Cloudflare DDoS配置案例

网友投稿 1987 2022-08-26

Cloudflare DDoS配置案例

Cloudflare DDoS配置案例

导航:

  这里将一个案例事项按照流程进行了整合,这样查看起来比较清晰。部分资料来自于Cloudflare

  1.​​DDoS介绍​

  2.​​常用DDoS攻击​

  3.​​DDoS防护方式以及产品​

  4.​​Cloudflare DDoS配置案例​

背景信息

本案例场景为给XX项目Login服务器以及Game服务器增加 DDOS防护,使用Cloudflare。

环境架构由

Client → Login/Game服务器

(客户端的流量直接连接Login/Game服务器)

升级为

Client → CloudFlare → Login/Game服务器

(客户端流量发送给CloudFlare,在由CloudFlare反向代理至Login/Game服务器)

 

注意:图中敏感信息已打码;另所有域名信息使用baidu.com代替,IP端口为虚假信息。


1.流程图

1.1 登录服

XX项目版Login服务器不增加DDOS防护时,玩家直接通过DNS服务器解析到Login服务器的真实IP地址连接Login服务器的80端口,并获取区服列表

具体流程见下图;

在加入DDOS防护后,DNS域名会将映射解析到 Cloudflare的边缘防护IP上,然后Cloud Flare会将请求反向代理到Login的真实IP上.

2.1 游戏服

XX项目版Game服务器不增加DDOS防护时,由于Game没有域名配置,玩家直接通过Login服务器获取Game的IP地址,然后连接Game服的8000-8001端口,连接Game服务器;由于XX项目 Game服为滚服架构,那么每个Game区服都会开放8000-8001端口.

具体流程见下图.

加入DDOS防护后,由于DDOS边缘防护IP数量有限(根据沟通,CloudFlare边缘IP上限为10个),并且,一个边缘IP只能开放一个相同端口;所以,边缘IP以及Game服的对外IP依次递增对外端口来满足配置需求.

2.配置案例

XX项目环境信息如下

角色

域名

边缘IP

服务器对外真实IP

服务器对外端口

Login服务器

baidu.com

2.2.2.2

1.1.1.1

80

Game1

2.2.2.2

10.10.10.10

8000,8001

Game2

2.2.2.2

10.10.10.11

8002,8003

由于login服务器和game服务器端口不冲突,所以这里只用一个边缘ip:2.2.2.2。所有对外端口依次递增。

在XX项目环境中,需要配置的模块有3个,分别为以下:

CloudFlare

配置至真实游戏服(登录服)的反向代理目的地址,并获取CloudFlare的边缘IP。

DNS

由于DNS在没有DDOS防护前,直接将映射解析至Login的服务上,在加入DDOS防护后,需要将解析更改至CloudFlare的边缘IP上。

游戏服(登录服)

为了节约成本以及IP资源的节省,对外端口由8000-8001递增的方式添加。

2.1 CloudFlare

1.登录CloudFlare

网址: ​​dig baidu.com.cdn.cloudflare-

注意:配置2个主机名或者1个主机名,按照实际条件选择,cloudflare按照边缘IP收费。

2.2 DNS

只有有域名配置的服务器才需要配置DNS,比如Login服务器(这里XX项目login服务器功能是获取区服列表,所以配置了域名)。

目前环境配置海外项目使用AWS route53服务来配置域名

1.登录AWS,找到ROUTE 53服务→托管区域→找到baidu.com域名

2.将原主机域名A记录改为CNAME记录,指向CloudFlare的CNAME域名

2.3 Login服-Game服

内部项目信息,敏感信息这里不做公开。只需要将原来的外网地址改成cloudflare的边缘IP地址和刚才配置的端口即可。

3. 页面规则

至于页面规则,在初期使用cloudflare的时候,配置DNS项,总会在页面规则里面增加一个页面规则:缓存级别-绕过。后面发现,如果作为DDOS防护产品来用,可以不需要这个配置。以下是和cloudflare技术支持人员讨论的截图。

一般情况下,作为DDoS高防配置cloudflare,是不需要配置页面规则的。但是在以下情况下,还是要配置页面规则,否则配置DDoS高防后,无法正常使用。

1.DNS项配置DDoS高防。

2.源站仅开启443端口。

因为在使用DNS项配置DDoS高防时,无法指定源站的端口是什么,cloudflare访问源站默认策略为灵活(也就是默认80)访问。若源站仅开启443端口,那么将无法访问网站。

由于以上截图针对整个域名的全局配置,不能修改以上配置,需要针对域名开启单独的ssl配置。

作者:​​小家电维修​​

转世燕还故榻,为你衔来二月的花。

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:iOS 8安装教程图解
下一篇:涨姿势:Android手机的系统为什么叫ROM(android系统是什么手机)
相关文章

 发表评论

暂时没有评论,来抢沙发吧~