DDoS高防包異地防護(hù)背景：

騰訊云DDoS高防包承諾提供不低于30Gbps的全力防護(hù)能力。全力防護(hù)指以成功防護(hù)每一次 DDoS 攻擊為目標(biāo)，整合當(dāng)前本地清洗中心能力，當(dāng)前廣州區(qū)域的最高防護(hù)能力不超過300Gbps，北京區(qū)域的最高防護(hù)能力不超過250Gbps，上海區(qū)域的最高防護(hù)能力不超過500Gbps，同時(shí)會(huì)根據(jù)當(dāng)時(shí)的實(shí)際網(wǎng)絡(luò)狀態(tài)進(jìn)行動(dòng)態(tài)調(diào)整，同時(shí)會(huì)根據(jù)當(dāng)時(shí)的實(shí)際網(wǎng)絡(luò)狀態(tài)進(jìn)行動(dòng)態(tài)調(diào)整，全力對攻擊進(jìn)行抵御。

騰訊云受客觀因素影響，騰訊云DDoS高防包僅支持騰訊云北京，上海，廣州地域購買高防防御包，除此之外，中國大陸成都、重慶等區(qū)域尚未上線高防包產(chǎn)品。

DDoS高防包異地防護(hù)方案：

本文介紹的防御方案主要由 騰訊云DDoS 高防包、CLB 負(fù)載均衡、源站業(yè)務(wù) Server 三個(gè)部分組成。在具有 DDoS 高防包資源的地區(qū)部署 CLB 負(fù)載均衡，并將其與 DDoS 高防包進(jìn)行綁定。配置 CLB 的內(nèi)網(wǎng)回源規(guī)則，確保通過 CLB 的公網(wǎng) IP 可以訪問業(yè)務(wù)。

1、常態(tài)化情況下，業(yè)務(wù)可根據(jù)需要解析到源站業(yè)務(wù)的公網(wǎng) IP（或直接解析到異地的 CLB 公網(wǎng) IP），業(yè)務(wù)流量就近訪問源站。

2、在發(fā)生攻擊后，將業(yè)務(wù)解析到 CLB 的 IP，對 DDoS 攻擊流量進(jìn)行清洗，完成清洗后，由 CLB 通過內(nèi)網(wǎng)專線將流量轉(zhuǎn)發(fā)回到源站。

具體的防護(hù)方案如下圖所示：

DDoS高防包異地防護(hù)效果：

1、可以打破地域防護(hù)能力的限制，可具有最大500Gpbs的 DDoS 防護(hù)能力。

2、業(yè)務(wù)流量使用騰訊云的內(nèi)網(wǎng)專線進(jìn)行轉(zhuǎn)發(fā)，可靠性高、延遲小。

3、充分享用騰訊云 DDoS 網(wǎng)絡(luò)的優(yōu)勢，所有公網(wǎng) IP 均為 BGP IP，延遲低。

建議與注意事項(xiàng)：

1、提前部署騰訊云DDoS防包和負(fù)載均衡CLB。

2、建立業(yè)務(wù)可用性監(jiān)測機(jī)制，在未部署自動(dòng)切換機(jī)制的情況下，發(fā)現(xiàn)源站訪問異常及時(shí)介入處理。

3、定期進(jìn)行驗(yàn)證和演練，了解和熟悉方案細(xì)節(jié)，解決可能存在的問題。

注意：該方案僅適用于用戶業(yè)務(wù)源站部署在騰訊云，并且需要使用騰訊云非源站所在地區(qū)的 DDoS 高防包防護(hù)能力時(shí)，可參考本方案。