انتقل إلى المحتوى

كيف يعمل عقدة التصفية في البيئات المنفصلة

قد يتم نشر التطبيق إلى عدة بيئات مختلفة: الإنتاج، والتجريب، والاختبار، والتطوير، إلخ. توفر هذه التعليمات معلومات حول الطرق المقترحة لإدارة عقدة التصفية للبيئات المختلفة.

ما هي البيئة

قد يختلف تعريف البيئة من شركة إلى أخرى، ولأغراض هذه التعليمات، يُستخدم التعريف أدناه.

البيئة هي مجموعة منفصلة أو جزء منفصل من الموارد الحوسبية التي تخدم أغراض مختلفة (مثل الإنتاج، والتجريب، والاختبار، والتطوير، إلخ) وتُدار باستخدام نفس مجموعة السياسات أو مجموعة مختلفة منها (من حيث إعدادات الشبكة/البرامج، وإصدارات البرامج، والمراقبة، وإدارة التغيير، إلخ) من قِبل نفس الفرق أو فرق مختلفة (SRE، وQA، والتطوير، إلخ) لشركة ما.

من وجهة نظر أفضل الممارسات، يُنصح بالحفاظ على تزامن تكوينات عقد Wallarm عبر جميع البيئات المستخدمة في منتج واحد عمودي (مراحل التطوير، والاختبار، والتجريب، والإنتاج).

ميزات Wallarm ذات الصلة

هناك ثلاث ميزات رئيسية تتيح لك إدارة تكوينات عقدة التصفية المختلفة للبيئات المختلفة وتنفيذ طرح تدريجي لتغييرات عقدة التصفية:

تحديد الهوية للموارد

هناك طريقتان لتكوين عقدة التصفية لبيئة معينة باستخدام تحديد الهوية:

  • مُعرفات Wallarm الفريدة لكل بيئة،

  • أسماء نطاقات URL المختلفة للبيئات (إذا كان ذلك مُعداً بالفعل في بنيتك التحتية).

تحديد الهوية للبيئة بالمُعرف

يسمح مفهوم التطبيقات بتعيين مُعرفات مختلفة للبيئات المحمية المختلفة، وإدارة قواعد عقدة التصفية على حدة لكل بيئة.

عند تكوين عقدة التصفية، يمكنك إضافة مُعرفات Wallarm لبيئاتك باستخدام مفهوم التطبيقات. لضبط المُعرفات:

  1. أضف أسماء البيئات ومُعرفاتها في حساب Wallarm الخاص بك → الإعدادات → قسم التطبيقات.

    إضافة البيئات

  2. حدد تكوين المُعرف في عقدة التصفية:

    • باستخدام التوجيه wallarm_application لنشرات Linux وKubernetes sidecar و Docker؛
    • باستخدام التعليق التوضيحي nginx.ingress.kubernetes.io/wallarm-application لنشرات تحكم دخول Kubernetes NGINX. الآن، عند إنشاء قاعدة عقدة تصفية جديدة، يصبح من الممكن تحديد أن القاعدة ستُعين لمجموعة معينة من مُعرفات التطبيق. بدون السمة، ستُطبق قاعدة جديدة تلقائيًا على جميع الموارد المحمية في حساب Wallarm.

إنشاء قاعدة للمُعرف

تحديد الهوية للبيئة بالنطاق

إذا كانت كل بيئة تستخدم أسماء نطاقات URL مختلفة تمرر في رأس طلب HTTP HOST، فمن الممكن استخدام أسماء النطاقات كمُعرفات فريدة لكل بيئة.

لاستخدام الميزة، يُرجى إضافة إشارة رأس HOST المناسبة لكل قاعدة عقدة تصفية مُعدة. في المثال التالي، ستُطلق القاعدة فقط للطلبات التي يكون رأس HOST فيها مساوٍ لـ dev.domain.com:

إنشاء قاعدة لـ HOST

حسابات Wallarm المنفصلة والحسابات الفرعية

إحدى الخيارات السهلة لعزل تكوين عقدة التصفية للبيئات المختلفة هي استخدام حسابات Wallarm منفصلة لكل بيئة أو مجموعة من البيئات. توصي العديد من موفري خدمات السحابة بهذه الأفضلية، بما في ذلك Amazon AWS.

لتبسيط إدارة عدة حسابات Wallarm، من الممكن إنشاء حساب Wallarm رئيسي منطقي وتعيين حسابات Wallarm الأخرى المستخدمة كحسابات فرعية للحساب الرئيسي. بهذه الطريقة، يمكن استخدام مجموعة واحدة من واجهة المستخدم الخاصة بوحدة التحكم وبيانات اعتماد API لإدارة كل حسابات Wallarm التابعة لمنظمتك.

لتفعيل حساب رئيسي وحسابات فرعية، يُرجى الاتصال بفريق الدعم الفني لـ Wallarm. تتطلب الميزة ترخيصًا منفصلاً لـ Wallarm للمؤسسات.

القيود المعروفة

  • ستتلقى جميع عقد التصفية المتصلة بنفس حساب Wallarm نفس مجموعة قواعد تصفية الحركة. لا يزال بإمكانك تطبيق قواعد مختلفة لتطبيقات مختلفة باستخدام مُعرفات التطبيق أو رؤوس طلب HTTP فريدة المناسبة.
  • إذا قررت عقدة التصفية حظر عنوان IP تلقائيًا (على سبيل المثال، بسبب ثلاثة أو أكثر من نواقل الهجوم المكتشفة من عنوان IP)، سيتم حظر النظام لعنوان IP لجميع التطبيقات في حساب Wallarm.