文档首页 > > 用户指南>

网站类业务接入

查看PDF

网站类业务接入

分享
更新时间:2021/02/08 GMT+08:00

操作场景

用户可以选择使用域名接入,将业务通过CNAME解析的方式接入高防IP。

每个用户最多可以接入50个域名,不支持批量添加防护域名。

前提条件

  • 已获取管理控制台的登录帐号与密码。
  • 已成功购买高防实例。

操作步骤

网站类业务接入操作步骤如图1所示。

图1 网站类业务接入操作步骤
  1. 登录管理控制台
  2. 进入域名列表入口,如图2所示。

    图2 域名列表入口

  3. 在域名列表左上角,单击“添加域名”
  4. 配置域名接入。

    1. 填写域名信息,如图3,相关参数说明如表1,单击“下一步”
      图3 填写域名信息(网站类)

      如果您以企业项目帐号登录管理控制台,则您可以在“企业项目”的下拉列表中选择项目名称。

      表1 域名信息参数说明

      参数名称

      说明

      示例

      防护域名

      用户的实际业务对外提供服务所使用的域名。

      • 单域名:输入防护的单域名。例如:www.example.com。
      • 泛域名
        • 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。
        • 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。

      单域名:www.example.com

      泛域名:*.example.com

      业务类型

      选择“网站类”

      网站类

      协议/端口
      根据业务实际情况选择端口:
      • HTTP/WebSocket的可选端口包括:80、81、82、83、84、8006、8078、8080、8081、8087、8097、19101、19501、21028、40009、40010。
      • HTTPS/WebSockets的可选端口包括:443、4006、4443、5443、6443、7443、8443、9443、14443、20000、28443、30001、30002、30003、30004、30005。
      说明:

      同一高防线路内,网站类业务和非网站类业务不能复用同一个端口号。

      80

      源站类型

      待添加防护域名的源站的类型,说明如下:

      • 源站IP

        真实服务器的公网IP地址,最多可输入20个IP地址,IP地址间以“,”分隔。

      • 源站域名

        当前仅支持华为云WAF CNAME。

      须知:
      • 如果待添加域名与其它域名使用同一个高防IP(高防线路)与协议/端口,待添加域名和其它域名的“源站类型”必须保持一致,且注意:
        • 如果其他域名的“源站类型”“源站IP”,请确保其它域名已开启Web攻击防护,详细操作请参考4.g
        • 如果其他域名的“源站类型”“源站域名”,请确保其它域名与待添加域名是在同一个WAF区域接入的WAF防护。
      • 如果“源站类型”选择“源站域名”,请确保您的业务在接入WAF时选择了使用代理,否则接入高防后会导致业务不通。
      • 华为云WAF接入DDoS高防后,如果后续您的业务需要拆除WAF防护,请首先把业务从DDoS高防拆除。

      源站IP
    2. (可选)上传证书。

      当选择“HTTPS/WebSockets”协议并且“源站类型”选择“源站IP”时,您需要导入证书。

      您可以在“证书”下拉列表框中选择已有证书,或上传新证书。上传新证书的操作步骤如下。

      1. 单击“上传”
      2. 在弹出的“上传证书”对话框中,输入证书名称,粘贴证书和私钥文本内容,如图4所示,相关参数说明如表2所示。

        建议证书名称长度不超过10个字符,且不包括特殊字符。

        图4 上传证书
        • 当前只支持TLS 1.0、TLS 1.1、TLS 1.2版本证书的上传。
        • 您可以选择已有证书。
        • 同一用户的证书名不可重复。
        • 选取已有证书功能支持模糊搜索。
        表2 证书参数说明

        参数名称

        说明

        证书文件
        • 证书输入格式如下:
          -----BEGIN CERTIFICATE-----
MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYD
VQQGEwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3
ZWkxDzANBgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZz
ZXJ2ZXIxIjAgBgkqhkiG9w0BCQEWE3p3YW5nd2VpZGtkQDE2My5jb20wHhcNMTUw
MzE4MDMzNjU5WhcNMjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNV
BAgTAlpKMQswCQYDVQQHEwJIWjEPMA0GA1UEChMGaHVhda2VpMQ8wDQY......
-----END CERTIFICATE-----
        • 证书文件内容的复制方法:

        私钥文件

        私钥输入格式如下:

        -----BEGIN RSA PRIVATE KEY-----
MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYDVQQG
EwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3ZWkxDzAN
BgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZzZXJ2ZXIxIjAg
BgkqhkiG9w0BCQEWE3poYW5nd2VpZGtkQDE2My5jb20wHhcNMTUwMzE4MDMzNjU5WhcN
MjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNVBAgTAlpKMQswCQYDVQQH
EwJIWjEPMA0GA1UEChMGaHVhd2VpMQ8wDQYDVQQLEwZ
-----END RSA PRIVATE KEY-----
        • 私钥文件内容的复制方法:
      3. 单击“确定”
    3. 在高防实例名称列表中选择实例与线路后,单击“提交并继续”
      图5 选择实例与线路
      • 一个域名可以选择多条线路(高防IP)。选择多个高防IP的限制条件是:各高防IP所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。
      • 华为云为每个高防实例配置了多运营商线路,是为了避免您的用户产生跨运营商访问。建议您在选择实例与线路时要选择一组完整的实例线路。
    4. 记录域名的CNAME信息,并将CNAME添加到DNS,如图6所示,单击“下一步”
      图6 修改DNS解析

      修改DNS解析的操作步骤请参见添加CNAME

    5. 配置高防IP加白,如图7所示。
      图7 高防回源IP地址
      • 如果源站未配置防火墙,单击“完成”
      • 如果源站已配置防火墙,请将高防回源IP地址段添加到源站的防火墙、ACL或者其他任何安全软件(如安全狗),即对回源IP段设置为放行,以确保高防的回源IP不受源站安全策略影响。单击“完成”

      系统跳转至“域名接入”界面,新接入的域名添加到了“域名接入”的域名列表中。

      DDoS高防作FullNAT,会替换真实用户IP并且将客户业务的访问流量汇聚到高防回源IP。
      • 在没有启用DDoS高防时:对于源站来说真实客户端的地址是非常分散的,且正常情况下每个源IP的请求量都不大。
      • 在启用DDoS高防后:由于高防回源的IP段固定且有限,对于源站来说所有的请求都是来自高防回源IP段,因此分摊到每个回源IP上的请求量会增大很多(可能被误认为回源IP在对源站进行攻击)。此时,如果源站有其它防御DDoS的安全策略,很可能对回源IP进行拦截或者限速。例如,最常见的502错误。
    6. (可选)开启“CNAME自动调度”功能,如图8所示。

      由于高防“CNAME自动调度”可实现基于运营商来源的流量负载均衡,启用“CNAME自动调度”功能后,当某条高防IP线路被黑洞时,它可将流量自动切换至其他高防IP线路,以保障您的业务正常运行。

      图8 开启CNAME自动调度
    7. (可选)如果配置域名接入中“源站类型”选择的“源站IP”,请执行如下步骤:在该域名所在行的“安全防护”列,开启“WEB基础防护”,如图9所示。
      开启“WEB基础防护”后,DDoS高防才会对您的流量进行七层防护。
      图9 开启WEB基础防护

  1. 验证配置生效:

    为了最大程度保证业务的稳定,建议在全面切换业务之前先进行本地的测试。DDoS高防预期可以把发送到高防IP或高防CNAME的报文转发到源站(真实服务器)。测试如下:

    • 假设配置参数如下:
      • CNAME: 5dc728e1769ad666.huaweisafedns.com。
    • 验证步骤:
      1. Telnet www.huaweicloud.com 80。
        • 如果可以连通,则说明Telnet公网地址在本机网络环境可用。
        • 如果无法连通,则需要更换本地测试机网络环境,因为某些企业网有可能配置过内部网络限制。例如连接手机Wi-Fi热点以切换为运营商网络。
      2. 确认网络可用后,可以通过Telnet命令访问高防CNAME的80端口。
        • 如果Telnet命令均能连通则说明配置成功。
        • 如果无法连通,请确认流程图上前面的步骤是否全部完成。
        • 如果全部完成依旧无法连通,请联系技术支持为您解决。

  1. 修改DNS:

    修改DNS解析,请参见添加CNAME

    DNS配置需要等待一定时间才可以生效,您可通过一些在线测试工具(如17ce、站长之家等)测试域名的解析情况。

后续处理

  • 如果域名不需要解析到某个高防IP时,可以在该域名所在行的“实例和线路”列,单击“查看详情”。选择域名的高防IP,单击,将“域名解析开关”状态设置为
  • 如果不需要防护某个域名时,可以在该域名所在行的“操作”列,单击“删除”,删除该域名。
分享:

    相关文档

    相关产品