负载均衡作为业务系统的公网入口,承载海量访问请求的分发,常常也是DDoS攻击的对象,因此阿里云提供了免费的DDoS防护(云盾),详情可以参考之前的博文《聊一聊负载均衡SLB的DDoS防护》。
由于很多用户可能并不知道负载均衡有DDoS防护的功能,导致DDoS防护成为了一把双刃剑,在防护DDoS攻击的同时,也偶有发生正常业务被清洗甚至黑洞的情况。现在SLB的控制台上可以直接查看SLB的DDoS防护阈值,将能够更加有效的防止正常业务被清洗的情况发生,鼠标移动到云盾小图标上,即可看到相关阈值,见下图
三个阈值的解释:
BPS清洗阈值:入方向流量超过了BPS清洗阈值时,触发清洗限速
PPS清洗阈值:入方向数据包数超过了PPS清洗阈值时,触发清洗限速
黑洞阈值:入方向流量超过黑洞阈值时将触发黑洞,即流量全部被丢弃
点击“详情请见云盾DDoS防护控制台”会跳转到云盾控制台查看详情,还可以手动设置相关阈值,具体详情参见《聊一聊负载均衡SLB的DDoS防护》。
如果您是在企业中使用阿里云服务,且采用RAM子账户登录,那么可能存在权限不够导致无法查看防护阈值,显示为“----”。
此时您需要让拥有主账户权限的相关人员,为您的子账户添加AliyunYundunDDosReadOnlyAccess-只读访问云盾DDos基础防护(Anti-DDoS Basic)的权限,才能在控制台正常查看该阈值。添加方法如下:
注意:如下操作需要拥有主账号权限的人员进行操作
1、使用主账户登录并访问ram.console.aliyun.com,进入用户管理界面,找到对应需要授权的子账户,并点击管理
2、选择页面左侧的用户授权策略,并点击右上角编辑授权策略
3、在可选授权策略名称中输入AliyunYundunDDosReadOnlyAccess,找到对应的策略,移动到右侧列表中,点击确定完成
通过以上步骤,经过策略授权的子账户即可查看云盾阈值。
限制:
1、仅公网SLB可以查看到防护阈值,私网实例没有防护阈值
2、首期在北京、杭州、深圳、上海、杭州、青岛、新加坡、美东、美西几大区域开通了阈值查看功能,其他区域后续逐步补齐
