You need to enable JavaScript to run this app.
导航
DDoS防护
  • 文档首页
    • /
  • DDoS防护

接入域名业务

最近更新时间2023.08.31 20:13:20

首次发布时间2023.01.06 14:55:43

我的收藏

如您希望防护网站业务,则需要完成域名添加,并将防护的域名解析至 DDoS 高防 IP,将公网流量引流到高防清洗中心。下文介绍如何配置域名接入。

前提条件

  • 您已成功购买火山引擎高防实例。
  • 您已成功购买域名解析产品并完成域名的工信部备案。

约束及限制

  • 仅华北地域的七层转发规则支持 IPv6 回源,如需要为该地域下的实例添加 IPv6 源站地址,请提交工单处理。
  • DDoS 高防支持 Websocket 和 Websockets 协议,且默认为开启状态。

操作流程

步骤一:添加域名

  1. 登录DDoS高防控制台

  2. 在页面左侧,选择DDoS高防>接入配置>域名接入

  3. 单击添加域名,配置域名参数。
    图片

    配置

    说明

    关联实例

    选择关联的高防 IP 实例。

    防护域名

    • 填写需要接入高防的域名,支持泛域名或精确域名。
    • 如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时配置 *.b.a.com 和 b.a.com,需要分别接入域名并配置策略。
    • 如同时配置泛域名及其精确子域名,DDoS 高防将优先匹配精确域名的转发规则及防护策略。如:同时配置 *.a.com和 www.a.com,面向 www.a.com 的访问请求将优先匹配该精确域名的转发规则及策略。

    协议类型

    • 需要接入 DDoS 高防的网站所使用的通信协议,当前支持 HTTP 和 HTTPS 协议。
    • 单击展开高级配置,可选择开启协议跟随HTTP 2.0,默认为关闭状态。
      • 协议跟随:开启前需要同时勾选 HTTP 和 HTTPS 协议类型。开启后,访问请求的“回源协议”与“访问协议”保持一致。为保证正常回源,请确认源站支持已选中的协议类型。
      • HTTP 2.0:开启前需要勾选 HTTPS 协议类型。开启后支持 HTTP 2.0 协议接入防护,以 HTTP 1.0 或 1.1 协议转发回源。

    证书选择

    当协议类型选择了 HTTPS 时,需要上传证书。可以选择已上传的证书或单击新建证书创建新的证书。

    源站配置

    单击添加源站,配置源站相关参数。最多可添加 20 个源站。

    • 源站协议:从 DDoS 高防回源至源站的回源协议,可选 HTTP或HTTPS 协议。如您对当前域名已启用“协议跟随”,则源站协议需要有 HTTP 协议源站配置和 HTTPS 协议源站配置以实现协议跟随。
    • 源站地址:需要接入 DDoS 高防的网站所提供服务的源站公网 IP 或源站域名,每个防护网站转发规则最多可接入 20 个源站地址。
    • 源站端口:源站地址对应的端口。
    • 权重:默认为 100。表示源站收到请求的概率(概率为该源站权重/组中所有服务器的总权重),可配置区间为 [1-100]。 当监听器调度算法为源地址哈希(SH)时,权重对后端服务器收到请求的概率无影响。
    • 操作:支持删除源站信息。

    负载均衡

    • 加权轮询(WRR):权重值越高的后端服务器,被轮询到的次数(概率)越高。
    • 加权最小连接数(WLC):将请求分发给“当前连接/权重”比值最小的后端服务器。
    • 源地址哈希(SH):基于源IP地址的一致性哈希,相同源地址的请求会调度到相同的后端服务器。

  4. 配置完成后,单击下一步

步骤二:修改域名 DNS

域名配置完成后,可在添加页面查看高防 IP 地址,并前往对应 DNS 解析商平台,将防护网站的 A 记录指向关联的 DDoS 高防 IP,实现将网站业务流量解析到 DDoS 高防。如果您使用的是火山引擎域名解析服务,可参考为域名添加 A 记录

  1. 查看防护网站对应的高防 IP 信息。
    图片
  2. 前往对应 DNS 解析商平台,修改或新增一条防护网站对应的 A 记录,将其指向对应高防实例 IP。
  3. 完成修改后单击下一步

步骤三:放行回源 IP 段

业务接入 DDoS 高防服务后,所有的请求都会经固定有限的高防回源 IP 段返回源站,每个回源 IP 上分摊的请求量会增大,容易被安全策略误拦或限速,因此需要对高防回源 IP 段进行放行。
如果源站已配置防火墙或安装安全软件,请将高防回源 IP 地址段添加到源站的防火墙、访问控制列表(ACL)或者其他任何安全软件白名单中,以确保高防的回源 IP 不受源站安全策略影响。

  1. 查看回源 IP 地址段信息,或单击复制全部IP地址
    图片
  2. 将复制的回源 IP 添加至源站防火墙或其他安全防护软件白名单中。
  3. 单击确定完成域名添加。

说明

建议您在放行回源 IP 后,验证 DDoS 高防实例的业务转发配置是否生效,避免因配置未生效导致业务切换过程中发生中断。验证操作详情请参见验证转发配置

步骤四:设置防护策略

域名接入后,默认开启自动防护。如您有特殊需求,也可自定义防护规则,支持设置的策略包括 CC 防护、区域封禁、访问白名单和访问黑名单。

  1. 在页面左侧,选择DDoS高防>防护策略>Web攻击防护
  2. 搜索或选择对应防护网站。
  3. 根据需要配置相关防护策略。
    图片
    关于防护策略设置的更多详情,请参见防护策略说明