAgTAlpKMQswCQYDVQQH EwJIWjEPMA0GA1UEChMGaHVhd2VpMQ8wDQYDVQQLEwZ -----END RSA PRIVATE KEY-----
- 私钥文件内容的复制方法:
- PEM格式证书:用文本编辑器直接打开进行复制。
- 非PEM格式证书:先转换成PEM格式,再用文本编辑器直接打开进行复制。
说明:
证书转换方法请参考如何将非PEM格式的证书转换为PEM格式?。
- 放行回源IP:
- 放行回源IP段的原因如下:
DDoS高防作FullNAT,会替换真实用户IP并且将客户业务的访问流量汇聚到高防回源IP。
- 在没有启用DDoS高防时:对于源站来说真实客户端的地址是非常分散的,且正常情况下每个源IP的请求量都不大。
- 在启用DDoS高防后:由于高防回源的IP段固定且有限,对于源站来说所有的请求都是来自高防回源IP段,因此分摊到每个回源IP上的请求量会增大很多(可能被误认为回源IP在对源站进行攻击)。此时,如果源站有其它防御DDoS的安全策略,很可能对回源IP进行拦截或者限速。例如,最常见的502错误。
- 放行回源IP段的操作步骤如下:
- 查看“高防回源IP段”,请参见查看高防回源IP段。
- 将“高防回源IP段”在您源站的防火墙、ACL或者其他任何安全软件(如安全狗)中加入白名单,即对回源IP段设置为放行,以确保高防的回源IP不受源站安全策略影响。
- 放行回源IP段的原因如下:
- 验证配置生效:
为了最大程度保证业务的稳定,建议在全面切换业务之前先进行本地的测试。DDoS高防预期可以把发送到高防IP或高防CNAME的报文转发到源站(真实服务器)。测试如下:
- 假设配置参数如下:
- CNAME: 5dc728e1769ad666.huaweisafedns.com。
- 验证步骤:
- Telnet www.huaweicloud.com 80。
- 如果可以连通,则说明Telnet公网地址在本机网络环境可用。
- 如果无法连通,则需要更换本地测试机网络环境,因为某些企业网有可能配置过内部网络限制。例如连接手机Wi-Fi热点以切换为运营商网络。
- 确认网络可用后,可以通过Telnet命令访问高防CNAME的80端口。
- 如果Telnet命令均能连通则说明配置成功。
- 如果无法连通,请确认流程图上前面的步骤是否全部完成。
- 如果全部完成依旧无法连通,请联系技术支持为您解决。
- Telnet www.huaweicloud.com 80。
- 假设配置参数如下:
- 修改DNS:
修改DNS解析,请参见添加CNAME。
DNS配置需要等待一定时间才可以生效,您可通过一些在线测试工具(如17ce、站长之家等)测试域名的解析情况。
后续处理
- 如果域名不需要解析到某个高防IP时,可以在该域名所在行的“实例和线路”列,单击“查看详情”。选择域名的高防IP,单击
,将“域名解析开关”状态设置为
。 - 如果不需要防护某个域名时,可以在该域名所在行的“操作”列,单击“删除”,删除该域名。
相关文档
相关产品
