プライベートクラウドにおけるWallarmのデプロイ¶
プライベートクラウドは、単一の組織または主体のみを対象として展開され、リソースの専用利用と制御を提供するクラウド環境です。本記事では、プライベートクラウドにWallarmノードをデプロイする際の原則を概説します。
ステップ1:スコープを把握し、Wallarmのデプロイ方法を検討する¶
プライベートクラウドにWallarmをデプロイする前に、アプリケーションの全体像(ランドスケープ)のスコープを理解し、最適なWallarmのデプロイ方法を決定することが重要です。評価時には以下の点を考慮してください。
-
保護対象スコープの評価:アプリケーションのランドスケープを評価し、保護が必要なクリティカルなアプリケーションを特定します。データの機密性、侵害時の潜在的影響、コンプライアンス要件といった要素を考慮します。この評価により、プライベートクラウド内で最も重要な資産の保護に優先順位を付け、注力すべき対象を明確にできます。
-
インラインとアウトオブバンド(OOB)の解析:Wallarmをインライン解析としてデプロイするのか、アウトオブバンドのトラフィック解析としてデプロイするのかを決定します。インライン解析では、アプリケーションのトラフィック経路上にWallarmノードを配置します。一方、OOB解析では、ミラーリングされたトラフィックを取り込み、解析します。
-
Wallarmノードの配置:選択したアプローチ(インラインまたはOOB解析)に基づき、プライベートクラウド基盤内でのWallarmノードの適切な配置を決定します。インライン解析の場合は、同一VLANやサブネットなど、アプリケーションに近い場所へ配置することを検討します。OOB解析の場合は、ミラーリングされたトラフィックが解析のために適切にWallarmノードへルーティングされるようにしてください。
ステップ2:Wallarmの外向き接続を許可する¶
プライベートクラウドでは、外向き接続に制限が設けられていることがよくあります。Wallarmが正常に機能するようにするには、外向き接続を有効化し、インストール時のパッケージのダウンロード、ローカルノードインスタンスとWallarm Cloud間のネットワーク接続の確立、ならびにWallarm機能の完全な稼働を可能にする必要があります。
プライベートクラウドでのアクセスは、一般的にIPアドレスに基づいて許可されます。Wallarmは以下のDNSレコードへのアクセスを必要とします。
-
セキュリティルールの取得、攻撃データのアップロードなどのためにWallarm Cloudへアクセスするための以下のアドレス
-
WallarmをDockerイメージから実行する場合に必要となるDocker HubのIPアドレス
-
All‑in‑One InstallerからWallarmをインストールするための
35.244.197.238(https://meganode.wallarm.com)。インストーラーはこのアドレスからダウンロードされます。 -
攻撃検出ルールやAPI仕様の更新をダウンロードし、さらに許可リスト、拒否リスト、グレーリストに指定した国、地域、またはデータセンターの正確なIPを取得するために必要な以下のIPアドレス
ステップ3:デプロイモデルとWallarmアーティファクトを選択する¶
Wallarmは柔軟なデプロイモデルを提供しており、組織はプライベートクラウド環境に最適なオプションを選択できます。一般的なデプロイモデルとして、仮想アプライアンスによるデプロイとKubernetesによるデプロイの2つがあります。
仮想アプライアンスによるデプロイ¶
このモデルでは、プライベートクラウド基盤内にWallarmを仮想アプライアンスとしてデプロイします。仮想アプライアンスはVMまたはコンテナとしてインストールできます。以下のいずれかのアーティファクトを使用してWallarmノードをデプロイできます。
Kubernetesによるデプロイ¶
プライベートクラウドでコンテナオーケストレーションにKubernetesを利用している場合、WallarmはKubernetesネイティブなソリューションとしてデプロイできます。Ingressコントローラー、サイドカーコンテナ、カスタムKubernetesリソースなどの機能を活用し、Kubernetesクラスターとシームレスに統合します。以下のいずれかのソリューションでWallarmをデプロイできます。