首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

多个SLB关联一台ECS,实现抗20GDDos攻击,这样设计可以吗?

当然可以!这是一个基于腾讯云的应用负载均衡服务(Application Load Balancer,简称ALB)实现抗DDoS攻击(分布式拒绝服务攻击)的设计思路。在这个解决方案中,我们会涉及到以下几个关键概念。

服务器配置

(1) 基本配置

  • 型号: 较简单的实例(例如:c5/t5),用于部署我们的服务器。
  • 内存: 1GB以上,取决于预期的流量。
  • 存储: 最小20GB,如果考虑到数据保存,推荐使用SSD类型。
  • 公共IP:每个实例分配一个公共IP。
  • 内网IP:用于网络通信的 IP 地址。

(2) 流量限制

  • 带宽:配置适当的带宽用于接收传入流量。
  • 峰值流量:用于估算流量负载。

(3) 安全措施

  • DDoS防护: 腾讯云的DDoS防护服务来保护实例免受大流量的攻击。

前端与后端的开发

后端服务器使用Node.jsPython等适合开发的框架(例如,腾讯云提供免费的Serverless Kubernetes服务 )。前端选择适合的场景(例如,静态网站),使用HTML、CSS、JavaScript以及腾讯云提供的容器镜像部署。

服务配置

(1) 前端接入ALB

在SLB中设置 会话保持,以允许用户在长时间无响应时仍然保持连接。

(2) 流量分配

通过使用 访问控制策略,确保服务在多组SLB实例上均匀分配流量。这将使在其中一个服务器遭受DDoS攻击时,用户请求会转移到其他服务器中。

(3) 服务治理与监控

服务治理日志与监控来确保性能优化和及早发现问题。使用腾讯云的大禹防护(TCP/UDP)、高防黑核、高防IP等DDoS防御产品和服务。

评估和优化

监控服务性能和流量使用情况,并根据需要进行实例规格调整,以提高性能(如增加带宽和RAM)。

通过这样的设计,我们将能够应对规模较大的分布式拒绝服务攻击。在使用腾讯云提供的以上产品与服务时,可以根据实际需求调整配置。总之,这个方法提供了稳定的平台,并保障系统安全。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

高并发口罩抢购项目架构演进记录&优化经验分享

这样架构设计: 优点:易管理,易部署; 缺点:性能差,无扩展性,存在单点风险; 结果:事实证明该应用一经上线就立刻被打挂了,因未知原因预约页面被泄露,导致还未到预约时间,服务即被打挂。...这样架构设计: 优点:增加了高可用性,扩展了负载能力; 缺点:对流量预估不足,静态页面也在 ECS 上,因此 SLB 的出带宽一度达到最大值 5.X G,并发高达 22w+。...这样架构设计: 优点:CDN 负担静态资源的流量降低了 SLB 的出带宽,压测的效果也非常理想; 缺点:需要多一个独立的域名在页面里面,涉及跨域,4 号临开服之际测试发现入库&预约短信乱码返回,紧急切换回了老程序...理想架构 主域名接入CDN; CDN通过设置回源 Http、Https 协议去访问 SLB 的不同监听实现新老程序之间的切换,具体实现为回源协议对应。不同监听,监听对应不同的程序。...这样架构设计: 优点:静态加速降低SLB带宽,动态回源,无跨域问题,切换方便; 缺点:仍需手工设置,镜像部署ecs不方便,如果时间充足,可以直接上容器的架构该有多美好呢,一个 scale 可以扩出来几十上百的

2.1K40

如何利用开源DevOps工具完成云上的自动运维

如果要实现这样的一个架构,需要做以下8个步骤来完成这些基础设施的搭建:创建ECS、创建安全组、添加安全组规则、创建SOB、添加后端服务器、配置监听端口、配置会话保持、添加健康检查。...如果要实现这样一个基础设施的话,大的步骤是需要以下七步:创建为PC、创建VSWITCH、创建NET网关、新建共享带宽包、创建ECS、创建SLB、创建SNAT、最后挂载SLB。...就需要增加ECS以承载更多的并发和访问量,所以需要扩容一台与线上应用一致的ECS挂载到SOB上面,这里的一个关键点是扩容一台与现上应用一致的ECS。...就能够实现扩容一台与线上应用一致的ECS并且自动挂载到SLB下面。 ? Terraform 和 Packer 的介绍 它们来自于HashiCorp家族,有两大特点,第一是支持多平台,第二是开源。...前面说如果应用于场景五,我们如果想扩容一台的话,我们就在count数加一,它就会自动创建一台ECS,可以指定这台ECS所依赖的安全组。

3.2K70
  • 负载均衡(SLB)基础入门学习笔记

    四层SLB: 无 七层SLB: 压缩技术 缓存技术 防盗链技术 5) 安全性区别说明,例如网络中最常见的SYN Flood攻击,使用虚假IP地址对同一目标发送SYN攻击,通常这种攻击会大量发送SYN报文...,耗尽服务器上的相关资源,以达到Denial of Service(DoS)的目的; 四层SLB: 四层模式下这些SYN攻击都会被转发到后端的服务器上 七层SLB: 七层模式下这些SYN攻击自然在负载均衡设备上就截止...答: 常规的实现方式就两种,一种是走硬件,另外一种是走软件; 软/硬件负载均衡区别 (1)软件负载均衡解决方案是指在一台或多台服务器相应的操作系统上安装一个或多个附加软件来实现负载均衡,如DNS Load...在设计系统时需要考虑四层七层同时应用的混杂情况。 2)是否真的可以提高安全性。...例如SYN Flood攻击,七层模式的确将这些流量从服务器屏蔽,但负载均衡设备本身要有强大的DDoS能力,否则即使服务器正常而作为中枢调度的负载均衡设备故障也会导致整个应用的崩溃。

    5.6K21

    虚拟化和云计算有什么区别?什么是容器?企业云上常见架构介绍

    以开源Hadoop为例,为实现将IT资源变成整体,要做到的第一点就是将一个巨大的文件拆开放在多个地方,我们可以用一大堆计算机通过网络连接来存放这个巨大的文件,这样即使很多很小硬盘的机器也可以通过连在一起当成一个很大的存储空间来用...光是文件存放合在一起还不够,计算能力也要合在一起,所以它还要满足一个任务分给多个物理机来处理。...企业云上常见架构 ————— All in one部署:当企业的IT系统没有很复杂,业务需求没有很高的时候,可以将所有的服务部署在一台云服务器上。比如将应用和数据库部署在一台ECS上。...应用与数据分离:将应用部署在ECS上,将数据库单独使用云上的数据库服务RDS,提升系统服务能力。...应用集群部署:为缓解前端访问的压力,使用SLB负载均衡服务统一接口处理用户请求;后端通过部署多台云服务器去处理用户的请求。

    2K20

    CDN绕过并如何做防护

    内容分发网络节点会在多个地点,多个不同的网络上摆放。...现在有这样一个情境(纯属虚构、辅助理解): 某日猫哥突发奇想通过某云服开设了一个一键化cdn反查真实ip的网站,并绑定了xxxx.cc这样一个域名,运行一个月后发现自己面对大量请求时...我们来看一个比较常见的基于公有云的高可用架构,如下: CDN(入口层)->WAF(应用层防护)-> SLB(负载层)-> ECS(源站) -> RDS(数据库)...即对应关系为:域名 cname CDN,CDN-→WAF,WAF-→ SLBSLB-→ ECS; image.png f 我们重点来关注一下CDN-→WAF-→SLB-→ECS这几层服务的关系。...假设,攻击者知道SLB的真实IP地址,就可以直接访问SLB的ip地址,从而轻易绕过CDN+WAF的安全防护。 这里分享一个CDN防护技巧,通过中间件配置只允许域名访问,禁止ip访问。

    1.8K40

    每秒处理1000万用户请求…云上架构如何实现高性能和高可用

    比如有一种方式是在写数据库的数据同时更新缓存中的数据或者让缓存失效,这样用户在读取的时候,要么获取的是最新数据,要么得从数据库中重新读取数据。...从图中可以看到不同的应用使用的服务器数量不同,这里所有的服务都被部署到ECS上,ECS又挂载在SLB后面,另外其中还有OCS数据缓存,用户请求的数据如果无法从缓存中获取到,就从数据库中读取。...数据库的设计同样也非常复杂,首先它实现了一套读写分离,其次有一个DRDS分布式关系型数据库,能够挂载多个RDS实例,所有的请求都会发送给DRDS,而DRDS则相当于中间的路由代理,它会根据请求从不同的RDS...:内建容错及检查能力,应用能够在部分组件失效时自我修复继续工作; - 松耦合设计:耦合度越小,扩展性越好,容错能力越强 多可用区设计SLB实例下绑定不同可用区的ECS,从而避免因为单个可用区的故障而导致对外服务的不可用...多可用区的云数据库RDS可以实现同城的数据灾备,OSS存储的数据默认会保存在多个不同可用区中。

    1.7K10

    双活数据中心建设-应用层双活设计(part-2)

    在B/S应用中的双活设计一般考虑三个层次,分别是WEB层、APP层、DB层。...在APP层和DB层就需要部署跨数据中心集群软件,从而实现应用层双活。...当客户侧http请求过来,SLB会呈现一个虚拟IP,对这个虚拟IP的访问会被SLB重定向到SLB后端的服务器资源池中的某一台虚机,即左右2边的WEB服务器会组成各自的资源池。...在SLB上让虚拟IP关联2个资源池即关联到2个数据中心(可以设置优先级)。这样客户可以就近优选资源池中的WEB来提供服务。...如果当前资源池中的服务器全部出现故障,没关系,在SLB里还关联了另外一个即另外中心的资源池中使用右边的服务器处理。

    2.3K50

    高性能负载均衡是如何架构的?

    ,性能比较好,缺点是缺少定制的灵活性,维护成本较高;现在的互联网更多的思路是通过软件负载均衡来实现这样可以满足各种定制化需求,常见的软件负载均衡有LVS、Nginx、Haproxy。...Tengine上,四层监听的流量直接由LVS转发到ECS,而7层监听的流量会经过LVS到Tenigine再到用户ECS。...上图为高性能负载均衡控制管理概要图,SLB产品也有SDN概念,转发和控制是分离的,用户所有配置通过控制台先到控制器,通过集中控制器转换将用户配置推送到不同设备上,每台设备上都有Agent接收控制器下发的需求...regionVIP地址,下沉到某一个Region来看,如果一个机房出现故障,流量可以切换到另一个可用区继续转发,如果流量进到机房发现一台LVS转发设备出现故障后,我们可以切换到另外一台LVS作处理,如果...我们从多个维度实现高可用,较大限度地满足用户的需求。

    1.8K30

    游族网络运维总监:如何运维千台以上游戏云服务器

    3个角色开发设计并部署,服务器以物理机为主,一个游戏区组需要2~4台服务器,不同的机器承担不同的角色。...这种架构方案效率低,基本上不可能实现一天开100个区组(100个区组大概需要400台服务器); 随着业务量的增长和虚拟化技术广泛使用,游族整体游戏架构更新为第二代架构,全面采用虚拟化技术,把一台高配的物理机器虚拟化成多台符合游戏需求的虚拟机来使用...,通过并行的主动推送; 在第三代架构上,可以实现系统化运维,多个运维系统相互协调配合实现,例如:CMDB、业务树、作业平台等。...指令仓库保存常用的命令个脚本和上下文关联的命令组合。...游族网络下一步计划将集群模式部署在阿里云平台上,游戏逻辑将在ECS集群运行,后端数据存储在RDS集群中,前端通过SLB和负载均衡保证业务高可用,同时会接入LOG和大数据计算服务MaxComputer确保大数据业务

    8.7K80

    十张图带你了解负载均衡

    所以今天跟大家一起来看看负载均衡 如果不愿意看文字的话,图也是很清晰的哦 你怎么看负载均衡 负载均衡是高可用网络基础架构的关键组件,通常用于将工作负载分布到多个服务器来提高网站、应用、数据库或其他服务的性能和可靠性...就是其实我们k8s里面的服务也是能做负载均衡的,目前主流容器使用方式 第四个就是我们DNS之后的一个负载均衡了SLB(这个之前运费负责的多点) 为啥要负责均衡呢?...后端服务器(Backend Servers):后端服务器是一组接收前端请求的ECS实例,可以单独添加ECS实例到后端服务器池; 健康检查 image.png Nginx负载均衡 如果你们还没用上容器,...VIP),然后加四层的端口号,来决定哪些流量需要做负载均衡,对需要处理的流量进行NAT处理,转发至后台服务器,并记录下这个TCP或者UDP的流量是由哪台服务器处理的,后续这个连接的所有流量都同样转发到同一台服务器处理...四层交换机主要分析IP层及TCP/UDP层,实现四层流量负载均衡。七层交换机除了支持四层负载均衡以外,还有分析应用层的信息,如HTTP协议URI或Cookie信息。

    84520

    ddos攻击原理

    后来,一些 IDC 在入口加入了清洗的程序,能够对攻击流量进行简单的过滤,这样就大大的减轻了服务器和内网交换机的压力。...Azure Azure 为用户提供了免费的 DDoS 攻击的服务,但是不承诺防护的效果。如果攻击的强度过大,影响到了云平台本身,则存在屏蔽公网 IP 的可能。...阿里云免费为用户提供最高 5Gbps 的恶意流量的攻击防护,你可以在各个产品(ECSSLB、EIP等)的产品售卖页面看到相关的说明和条款。在其帮助文档也说明了相关的服务的限制。...设计可以横向扩展的系统架构,避免IP资源或者CPU资源耗尽,不仅可以有效缓解DDoS攻击的影响,而且可以提升系统可靠性。 2.缩小攻击半径。...在设计系统时分离应用层和数据层,分离网络访问层和系统服务层,充分利用云服务提供商提供的云数据库、云存储、负载均衡、云网络等产品,可以有效缓解DDoS攻击的危害。

    8.1K40

    基于DNS解析的GSLB《CDN技术详解》

    负载均衡器只修改需要实现GSLB的域名的DNS查询响应,对其他请求透明转发,这样就不会影响整个域名空间的解析性能。...由于DNS的缓存机制屏蔽掉相当一部分用户请求,从而大大减轻了GSLB处理压力,使得系统流量冲击能力显著提升,这也是很多商业CDN选择DNS机制做全局负载均衡的原因之一。...返回的A记录可能直接是一台服务器的IP地址,或者是下一级均衡设备的IP地址。...(3)会话保持 会话保持就是指在负载均衡器上设置这么一种机制,可以识别客户与服务器之间交互过程的关联性,在做负载均衡的时候考虑保证这些相关联的访问请求分配到同一台服务器上。...如果GSLB的返回结果是本地负载均衡器( SLB),那么同样需要保证关联访同被调度到同一个SLB上,SLB继续执行会话保持策略,保证用户访同被调度到同一台服务器上。

    2.9K21

    公有云项目方案咨询中一些常见问题(二)

    用户提出准备使用自购的dns服务进行单个域名的多个ip地址设置,已完成业务交易查询的web服务器的负载均衡。粗一听,好像挺完美的方案,但实际不可行。...:) 二、我的交易系统受到部分城市用户的恶意攻击,想进行阻断,天翼云SLB能不能帮到我? 这是客户的真实需求。...这样实施后,有可能误伤一些真实用户,但至少提供了服务,而不是服务器被全部拖垮。...三、在两台物理服务器下挂同一个共享磁盘,实现数据库的共享是否可行? 这也是客户的真实解决方案,但被我们否掉。...1、操作系统存在缓存,另一台服务器可能看不到写入的数据。在该案例场景中应不会出现该问题。2、更致命的问题是,如果没有集群软件的协助,两台服务器写入的数据可能会存在互相覆盖的情况。

    1.1K20

    5 分钟学会写一个自己的 Prometheus Exporter

    而对于阿里云 Exporter 而言, 由于阿里云有数十种类型的资源(RDS, ECS, SLB…), 因此我们无法推测用户到底希望抓哪些监控信息, 因此只能全部交给用户配置....当然, 项目还是提供了包含 SLB, RDS, ECS 和 Redis 的默认配置文件, 尽力做到开箱即用....这时, “ECS ID” 这个标签就可以唯一区分所有的指标. 这时我们假如再加入 “IP”, “操作系统”, “名字” 这样的标签并不会增加额外的区分度, 反而会在某些状况下造成一些问题....比如 “IP” 这样的标签, 假如我们只知道 ECS ID 而不知道 IP, 那么根本对不上号, 排查问题也会异常麻烦....设计落地页 用过 node_exporter 的会知道, 当访问它的主页, 也就是根路径 / 时, 它会返回一个简单的页面, 这就是 exporter 的落地页(Landing Page).

    8.3K10

    后摩尔定律时代,如何提升云效益的天花板

    RDMA(Remote Direct Memory Access)是一种高性能网络传输技术,可将数据直接从一台计算机的内存传输到另一台计算机,数据传输不经过 CPU。...ECS g8i 实例成功将机密计算“拉下神坛”,其全量搭载安全芯片 TPM 作为硬件可信根,实现服务器的可信启动,确保零篡改;虚拟化层面,支持虚拟可信能力 vTPM,提供实例启动过程核心组件的校验能力。...在该技术的加持下,ECS g8i 实例默认全内存加密,加强内存数据的物理攻击能力,进一步提升云上数据的安全水位,用户无需对操作系统或应用进行任何改动,即可享受到更高一层的安全防护。...阿里云和 Intel 在 TDX 的架构设计、功能验证、安全分析和性能优化等方面均进行了紧密的合作,并实现了 TDX 技术在云上的首次应用。...随着阿里云这样的云厂商在核心技术层面不断做出突破,将会有越来越多的企业愿意深度用云。 在政策方面,数字中国建设、东数西算等都将云计算放到了非常重要的位置。

    52020

    高并发架构设计经验

    • 服务端架构层:这个是我们重点要关注的架构设计,架构设计不合理,就很难住高并发,主要包括各种架构和模块的设计。 • 服务应用层:这个主要是针对我们写的代码来进行优化改进。...• 应用服务器集群 • nginx 反向代理 • slb • LVS … • 数据集群(关系/nosql数据库) • 主从分离,一主多从 • 数据读写分离 数据库设计:读写分离+分库分表+冷热分离 应对高并发...缓存的设计,需要分多个思路并行 • 首先要考虑的,就是必须在数据库之上,增加一层分布式缓存,比如 Redis 或者 Memcached。 • 这里需要考虑一下缓存和数据库一致性的问题。...分几级缓存设计,同时设计热点缓存架构。 • 在分布式缓存之上,还可以加一个本地缓存,来缓存最热的数据 • 采用多个分布式缓存来搭建多级缓存。...消息队列设计:MQ 量和削峰 针对流量突峰,仅仅有缓存来量可能还不够,还需要使用消息队列来削峰。

    1.2K82

    干货 | 携程第四代架构探秘之运维基础架构升级(下)

    本篇为该分享的下篇,上篇请戳: 携程第四代架构探秘之运维基础架构升级(上) 弹性路由(SLB) 携程部署架构采用的是单机多应用,每台服务器上部署了很多个应用。...所以SLB要做的是如何和应用模型融合起来,换句话说,所有对SLB的操作都要被抽象为对一个应用的操作。Nginx是基于文本配置文件,其内建了一个自己的模型,一次运维操作可以导致多个Nginx模型的变更。...这样只要解决一个Group的问题,就相当于解决了1000个、甚至更多个Group的问题。 2. 多次更新一次生效 建模成功地隐藏了Nginx的内存模型,并将操作转换成了对Group的操作。...而每个group中包含一台或多台堡垒机,必须先完成堡垒机的发布和验证,才能继续其他机器的发布,从而实现金丝雀发布。...因为CMS+SLB+TARS基于良好的配置数据模型设计,及其应用级的运维支持能力,为后续的技术架构改造带来了便捷和优势。

    1.9K90

    lvs为何不能完全替代DNS轮询

    一、问题域 nginx、lvs、keepalived、f5、DNS轮询,每每提到这些技术,往往讨论的是接入层的这样几个问题: 1)可用性:任何一台机器挂了,服务受不受影响 2)扩展性:能否通过增加机器,...运维的同学再熟悉不过了),还是花1分钟简单说明一下(详细请自行“百度”): 1)nginx:一个高性能的web-server和实施反向代理的软件 2)lvs:Linux Virtual Server,使用集群技术,实现在...此时的架构图如上: 1)多部署几份web-server,1个tomcat1000,部署3个tomcat就能3000 2)在DNS-server层面,域名每次解析到不同的ip 优点: 1)零成本:在DNS-server...lvs就不一样了,它实施在操作系统层面;f5的性能又更好了,它实施在硬件层面;它们性能比nginx好很多,例如每秒可以10w,这样可以利用他们来扩容,常见的架构图如下: ?...)水平扩展scale out是解决扩展性问题的根本方案,DNS轮询是不能完全被nginx/lvs/f5所替代的 末了,上一篇文章有同学留言问58到家采用什么方案,58到家目前部署在阿里云上,前端购买了SLB

    4K82

    网站遇到DDOS攻击怎么办?

    还有种情况就是 DDoS 攻击已经造成了服务器宕机或者是几乎无法打开的状态,那么最直接的就是先停止解析,以及解除 IP 和服务器的关联,这个操作可能只有一些大型的服务商支持,这个办法主要是为了先恢复服务器的运行...,这样才能进一步的操作。...部署高防CDN流量分散:CDN 由多个分布在全球不同地点的节点组成,当攻击发生时,大量的恶意流量会被这些节点所分散,使得单一的服务器或数据中心不易被过载,由于 CDN 的分布式结构,其总体带宽和资源远大于单一服务器...缓存内容:通常 CDN 会缓存静态内容,这样原始服务器由于 DDoS 攻击而变得不可访问或缓慢是,用户仍然可以从 CDN 节点获取缓存内容。...采用高防服务器高防服务器通常是 DDoS 高防服务,是为了抵御大规模 DDoS 攻击而特别设计的服务器和服务。

    38510

    LVS分享SRS:从开源到商业服务的万水千山

    RTC是大不相同的,比如WebRTC本身设计是通话,通话场景大部分时候都是一对一的对话,所以WebRTC设计了多种传输方式,比如直接P2P、通过STUN转发、通过SFU或MCU转发。...云的方向是应用上云的标准化(K8S),可以在多个云之间无缝迁移,这给应用非常高的可靠性。如果开源项目本身不做K8S所要求的改造,就无法在多个云之间迁移。 SRS如何解决这个问题?...一台服务器不可用时,影响的不仅仅是这台服务器的会话,而是这个服务器上的所有会议,一个会议一般会跨多个服务器。 中心云的迁移,可用的基础设施比较完善。...多端口更容易被攻击,如果出现安全事故,比一台服务不可用还要严重,这也是为何WebRTC正在做E2E(端到端)加密的原因。...现状和未来:云原生的标准做法,是通过SLB/Service隐藏服务,流量通过SLB转发到真实的Pod服务器。SRS已经支持了这种方式。 线上还有移动端切网问题,会影响SLB定位客户端。

    85210
    领券