检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何将已防护的源站IP/源站域名切换到其他DDoS高防实例进行防护? 网站类业务接入DDoS高防后,您可以通过修改域名的高防IP解析线路,将源站IP/源站域名切换到其他DDoS高防实例进行防护。 修改域名的高防IP解析线路后约5分钟后生效。为了确保业务正常访问,建议您在业务量少时进行操作。
DDoS原生高级防护的流量回切时间是多久? DDoS原生高级防护的流量回切时间约5~10分钟。 DDoS原生高级防护流量切换到DDoS高防的过程,根据DNS域名生效时间和用户本地的递归DNS生效时间,大概需要5~10分钟。在此期间,整体流量可能同时在DDoS原生高级防护IP和高防IP中存在。
被攻击超过弹性峰值的高防IP会触发黑洞事件,请确认产生丢包的IP是否被黑洞。 建议购买更大带宽的弹性峰值,并且调整业务系统,使其具备切换能力。当线路被黑洞时,可切换至正常线路。 父主题: 故障反馈
组成,且不能超过128个字符长度)。 高防CNAME 输入高防CNAME(只能由小写字母、数字和.组成,且不能超过128个字符长度)。 CDN切换高防规则 根据实际设置CDN切换到高防的触发规则。 高防切换CDN规则 根据实际设置切回CDN的策略规则。 单击“确定”完成规则添加。 相关操作 编辑规则:在待编辑的规
修改域名的高防IP解析线路 业务接入DDoS高防后,如果您需要将域名切换到其他解析线路进行防护,可以通过修改域名的高防IP解析线路实现。 修改高防IP解析线路可能导致防护失效或业务中断,建议在新线路验证通过之后再进行线路解析修改。 如果无法评估场景风险,请提交工单咨询。 约束与限制
如何将非PEM格式的证书转换为PEM格式? CER/CRT格式证书转换为PEM格式 可通过修改证书文件扩展名的方式进行转换。 例如,将“certificate.cer”证书文件重命名为“certificate.pem”即可。 PFX格式证书转换为PEM格式 可通过openssl工具进行转换。 #提取证书命令
对于通过域名对外提供服务的系统,修改DNS配置,将对外提供的业务域名解析到华为云提供的CNAME。 对于通过IP对外提供服务的系统,将对外提供的业务IP变更为高防IP。 父主题: 接入配置
为什么接入DDoS高防后IP地址流量增长? 配置DDoS高防服务后,部分攻击者会记录源站使用过的IP,存在绕过高防直接攻击源站IP的情况,建议更换源站IP。 父主题: 产品咨询
图2 新增实例线路 在弹出的“新增实例线路”对话框中,选择需要切换到的新的DDoS高防实例和线路,单击“确定”。 图3 选择线路 将新添加的线路的“线路解析开关”设置为。 图4 线路解析 将旧线路的“线路解析开关”状态变更为,关闭该高防实例和线路下高防IP的域名解析功能。 单击“删
DDoS高防实例到期≥30个自然日时,DDoS高防将停止转发业务流量,实例将被释放。如果您不需要继续使用DDoS高防,请务必在到期30个自然日之前,将业务流量从高防切换到源站服务器。 未接入DDoS高防 未接入高防时,源站直接对互联网暴露,一旦发生DDoS攻击,很容易导致源站瘫痪。 图1 未接入DDoS高防示意图
接入防护域名后,如何测试防护域名是否配置正确? 如何解决上传HTTPS/WebSockets证书时出现“错误的请求”提示的问题? 如何将非PEM格式的证书转换为PEM格式? DDoS高防和WAF同时使用,怎么配置? 接入DDoS高防的域名需要备案吗? 如何将业务系统接入高防服务? 如何实现CNAME接入?
DDoS攻击防护需求。 费用说明 变更规格会引起费用的变化,详细的费用说明请参见变更资源费用说明。 约束与限制 如果客户购买的是非BGP线路的三线实例(当前已不售卖),不提供升级规格功能,需要修改弹性带宽值请提交工单进行调整。 不支持升级时更换线路。 已到期的实例不支持升级。 已冻结的实例不支持升级。
DDoS调度中心支持DDoS原生防护(或CDN服务)与DDoS高防进行联动防护,业务正常访问期间,流量正常接入DDoS原生防护(或CDN服务);在业务受到海量攻击时,流量切换到DDoS高防服务进行清洗,确保重要业务不被攻击中断。 购买调度规则 登录管理控制台。 在服务列表选择“安全与合规 > DDoS防护”,进入DDoS防护服务界面。
在目标域名所在行的“业务类型”列,单击“更换”。 在弹出的“更换证书”对话框中,上传新证书或者选择已有证书。 手动上传:输入证书名称,粘贴证书和私钥文本内容。当前仅支持PEM格式证书,非PEM格式的证书请参考表1转换。 自动拉取:选择已签发的证书。 选择已有证书:选择当前已使用的证书。 图2 更换证书 表1 证书转换命令
IP将同时发布解析。 默认分组:1。 说明: 当分组中存在被封禁的IP时,将跳过该IP对其他IP进行解析。 当前分组中所有IP被封堵后自动切换到下个分组,所有分组都无可用IP后进入联动调度。 仅支持DDoS原生防护对象中的云资源(ECS、EIP、ELB和WAF等)。 联动调度 不
可以基于被授予的权限对云服务进行操作。 CNAD部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,访问CNAD时,不需要切换区域。 根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有
)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问Anti-DDoS时,需要先切换至授权区域。 如表1所示,包括了Anti-DDoS的所有系统角色。由于云上各服务之间存在业务交互关系,Anti-DDoS服务的角色依赖其他
PEM格式的证书请参考表1转换。 图3 上传证书 表1 证书转换命令 格式类型 转换方式 CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 通过openssl工具进行转换。 提取私钥命令,以“cert.pfx”转换为“cert.key”为例。
FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在页面左上方的,选择除DDoS原生高级防护外(假设当前策略仅包含“CNAD FullAccess”)的任一服务,如果提示权限不足,表示“CNAD
Administrator”。 创建用户并加入用户组。 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台,切换至授权区域,验证权限: 单击页面左上方的,选择除Anti-DDoS服务外的任一服务,如果提示权限不足,表示“Anti-DDoS Administrator”已生效。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
