【最佳实践】巡检项：内容分发网络（CDN）用量封顶配置

问题描述

腾讯云 CDN 当前为按量后付费，如果没有安全防护措施，可能由于恶意盗刷产生大量带宽或者流量，导致产生高额账单。为了尽量避免此类潜在风险，我们建议用户通过一系列的防护机制对域名进行保护。

解决方案

为了减少盗刷，攻击等恶意流量对域名或账户产生远高于平时消费金额的账单，我们建议客户可以从如下几个方面进行防护

• 访问控制
• 流量管理
• 安全防护

本文详细介绍一下流量管理里的最直接的『用量封顶』解决方案：

用量封顶可以限制域名的流量/带宽使用上限。 当统计周期（5分钟）产生的流量/带宽超出所设置阈值时，强制请求回源或关闭 CDN 服务（全部请求返回404），以避免产生过高的账单。用量封顶配置生效存在一定延迟（10分钟左右）

1. 查看配置

点开『域名管理』--》『高级设置』 可以看到『用量封顶』tab页面，默认配置为关闭状态，如图所示：

2.配置设置

开启配置状态开关，即可弹出如下对话框，对用量封顶进行详细的策略设置：

如果想对境内境外进行区别设置， 可以在查看配置界面点击『添加特殊配置』即出现如下对话框进行区别设置

配置类型：

• 带宽封顶，即统计域名的带宽消耗
• 流量封顶，即统计域名的流量消耗

• 带宽（流量）阈值：
  • 带宽阈值，配置带宽访问的上限值
  • 流量阈值，配置流量访问的上限值
• 超出阈值：
  • 访问回源，即请求直接返回源站
  • 访问404，该配置会直接关闭CDN服务。您可后续在域名管理页面重新上线域名，恢复CDN服务。 注：对源站类型为COS源/第三方对象存储，仅支持访问返回404（即关闭CDN服务）。
• 告警阈值： 当 访问带宽（流量）/访问阈值 的比值超出配置的百分比时（仅可填写10的倍数，10% - 90%），CDN将推送告警消息。

系统检测到域名带宽（流量）超出阈值后，访问回源或访问返回404配置均需要全网节点逐步下发生效，因此会有一定的生效延迟。若已开启告警阈值：因扫描粒度为5min，若短时间内用量剧增或百分比设置的数值较大，可能上一次扫描还未触发百分比告警的阈值，下一次扫描直接达到了访问阈值。此场景下 CDN 会依次发送百分比告警和访问阈值告警两个通知消息。

注意事项

• 用量封顶配置生效存在一定延迟，期间产生的消耗会正常计费。
• 源站类型为COS源的域名，仅支持访问返回404（关闭CDN服务）。
• 加速类型为 ECDN 动态加速和 ECDN 动静加速的域名不支持区域特殊配置。
• 区域特殊配置添加后，暂时无法直接删除，您可以通过关闭配置来禁用。
• 当统计周期（5分钟）产生消耗超出所设阈值后，CDN将关闭服务，可以在域名管理页面重新上线域名，恢复CDN服务。

另外腾讯CDN在避免恶意流量产生非预期费用提供了多种免费或增值的解决方案，可供用户根据自己的业务特点和安全级别的需求进行多种选择或组合应用，更多说明请参见攻击风险预防方案