本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
本页介绍如何对 Amazon EC2 实例和网络负载均衡器使用 AWS Shield Advanced 保护。
您可以保护 Amazon EC2 实例和网络负载均衡器,方法是先将这些资源附加到弹性 IP 地址,然后在 Shield Advanced 中保护弹性 IP 地址。
当您保护弹性 IP 地址时,Shield Advanced 会识别和保护它们所连接的资源。Shield Advanced 会自动识别附加到弹性 IP 地址的资源类型,并对该资源应用适当的检测和缓解措施。这包括配置特定 ACLs 于弹性 IP 地址的网络。有关使用弹性 IP 地址与 AWS 资源的更多信息,请参阅下述指南:Amazon Elastic Compute Cloud 文档或 弹性负载均衡文档。
攻击期间,Shield Advanced 会自动将您的网络部署 ACLs 到 AWS 网络边界。当您的网络 ACLs 处于网络边界时,Shield Advanced 可以针对较大的 DDo S 事件提供保护。通常,网络应用 ACLs 于您的亚马逊 VPC 内的亚马逊 EC2 实例附近。网络 ACL 只能缓解您的 Amazon VPC 和实例可以处理的攻击。例如,如果连接到您的 Amazon EC2 实例的网络接口可以处理高达 10 Gbps 的速度,则超过 10 Gbps 的卷将减慢速度,并可能阻塞该实例的流量。在攻击期间,Shield Advanced 会将您的网络 ACL 提升至 AWS 边界以处理多个 TB 的流量。您的网络 ACL 能够为您的资源提供超出您的网络典型容量的保护。有关网络的更多信息 ACLs,请参阅网络ACLs。
某些扩展工具(例如 AWS Elastic Beanstalk)不允许您将弹性 IP 地址自动附加到 Network Load Balancer。对于这些情况,您需要手动附加弹性 IP 地址。
