tencent cloud

需求背景

受客观因素影响，DDoS 高防包在北京、上海和广州可售卖的最大防护能力有所差异，上海可售卖的最大防护能力为300Gpbs，广州和北京两地可售卖防护能力均小于上海。除此之外，中国内地（大陆）成都、重庆等区域尚未上线高防包产品。
如果用户业务源站部署在腾讯云，并且需要使用腾讯云非源站所在地区的 DDoS 防护能力时，可参考本方案。

防护方案

本方案主要由 DDoS 高防包、CLB 负载均衡、源站业务 Server 组成。在具有 DDoS 高防包资源的地区部署 CLB 负载均衡，并将其与 DDoS 高防包进行绑定。配置 CLB 的内网回源规则，确保通过 CLB 的公网 IP 可以访问业务。

• 常态化情况下，业务可根据需要解析到源站业务的公网 IP（或直接解析到异地的 CLB 公网 IP），业务流量就近访问源站。
• 在发生攻击后，将业务解析到 CLB 的 IP，对 DDoS 攻击流量进行清洗，完成清洗后，由 CLB 通过内网专线将流量转发回到源站。

具体的防护方案如下图：

方案效果

• 打破地域防护能力的限制，可具有最大300Gpbs的 DDoS 高防包 DDoS 防护能力。
• 业务流量使用腾讯云的内网专线进行转发，可靠性高、延迟小。
• 充分享用腾讯云 DDoS 网络的优势，所有公网 IP 均为 BGP IP，延迟低。

建议与注意事项

• 提前部署 DDoS 高防包和 CLB 负载均衡。
• 建立业务可用性监测机制，在未部署自动切换机制的情况下，发现源站访问异常及时介入处理。
• 定期进行验证和演练，了解和熟悉方案细节，解决可能存在的问题。