运维手册多ip香港站群服务器 IP管理与黑名单防护操作规范

1.

总览：香港站群多IP运维目标与规范

- 目标：确保多IP站群在香港机房的稳定性、合规性与SEO友好性。
- 范围：涉及VPS/物理主机、域名解析、CDN接入、DDoS防护与IP黑名单策略。
- 指标：单节点可承载并发连接≥5000，平均RTT≤40ms（到香港ISP），月可用率≥99.9%。
- 责任：SRE团队负责IP分配与黑名单执行，安全团队负责告警与复核。
- 文档更新：每季度复核一次，出现攻击/封禁事件24小时内更新记录。
- 变更流程：任何新增IP需通过审核表单并记录ASN、WHOIS与reverse DNS信息。

2.

IP管理：分配、池化与轮换策略

- IP来源：优先使用香港本地机房/IDC提供的独立公网IP（示例：203.121.XX.XX），避免长途路由造成延迟。
- 池化策略：建立IP池文件 /etc/ip-pool.txt，格式：IP|ASN|Provider|用途。例：203.121.45.10|AS9808|HK-Provider|SEO-01。
- 轮换规则：每7-14天按流量与健康状况轮换IP，轮换时更新DNS A记录并使用低TTL=60秒。
- 配额控制：每域名最多绑定5个IP（避免过度分散SEO权重），每IP最大承载50个站点。
- 自动化：使用脚本批量修改Nginx upstream + Certbot续签，示例命令片段：ip切换后reload nginx并验证proxy_pass返回200。
- 记录：所有IP变更写入变更日志，包含时间、操作者、旧IP、新IP与影响站点列表。

3.

黑名单防护：ipset + iptables 实践操作

- 推荐工具：使用ipset管理大规模IP黑名单，配合iptables快速丢弃流量。
- 创建示例：ipset create blacklist hash:net family inet hashsize 1024 maxelem 65536。
- 加入示例：ipset add blacklist 203.121.99.0/24; 并在iptables中阻断：iptables -I INPUT -m set --match-set blacklist src -j DROP。
- 日志与统计：使用conntrack与iptables计数器查看被丢弃连接，示例：iptables -L INPUT -v -n --line-numbers。
- 批量更新：每日定时任务拉取第三方与自建规则，示例crontab：0 */1 * * * /usr/local/bin/update-blacklist.sh。
- 冲突检查：更新前先进行白名单校验，避免误封合法搜索引擎爬虫（如Googlebot/百度ip段）。

4.

CDN与DDoS防护：接入层级与清洗策略

- 优先级：前端接入商业CDN（Cloudflare/阿里云CDN/腾讯云CDN）做WAF与速率限制，源站再做二次防护。
- 流量门槛：当单IP流量超过200Mbps或每秒请求数超过5000时，触发清洗策略并启用Anycast流量分发。
- 源站策略：源站限定仅允许CDN回源IP访问，示例iptables：iptables -A INPUT -s /32 -j ACCEPT; 其余DROP。
- 清洗方案：重度DDoS时启用云端清洗服务并切换到高防IP（示例：高防IP带宽10Gbps，按分钟计费）。
- 验证机制：攻击解除后进行回溯检查，确认无残余恶意连接再解除清洗。
- SLA与演练：与CDN/高防供应商约定响应时间≤10分钟，季度进行一次DDoS演练。

5.

真实案例：香港站群遭遇HTTP洪水的应急处置

- 事件概述：某站群在2025-03-12 03:20遭遇HTTP GET洪水，峰值流量约3.6Gbps，来源IP约2.1万条。
- 应对步骤：1) 立即令牌桶策略、启用CDN模式为“仅允许验证过的客户端”；2) 将异常IP加入ipset blacklist中；3) 上游请求重定向到云端清洗。
- 配置举例：受影响源站配置：Ubuntu 20.04, nginx 1.22, CPU 8 core, RAM 16GB, 磁盘 200GB SSD，公网IP示例：203.121.45.10。
- 恢复结果：经15分钟清洗后流量降至正常峰值300Mbps，服务在25分钟内恢复并无数据丢失。
- 教训与改进：增加自动化阈值告警、扩展ipset容量至maxelem 200000、在DNS中进一步降低TTL以便快速切换IP。

6.

运维台账与监控：告警、审计与合规

- 监控项：带宽、连接数、HTTP 5xx、CPU、磁盘I/O、黑名单新增速率。
- 告警阈值示例：单主机并发连接>10000触发P1，丢包率>1%触发P2，黑名单新增速率>1000条/分钟触发安全告警。
- 审计流程：每次黑名单变更需附上证据（日志样本、攻击源IP段、触发规则），并保存30天。
- 合规建议：避免使用被滥用或被封的IP段托管客户站群，定期查询RIR/WHOIS以确认IP归属。
- 备份与恢复：关键配置（ipset列表、iptables规则、nginx conf）采用秒级快照并异地备份，恢复演练每月一次。
- 联系方式：安全负责人邮箱 security@example.com，值班电话 +852-1234-5678。

7.

示例服务器清单（配置与IP）

- 下表为运维示例清单，包含香港机房多IP及防护说明。

编号	IP地址	提供商	CPU/RAM	DDoS防护
HK-01	203.121.45.10	HK-Provider-A	8c/16GB	本地+CDN
HK-02	103.21.59.30	HK-Provider-B	4c/8GB	云清洗
HK-03	203.122.11.55	HK-Provider-C	16c/32GB	高防10Gbps

- 注：表中IP为示例，实际使用时请以运营商分配为准。

文章标签：CDN DDoS防护 ipset iptables IP管理 VPS 多IP 服务器运维 香港站群 黑名单 更多»

来源：运维手册多ip香港站群服务器 IP管理与黑名单防护操作规范