文档首页 > > 用户指南> 网站类业务接入

网站类业务接入

分享
更新时间: 2019/08/29 GMT+08:00

操作场景

用户可以选择使用域名接入,将业务通过CNAME解析的方式接入高防IP。每个用户最多可以接入50个域名。

前提条件

  • 已获取管理控制台的登录帐号与密码。
  • 已成功购买高防实例。

操作步骤

  1. 配置域名接入。

    1. 登录管理控制台。
    2. 选择安全 > DDoS高防服务,进入DDoS高防管理界面。
    3. 在左侧导航树中,选择DDoS高防 > 域名接入,进入“域名接入”界面。
    4. 单击“添加域名”,进入“配置域名接入”界面。
      图1 添加域名
    5. 填写域名信息,单击“下一步”
      图2 填写域名信息
      表1 域名信息参数说明

      参数名称

      说明

      防护域名

      用户的实际业务对外提供服务所使用的域名。

      企业项目

      • 企业项目:在“企业项目”的下拉列表中选择项目名称。
      • 非企业项目:忽略此项。

      业务类型

      选择“网站类”

      协议/端口

      • 根据业务实际情况选择端口:
        • HTTP/WebSocket的可选端口包括:80、81、82、83、84、8080、8081。
        • HTTPS/WebSockets的可选端口包括:443、7443、8443。
      说明:
      • 如果需要配置除80、81、82、83、84、8080、8081、443、7443和8443这十个端口之外的端口号,请联系华为技术支持(技术支持热线电话4000-955-988)。
      • 同一高防线路内,网站类业务和非网站类业务不能复用同一个端口号。

      源站类型

      • 源站IP:真实服务器的IP地址,最多可输入10个IP地址,IP地址间以“,”分隔。
        注意:
        • 请用户填写真实有效的公网IP地址。
        • 如果要与其它域名复用同一个高防IP与端口,请确保其它域名与当前域名的“源站类型”相同。
        • 如果要与其它域名复用同一个高防IP与端口,当前域名的“源站类型”选择“源站IP”时,需要先开启其它域名的“WEB基础防护”
      • 源站域名:该参数当前仅支持华为云WAF CNAME。
        注意:
        • 如果要与其它域名复用同一个高防IP与端口,请确保其它域名与当前域名的“源站类型”相同。
        • 在通过华为云WAF CNAME接入到DDoS高防前,请确保您的业务在接入WAF时选择了使用代理,否则接入高防后会导致业务不通。
        • 如果要与其它域名复用同一个高防IP与端口,请确保其它域名与当前域名是在同一个WAF区域接入的WAF防护。
        • 华为云WAF接入DDoS高防后,如果后续您的业务需要拆除WAF防护,请首先把业务从DDoS高防拆除。
    6. 在高防实例名称列表中选择实例后,单击“提交并继续”
      图3 选择实例与线路
      说明:
      • 一个域名可以选择多条线路(高防IP)。选择多个高防IP的限制条件是:各高防IP所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。
      • 华为云为每个高防实例配置了多运营商线路,是为了避免您的用户产生跨运营商访问。建议您在选择实例与线路时要选择一组完整的实例线路。
    7. 记录域名的CNAME信息,并将CNAME添加到DNS,单击“下一步”

      修改DNS解析的操作步骤请参见添加CNAME

    8. 配置高防IP加白。
      • 如果源站未配置防火墙,单击“完成”
      • 如果源站已配置防火墙,请将高防回源IP地址段添加到源站防火墙白名单后,单击“完成”

      系统跳转至“域名接入”界面,新接入的域名添加到了“域名接入”的域名列表中。

    9. (可选)开启“CNAME自动调度”功能。

      由于高防“CNAME自动调度”可实现基于运营商来源的流量负载均衡,启用“CNAME自动调度”功能后,当某条高防IP线路被黑洞时,它可将流量自动切换至其他高防IP线路,以保障您的业务正常运行。

    10. (可选)如果配置域名接入中“源站类型”选择的“源站IP”,请执行如下步骤:在该域名所在行的“安全防护”列,开启“WEB基础防护”。

      开启“WEB基础防护”后,DDoS高防才会对您的流量进行七层防护。

  2. (可选)上传证书

    如果配置域名接入中选择“HTTPS/WebSockets”协议并且“源站类型”选择“源站IP”,请执行如下步骤上传证书:

    • 对于未上传证书的网站类HTTPS/WebSockets域名,执行如下步骤:
      1. 在该域名所在行的“业务类型”列中,单击“上传”

      2. 在弹出的“上传证书与私钥”对话框中,单击“手动上传”,粘贴证书和私钥文本内容,单击“确定”
        说明:
        • 当前只支持TLS 1.0、TLS 1.1、TLS 1.2版本证书的上传。
        • “上传证书与私钥”支持“选择已有证书”功能。
        • 同一用户的证书名不可重复。
        • “选取已有证书”功能支持模糊搜索。
    • 对于已上传证书的网站类HTTPS/WebSockets域名,执行如下步骤:
    1. 在该域名所在行的“业务类型”列中,单击“更换”

    2. 更换证书方式与2相同。

    参数

    名称

    说明

    证书

    文件

    • 证书输入格式如下:
      -----BEGIN CERTIFICATE-----
      MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYD
      VQQGEwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3
      ZWkxDzANBgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZz
      ZXJ2ZXIxIjAgBgkqhkiG9w0BCQEWE3p3YW5nd2VpZGtkQDE2My5jb20wHhcNMTUw
      MzE4MDMzNjU5WhcNMjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNV
      BAgTAlpKMQswCQYDVQQHEwJIWjEPMA0GA1UEChMGaHVhda2VpMQ8wDQY......
      -----END CERTIFICATE-----
    • 证书文件内容的复制方法:
      • PEM格式证书:用文本编辑器直接打开进行复制。
      • 非PEM格式证书:先转换成PEM格式,再用文本编辑器直接打开进行复制。
        说明:

        证书转换方法请参考《常见问题》中的《如何将非PEM格式的证书转换为PEM格式?》。

    私钥

    文件

    私钥输入格式如下:

    -----BEGIN RSA PRIVATE KEY-----
    Proc-Type: 4,ENCRYPTED
    DEK-Info:DES-EDE3-CBC,616D33712E1DBD34
    MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYDVQQG
    EwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3ZWkxDzAN
    BgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZzZXJ2ZXIxIjAg
    BgkqhkiG9w0BCQEWE3poYW5nd2VpZGtkQDE2My5jb20wHhcNMTUwMzE4MDMzNjU5WhcN
    MjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNVBAgTAlpKMQswCQYDVQQH
    EwJIWjEPMA0GA1UEChMGaHVhd2VpMQ8wDQYDVQQLEwZ
    -----END RSA PRIVATE KEY-----
    • 私钥文件内容的复制方法:
      • PEM格式证书:用文本编辑器直接打开进行复制。
      • 非PEM格式证书:先转换成PEM格式,再用文本编辑器直接打开进行复制。
        说明:

        证书转换方法请参考《常见问题》中的《如何将非PEM格式的证书转换为PEM格式?》。

  1. 放行回源IP段。

    • 放行回源IP段的原因如下:
      DDoS高防作FullNAT,会替换真实用户IP并且将客户业务的访问流量汇聚到高防回源IP。
      • 在没有启用DDoS高防时:对于源站来说真实客户端的地址是非常分散的,且正常情况下每个源IP的请求量都不大。
      • 在启用DDoS高防后:由于高防回源的IP段固定且有限,对于源站来说所有的请求都是来自高防回源IP段,因此分摊到每个回源IP上的请求量会增大很多(可能被误认为回源IP在对源站进行攻击)。此时,如果源站有其它防御DDoS的安全策略,很可能对回源IP进行拦截或者限速。例如,最常见的502错误。
    • 放行回源IP段的操作步骤如下:
      1. 查看“高防回源IP段”,请参见查看高防回源IP段
      2. “高防回源IP段”在您源站的防火墙、ACL或者其他任何安全软件(如安全狗)中加入白名单,即对回源IP段设置为放行,以确保高防的回源IP不受源站安全策略影响。

  2. 验证配置生效。

    为了最大程度保证业务的稳定,建议在全面切换业务之前先进行本地的测试。DDoS高防预期可以把发送到高防IP或高防CNAME的报文转发到源站(真实服务器)。测试如下:

    • 假设配置参数如下:
      • CNAME: 5dc728e1769ad666.huaweisafedns.com。
    • 验证步骤:
      1. Telnet www.huaweicloud.com 80。
        • 如果可以连通,则说明Telnet公网地址在本机网络环境可用。
        • 如果无法连通,则需要更换本地测试机网络环境,因为某些企业网有可能配置过内部网络限制。例如连接手机Wi-Fi热点以切换为运营商网络。
      2. 确认网络可用后,可以通过Telnet命令访问高防CNAME的80端口。
        • 如果Telnet命令均能连通则说明配置成功。
        • 如果无法连通,请确认流程图上前面的步骤是否全部完成。
        • 如果全部完成依旧无法连通,请联系华为云安全技术专家为您解决。

  1. 修改DNS解析。

    修改DNS解析,请参见添加CNAME

    DNS配置需要等待一定时间才可以生效,您可通过一些在线测试工具(如17ce、站长之家等)测试域名的解析情况。

后续处理

  • 如果域名不需要解析到某个高防IP时,可以在该域名所在行的“实例和线路”列,单击“查看详情”。选择域名的高防IP,单击,将“域名解析开关”状态设置为
  • 如果不需要防护某个域名时,可以在该域名所在行的“操作”列,单击“删除”,删除该域名。
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区