自动或一键切入切出高防
更新时间:2022-06-16
1.背景
DDoS高防支持CNAME记录、A记录和直连高防三种接入方式。CNAME和A记录接入,需要在域名服务商处将需要接入的业务域名解析指向分配的高防CNAME或高防IP完成,直连接入通常使用在端类业务上。切入切出高防、资源变更等场景,需要跨多个平台操作存在极大的不便利。特别在非常态接入高防的情况下,遭受DDoS攻击公开源站已经中断服务,手动(非百度云源站的情况下)操作切入高防,在防御的时效上无法有效保证。
2.域名调度功能
DDoS高防深度洞察用户使用场景,支持域名调度功能。实现常态访问公开源站提升覆盖性、减少业务带宽成本,在公开源站被攻击或故障时,能够自动或一键切入高防,增加使用的便捷性、提升切入时效。
3.创建可调度域名
除了HTTP/HTTPS协议外TCP或UDP协议,同样支持域名调度功能。需要在添加TCP或UDP协议防护业务时,勾选域名承载业务,并填写对应的业务域名。对有业务域名的防护业务,将自动完成调度域名的识别。
注意:
- 同一业务域名,将分配相同的高防CNAME,需关联相同的实例或高防IP;
4.确认和设置公开源站
完成有业务域名的防护业务添加后,将自动创建可调度的域名,并识别业务域名当前配置的公开源站。因可能存在分区解析而无法完整识别公开源站的情况,需要用户确认和设置业务域名对应的公开源站,以保证接入后可准确的实现一键切出。
设置路径:域名调度->点击对应业务域名操作中的编辑
配置项 | 描述 |
---|---|
线路 | 公开源站覆盖的运营商线路,支持电信、联通、移动、教育和默认 |
源站 | 支持IP和域名源站,同一线路仅可选择一种 |
注意:
- 公开源站必须设置默认线路,同一线路仅支持一个域名源站;
- 操作切出到源站后,业务域名对应的高防CNAME将根据配置的公开源站,创建指向源站的解析记录。
- 调度CNAME,高防实例默认指向高防IP,分布防护实例默认指向分布节点。在正式接入前,需确认默认指向是否满足需求,如果期望默认指向源站请先操作切出到源站并确认解析生效后,再完成接入。
5.自助切入/切出
在完成接入后,可通过域名调度实现一键的切入和切出。
操作路径:域名调度->点击对应业务域名操作中的切入/切出。
操作项 | 描述 |
---|---|
切入 | 指从源站切入分布或高防节点,从分布节点切入高防节点,支持: 全部切入,将调度CNAME全部指向对应的节点; 部分切入-指定线路,匹配选择的线路,将调度CNAME分线路指向对应的节点; 部分切入-指定源站,根据公开源站配置的线路,将调度CNAME分线路指向对应的节点。 |
切出 | 指从高防或分布节点切出到源站,从高防节点切出到分布节点,支持: 全部切出,将调度CNAME全部指向对应的节点或公开源站; 部分切出:匹配选择的线路,将调度CNAME分线路指向对应的节点或公开源站。 |
注意:
- 有识别或配置过公开源站,才能操作切入、切出;
- 仅分布防护实例支持分布节点,分布防护实例仅支持全部切入;
6.设置自动切入等策略
设置路径:域名调度->点击对应业务域名操作中的编辑
配置项 | 描述 |
---|---|
调度CNAME TTL | 设置高防调度CNAME,在DNS服务上的缓存时间。支持60~300间的整数,建议设置为60秒。 |
切入策略 | 在监测公开源站不可用时,自动切入云高防策略,支持, 切入全部业务,将调度CNAME解析全部指向云高防; 仅切入不可用源站,仅将不可用公开IP/域名源站对应的线路指向修改到云高防。 |
公开源站监测策略 | 设置公开源站健康检查策略,在健康检查异常后根据切入策略配置,将调度CNAME解析修改到高防IP完成自动切入。包括: 监测协议和端口,用于对公开源站进行健康检查的协议+端口,高防基于配置进行持续探测。如果是HTTP或HTTPS网站,可对应设置TCP协议的80或433端口; 响应超时时间,支持1~60间的整数,建议设置为5秒,超过设置阈值未响应将被判定为一次健康检查异常; 监测间隔,健康检查的间隔时间,支持20~120间的整数,建议设置为60秒; 异常阈值,连续健康检查失败次数,超过这个阈值源站将被认定为故障,执行自动切入; 恢复阈值,连续健康检查成功次数,超过这个阈值源站将被认定为从故障中恢复。 |
注意:
- 因攻击发生的不确定性,切出需手动操作;