騰訊雲高防IP使用經驗分享

2021年9月使用騰訊雲的經驗-自己的筆記本，實際依原廠資訊，資料來源騰訊雲

本產品不支持退款，根據（中國）國家監管要求，所有使用高防業務的域名都必須經過ICP備案，未備案域名將無法正常訪問

網站備案參考原廠資訊:如下

https://cloud.tencent.com/product/ba

幾個方案如下:正確資訊請參考原廠。區分中國境內跟境外

 https://cloud.tencent.com/document/product/1014/44082#.E8.B4.AD.E4.B9.B0.E9.9D.9E.E4.B8.AD.E5.9B.BD.E5.A4.A7.E9.99.86.E5.8C.BA.E5.9F.9F-ddos-.E9.AB.98.E9.98.B2-ip

高防包

• 需要選擇與 CVM、CLB 等雲資源相同地域的 DDoS 高防包，業務 IP 綁定後才實際生效。

• 全力防護1次定義：當檢測到實例中防護 IP 的攻擊流量 ≥ 10Gbps且半小時後不再有攻擊流量，則認為本次攻擊結束，扣除1次全力防護。如果攻擊持續進行且超過半個小時，則直到本次攻擊全部結束後才扣除1次全力防護。

例如，購買3個月“防護 IP 數1個+防護次數10次”的高防包資源，在資源有效期內享有10次免費全力防護，以三個月為一個週期，若每週期過後且完成續費，則免費全力防護次數會刷新重置為10次。

• 全力防護次數使用完，或者 DDoS 高防包到期後且不再續費，受防護的業務 IP 將恢復到騰訊雲贈送的免費基礎防護能力。

DDOS高防IP (大陸) 電信聯通移動

DDOS高防IP (大陸) BGP 線路

彈性防護帶寬

https://cloud.tencent.com/document/product/1014/44081

帶寬計費概要

https://cloud.tencent.com/document/product/1014/44081

保底目前20的話彈性最多只能買到300

保底買到50 彈性就可以加到600

境外高防又區分-標準版/企業版

境外高防企業版又區分(有上限及無上限版本)

全力防護說明

https://cloud.tencent.com/document/product/1014/56251

騰訊的高防有個疑問是BGP線路的獨享IP，是指所有域名都要綁到那組 IP 上面嗎?

答:綁定到高防ip的域名，流量會先經過ip清洗，再回源

 

如域名需接入https的話需要配置域名證書，http 跟 https 在高防 IP 配置差別只有證書

https://cloud.tencent.com/document/product/1014/44087

如下圖的CA是第三方的認證機構非騰訊雲的，需等對方可進行驗證才能被驗證，另外申請證書的繁忙問題，什麼時候是請求次數太多導致的，建議可稍等下再試試，這個接口是有限度的

Google Cloud Platform GCP如何修改防火牆的權限

 GCP如何修改防火牆的權限

首先可以先進入VPC底下的防火牆確定一下目前的權限為何

已經設定了如下的權限，登入該帳號還是只有 檢視權限，

這時候可以先去看一下防火牆需要的權限，可以先去角色頁面，在篩選器那裡輸入firewalls，可以看到防火牆相關規則。

假設要給"建立rule"的權限，就可以點擊 firewalls.create，它就會秀出有哪些角色有建立的權限，然後挑一個最小的角色授權給User即可。

以下範例為給 Compute 安全管理員權限：

未來如果有缺什麼權限，可以照上述SOP，從權限找到相對應的角色，找到最小或最適合的授權出去，如果角色的權限太大，那就把權限組合成一個自訂角色即可。

AZURE-區域障礙:服務健康狀況-異常查詢

 

查詢是否區域障礙:服務健康狀況: https://status.azure.com/zh-tw/status 

如下虛擬主機:

看是否有異常訊息:如下圖

登入後台:

https://portal.azure.com/#blade/Microsoft_Azure_Health/AzureHealthBrowseBlade/serviceIssues

在搜尋欄位-輸入服務健康狀態:

1. 確認作用中的事件是否有維護或障礙

2. 點選中間:問題名稱 查看:下方的可能的影響

可在後台系統上-點選要求根本原因:(這原廠回應速度慢約7天)可透過MAIL等報修或開單。如下圖

可查看問題更新

Impact Statement: Starting at 07:15 UTC on 25 Aug 2021, you have been identified as a customer using App Service in East Asia who may receive intermittent HTTP 500-level response codes, experience timeouts or high latency when accessing App Service (Web, Mobile, and API Apps), App Service (Linux), or Function deployments hosted in this region.Current Status: We have identified the possible root cause for this, and are working on it to find out more. The next update will be provided in next 1 hour or as event warrants.

影響聲明：自2021年8月25日協調世界時07時15分起，您已被確定為東亞地區使用應用程序服務的客戶，在訪問該地區託管的應用程序服務（Web、移動和API應用程序）、應用程序服務（Linux）或功能部署時，可能會收到間歇性HTTP 500級別響應程式碼、超時或高延遲。當前狀態：我們已經確定了可能的根本原因，並正在努力找出更多原因。下一次更新將在未來1小時內提供，或視情况而定。

歷程記錄 可查過往的異常:

如恢復到正常，障礙訊息會消失。(如下圖)

用戶後台端資訊:

阿里雲(ECS或EIP)IP查看是否因DDOS被黑洞

 阿里雲(ECS或EIP)IP查看是否因DDOS被黑洞

在搜尋列搜尋找到流量安全

進入後會在總覽畫面可確認到目前是否有被攻擊，如圖顯示目前有被攻擊

點選立即處理即可確認目前被黑洞中的IP是哪個

1. 如IP被黑洞封鎖，可進行立即解鎖(每月2次)，但往往攻擊持續會立即再度被黑洞。

2. 如ECS有購買EIP，可另購買EIP進行更換避免立即再被攻擊(但服務對外攻擊者掃PORT有可能很快還是會在被偵測到)

點選資產中心，選擇ECS所在位置的國家(這部分可至ECS雲服務器選單中確認)如圖中為中國(香港)

接著再點選EIP或是ECS的IP被封鎖至黑洞，如EIP如下即可確認底下所有已購買的EIP數量，也會列出到稍早確認到已被黑洞中的IP

彈性公網IP

彈性公網IP（Elastic IP Address，簡稱EIP）是可以獨立購買和持有的公網IP地址資源。現時，EIP僅支持綁定到專有網絡類型的ECS實例、專有網絡類型的私網SLB實例、專有網絡類型的輔助彈性網卡、NAT閘道和高可用虛擬IP上。

https://help.aliyun.com/product/61789.html

AWS ROUTE53 (主域名及次級域名設定) 解析亞洲區時不包含中國大陸

 AWS ROUTE53解析亞洲區時不包含中國大陸

如果要設定「別家的 CDN」+「AWS Route53 次級域名」，這在 AWS 上 "OK" 如果要設定「別家的 CDN」+「AWS Route53 主域名」，這在 AWS 上 "不行"

問題1.

如何在ROUTE53解析亞洲區時不包含中國大陸

A:將中國的 request 排除

可用WAF 的 Web ACL，建立一個 rule，statement 設定如下

action 設定為 block

建立 Web ACL(設定參考網址)

https://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/web-acl-creating.html

(建立完成後，要將 Web ACL 關連到 ALB 才會生效)

ALB為Application Load Balancer(應用程序負載均衡器)

設定相關圖檔

之後 ALB 的 integrated service 就會顯示有 enable WAF

設定沒有一定的先後順序，但是 EC2 前面一定要用 ALB，不然無法用 WAF

問題2.

如無EC2、ALB和WAF也想利用Route 53來解析亞洲不包含中國的其他方式

A: 可以用同樣的 record name 再新增一個 route53 record，然後用 geolocation，選 China，指到一個靜態的 error page（可以是 S3 靜態網站或是 CloudFront + S3 靜態網站），這樣源自 China 的訪問在解析該 domain name 的時候，就只看得到那個 error page，或是用 CNAME 指到其他網站，例如說

http://example.com/

Amazon S3解釋

https://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/Welcome.html

AWS EFS 掛載不同VPC

 AWS EFS 掛載不同VPC可以使用 VPC peering 或 transit gateway 將不同 VPC 連線

 

設定 Amazon EC2 執行個體，以掛載位於不同虛擬私有雲端 (VPC) 中的 Amazon EFS 檔案系統。可以使用 EFS 掛載協助程式來執行此操作。

請務必使用 VPC 對等連接或 VPC 傳輸閘道來連接用戶端的 VPC 和 EFS 檔案系統的 VPC。使用 VPC 對等連接或傳輸閘道來連接 VPC 時 Amazon EC2 即使 VPC 屬於不同帳戶，執行個體仍可在另一個 VPC 存取 EFS 檔案系統。

 

參考文件

https://docs.aws.amazon.com/zh_tw/efs/latest/ug/efs-different-vpc.html

https://docs.aws.amazon.com/zh_tw/efs/latest/ug/network-access.html

[GCP]機器無法連線-使用空間已滿

 [GCP]機器無法連線-使用空間已滿

機器無法連線-使用空間已滿，使用SSH發生連線卡住的狀況

如需解決此問題，請執行以下操作：

1. 創建磁碟的快照。

2. 刪除磁碟上不需要的檔以釋放空間。

3. 如果在此之後您的磁碟需要更多空間，請調整磁碟大小。

 

解決方法:

1.    確認虛擬機器的 SSH 故障是否因啟動磁碟已滿導致：

如下方指令

gcloud compute instances tail-serial-port-output VM_NAME

 

如果啟動磁碟已滿，會出現以下訊息 “No space left on device”

2. 為虛擬機器的啟動磁碟創建快照（如果尚未這樣做）。

 

   嘗試重啟虛擬機器。

 

   如果您仍然無法訪問虛擬機器，請執行以下操作：

 

   停止虛擬機器：

 

 

    gcloud compute instances stop VM_NAME

 

   

 

3.增加啟動磁碟的大小：

 

 

  gcloud compute disks resize BOOT_DISK_NAME --size DISK_SIZE

 

 

BOOT_DISK_NAME：虛擬機器的啟動磁碟的名稱

DISK_SIZE：啟動磁碟新的更大大小（以 GB 為單位）

4.啟動該虛擬機器：

  gcloud compute instances start VM_NAME

 

參考文件:

https://cloud.google.com/compute/docs/troubleshooting/troubleshooting-disk-full-resize#disk_capacity_errors

阿里雲CDN添加域名管理:出現錯誤

 阿里雲CDN添加域名管理:出現錯誤

請先嘗試以下操作看是否能恢復：

1. 清理流覽器緩存session之後重試 

2. 嘗試更換其他流覽器重試（建議Chrome、Firefox流覽器）  

3. 嘗試使用其他設備(laptop/PC)進行重試  如果問題依舊存在，請您提供一下RequestID, 以便為您做進一步排查。 --------------------

雲資料庫的產品控制台上如何獲取requestId的方法

如何獲取RequestID？ https://help.aliyun.com/knowledge_detail/94450.html

阿里雲高防IP原站是否洩漏

 

阿里雲高防IP原站是否洩漏

 

可查看原站ECS主機是否受到影響，如攻擊都打到高防側，服務正常的話，說明源站未洩漏，如果服務受影響，那可以通过高防控制台修改ECS IP。

ECS後台查看實例流量等狀態

 

高防後台:端口接入(查看源站IP)

 

 

 

高防後台