Section.ioを利用したWallarmノードのデプロイ¶

Sectionは、Wallarmノードの簡単なデプロイを可能にするクラウドネイティブホスティングシステムです。リバースプロキシとしてトラフィックをルーティングすることで、アプリケーションのインフラにサードパーティコンポーネントを追加することなく、悪意あるトラフィックを効果的に軽減できます。

ユースケース¶

すべてのサポートされるWallarmデプロイメントオプションの中で、このソリューションは以下のユースケースに最適です:

• 軽量サービスを保護するために、迅速かつ容易にデプロイできるセキュリティソリューションを求めている場合です。

• ホスティングインフラ内にWallarmノードをデプロイする能力が不足している場合です。

• Wallarmフィルタリングノードの管理や保守を避け、自動化されたデプロイを希望する場合です。

制限事項¶

このソリューションには以下の制限があります:

• 高トラフィックの解析およびフィルタリングには、CDNノードの使用は推奨されません。

• Free tierプランでは、CDNノードタイプのデプロイはサポートされません。

• CDNノードでは、3階層目（またはそれ以下、例: 4階層、5階層など）のドメインのみ保護できます。たとえば、ple.example.comのCDNノードは作成できますが、example.comは作成できません。

• 標準手順によるアプリケーションセットアップは利用できません。設定の支援については、Wallarmサポートチームにお問い合わせください。

• カスタムブロックページとエラーコードは設定できません。デフォルトでは、CDNノードはブロックされたリクエストに対して403レスポンスコードを返します。

必要条件¶

• The website to be protected must be third-level (or lower) domain

• The IPv4 associated with the website (IPv6 not supported)

• Sufficient access permissions to edit the DNS records of the domain

• The Administrator role assigned to the user configuring the CDN node

CDNノードの動作¶

Wallarm CDN node operates as a reverse proxy to the protected server. It analyzes incoming traffic, mitigates malicious requests and forwards legitimate requests to the protected server.

As for the other characteristics of the Wallarm CDN node:

• Hosted by the third-party cloud provider (Section.io), so no resources are required from your infrastructure to deploy the CDN node.

  Uploading request data to the third-party cloud provider

  Some data on processed requests is uploaded to the Lumen service.

• Uploads some request data to the Wallarm Cloud. Learn more about uploaded data and cutting the sensitive data

• Operates in the safe blocking mode relying on the IP graylist contents to identify suspected traffic and block it.

  To change the mode, use the corresponding rule.

• The CDN node is fully configured via Wallarm Console UI. The only setting to be changed in another way is adding the Wallarm CNAME record to the protected resource's DNS records.

• You can request the Wallarm support team to perform application configuration for your node.

CDNノードのデプロイ¶

1. Wallarm Console → Nodes → CDN → Create node を開きます。

2. 保護するドメインアドレス（例：ple.example.com）を入力します。

   指定されたアドレスは3階層目（またはそれ以下）のドメインであり、スキームやスラッシュを含んではいけません。

3. Wallarmが指定されたドメインに関連付けられた起源アドレスを正確に識別できることを確認します。そうでない場合は、自動検出された起源アドレスを変更してください。

   

   起源アドレスの動的更新

   ホスティングプロバイダーが保護対象リソースに関連付けられた起源IPアドレスまたはドメインを動的に更新する場合、CDNノード設定で指定された起源アドレスを最新の状態に保つ必要があります。Wallarm Consoleでは、起源アドレスの変更が可能です。

   さもなければ、CDNノードは誤った起源アドレスへプロキシしようとするため、リクエストが保護対象リソースに到達しなくなります。

4. CDNノードの登録完了を待ちます。

   登録が完了すると、CDNノードのステータスはRequires CNAMEに変更されます。

5. Wallarmによって生成されたCNAMEレコードを保護対象ドメインのDNSレコードに追加します。

   既にドメイン用にCNAMEレコードが設定されている場合は、その値をWallarmによって生成されたものに置き換えてください。

   

   DNSプロバイダーによっては、DNSレコードの変更がインターネットに伝播して反映されるまで、最大24時間かかる場合があります。新しいCNAMEレコードが伝播されると、Wallarm CDNノードが保護対象リソースへのすべてのリクエストをプロキシし、悪意あるリクエストをブロックします。

6. 必要に応じて、カスタムSSL/TLS証明書をアップロードします。

   デフォルトでは、WallarmがCDNノードドメイン用にLet's Encrypt証明書を生成します。

7. DNSレコードの変更が伝播された後、保護対象ドメインに対してテスト攻撃を送信します:

   curl http://<PROTECTED_DOMAIN>/etc/passwd
   

   • 発信元IPアドレスがgraylistedの場合、ノードは攻撃をブロック（HTTPレスポンスコード403）し、記録も行います。

   • 発信元IPアドレスがgraylistedでない場合、ノードは検出された攻撃のみを記録します。Wallarm ConsoleのAttacksで攻撃が登録されているか確認できます:

     

次のステップ¶

Wallarm CDNノードのデプロイに成功しました!

Wallarmの設定オプションについて、以下をご参照ください:

• Configuration of traffic filtration mode

• Customizing the traffic filtration rules

• IP address allowlisting, denylisting and graylisting

• System event notifications configured via native integrations with DevOps tools and triggers

• Using the Nodes section UI to update the origin address of the protected resource, upload the custom SSL/TLS certificate and delete CDN nodes

• Selecting whether to use the Varnish Cache to speed up your content delivery.

CDNノードのトラブルシューティング¶

What do CDN node statuses mean?¶

The following statuses may appear in Wallarm Console → Nodes for CDN nodes:

• Registering: Wallarm registers the CDN node in the cloud provider.

  Required action: wait for the Requires CNAME status to add the Wallarm CNAME record to the protected domain's DNS records.

• Requires CNAME: Wallarm CNAME record is not added to the DNS records of the protected domain or it is added but not propagated yet.

  Required action: add the CNAME record provided by Wallarm to the DNS records of the protected domain or wait for the changes to take effect on the Internet.

  If changes do not take effect for more than 24 hours, please check that your domain provider successfully updated the DNS records. If so, but the Not propagated yet status is still displayed in Wallarm Console, please contact the Wallarm technical support.

  The next expected status is Active.

• Configuring: Wallarm processes changed origin address or SSL/TLS certificate.

  Required action: wait for the Active status.

• Active: Wallarm CDN node mitigates the malicious traffic.

  Required action: none. You can monitor the events the CDN node detects.

• Deleting: Wallarm deletes the CDN node.

  Required action: none, please wait for deletion to be finished.

How to identify the CNAME record propagated?¶

The Nodes section of Wallarm Console displays the actual status of whether the Wallarm CNAME record took effect on the Internet. If the CNAME record is propagated, the CDN node status is Active.

In addition, you can check the HTTP response headers with the following request:

curl -v <PROTECTED_DOMAIN>

If the Wallarm CNAME record is propagated, the response will contain the section-io-* headers.

If the CNAME record is not propagated for more than 24 hours, please check that your domain provider successfully updated the DNS records. If so, but the Not propagated yet status is still displayed in Wallarm Console, please contact the Wallarm technical support.

The CDN node is highlighted in red in the Nodes section. What does it mean?¶

If the CDN node is highlighted in red in the Nodes section, an error occurred during its registration or configuration due to the following possible reasons:

• Unknown error while registering the node in the third-party cloud provider

  Required action: contact the Wallarm technical support.

• Invalid custom SSL/TLS certificate

  Required action: make sure the uploaded certificate is valid. If not, upload the valid one.

The CDN node highlighted in red does not proxy requests and as a result, does not mitigate malicious traffic.

Why the CDN node could disappear from the node list in Wallarm Console?¶

Wallarm deletes CDN nodes with CNAME records left unchanged for 10 or more days since the moment of the node creation.

If you find the CDN node disappeared, create a new node.

Why is there a delay in the update of the content protected by the CDN node?¶

If your site is protected by the CDN node and you notice that when you change your data, the site is updated with a sensible delay, the probable reason may be the Varnish Cache which speeds up your content delivery, but the cached copy on the CDN may be updated with a delay.

Example:

1. You have Varnish Cache enabled for your CDN node.

2. You updated prices on your site.

3. All requests are proxied via CDN, and the cache is not updated immediately.

4. Site users see the old prices for some time.

To resolve the problem, you may disable Varnish Cache. To do so, proceed to Nodes → CDN node menu → Disable Varnish Cache.

Was this page helpful?

How can we improve this article? (Optional)

Information is unclear or confusing

Insufficient information

Outdated or incorrect information

0/240

Send