MT公有云租賃服務(wù)項(xiàng)目產(chǎn)品手冊

MQUTAI

文檔修改記錄

目錄

1項(xiàng)目概述........................................................3

1.1項(xiàng)目背景................................................3

1.2產(chǎn)品概述.................................................3

2網(wǎng)絡(luò)............................................................4

2.1網(wǎng)絡(luò)帶寬................................................4

2.2數(shù)字專線電路............................................5

2.3CDN.........................................................................................................5

2.4抗DDOS................................................................................................14

2.5LVS...........................................................................................................2

2.6SLB負(fù)載均衡............................................6

3laaS......................................................................................................................11

3.1云服務(wù)器ECS......................................................................................11

3.2云硬盤-高效云盤.........................................15

3.3云硬盤-SSD云盤.........................................15

3.4對(duì)象存儲(chǔ)................................................18

3.5裸金屬服務(wù)器BMS.............................................................................27

4數(shù)據(jù)庫.........................................................30

4.1云數(shù)據(jù)庫MySQL...............................................................................30

4.2云數(shù)據(jù)庫Redis...................................................................................33

5中間件.........................................................36

5.1ES...........................................................................................................36

5.2Hbase......................................................................................................39

5.3應(yīng)用集群K8s.......................................................................................47

6安全等保...................................................49

6.1VPN........................................................................................................49

6.2主機(jī)安全高級(jí)版......................................51

6.3防火墻綜合版........................................55

6.4云綜合日志審計(jì)......................................59

6.5云堡壘機(jī)............................................63

6.6數(shù)據(jù)庫審計(jì)..........................................66

6.7漏洞掃描............................................69

6.8WEB防篡改系統(tǒng).....................................72

6.9Web應(yīng)用防火墻.....................................74

II

1項(xiàng)目概述

1.1項(xiàng)目背景

圍繞企業(yè)數(shù)字化轉(zhuǎn)型要求，為全面貫徹落實(shí)相關(guān)工作部署，并推進(jìn)智

慧茅臺(tái)建設(shè)，提升信息化系統(tǒng)建設(shè)水平，要求通過科技增能、數(shù)字賦能、

文化聚能，推動(dòng)云計(jì)算等新型數(shù)字化技術(shù)在包裝生產(chǎn)、倉儲(chǔ)物流、訂單交

付、產(chǎn)品溯源、金融結(jié)算等關(guān)鍵環(huán)節(jié)的應(yīng)用。

在茅臺(tái)營銷業(yè)務(wù)創(chuàng)新層面，進(jìn)入“十四五”，茅臺(tái)集團(tuán)面臨新秩序重

塑期、新格局形成期、新改革攻堅(jiān)期“三期”疊加的新形勢，新秩序的核

心是供應(yīng)秩序和市場秩序，新格局主要指產(chǎn)品、產(chǎn)業(yè)和銷售布局，新改革

有方方面面，核心是現(xiàn)代化管理。面對(duì)復(fù)雜的新形勢，茅臺(tái)全力推進(jìn)營銷

模式創(chuàng)新，探索發(fā)展新零售渠道，為消費(fèi)者提供更高質(zhì)量的產(chǎn)品和服務(wù)。

主要通過建設(shè)茅臺(tái)資金結(jié)算系統(tǒng)、茅臺(tái)519網(wǎng)上商城系統(tǒng)、流通溯源系統(tǒng)、

倉儲(chǔ)物流系統(tǒng)、股份公司營銷管理系統(tǒng)和茅臺(tái)酒終端渠道管控等業(yè)務(wù)系統(tǒng)

實(shí)現(xiàn)數(shù)字化營銷轉(zhuǎn)型。

為了保證茅臺(tái)系統(tǒng)服務(wù)的正常運(yùn)行，將茅臺(tái)使用的服務(wù)進(jìn)行監(jiān)控，并

根據(jù)使用資源的不同，對(duì)監(jiān)控指標(biāo)進(jìn)行告警。

1.2產(chǎn)品概述

結(jié)合茅臺(tái)信息化建設(shè)現(xiàn)狀，通過租賃公有云平臺(tái)的模式，茅臺(tái)重點(diǎn)使

用的產(chǎn)品種類分為網(wǎng)絡(luò)、IAAS、數(shù)據(jù)庫、中間件、安全等保等5類多款產(chǎn)

品，重點(diǎn)產(chǎn)品覆蓋：網(wǎng)絡(luò)包括網(wǎng)絡(luò)帶寬、數(shù)字專線電路、CDN、抗DDOS、負(fù)

載均衡LVS、負(fù)載均衡SLB等；laaS包括云服務(wù)器ECS、云硬盤-高效云盤、

云硬盤-SSD云盤、對(duì)象存儲(chǔ)、裸金屬服務(wù)器BMS等；數(shù)據(jù)庫包括云數(shù)據(jù)庫

RDS、云數(shù)據(jù)庫Redis等；中間件包括ES、Hbase、應(yīng)用集群K8s等；安全

等保包括VPN、主機(jī)安全高級(jí)版、防火墻綜合版、云綜合日志審計(jì)、云堡壘

3

機(jī)、數(shù)據(jù)庫審計(jì)、漏洞掃描、WEB防篡改系統(tǒng)、Web應(yīng)用防火墻等。

本文檔將重點(diǎn)使用產(chǎn)品手冊匯編成冊。

2網(wǎng)絡(luò)

2.1網(wǎng)絡(luò)帶寬

1、產(chǎn)品介紹

彈性公網(wǎng)IP(ElasticIPAddress)是基于互聯(lián)網(wǎng)上的靜態(tài)IP地

址，將彈性IP地址和子網(wǎng)中關(guān)聯(lián)的彈性云服務(wù)器、裸金屬服務(wù)器以及負(fù)

載均衡進(jìn)行綁定和解綁，可以實(shí)現(xiàn)專有網(wǎng)絡(luò)VPC中的云服務(wù)器通過公網(wǎng)

IP地址與互聯(lián)網(wǎng)互通；且聯(lián)通云彈性公網(wǎng)IP支撐包年包月以及按量計(jì)費(fèi)

的計(jì)費(fèi)模式，可滿足不同用戶在不同場景下的資源使用需求。

2、產(chǎn)品價(jià)值

(1)彈性靈活

支持與云服務(wù)器、負(fù)載均衡等實(shí)例靈活地綁定和解綁，支持帶寬靈活

調(diào)整，應(yīng)對(duì)各種業(yè)務(wù)變化。

(2)即開即用

即開即用，綁定解綁，續(xù)費(fèi)操作實(shí)時(shí)生效。

(3)實(shí)時(shí)監(jiān)控

使用提供彈性公網(wǎng)IP以及IPv6帶寬的監(jiān)控?cái)?shù)據(jù)，使用戶實(shí)時(shí)了解實(shí)

例狀態(tài)。

(4)計(jì)費(fèi)模式多樣

支撐包年包月以及按量計(jì)費(fèi)模式，用戶可根據(jù)自身業(yè)務(wù)選擇合適的模

式。

3、產(chǎn)品功能

(1)支持彈性公網(wǎng)IP的創(chuàng)建、退訂、查詢。

4

(2)支持彈性公網(wǎng)IP的續(xù)費(fèi)、升配。

(3)支持彈性公網(wǎng)IP綁定以及解綁云服務(wù)器、裸金屬服務(wù)器以及負(fù)

載均衡。

(4)支撐IPv4以及IPv6帶寬功能，最大帶寬值可達(dá)1000Mbps。

(5)支持對(duì)彈性公網(wǎng)IP公網(wǎng)流入速率以及流出速率的監(jiān)控。

(6)提供主子賬號(hào)功能，授權(quán)不同子賬號(hào)以只讀權(quán)限或者操作權(quán)限

操作彈性公網(wǎng)IP資源。

(7)支持在用戶創(chuàng)建資源的配額到達(dá)規(guī)定的上限后，通過工單形

式，可調(diào)整配額大小，滿足不同客戶對(duì)于資源的需求量。

4、產(chǎn)品性能

聯(lián)通云彈性公網(wǎng)IP支撐l-1000Mbps的帶寬

5、應(yīng)用場景

(1)公網(wǎng)出口

構(gòu)建聯(lián)通云各資源的公網(wǎng)出口，與多種業(yè)務(wù)資源靈活地綁定和解綁，

滿足用戶多種使用場景。

2.2數(shù)字專線電路

2.3CDN

1、產(chǎn)品介紹

聯(lián)通云CDN通過將內(nèi)容發(fā)布至遍布全球的加速節(jié)點(diǎn)，支持多場景業(yè)務(wù)

類型CDN加速，通過智能流量調(diào)度系統(tǒng)，使用戶可以就近快速獲取資源，

避免了網(wǎng)絡(luò)、地域、運(yùn)營商等因素帶來的延遲，有效提升速度、降低時(shí)延、

優(yōu)化用戶體驗(yàn)。

5

海量儲(chǔ)備

多節(jié)點(diǎn)、高帶寬、多運(yùn)營商、優(yōu)質(zhì)網(wǎng)絡(luò)護(hù)航各類型業(yè)務(wù)

智能調(diào)度

自研流量調(diào)度系統(tǒng)實(shí)時(shí)獲取鏈路R?,為客戶分配最優(yōu)節(jié)點(diǎn)

監(jiān)控告警

全方?a體監(jiān)控，掌??sttsSM務(wù)波動(dòng)

數(shù)據(jù)分析

流式日志計(jì)算服務(wù)，多種運(yùn)營報(bào)表及定制化分析

2、產(chǎn)品優(yōu)勢

(1)高規(guī)格加速節(jié)點(diǎn)覆蓋全球

＞高質(zhì)量節(jié)點(diǎn)覆蓋全國，國內(nèi)擁有1100+加速節(jié)點(diǎn)

＞全網(wǎng)100Tbps+帶寬資源儲(chǔ)備，其中聯(lián)通網(wǎng)內(nèi)15Tbps+帶寬全部接入

云聯(lián)網(wǎng)絡(luò)，緊鄰骨干路由，為各類型業(yè)務(wù)保駕護(hù)航

＞運(yùn)營商覆蓋全面(包括融合)：聯(lián)通，移動(dòng)，電信，鐵通，鵬博士，教

育網(wǎng)，華數(shù)，廣電等

(2)高性能自研流量調(diào)度系統(tǒng)

＞自研高性能流量調(diào)度體系

＞對(duì)內(nèi)容分發(fā)網(wǎng)絡(luò)加速進(jìn)一步優(yōu)化，精準(zhǔn)的為用戶分配最優(yōu)節(jié)點(diǎn)，保障

訪問質(zhì)量。

(3)一鍵接入多樣配置管理

開通CDN服務(wù)并添加域名后，前往域名服務(wù)商添加對(duì)應(yīng)CNAME記錄，

即可正式啟用加速服務(wù)，無需業(yè)務(wù)側(cè)做任何調(diào)整。

6

靈活的回源機(jī)制豐富的緩存策略

?域名回源?HTTP/HTTPS回源-是否緩存、遵循源站?軟件安裝包回源策略

?IP輪詢回源-HOST回源?圖片文件回源策略-緩存時(shí)長

?對(duì)象存儲(chǔ)回源?Range回源?音視頻文件回源策略?緩存權(quán)重

精準(zhǔn)的訪問控制秒級(jí)刷新智能預(yù)熱

?Referer黑白名單-URL參數(shù)鑒權(quán)?目錄刷新，即刻生效

?URL路徑鑒權(quán)?IP黑名單?分級(jí)預(yù)熱，降低回源

?UNg白名單-視頻拖拽控制?刷新狀態(tài)，實(shí)時(shí)監(jiān)控

豐富的監(jiān)控;報(bào)表強(qiáng)悍的抗攻擊能力

?多維度、實(shí)時(shí)的業(yè)務(wù)用量及質(zhì)量監(jiān)控?海量DDoS清洗能力

?5分鐘粒度，來源分析、熱點(diǎn)分析、趨勢分析?精準(zhǔn)識(shí)別、清洗DDoS和CC攻擊

?豐富的數(shù)據(jù)接口?WAF防攻擊

?訪問日志下載

(4)安全透明全方位站點(diǎn)監(jiān)控

穩(wěn)定可信賴的CDN,電信級(jí)服務(wù)保障，7*24小時(shí)全網(wǎng)監(jiān)控與工單響應(yīng)；

服務(wù)可用性高達(dá)99.9%；支持全網(wǎng)HTTP安全傳輸，網(wǎng)站防盜鏈等高級(jí)安全

控制功能能力。

網(wǎng)絡(luò)質(zhì)量準(zhǔn)入

網(wǎng)絡(luò)質(zhì)星感知

大數(shù)據(jù)預(yù)測故障

客戶控制臺(tái)統(tǒng)計(jì)

(5)節(jié)省成本

支持按日峰值帶寬、按流量計(jì)賽；按需付費(fèi)，用多少計(jì)多少；月帶寬

峰值在lOGbps以上的客戶可以通過工單申請(qǐng)按月計(jì)費(fèi)商務(wù)洽談。

3、產(chǎn)品架構(gòu)

聯(lián)通云CDN產(chǎn)品為了解決復(fù)雜多變網(wǎng)絡(luò)環(huán)境下頁面、下載、流媒體等

7

內(nèi)容訪問速度慢、訪問可用性不高的普遍問題，通過聯(lián)通云部署在全國各

地的邊緣、中間節(jié)點(diǎn)輔以涵蓋全局的監(jiān)控系統(tǒng)組成了CDN緩存網(wǎng)絡(luò)，配備

完善的運(yùn)營管理系統(tǒng)，建成了涵蓋“管理一內(nèi)容一監(jiān)控”的聯(lián)通云CDN架構(gòu)

平臺(tái)。平臺(tái)架構(gòu)如圖所示：

地

本

DhNS

備

請(qǐng)

求

庠g

?H

亞洲源站

器9HI

;境內(nèi)源站

卷

鼠H

其他源站

一

4、平臺(tái)萬案

聯(lián)通云CDN平臺(tái)根據(jù)加速內(nèi)容的不同，分為網(wǎng)頁加速平臺(tái)、下載加速

平臺(tái)、點(diǎn)播加速平臺(tái)和直播加速平臺(tái)。各平臺(tái)雖然有所不同，但是具有一

些相同的功能特性。

(1)HTTPS優(yōu)化

為了提升網(wǎng)站安全性以及防止流量劫持，廣告植入等問題，各大網(wǎng)站

紛紛啟用HTTPS,其中百度，阿里更是先后實(shí)現(xiàn)了全站的HTTPS方案。但

是根據(jù)Google的性能數(shù)據(jù)，針對(duì)1024位的證書，CPU單核性能大約為

1500CPS(ConnectionPerSecond)。由SSL加密中的非對(duì)稱加密消耗大量

CPU資源，對(duì)源站改造成的成本和壓力較大。如果是針對(duì)2048位證書，CPU

的CPS更是下降到300-800CPS,對(duì)比HTTP請(qǐng)求，性能下降6-8倍，下降

了一個(gè)數(shù)量級(jí)。如果需要在性能相當(dāng)?shù)那闆r下進(jìn)行改造，需要付出一定的

8

硬件成本和人力成本。SSL證書意味著使用HTTP協(xié)議，但是并不意味著有

著相同的安全性。即使購買的證書和使用的服務(wù)符合蘋果推薦的ATS協(xié)議:

(1)服務(wù)端必須支持TLS1.2或以上版本；(2)必須使用支持前向保密的

密碼；(3)證書必須使用SHA-256或者更好的簽名hash算法來簽名等，

但是還有許多因素制約著實(shí)際使用HTTPS的安全，著名的網(wǎng)站SSLLABS.COM

提供了針對(duì)HTTPS安全的評(píng)估方案。

(2)防盜鏈

盜鏈?zhǔn)侵阜?wù)提供商自己不提供服務(wù)的內(nèi)容，通過技術(shù)手段繞過其它

有利益的最終用戶界面(如廣告)，直接在自己的網(wǎng)站上向最終用戶提供

其它服務(wù)提供商的服務(wù)內(nèi)容，騙取最終用戶的瀏覽和點(diǎn)擊率。受益者不提

供資源或提供很少的資源，而真正的服務(wù)提供商卻得不到任何的收益。為

了滿足絕大多數(shù)客戶的防盜鏈需求，聯(lián)通云CDN對(duì)外提供2種防盜鏈的方

式：

>Referer防盜鏈

實(shí)現(xiàn)原理：

通過httpreferer過濾請(qǐng)求內(nèi)容返回對(duì)應(yīng)信息的配置。httpreferer

是http請(qǐng)求包包頭的一部分，當(dāng)瀏覽器向web服務(wù)器發(fā)送請(qǐng)求時(shí)，會(huì)帶上

referer,告訴服務(wù)器此請(qǐng)求是從哪個(gè)鏈接而來，從而可進(jìn)行信息的處理。

注意事項(xiàng)：

(1)Referer黑名單、白名單二者不兼容，同一時(shí)間只能生效一種類

型；

(2)當(dāng)防盜鏈黑、白名單為空時(shí)，等同于關(guān)閉防盜鏈，防盜鏈規(guī)則不

生效；

(3)防盜鏈輸入內(nèi)容最多可輸200條。

9

防盜鏈規(guī)則匹配的設(shè)定如下：

（1）支持域名/IP規(guī)則，且為前綴匹配。

（2）支持域名前綴通配符：Referer為空（即指用戶在瀏覽器中直接

訪問域名，則Referer為空），空Referer默認(rèn)不匹配任何規(guī)則。包含空

Referer：包含空Referer即指：選擇Referer白名單時(shí)，白名單中包含空

的Referer（即：通過瀏覽器地址欄直接訪問該資源URL）時(shí)，CDN將正常返

回資源信息。

>User-Agent防盜鏈

User-Agent頭部包含了發(fā)起原始請(qǐng)求的客戶端（通常是指瀏覽器）信

息。不同的客戶端通常具有不同的User-Agent信息。和Referer類似，聯(lián)

通云CDN支持針對(duì)HTTP請(qǐng)求頭中User-Agent信息，禁止或者允許符合特

定User-Agent規(guī)則（支持正則匹配）的請(qǐng)求。但是由User-Agent很容易

偽造，因此UserAgent防盜鏈安全性較低。適用場景舉例：

（1）某個(gè)頁面或者資源只希望被IE瀏覽器訪問，不希望或者不支持

被Chrome訪問，這種情況下就可以配置User-Agent防盜鏈。

（2）客戶有自己專屬的客戶端下載工具進(jìn)行內(nèi)容下載，該下載工具在

請(qǐng)求時(shí)User-Agent使用了自己定制的名稱，希望只針對(duì)符合這種規(guī)則的請(qǐng)

求開放下載，這種情況下也可以使User-Agent防盜鏈。

（3）網(wǎng)站加速平臺(tái)

聯(lián)通云CDN產(chǎn)品的網(wǎng)頁加速平臺(tái)是專門針對(duì)網(wǎng)頁圖片進(jìn)行深度優(yōu)化的

加速方案。針對(duì)網(wǎng)頁文件普遍為中小圖片文件，更新頻繁且數(shù)目巨大以及

動(dòng)態(tài)請(qǐng)求占比較高的特點(diǎn)進(jìn)行了優(yōu)化。同時(shí)，制定了動(dòng)態(tài)加速、圖片無損

壓縮優(yōu)化等專門針對(duì)網(wǎng)頁動(dòng)靜態(tài)內(nèi)容加速的策略。做到快速分發(fā)內(nèi)容，智

能路由回源，解決了終端用戶訪問各種內(nèi)容可能產(chǎn)生的訪問延遲問題，大

10

致具有以下效果：用戶端：提升訪問速度和訪問質(zhì)量(可用性)；源站端：

減少回源量，降低源站壓力，減少源站投入；業(yè)務(wù)端：應(yīng)對(duì)可能的帶寬突

增，保證服務(wù)質(zhì)量穩(wěn)定，業(yè)務(wù)順利運(yùn)營；運(yùn)維端：保證源站安全運(yùn)維，防

止惡意入侵和海量攻擊。同時(shí)提供內(nèi)容完整，數(shù)據(jù)準(zhǔn)確的用戶日志和多維

度數(shù)據(jù)統(tǒng)計(jì)分析系統(tǒng)，保證運(yùn)維時(shí)刻掌握系統(tǒng)情況。

網(wǎng)頁加速平臺(tái)主要用于解決當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境下(尤其是移動(dòng)互聯(lián)網(wǎng)

環(huán)境下)各類PC/手機(jī)網(wǎng)站以及移動(dòng)APP訪問速度慢、可用性偏低的問題。

主要適用于HTTP/HTTPS協(xié)議進(jìn)行傳輸?shù)膬?nèi)容，尤其對(duì)含有大量圖文內(nèi)容的

頁面、應(yīng)用有很好的加速效果。例如門戶網(wǎng)站、電子商務(wù)平臺(tái)、游戲、閱

讀資訊、社交、生活工具、政府網(wǎng)站、辦公系統(tǒng)等。

(4)下載加速平臺(tái)

相比于網(wǎng)站加速平臺(tái)而言，針對(duì)較大文件的分發(fā)帶來了完全不同的問

題，下載場景的顯著特點(diǎn)就是可以概括為：大文件、高帶寬、波動(dòng)大、下

載工具廣泛。針對(duì)以上特點(diǎn)，當(dāng)前下載類的用戶常見問題主要包含：下載

質(zhì)量不高，成功率低；軟件發(fā)布不及時(shí)；帶寬不穩(wěn)定，客戶下載體驗(yàn)差，

盜鏈現(xiàn)象嚴(yán)重等。

下載產(chǎn)品平臺(tái)主要適用于：各類手機(jī)應(yīng)用分發(fā)商店，應(yīng)用和頁面內(nèi)影

音文件的分發(fā)，游戲更新/程序/客戶端，固件/硬件/軟件更新程序的下載

等，所以主要分為發(fā)行商、下載商以及視頻供應(yīng)商三類。為有大內(nèi)容分發(fā)

的內(nèi)容提供商提供快速優(yōu)質(zhì)的服務(wù)。

(5)點(diǎn)播加速平臺(tái)

最近幾年，各大視頻網(wǎng)站將自制內(nèi)容提升到戰(zhàn)略高度，內(nèi)容向著精品

化方向發(fā)展。而且在商業(yè)模式上，會(huì)員付賽收入表現(xiàn)出非常強(qiáng)勁的增長趨

勢。而點(diǎn)播加速平臺(tái)是聯(lián)通云CDN視頻解決方案的核心之一。通過提供完

11

整的，囊括上傳、轉(zhuǎn)碼、管理、發(fā)布、統(tǒng)計(jì)各個(gè)視頻點(diǎn)播服務(wù)階段的核心

能力，聯(lián)通云為客戶提供一站式云視頻PaaS服務(wù)。借助靈活、快速、高質(zhì)

量的視頻發(fā)布服務(wù)，點(diǎn)播加速平臺(tái)在過去的幾年，各大視頻網(wǎng)站將自制內(nèi)

容提升到戰(zhàn)略高度，內(nèi)容向著精品化方向發(fā)展。而且在商業(yè)模式上，會(huì)員

付費(fèi)收入表現(xiàn)出非常強(qiáng)勁的增長趨勢。而點(diǎn)播加速平臺(tái)是聯(lián)通云CDN視頻

解決方案的核心之一。通過提供完整的，囊括上傳、轉(zhuǎn)碼、管理、發(fā)布、

統(tǒng)計(jì)各個(gè)視頻點(diǎn)播服務(wù)階段的核心能力，聯(lián)通云為客戶提供一站式云視頻

PaaS服務(wù)。借助靈活、快速、高質(zhì)量的視頻發(fā)布服務(wù)，用戶可以快速具備

穩(wěn)定可靠的視頻發(fā)布能力，聚焦于業(yè)務(wù)本身，敏捷響應(yīng)市場變化。

方案的主要優(yōu)勢如下：

經(jīng)驗(yàn)優(yōu)勢：基于聯(lián)通云長期在音視頻領(lǐng)域的技術(shù)積累和能力，包括支

撐聯(lián)通云視頻億級(jí)日均播放量的長期技術(shù)積淀等；

資源優(yōu)勢：覆蓋全國的CDN節(jié)點(diǎn)網(wǎng)絡(luò)，現(xiàn)有1100+全球節(jié)點(diǎn)，以及超

過100T帶寬。超過10000臺(tái)分布式轉(zhuǎn)碼集群，2000并發(fā)轉(zhuǎn)碼，保障轉(zhuǎn)碼

質(zhì)量效率；

方案安全：支持對(duì)播放速度進(jìn)行限制，可快速構(gòu)建分級(jí)服務(wù)體驗(yàn)；支

持基于時(shí)間戳等多種防盜鏈方案，保障視頻內(nèi)容的安全私密。

聯(lián)通云CDN點(diǎn)播平臺(tái)將CDN的分布式部署的優(yōu)勢以及中心處理的高性

能進(jìn)行了結(jié)合，解決了流媒體點(diǎn)播在實(shí)際使用過程中的大流量、高延遲的

問題。適用于所有基于HTTP以及HTTPS協(xié)議為主的流媒體點(diǎn)播站點(diǎn)。例

如：各種視頻網(wǎng)站（影視類、教育類等）、門戶網(wǎng)站、音樂網(wǎng)站、網(wǎng)絡(luò)電

視臺(tái)、網(wǎng)絡(luò)音樂臺(tái)、UGC網(wǎng)站等。目前在線點(diǎn)播目前常用的格式為FLV、MP4

和HLSo

12

(6)直播加速平臺(tái)

視頻直播應(yīng)用，尤其是互聯(lián)網(wǎng)的廣泛應(yīng)用和近幾年的OTT的應(yīng)用，對(duì)

直播視頻要求越來越大。自2008年互聯(lián)網(wǎng)視頻的爆發(fā)式增長極大的帶動(dòng)

CDN服務(wù)的成長，CDN駛?cè)敫咚侔l(fā)展軌道。2016年-2018年，中國CDN發(fā)展

增速達(dá)到70%以上。2018年，達(dá)到201.6億元人民幣，增速最高達(dá)到81.8%o

從業(yè)務(wù)類型來看，2018—2019年，中國CDN市場傳統(tǒng)的業(yè)務(wù)如頁面和視頻

加速仍為當(dāng)前主要業(yè)務(wù)流量和收入來源。從CDN業(yè)務(wù)日均流量上看，視頻

業(yè)務(wù)流量最多，占比61.2%。到2022年，我國超高清視頻產(chǎn)業(yè)總體規(guī)模超

過4萬億元。隨著5G網(wǎng)絡(luò)的進(jìn)一步完善以及資費(fèi)的下調(diào)，在手機(jī)上收看視

頻以及直播已經(jīng)變得愈加普遍。

傳統(tǒng)的電信網(wǎng)絡(luò)是可以直接提供組播的專有網(wǎng)絡(luò)，網(wǎng)絡(luò)內(nèi)部可以通過

采用組播協(xié)議來完成骨干網(wǎng)和接入網(wǎng)整個(gè)流程的組播支持，但在現(xiàn)有的

Internet互聯(lián)網(wǎng)應(yīng)用下，0TT運(yùn)營商是采用公網(wǎng)來進(jìn)行直播服務(wù)的，而且

考慮到防火墻的問題，大多數(shù)都采用HTTP和RTMPoverHTTP的協(xié)議來支持，

但是這種情況下，就要求媒體直播服務(wù)器LiveMediaServer需要非常大的

網(wǎng)絡(luò)帶寬來支持上百萬的客戶請(qǐng)求，而且運(yùn)營商網(wǎng)絡(luò)接入和用戶網(wǎng)絡(luò)接入

的最后一公里就成為直播質(zhì)量的關(guān)鍵，往往會(huì)產(chǎn)生許多的問題：延遲/清晰

度：視頻業(yè)務(wù)的核心競爭力是流暢和清晰度，這兩個(gè)因素是受限于好的網(wǎng)

絡(luò)保障，但是運(yùn)營商會(huì)經(jīng)常遇到跨運(yùn)營商的多網(wǎng)絡(luò)連接，特別是接入網(wǎng)絡(luò)

和最后一共里網(wǎng)絡(luò)經(jīng)常不穩(wěn)定，會(huì)大大影響用戶的觀看體驗(yàn)。流量的突發(fā)：

在內(nèi)容提供商進(jìn)行市場推廣或重大事件的現(xiàn)場直播活動(dòng)，以及一些突發(fā)熱

點(diǎn)事件的發(fā)生時(shí)，經(jīng)常會(huì)突發(fā)產(chǎn)生大量的網(wǎng)絡(luò)直播請(qǐng)求，而原有的網(wǎng)絡(luò)不

一定能承受這種突發(fā)流量的要求。內(nèi)容的不可控：直播的展現(xiàn)內(nèi)容完全由

主播自主生成，實(shí)時(shí)的向觀眾傳遞。在保證直播的流暢和實(shí)時(shí)性的基礎(chǔ)上，

13

平臺(tái)策略和相關(guān)法律法規(guī)需要確保主播推送內(nèi)容的合法性。一旦主播推送

的內(nèi)容觸及相關(guān)法規(guī)，不僅會(huì)在用戶群中對(duì)平臺(tái)產(chǎn)生嚴(yán)重的負(fù)面影響，更

會(huì)讓平臺(tái)承擔(dān)極大的政策壓力。

聯(lián)通云CDN產(chǎn)品的直播加速平臺(tái)能夠幫客戶解決直播方案中的：均衡

延遲/清晰度，應(yīng)對(duì)流量突發(fā)，監(jiān)控直播內(nèi)容等問題。一方面提升視頻直播

的質(zhì)量，增加用戶粘性；另一方面保障直播平臺(tái)的安全以及內(nèi)容的合規(guī)。

直播加速產(chǎn)品適用于各類流媒體直播APP以及頁面：游戲直播、美女直播、

新聞直播、體育比賽、網(wǎng)絡(luò)課堂、視頻會(huì)議等。

2.4抗DDOS

1、產(chǎn)品介紹

DDoS攻擊

分布式拒絕服務(wù)DDoS(DistributedDenialofService)攻

擊是指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平

臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻

擊的威力。

通常，攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)

算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程

序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令

時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活

成百上千次代理程序的運(yùn)行。

CC(ChallengeCollapsar)攻擊

HTTPFlood,是針對(duì)Web服務(wù)在0SI協(xié)議第七層協(xié)議發(fā)起的攻

14

擊，攻擊者極力模仿正常用戶的網(wǎng)頁請(qǐng)求行為，發(fā)起方便、過濾困

難，極其容易造成目標(biāo)服務(wù)器資源耗盡無法提供服務(wù)。

高防IP

DDoS高防IP是針對(duì)游戲、互聯(lián)網(wǎng)、金融及政企等行業(yè)遭受

大流量DDoS/CC攻擊導(dǎo)致用戶服務(wù)不可用的情況而推出的付費(fèi)

防護(hù)服務(wù)。

采用BGP線路，單節(jié)點(diǎn)最高可防護(hù)T級(jí)攻擊。相較傳統(tǒng)的靜

態(tài)IDC高防IP服務(wù)，BGP高防IP天然具有災(zāi)備能力、線路

更穩(wěn)定、訪問速度更快。

支持TCP,UDP,HTTP,HTTPS,WEBSOCKET和WEBSOCKETS等協(xié)議，覆

蓋游

戲、互聯(lián)網(wǎng)、金融及政務(wù)等各類業(yè)務(wù)。

15

IP防護(hù)原理

接入前

黑客

用戶

配置防御前：用戶訪問和攻擊流量均會(huì)直達(dá)源站

配置防御后：用戶訪問和攻擊流量均先請(qǐng)求到高防IP,經(jīng)防御集

群過濾后轉(zhuǎn)發(fā)用戶正常請(qǐng)求回到源站完成數(shù)據(jù)交換

接入后

黑客

曲S/cc攻擊防御、

TCP/UDP/HTTP/HTTPS

---------------------------------A

_____________________y

百度云高防中心源站服務(wù)器

高防

用戶IP

16

2、接入配置

若為網(wǎng)站類業(yè)務(wù)(HTTP/HTTPS)------------------

高防中心推妒了謂求域名與對(duì)應(yīng)服務(wù).源站50

疆IP及蠅口的對(duì)應(yīng)關(guān)系回源IP^PORTa?------------------

接入配置轉(zhuǎn)發(fā)原理圖

轉(zhuǎn)發(fā)規(guī)則

前置條件：必須先購買高防IP實(shí)例

需要先明確接入云高防防護(hù)的業(yè)務(wù)類型和需求，再針對(duì)性

地配置轉(zhuǎn)發(fā)規(guī)則。點(diǎn)擊高防實(shí)例中紅框標(biāo)記的按鈕進(jìn)入“轉(zhuǎn)

云安全DDoS防護(hù)云高防V3.0。自動(dòng)蟆酬

無勢！B知+由買富防加1Pv調(diào)輸入舊進(jìn)行掇案Q

應(yīng)用防火墻WAF

SW8W/IDffiUE/務(wù)性防護(hù)受防護(hù)域姨及配置運(yùn)行狀態(tài)與站監(jiān)控版務(wù)到期時(shí)，作

DDoSBKRFy

ADAS-7b9f48…

2021-03-24

娘精10/10Gbps4個(gè)6個(gè)0?巳過RI?異常Q

DDoS高防IPCDc11：09：07

adas-MM

?防護(hù)報(bào)袤

dunfinMV.1789^12021-09-14

10/10Gbps7個(gè)?運(yùn)行中?釋常。

adas--(BGP)10：17：21升級(jí)

?需防IP實(shí)例

防妒模板GR0UP-cd60._

?2022-02*緣a

an5個(gè)500/600Gbps。個(gè)18個(gè)?送行中?號(hào)素。

2822：35：28升轆

主機(jī)安全?g心■■

安全檢泅雇務(wù)SRD10▼.[□>

3條每頁顯示

流量審計(jì)

報(bào)警設(shè)置

發(fā)配置〃

17

網(wǎng)站防護(hù)（七層轉(zhuǎn)發(fā)）

〈遁回二防IP列表dun-??行中

轉(zhuǎn)發(fā)設(shè)?

網(wǎng)站域名V酒猱，麻沾犍不遇行Q全都導(dǎo)出

ccnr?tt轉(zhuǎn)發(fā)■法會(huì)iS保持aatfifi?（作

-0能懈己關(guān)闈己關(guān)閉■-ten副甘

nianche...

HTTPS/443http.52du...Mtp.52du...D2個(gè)9>花詢己關(guān)閉己關(guān)閉??tttflKtt

□0-B

□HTTP/80http.52du...http.52du...O1個(gè)。-B輪詢已關(guān)斷己關(guān)飾9?!SW

針對(duì)網(wǎng)站類防護(hù)可以單條添加或批量添加轉(zhuǎn)發(fā)規(guī)則，下方以單條添加為例

進(jìn)行說明。

網(wǎng)站轉(zhuǎn)發(fā)規(guī)則配置：

18

dun?擊行中

I添加轉(zhuǎn)發(fā)規(guī)則

勘迷協(xié)議?HTTPSv國

域名：

前口"口：443

1-65535之間,無R（制

回源與以：HTTPv叵）

回源地址：⑥P及18口回暴O?名的春田

+津藺IPRBI口

□?P途口操作

□1180保存取消

HTTPSiifl：nginx/v+津闌江由WitttrHifi審WSSlii書

HXAJMv0

會(huì)話?？妗Ｃ懒、揲_啟

cook?e4tBL^KIfl入cookieV叵］

超時(shí)時(shí)間：30?

1-15557。tJOBB

回溫超時(shí)時(shí)間：30

CC防護(hù)策略澳板空幅標(biāo)V

I健康檢查設(shè)81

健雄檢發(fā)⑥關(guān)閉O開店

保存取消

前端協(xié)議：為最終用戶提供服務(wù)的協(xié)議，可選擇Http或Https

19

域名：需要接入防護(hù)的具體域名（支持泛域名）

回源協(xié)議：云高防將正常用戶請(qǐng)求轉(zhuǎn)發(fā)回源站所使用的協(xié)議，支持Http

或Https回源

回源地址：支持IP加端口或域名加端口兩種方式回源，支持配置

多個(gè)源站地址（可選擇輪詢或最小連接數(shù)的算法分發(fā)請(qǐng)求）

HTTPS證書：僅當(dāng)前端協(xié)議選擇HTTPS時(shí)出現(xiàn)?？蓮南吕蛑羞x擇

或新添加Https證書,根據(jù)源站W(wǎng)eb服務(wù)器類型（Nginx/Apache/

添加證書X

?證書名稱:test

?證書類型:

?證書:

?私鑰:

確定取消

Ils等）上傳對(duì)應(yīng)正確的公鑰和私鑰。

轉(zhuǎn)發(fā)規(guī)則：即上文中針對(duì)多個(gè)回源地址所選擇轉(zhuǎn)發(fā)回源的算法

會(huì)話保持：七層轉(zhuǎn)發(fā)的會(huì)話保持可以在指定的時(shí)間范圍內(nèi)將同一客

戶端的請(qǐng)求轉(zhuǎn)發(fā)至同一臺(tái)后端服務(wù)器上

20

a)Cookie處理方式:

n植入Cookie：客戶端第一次訪問時(shí)，云高防轉(zhuǎn)發(fā)會(huì)在返回用

戶請(qǐng)求中插入標(biāo)識(shí)后端服務(wù)地址的Cookie項(xiàng)，下次客戶端

攜帶此Cookie即可把請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)的后端服務(wù)器上

21

n重寫Cookie：指定Http/Https響應(yīng)中插入改寫指定

Cookie,在后端服務(wù)器上維護(hù)該Cookie的過期時(shí)間和生存

時(shí)間

超時(shí)時(shí)間：即會(huì)話保持的超時(shí)時(shí)間，（可選1-15552000）秒

回源超時(shí)時(shí)間：超過此設(shè)置的時(shí)間仍然沒有得到源站響應(yīng)，則回源超時(shí)（輸

入范圍為

「3600間的整數(shù)，建議設(shè)置為

30秒）CC防護(hù)策略模板：可以按需選擇和關(guān)聯(lián)CC

防護(hù)模板以便更好地應(yīng)用CC攻擊，具體在后面章節(jié)介紹

健康檢查：定時(shí)由云高防發(fā)出回源探活請(qǐng)求，評(píng)估源站是否存活，連

續(xù)健康檢查失敗超過“不健康閾值"時(shí)，源站服務(wù)器將被認(rèn)定為異常，

從服務(wù)器池中摘除，直到恢復(fù)正常；反之連續(xù)健康檢查成功超過''健

康閾值“，源站服務(wù)