You need to enable JavaScript to run this app.
导航
DDoS防护
  • 文档首页
    • /
  • DDoS防护

接入域名业务

最近更新时间2024.04.16 11:18:14

首次发布时间2023.01.06 14:55:43

我的收藏

如您希望防护网站业务,则需要完成域名添加,并将防护的域名解析至 DDoS 高防 IP,将公网流量引流到高防清洗中心以实现业务防护。下文介绍如何配置域名接入。

前提条件

限制条件

  • 仅华北地域的七层转发规则支持 IPv6 回源,如需要为该地域下的实例添加 IPv6 源站地址,请提交工单处理。
  • DDoS 高防支持 Websocket 和 Websockets 协议,且默认为开启状态。

操作流程

步骤一:添加域名

  1. 登录DDoS高防控制台

  2. 在页面左侧,选择DDoS高防>接入配置>域名接入

  3. 单击添加域名,配置域名参数。
    图片

    配置

    说明

    关联实例

    选择需要关联的DDoS 高防 IP 实例。如无可选实例,请您参考购买 DDoS 高防实例购买。

    说明

    每个地域下仅可选择关联一个实例,支持同时选择多个地域下的实例。

    防护域名

    • 填写需要接入 DDoS 高防的域名,支持泛域名或精确域名。
    • 如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时防护*.b.a.comb.a.com,需要分别接入域名并配置策略。
    • 如同时配置泛域名及其精确子域名,DDoS 高防将优先匹配精确域名的转发规则及防护策略。如:同时配置 *.a.comwww.a.com,面向www.a.com的访问请求将优先匹配该精确域名的转发规则及策略。

    协议类型

    需要接入 DDoS 高防的网站所使用的通信协议,当前支持 HTTP 和 HTTPS 协议。

    说明

    勾选 HTTPS 协议后,需关联相关证书。

    证书选择

    当协议类型选择了 HTTPS 时,需要上传证书。可以选择已上传的证书或单击新建证书创建新的证书。如无可选证书,请您参考购买并上传证书操作。

    高级设置

    单击展开,可配置以下参数。

    • 协议跟随:如同时勾选了 HTTP 和 HTTPS 协议类型,可以设置是否开启协议跟随。开启后,访问请求的“回源协议”与“访问协议”保持一致。为保证正常回源,请确认源站支持已选中的协议类型。
    • HTTP 2.0:如勾选了 HTTPS 协议类型,可以设置是否开启 HTTP 2.0。开启后支持 HTTP 2.0 协议接入防护,以 HTTP 1.0 或 1.1 协议转发回源。
    • TLS 设置:如勾选了 HTTPS 协议类型,需设置 TLS 参数,即设置允许使用的 TLS 协议版本和加密套件,不匹配的请求将默认被丢弃。为提升业务安全和兼容性,建议您使用系统默认配置。
      • TLS 协议:默认选择 TLSv1.2 和 TLSv1.3。

        注意

        • 修改时至少选择一个协议版本,暂不支持单独选中 TLSv1.3 版本。
        • 选择多个版本时需注意版本号需要保持连续。例如,您不能仅选择 TLSv1 和 TLSv1.3。
      • 加密套件:默认选择全部加密套件。

        注意

        使用未被选中的加密套件的请求将无法正常访问,请谨慎修改。

    • 长连接:设置客户端与高防之间的长连接参数。
      • 长连接保持时间:客户端与高防之间的长连接保持时间。默认为 75 秒,支持配置 0 ~ 900 秒。设置合适的长连接保持时间可以控制客户端与高防实例之间的连接在一段时间内保持开启状态,从而减少反复建立连接消耗的网络资源和服务器资源。如果保持时间过长,可能会占用过多系统资源;反之,保持时间过短,可能会导致频繁的连接建立和关闭,影响用户体验。
      • 复用长连接请求数:单个已建立的 TCP 连接上可以重复发送的请求个数。默认为 100 个,支持配置 60 ~ 1000 个。设置复用长连接请求数,可以减少建立和关闭连接的资源消耗,提高通信效率。在需要频繁发送请求的场景,例如网页浏览、视频播放等,需要适当提高这一参数值。
      • 例如,按默认值设置长连接参数,则一个长连接会话将保持 75 秒,此过程中可接受处理的请求上限为 100 个。
    • 请求 body 最大值:设置高防可接受客户端请求正文的最大值。默认为 60 MB,支持配置 1~10240 MB。请求体大小的限制是为了防止恶意攻击或意外情况导致服务器资源耗尽或拒绝服务。请求体过大,可能导致服务器需要分配更多资源来处理请求,并增加网络延迟;请求体过小会导致数据不完整或丢失,服务器无法正确处理请求或返回不完整的响应。
    • Gzip 压缩:开启后,可以通过压缩算法对源站响应数据进行压缩,减少传输的数据量,同时减少带宽占用,在节约成本的同时提高网页加载速度。支持对 200 KB ~ 1 MB 大小的文件进行压缩。
    • Chunked 编码:开启后,对源站响应启用分块传输编码,允许在接收数据时逐块处理,而不需要等待整个数据传输完成,由此提升数据传输速度。

  4. 配置完成后,单击下一步

步骤二:配置回源参数

域名添加完成后,需要设置回源相关参数,以确保您的业务正常回源,您可以参考以下参数说明完成配置。
图片

配置

说明

负载均衡

配置源站服务器的负载均衡方式,以确保请求和流量分发更符合业务实际需求。

  • 加权轮询(WRR):按权重设置来分配请求,权重值越高的源站服务器,被轮询到的次数(概率)越高。例如,两台源站服务器:服务器 A 权重为 100, 服务器 B 权重为 90,则优先将请求分发给服务器 A。
  • 加权最小连接数(WLC):将请求分发给“当前连接数/权重”比值最小的源站服务器。例如,两台源站服务器:服务器 A 权重为 100,当前连接数为 100,当前“连接数/权重”的比值为 1;服务器 B 权重为 90,当前连接数为 9,当前“连接数/权重”的比值为 0.1。该场景下,优先将请求分发给服务器 B。
  • 源地址哈希(SH):基于源 IP 地址的一致性哈希,即来自同一 IP 的请求会调度到同一个源站服务器。

源站配置

DDoS 高防支持配置主备源站组,以确保在主源站组发生故障或不可用时,备用源站组可以接管业务并继续提供服务,提高业务的高可用性和容灾能力。您可以按需在配置主源站组的基础上配置备源站组,但不建议使用备源站组代替主源站组长期使用。

  • 配置主源站组:单击添加源站,配置主源站组相关参数。最多可添加 20 个主源站。
    • 源站协议:从 DDoS 高防回源至源站的回源协议,可选 HTTP或 HTTPS 协议。如您对当前域名已启用“协议跟随”,则源站协议需要有 HTTP 协议源站配置和 HTTPS 协议源站配置以实现协议跟随。
    • 源站地址:需要接入 DDoS 高防的网站所提供服务的源站公网 IP 或源站域名。

      注意

      请勿配置与接入域名或高防 IP 地址一致的源站,以免造成业务异常。

    • 源站端口:源站地址对应的端口。
    • 权重:默认为 100。表示源站收到请求的概率(概率为该源站权重/组中所有服务器的总权重),可配置区间为 1 ~ 100。 当负载均衡算法为源地址哈希(SH)时,权重对后端服务器收到请求的概率无影响。
    • 操作:支持删除源站信息。
  • 配置备源站组(按需配置):单击添加备源站组>添加源站,可以配置备源站组相关参数。最多可添加 20 个备源站。

    注意

    设置备源站组后,可在判断主源站组不可用时手动切换到备源站组。切换前,请确保备源站组可用,以免造成业务异常。

    • 源站协议:从 DDoS 高防回源至源站的回源协议,可选 HTTP或 HTTPS 协议。如您对当前域名已启用“协议跟随”,则源站协议需要有 HTTP 协议源站配置和 HTTPS 协议源站配置以实现协议跟随。
    • 源站地址:需要接入 DDoS 高防的网站所提供服务的源站公网 IP 或源站域名。

      注意

      • 请勿配置与接入域名或高防 IP 地址一致的源站,以免造成业务异常。
      • 备源站组的源站地址不能与主源站组地址重复。
    • 源站端口:源站地址对应的端口。
    • 权重:默认为 100。表示该源站收到请求的概率(概率为该源站权重/组中所有服务器的总权重),可配置区间为 1 ~ 100。 当负载均衡算法为源地址哈希(SH)时,权重对后端服务器收到请求的概率无影响。
    • 操作:支持删除源站信息。

高级设置

  • 建连超时时间:高防和后端服务器的建连超时时间。默认为 4 秒,支持配置 4~120 秒。
  • 转发请求至后端的超时时间:高防将请求传输到后端服务器的超时时间,如果后端服务器在该时间内未收到任何请求,则关闭连接。默认为 60 秒,支持配置 30~3600 秒。
  • 读取后端响应的超时时间:高防从后端服务器读取响应的超时时间,如果后端服务器在该时间内未响应任何内容,则关闭连接。默认为 60 秒,支持配置 30~3600 秒。
  • 回源长连接:高防回源时,长连接可复用的个数。默认为 100 个,支持配置 60~1000 个。
  • 回源重试:高防回源失败后,可重试的次数。默认为 3 次,支持配置 1~10 次。
  • 空闲长连接超时时间:高防与后端服务器建立请求的长连接空闲时间。默认为 15 秒,支持配置 1~60 秒。
  • 流量标识:开启流量标识后,您需要配置自定义字段,高防会在转发回源的请求中添加您配置的自定义字段,以区分正常回源请求。

配置完成后,单击下一步,确认您的接入和回源配置参数。

步骤三:确认域名接入参数

在配置完成域名参数和回源参数后,您需要统一确认参数,确保配置准确无误。

  • 如确认无误,单击确认并添加完成域名接入,并参考后续操作,放行回源 IP 地址和修改 DNS 解析。
  • 如需修改,请单击上一步,修改对应参数并再次确认。

后续操作

域名添加成功后,您还需要执行以下操作以确保业务请求能正常转发和回源。

放行回源 IP 地址

业务接入 DDoS 高防服务后,所有的请求都会经固定有限的高防回源 IP 段返回源站,每个回源 IP 上分摊的请求量会增大,容易被安全策略误拦或限速,因此需要对高防回源 IP 段进行放行。
如果源站已配置防火墙或安装安全软件,请将高防回源 IP 地址段添加到源站的防火墙、访问控制列表(ACL)或者其他任何安全软件白名单中,以确保高防的回源 IP 不受源站安全策略影响。
图片

修改域名 DNS 解析

域名配置完成后,可查看高防 IP 地址。您需要前往对应 DNS 解析商平台,将防护网站的 A 记录指向关联的 DDoS 高防 IP,实现将网站业务流量解析到 DDoS 高防。如果您使用的是火山引擎域名解析服务,可参考为域名添加 A 记录
图片

验证转发是否生效

建议您在放行回源 IP 后,验证 DDoS 高防实例的业务转发配置是否生效,避免因配置未生效导致业务切换过程中发生中断。验证操作详情请参见验证转发配置

设置防护策略

域名接入后,默认开启自动防护。如您有特殊需求,也可自定义防护规则,支持设置的策略包括 CC 防护、区域封禁、访问白名单和访问黑名单。关于防护策略设置的更多详情,请参见防护策略说明