tencent cloud

需求背景

部分用户的业务对延时要求严格，或者受限于业务要求常态化情况下必须直接访问源站，此时可考虑结合源站的防护调度方案。
该方案可满足流量常态化情况下直接访问源站，但遭到攻击后可迅速具备防护能力的要求。

防护方案

与源站结合的防护调度方案如下图：

本方案依赖于 DNS 服务商，需要具备监控和智能切换功能。

方案说明

本方案主要由高防 IP、DNS 监控、客户源站的对外业务 IP 和源站备用 IP 组成。

• 常态化情况下，业务的域名解析到正常的对外业务 IP，业务流量直接访问源站。DNS 监控实时监控源站业务是否可以正常访问。
• 当 DNS 监控检测到正常的对外业务 IP 无法访问时，依据智能切换的设置规则，迅速将业务域名解析到高防 IP 上。高防 IP 对攻击流量进行清洗，将干净的业务流量转发到源站的备用 IP，从而保障业务可用。

  为避免由于网络抖动等因素造成的误切换，确保监控效果，建议进行手动切换。

方案效果

• 满足常态化情况下直接访问源站的需求。
• 适用于对延时要求非常严格的业务。
• 遭到攻击超出源站防护能力后，可自动切换到高防 IP 进行防护。

建议与注意事项

• 需提前完成源站备用 IP、高防 IP 转发规则等配置。
• 建议将源站备用 IP 与正常的业务 IP 分布在不同的物理线路，以获得更好的防护效果。
• 建议定期进行验证和演练，熟悉方案细节，解决可能存在的问题。