DDoS高防包異地防護背景：

騰訊云DDoS高防包承諾提供不低于30Gbps的全力防護能力。全力防護指以成功防護每一次 DDoS 攻擊為目標，整合當前本地清洗中心能力，當前廣州區(qū)域的最高防護能力不超過300Gbps，北京區(qū)域的最高防護能力不超過250Gbps，上海區(qū)域的最高防護能力不超過500Gbps，同時會根據(jù)當時的實際網(wǎng)絡狀態(tài)進行動態(tài)調整，同時會根據(jù)當時的實際網(wǎng)絡狀態(tài)進行動態(tài)調整，全力對攻擊進行抵御。

騰訊云受客觀因素影響，騰訊云DDoS高防包僅支持騰訊云北京，上海，廣州地域購買高防防御包，除此之外，中國大陸成都、重慶等區(qū)域尚未上線高防包產(chǎn)品。

DDoS高防包異地防護方案：

本文介紹的防御方案主要由 騰訊云DDoS 高防包、CLB 負載均衡、源站業(yè)務 Server 三個部分組成。在具有 DDoS 高防包資源的地區(qū)部署 CLB 負載均衡，并將其與 DDoS 高防包進行綁定。配置 CLB 的內網(wǎng)回源規(guī)則，確保通過 CLB 的公網(wǎng) IP 可以訪問業(yè)務。

1、常態(tài)化情況下，業(yè)務可根據(jù)需要解析到源站業(yè)務的公網(wǎng) IP（或直接解析到異地的 CLB 公網(wǎng) IP），業(yè)務流量就近訪問源站。

2、在發(fā)生攻擊后，將業(yè)務解析到 CLB 的 IP，對 DDoS 攻擊流量進行清洗，完成清洗后，由 CLB 通過內網(wǎng)專線將流量轉發(fā)回到源站。

具體的防護方案如下圖所示：

DDoS高防包異地防護效果：

1、可以打破地域防護能力的限制，可具有最大500Gpbs的 DDoS 防護能力。

2、業(yè)務流量使用騰訊云的內網(wǎng)專線進行轉發(fā)，可靠性高、延遲小。

3、充分享用騰訊云 DDoS 網(wǎng)絡的優(yōu)勢，所有公網(wǎng) IP 均為 BGP IP，延遲低。

建議與注意事項：

1、提前部署騰訊云DDoS防包和負載均衡CLB。

2、建立業(yè)務可用性監(jiān)測機制，在未部署自動切換機制的情況下，發(fā)現(xiàn)源站訪問異常及時介入處理。

3、定期進行驗證和演練，了解和熟悉方案細節(jié)，解決可能存在的問題。

注意：該方案僅適用于用戶業(yè)務源站部署在騰訊云，并且需要使用騰訊云非源站所在地區(qū)的 DDoS 高防包防護能力時，可參考本方案。