在全球化业务拓展中,企业常面临网络延迟和DDoS攻击的威胁。通过联动部署全球加速 GA(Global Accelerator)和DDoS原生防护,可加速全球用户访问,同时有效抵御DDoS攻击,保障服务的高可用性和安全性,提升用户体验并降低安全风险。
场景示例
某企业网站部署在美国(硅谷)地域的阿里云上,通过自有域名对全球多地域终端用户提供服务,转发端口为HTTP 80端口。该网站现面临以下问题:
跨国公网不稳定,经常出现延迟、抖动、丢包等网络问题。
网站频繁遭遇大流量DDoS攻击,导致服务中断。
后端服务器不稳定,业务存在中断的风险。
您可以通过联动部署GA、DDoS原生防护,有效解决跨域网站服务面临的问题。
全球加速GA:客户端访问请求可通过配置的加速地域,就近接入阿里云加速网络 ,通过智能选择路由和自动网络调度转发至美国硅谷源站,有效提升服务访问速度;同时,通过启用健康检查可以提高业务的可靠性和可用性、避免异常节点对服务的影响。
DDoS原生防护 :DDoS原生防护支持将GA实例添加为防护对象,以实现对GA的加速IP与终端节点出公网IP的防护。当流量超出DDoS原生防护的默认清洗阈值后,自动触发流量清洗,实现DDoS攻击防护。
使用限制
DDoS原生防护目前仅支持在中国内地直接开通。在中国内地以外地域开通时,请联系售前商务经理,获取在线人工帮助。如何联系售前商务经理,请参见联系我们。
前提条件
您的美国(硅谷)服务器ECS01和ECS02已部署了服务。本文以Alibaba Cloud Linux 3操作系统为例,并使用Nginx配置HTTP 80服务。
您已为自有域名配置DNS解析记录,即已配置了A记录将域名指向2个后端服务器的公网IP。
如果您使用的DNS解析服务为非阿里云云解析DNS,请参见您的DNS服务商操作指导。
如果需要通过HTTPS 443对外提供服务,需要提前创建并申请证书或者上传第三方证书到SSL证书服务并绑定自有域名。
您已购买DDoS原生防护实例。
操作步骤
步骤一:配置全球加速
本文以按量付费的标准型GA实例为例。
在全球加速控制台的列表页面,单击创建标准型按量付费实例。
在实例基础配置配置向导页面,配置基础信息,单击下一步。
在配置加速区域配置向导页面,添加加速地域并为其分配带宽,然后单击下一步。
本文场景中,加速区域添加为中国(香港),公网质量类型均配置为BGP(多线),加速地域其他参数配置可保持默认值或根据实际情况修改。
重要如果带宽峰值设置过低,可能出现限速从而导致流量被丢弃,请合理规划带宽峰值,确保和业务需求匹配。
在配置监听配置向导页面,配置转发协议与端口,然后单击下一步。
本文场景中,路由类型选择智能路由(原标准监听),协议配置为HTTP,端口配置为80,监听其他参数配置可保持默认值或根据实际情况修改。
说明如果需要通过HTTPS 443对外提供服务,您可以配置HTTPS 443协议端口监听,关联已创建的证书,并在下文终端节点组的端口映射中配置监听端口443到后端服务端口80的映射关系,以实现HTTPS安全加速访问HTTP网站。
在配置终端节点组配置向导页面,配置终端节点后端服务,然后单击下一步。
本文场景中,地域选择美国(硅谷),后端服务依次配置ECS01和ECS02,打开健康检查开关,然后阅读并选中数据跨境合规承诺,终端节点组其他参数配置可保持默认值或根据实际情况修改。
在配置审核配置向导页面,确认GA的配置信息,然后单击提交。
在实例列表页面,找到已创建的GA实例,在CNAME列获取GA实例分配的CNAME。
步骤二:配置DDoS原生防护
在DDoS原生防护控制台的防护对象页面,单击添加防护对象,将GA实例添加为DDoS原生防护的防护对象。
添加完成后,可在防护对象页面的GA资产页签下,查看已受防护的GA实例;也可在IP资产页签查看已受防护的公网IP,包括GA的加速IP和终端节点组出公网IP。
步骤三:配置CNAME解析
将自有域名的DNS解析到GA实例分配的CNAME,使业务流量切换至GA,以实现访问加速。
本文场景中,如果您已有指向后端服务器的A记录,您可以先指定中国香港地区来添加指向GA的CNAME记录,以进行测试。待测试成功后,再逐步扩展至其他地区或仅保留指向GA的CNAME记录。
在域名解析页面,找到目标业务域名,在操作列单击解析设置。
说明对于非阿里云注册域名,需先添加域名到云解析控制台,才可以进行域名解析设置。
在解析设置页面,单击添加记录,配置CNAME记录,然后单击确定。
本文场景中,记录类型配置为CNAME,主机记录配置为www,解析请求来源配置为亚洲_中国香港,记录值配置为GA实例的CNAME,解析记录其他参数配置可保持默认值或根据实际情况修改。
步骤四:结果验证
GA加速效果验证
本文以中国香港探测点为例,在配置GA前后,分别对网站自有域名使用网络拨测工具进行拨测,查看响应时间以了解数据延迟情况。
测试配置GA前的网络延迟情况。
您可以查看响应时间等信息,其中,解析结果IP列显示为ECS实例的公网IP地址。
测试配置GA后的网络延迟情况。
您可以查看响应时间等信息,其中,解析结果IP列显示为GA实例的加速IP。
经验证,使用GA后,降低了中国香港客户端访问美国(硅谷)服务的延迟。
GA的加速效果以您的实际业务测试为准。
GA健康检查效果验证
在浏览器中输入网站自有域名,访问美国硅谷地域部署的网站。
经测试,可以通过网站自有域名访问美国硅谷地域部署的网站,多次刷新浏览器,应答服务器在ECS01和ECS02间切换。
模拟故障:停止服务器ECS01。
一段时间后,在GA实例的终端节点组页签,查看健康检查状态。
多次刷新浏览器,仍然可以正常访问业务,但应答服务器仅剩ECS02。
DDoS高防效果验证
您可以通过DDoS原生防护提供的以下功能,查看防护效果。
业务监控页面可实时查看被防护资产的流量趋势、DDoS攻击事件记录等信息。
攻击分析页面可以查询并分析DDoS原生防护实例上发生的攻击事件详情,包括攻击类型、攻击流量大小、持续时间等。
防护日志页面记录了DDoS原生防护对流量的处理过程,包括攻击检测、流量清洗等详细信息。通过分析防护日志,可以进一步验证防护策略的有效性。
相关文档
GA相关费用,包括:GA实例费、CU费、流量费。
对于跨境场景,默认采用精品带宽跨境加速。如果需要追求更高的网络质量,可以使用联通跨境专线,详情可参考加速配置选型。
了解DDoS原生防护更多信息:
什么是DDoS原生防护
DDoS原生防护产品计费