如您需要防护网站业务,可以在购买的 DDoS 高防实例上关联网站域名,并添加对应的源站信息,以完成防护接入。接入后,业务请求会经过域名解析接入高防,经过清洗后再返回源站,实现对源站的保护。支持通过手动配置或者批量导入方式添加域名,本文介绍手动配置接入域名的方式。
注意事项
- 仅华北地域的七层转发规则支持 IPv6 回源,如需要为该地域下的实例添加 IPv6 源站地址,请提交工单处理。
- DDoS 高防支持 Websocket 和 Websockets 协议,且默认为启用状态,暂不支持修改。
前提条件
步骤一:配置接入参数
登录 DDoS 高防控制台。
在页面左侧,选择 DDoS 高防>接入配置。
在域名接入页签下,单击添加域名>手动添加。
配置域名参数。
配置 | 说明 | 示例值 |
---|
关联实例 | 选择需要关联的 DDoS 高防 IP 实例。如无可选实例,请您参考购买 DDoS 高防实例购买。 说明 - 同一地域内只支持选择一个高防实例。
- 可同时关联多个地域的高防实例。
| - new_ins_103.143.*.*
- new_ins_45.120.*.*
|
协议类型 | 需要接入 DDoS 高防的网站所使用的通信协议,当前支持 HTTP 和 HTTPS 协议。 | |
日志采集 | 购买日志服务后,您可以开启日志采集功能。开启后,可在日志管理模块检索和分析对应的日志。 | 保持默认值(开启) |
防护域名 | - 填写需要接入 DDoS 高防的域名,支持泛域名或精确域名。
- 如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时防护
*.b.a.com 和b.a.com ,需要分别接入域名并配置策略。 - 如同时配置泛域名及其精确子域名,DDoS 高防将优先匹配精确域名的转发规则及防护策略。如:同时配置
*.a.com 和www.a.com ,面向www.a.com 的访问请求将优先匹配该精确域名的转发规则及策略。 - 支持同时添加多个域名。
| - www.example.com
- example.com
|
关联证书 | 当协议类型选择了 HTTPS 时,需要上传证书。可以选择已上传的证书或单击新建证书创建新的证书。如无可选证书,请您参考购买并上传证书操作。 | 证书 1 |
备注标签 | - 为域名添加标签,便于分组管理。
- 可选择已有标签,或是直接输入新的标签。
| 重要 |
高级设置 | 单击展开,可配置以下参数。 - 协议跟随:如同时勾选了 HTTP 和 HTTPS 协议类型,可以设置是否开启协议跟随。开启后,访问请求的“回源协议”与“访问协议”保持一致。为保证正常回源,请确认源站支持已选中的协议类型。
- HTTP 2.0:如勾选了 HTTPS 协议类型,可以设置是否开启 HTTP 2.0。开启后支持 HTTP 2.0 协议接入防护,以 HTTP 1.0 或 1.1 协议转发回源。
- TLS 设置:如勾选了 HTTPS 协议类型,需设置 TLS 参数,即设置允许使用的 TLS 协议版本和加密套件,不匹配的请求将默认被丢弃。为提升业务安全和兼容性,建议您使用系统默认配置。
- TLS 协议:默认选择 TLSv1.2 和 TLSv1.3。
注意 - 修改时至少选择一个协议版本,暂不支持单独选中 TLSv1.3 版本。
- 选择多个版本时需注意版本号需要保持连续。例如,您不能仅选择 TLSv1 和 TLSv1.3。
- 加密套件:默认选择全部加密套件。
注意 使用未被选中的加密套件的请求将无法正常访问,请谨慎修改。
- 长连接:设置客户端与高防之间的长连接参数。
- 长连接保持时间:客户端与高防之间的长连接保持时间。默认为 75 秒,支持配置 0 ~ 900 秒。设置合适的长连接保持时间可以控制客户端与高防实例之间的连接在一段时间内保持开启状态,从而减少反复建立连接消耗的网络资源和服务器资源。如果保持时间过长,可能会占用过多系统资源;反之,保持时间过短,可能会导致频繁的连接建立和关闭,影响用户体验。
- 复用长连接请求数:单个已建立的 TCP 连接上可以重复发送的请求个数。默认为 100 个,支持配置 60 ~ 1000 个。设置复用长连接请求数,可以减少建立和关闭连接的资源消耗,提高通信效率。在需要频繁发送请求的场景,例如网页浏览、视频播放等,需要适当提高这一参数值。
- 例如,按默认值设置长连接参数,则一个长连接会话将保持 75 秒,此过程中可接受处理的请求上限为 100 个。
- 请求 body 最大值:设置高防可接受客户端请求正文的最大值。默认为 60 MB,支持配置 1~10240 MB。请求体大小的限制是为了防止恶意攻击或意外情况导致服务器资源耗尽或拒绝服务。请求体过大,可能导致服务器需要分配更多资源来处理请求,并增加网络延迟;请求体过小会导致数据不完整或丢失,服务器无法正确处理请求或返回不完整的响应。
- Gzip 压缩:开启后,可以通过压缩算法对源站响应数据进行压缩,减少传输的数据量,同时减少带宽占用,在节约成本的同时提高网页加载速度。支持对 200 KB ~ 1 MB 大小的文件进行压缩。
- Chunked 编码:开启后,对源站响应启用分块传输编码,允许在接收数据时逐块处理,而不需要等待整个数据传输完成,由此提升数据传输速度。
| 保持默认值 |
配置完成后,单击下一步。
步骤二:配置回源参数
域名添加完成后,需要设置回源相关参数,以确保您的业务正常回源,您可以参考以下参数说明完成配置。
配置 | 说明 | 示例值 |
---|
负载均衡 | 配置源站服务器的负载均衡方式,以确保请求和流量分发更符合业务实际需求。 - 加权轮询(WRR):按权重设置来分配请求,权重值越高的源站服务器,被轮询到的次数(概率)越高。例如,两台源站服务器:服务器 A 权重为 100, 服务器 B 权重为 90,则优先将请求分发给服务器 A。
- 加权最小连接数(WLC):将请求分发给“当前连接数/权重”比值最小的源站服务器。例如,两台源站服务器:服务器 A 权重为 100,当前连接数为 100,当前“连接数/权重”的比值为 1;服务器 B 权重为 90,当前连接数为 9,当前“连接数/权重”的比值为 0.1。该场景下,优先将请求分发给服务器 B。
- 源地址哈希(SH):基于源 IP 地址的一致性哈希,即来自同一 IP 的请求会调度到同一个源站服务器。
| 保持默认(加权轮询) |
源站配置 | DDoS 高防支持配置主备源站组,以确保在主源站组发生故障或不可用时,备用源站组可以接管业务并继续提供服务,提高业务的高可用性和容灾能力。您可以按需在配置主源站组的基础上配置备源站组,但不建议使用备源站组代替主源站组长期使用。 - 配置主源站组:单击添加源站,配置主源站组相关参数。最多可添加 20 个主源站。
- 源站协议:从 DDoS 高防回源至源站的回源协议,可选 HTTP或 HTTPS 协议。如您对当前域名已启用“协议跟随”,则源站协议需要有 HTTP 协议源站配置和 HTTPS 协议源站配置以实现协议跟随。
- 源站地址:需要接入 DDoS 高防的网站所提供服务的源站公网 IP 或源站域名。
注意 请勿配置与接入域名或高防 IP 地址一致的源站,以免造成业务异常。 - 源站端口:源站地址对应的端口。
- 权重:默认为 100。表示源站收到请求的概率(概率为该源站权重/组中所有服务器的总权重),可配置区间为 1 ~ 100。 当负载均衡算法为源地址哈希(SH)时,权重对后端服务器收到请求的概率无影响。
- 操作:支持删除源站信息。
- 配置备源站组(按需配置):单击添加备源站组>添加源站,可以配置备源站组相关参数。最多可添加 20 个备源站。
注意 设置备源站组后,可在判断主源站组不可用时手动切换到备源站组。切换前,请确保备源站组可用,以免造成业务异常。 - 源站协议:从 DDoS 高防回源至源站的回源协议,可选 HTTP或 HTTPS 协议。如您对当前域名已启用“协议跟随”,则源站协议需要有 HTTP 协议源站配置和 HTTPS 协议源站配置以实现协议跟随。
- 源站地址:需要接入 DDoS 高防的网站所提供服务的源站公网 IP 或源站域名。
注意 - 请勿配置与接入域名或高防 IP 地址一致的源站,以免造成业务异常。
- 备源站组的源站地址不能与主源站组地址重复。
- 源站端口:源站地址对应的端口。
- 权重:默认为 100。表示该源站收到请求的概率(概率为该源站权重/组中所有服务器的总权重),可配置区间为 1 ~ 100。 当负载均衡算法为源地址哈希(SH)时,权重对后端服务器收到请求的概率无影响。
- 操作:支持删除源站信息。
| - 主源站组:
- 源站1:
HTTP 1.1.1.1 80 100 - 源站2:
HTTP www.1111.com 80 100
- 备源站组:
- 源站1:
HTTP 2.2.2.2 80 100 - 源站2:
HTTP www.2222.com 80 100
|
高级设置 | - 建连超时时间:高防和后端服务器的建连超时时间。默认为 4 秒,支持配置 4~120 秒。
- 转发请求至后端的超时时间:高防将请求传输到后端服务器的超时时间,如果后端服务器在该时间内未收到任何请求,则关闭连接。默认为 60 秒,支持配置 30~3600 秒。
- 读取后端响应的超时时间:高防从后端服务器读取响应的超时时间,如果后端服务器在该时间内未响应任何内容,则关闭连接。默认为 60 秒,支持配置 30~3600 秒。
- 回源长连接:高防回源时,长连接可复用的个数。默认为 100 个,支持配置 60~1000 个。
- 回源重试:高防回源失败后,可重试的次数。默认为 3 次,支持配置 1~10 次。
- 空闲长连接超时时间:高防与后端服务器建立请求的长连接空闲时间。默认为 15 秒,支持配置 1~60 秒。
- 流量标识:开启流量标识后,您需要配置自定义字段,高防会在转发回源的请求中添加您配置的自定义字段,以区分正常回源请求。
| 保持默认值 |
配置完成后,单击下一步。
步骤三:确认域名接入配置
确认参数,无误后单击确认并添加。
完成后,系统会自动创建一个任务,您可以在高防任意页面右上角单击任务管理查看任务状态和详情。
后续操作
- 放行回源 IP 地址:如果源站配置了防火墙或是安装了安全软件,需要将高防回源 IP 地址加白,避免影响业务流量转发回源。详情可参见放行回源 IP 地址。
- 验证转发是否生效:确认转发规则是否生效,确保业务流量可经由高防正常转发。详情可参见验证转发配置。
- 修改 DNS 解析:将待防护域名解析到高防提供的 CNAME 地址(推荐)或高防 IP,实现流量牵引到高防实例。详情可参见修改 DNS 解析。
- 配置防护策略:设置自定义防护规则实现精准防护,详情可参见防护策略说明。