GCPへのWallarm Dockerイメージのデプロイ¶
このクイックガイドでは、NGINXベースのWallarm nodeのDockerイメージをGoogle Compute Engine (GCE)コンポーネントを使用してGoogle Cloud Platformへデプロイする手順を説明します。
手順の制限事項
本手順では、ロードバランシングおよびノードのオートスケーリングの構成は対象外です。これらのコンポーネントを設定する場合は、該当するGCPのドキュメントを参照してください。
ユースケース¶
Among all supported Wallarm deployment options, Wallarm deployment on Google Compute Engine (GCE) using the Docker image is recommended in these use cases:
-
If your applications leverage a microservices architecture, and are already containerized and operational on GCE.
-
If you require fine-grained control over each container, the Docker image excels. It affords a greater level of resource isolation than typically possible with traditional VM-based deployments.
要件¶
-
有効なGCPアカウント
-
Compute Engine APIが有効化済み
-
US CloudまたはEU CloudのWallarm ConsoleでAdministratorロールを持つアカウントへのアクセス権
-
以下のIPアドレスへのアクセス。攻撃検知ルールおよびAPI仕様の更新をダウンロードし、ならびにお使いの許可リスト、拒否リスト、またはグレーリスト対象の国、地域、またはデータセンターの正確なIPを取得するため
Wallarm nodeのDockerコンテナ構成のオプション¶
The filtering node configuration parameters should be passed to the deployed Docker container in one of the following ways:
-
In the environment variables. This option allows for the configuration of only basic filtering node parameters. Most directives cannot be configured through environment variables.
-
In the mounted configuration file. This option allows full filtering node configuration via any directives. With this configuration method, environment variables with the filtering node and Wallarm Cloud connection settings are also passed to the container.
環境変数で構成されたWallarm nodeのDockerコンテナをデプロイする¶
環境変数のみで構成されたコンテナ化されたWallarmフィルタリングノードをデプロイするには、GCP Consoleまたはgcloud CLIを使用できます。本手順ではgcloud CLIを使用します。
-
Get Wallarm token of the appropriate type:
-
インスタンスをWallarm Cloudに接続するために使用するWallarm nodeトークンをローカル環境変数に設定します:
-
gcloud compute instances create-with-container
コマンドを使用して、Dockerコンテナを実行した状態でインスタンスを作成します:gcloud compute instances create-with-container <INSTANCE_NAME> \ --zone <DEPLOYMENT_ZONE> \ --tags http-server \ --container-env WALLARM_API_TOKEN=${WALLARM_API_TOKEN} \ --container-env NGINX_BACKEND=<HOST_TO_PROTECT_WITH_WALLARM> \ --container-env WALLARM_API_HOST=us1.api.wallarm.com \ --container-image registry-1.docker.io/wallarm/node:6.4.1
<INSTANCE_NAME>
: インスタンス名です。例:wallarm-node
。--zone
: インスタンスをホストするゾーンです。--tags
: インスタンスタグです。タグは、他のリソースからのインスタンスへの到達性を構成するために使用します。本例では、ポート80を開放するhttp-server
タグをインスタンスに割り当てます。--container-image
: フィルタリングノードのDockerイメージへのリンクです。-
--container-env
: フィルタリングノードの構成に用いる環境変数です(利用可能な変数は下記の表に記載しています)。WALLARM_API_TOKEN
の値を明示的に渡すことは推奨しません。Environment variable Description Required WALLARM_API_TOKEN
Wallarm node or API token. Yes WALLARM_LABELS
Available starting from node 4.6. Works only if
WALLARM_API_TOKEN
is set to API token with theDeploy
role. Sets thegroup
label for node instance grouping, for example:WALLARM_LABELS="group=<GROUP>"
...will place node instance into the
<GROUP>
instance group (existing, or, if does not exist, it will be created).Yes (for API tokens) NGINX_BACKEND
Domain or IP address of the resource to protect with the Wallarm solution. Yes WALLARM_API_HOST
Wallarm API server: us1.api.wallarm.com
for the US Cloudapi.wallarm.com
for the EU Cloud
api.wallarm.com
.No WALLARM_MODE
Node mode: block
to block malicious requestssafe_blocking
to block only those malicious requests originated from graylisted IP addressesmonitoring
to analyze but not block requestsoff
to disable traffic analyzing and processing
monitoring
.
Detailed description of filtration modes →No WALLARM_APPLICATION
Unique identifier of the protected application to be used in the Wallarm Cloud. The value can be a positive integer except for 0
.
Default value (if the variable is not passed to the container) is-1
which indicates the default application displayed in Wallarm Console → Settings → Application.
More details on setting up applications →No SLAB_ALLOC_ARENA
(TARANTOOL_MEMORY_GB
NGINX Node 5.x and earlier)Amount of memory allocated to wstore. The value can be a float (a dot .
is a decimal separator). By default: 1.0 (1 gygabyte).No NGINX_PORT
Sets a port that NGINX will use inside the Docker container.
Starting from the Docker image4.0.2-1
, thewallarm-status
service automatically runs on the same port as NGINX.
Default value (if the variable is not passed to the container) is80
.
Syntax isNGINX_PORT='443'
.No WALLARM_STATUS_ALLOW
Custom CIDRs that are allowed to access the /wallarm-status
endpoint from outside the Docker container. Example value:10.0.0.0/8
. If you need to pass several values, use a comma,
as a separator. To access the service externally, use the Docker container's IP, specifying the/wallarm-status
endpoint path.No DISABLE_IPV6
The variable with any value except for an empty one deletes the listen [::]:80 default_server ipv6only=on;
line from the NGINX configuration file which will stop NGINX from IPv6 connection processing.
If the variable is not specified explicitly or has an empty value""
, NGINX processes both IPv6 and IPv4 connections.No WALLARM_APIFW_ENABLE
This setting toggles API Specification Enforcement on or off, available from release 4.10 onwards. Please note that activating this feature does not substitute for the required subscription and configuration through the Wallarm Console UI.
Its default value istrue
, enabling the functionality.No WALLARM_APID_ONLY
(5.3.7 and higher)In this mode, attacks detected in your traffic are blocked locally by the node (if enabled) but not exported to Wallarm Cloud. Meanwhile, API Discovery and some other features remain fully functional, detecting your API inventory and uploading it to the Cloud for visualization. This mode is for those who want to review their API inventory and identify sensitive data first, and plan controlled attack data export accordingly. However, disabling attack export is rare, as Wallarm securely processes attack data and provides sensitive attack data masking if needed. More details
By default:false
.No APIFW_METRICS_ENABLED
(6.4.1 and higher)Enables Prometheus metrics for the API Specification Enforcement module.
By default:false
(disabled).No APIFW_METRICS_HOST
(6.4.1 and higher)Defines the host and port on which the API Specification Enforcement exposes metrics.
By default::9010
.No APIFW_METRICS_ENDPOINT_NAME
(6.4.1 and higher)Defines the HTTP path of the API Specification Enforcement metrics endpoint
By default:metrics
.No WALLARM_WSTORE__METRICS__LISTEN_ADDRESS
Defines the host and port on which Postanalytics and general system metrics are exposed.
By default:http://localhost:9001/metrics
.No WALLARM_WSTORE__SERVICE__PROTOCOL
(6.6.0 and higher)Specifies the protocol family that wstore uses for incoming connections. Possible values: "tcp"
- dual-stack mode (listens on both IPv4 and IPv6)"tcp4"
- IPv4 only"tcp6"
- IPv6 only
"tcp4"
.No -
gcloud compute instances create-with-container
コマンドのすべてのパラメータはGCPのドキュメントに記載されています。
-
GCP Console → Compute Engine → VM instancesを開き、インスタンスが一覧に表示されていることを確認します。
マウントしたファイルで構成したWallarm nodeのDockerコンテナをデプロイする¶
環境変数およびマウントしたファイルで構成されたコンテナ化Wallarmフィルタリングノードをデプロイするには、インスタンスを作成し、このインスタンスのファイルシステムにフィルタリングノードの構成ファイルを配置し、このインスタンスでDockerコンテナを実行します。これらの手順はGCP Consoleまたはgcloud CLIで実行できます。本手順ではgcloud CLIを使用します。
-
Get Wallarm token of the appropriate type:
-
gcloud compute instances create
コマンドを使用して、Compute Engineレジストリの任意のOSイメージを基にインスタンスを作成します:gcloud compute instances create <INSTANCE_NAME> \ --image <PUBLIC_IMAGE_NAME> \ --zone <DEPLOYMENT_ZONE> \ --tags http-server
<INSTANCE_NAME>
: インスタンス名です。--image
: Compute EngineレジストリのOSイメージ名です。作成されるインスタンスはこのイメージを基にし、後でDockerコンテナの実行に使用します。このパラメータを省略すると、インスタンスはDebian 10イメージを基にします。--zone
: インスタンスをホストするゾーンです。--tags
: インスタンスタグです。タグは、他のリソースからのインスタンスへの到達性を構成するために使用します。本例では、ポート80を開放するhttp-server
タグをインスタンスに割り当てます。gcloud compute instances create
コマンドのすべてのパラメータはGCPのドキュメントに記載されています。
-
GCP Console → Compute Engine → VM instancesを開き、インスタンスが一覧に表示され、RUNNINGステータスであることを確認します。
-
GCPの手順に従ってSSHでインスタンスに接続します。
-
該当するOS向けの手順に従って、インスタンスにDockerパッケージをインストールします。
-
インスタンスをWallarm Cloudに接続するために使用するWallarm nodeトークンをローカル環境変数に設定します:
-
インスタンス内で、フィルタリングノードの構成を含むファイル
default
を配置するディレクトリを作成します(例えば、ディレクトリ名はconfigs
とできます)。最小設定のファイル例:server { listen 80 default_server; listen [::]:80 default_server ipv6only=on; #listen 443 ssl; server_name localhost; #ssl_certificate cert.pem; #ssl_certificate_key cert.key; root /usr/share/nginx/html; index index.html index.htm; wallarm_mode monitoring; # wallarm_application 1; location / { proxy_pass http://example.com; include proxy_params; } }
-
環境変数とマウントした構成ファイルを指定して、
docker run
コマンドでWallarm nodeのDockerコンテナを実行します:<INSTANCE_PATH_TO_CONFIG>
: 前の手順で作成した構成ファイルへのパスです。例:configs
。-
<DIRECTORY_FOR_MOUNTING>
: 構成ファイルをマウントするコンテナ内のディレクトリです。構成ファイルは、NGINXが使用する次のコンテナディレクトリにマウントできます:/etc/nginx/conf.d
— 共通設定/etc/nginx/http.d
— 仮想ホスト設定/var/www/html
— 静的ファイル
フィルタリングノードのディレクティブは
/etc/nginx/http.d/default.conf
ファイルに記述する必要があります。 -
-p
: フィルタリングノードがリッスンするポートです。値はインスタンスのポートと同一にします。 -
-e
: フィルタリングノードの構成に用いる環境変数です(利用可能な変数は下記の表に記載しています)。WALLARM_API_TOKEN
の値を明示的に渡すことは推奨しません。Environment variable Description Required WALLARM_API_TOKEN
Wallarm node or API token. Yes WALLARM_API_HOST
Wallarm API server: us1.api.wallarm.com
for the US Cloudapi.wallarm.com
for the EU Cloud
api.wallarm.com
.No WALLARM_LABELS
Available starting from node 4.6. Works only if
WALLARM_API_TOKEN
is set to API token with theDeploy
role. Sets thegroup
label for node instance grouping, for example:WALLARM_LABELS="group=<GROUP>"
...will place node instance into the
<GROUP>
instance group (existing, or, if does not exist, it will be created).Yes (for API tokens) SLAB_ALLOC_ARENA
(TARANTOOL_MEMORY_GB
NGINX Node 5.x and earlier)Amount of memory allocated to wstore. The value can be a float (a dot .
is a decimal separator). By default: 1.0 (1 gygabyte).No WALLARM_APID_ONLY
(5.3.7 and higher)In this mode, attacks detected in your traffic are blocked locally by the node (if enabled) but not exported to Wallarm Cloud. Meanwhile, API Discovery and some other features remain fully functional, detecting your API inventory and uploading it to the Cloud for visualization. This mode is for those who want to review their API inventory and identify sensitive data first, and plan controlled attack data export accordingly. However, disabling attack export is rare, as Wallarm securely processes attack data and provides sensitive attack data masking if needed. More details
By default:false
.No APIFW_METRICS_ENABLED
(6.4.1 and higher)Enables Prometheus metrics for the API Specification Enforcement module.
By default:false
(disabled).No APIFW_METRICS_HOST
(6.4.1 and higher)Defines the host and port on which the API Specification Enforcement exposes metrics.
By default::9010
.No APIFW_METRICS_ENDPOINT_NAME
(6.4.1 and higher)Defines the HTTP path of the API Specification Enforcement metrics endpoint
By default:metrics
.No WALLARM_WSTORE__SERVICE__PROTOCOL
(6.6.0 and higher)Specifies the protocol family that wstore uses for incoming connections. Possible values: "tcp"
- dual-stack mode (listens on both IPv4 and IPv6)"tcp4"
- IPv4 only"tcp6"
- IPv6 only
"tcp4"
.No
フィルタリングノードの動作テスト¶
-
GCP Console → Compute Engine → VM instancesを開き、External IP列からインスタンスのIPアドレスをコピーします。
IPアドレスが空の場合は、インスタンスがRUNNINGステータスであることを確認してください。
-
コピーしたアドレスにテスト用のパストラバーサル攻撃リクエストを送信します:
-
US CloudまたはEU CloudのWallarm Console → Attacksを開き、攻撃が一覧に表示されていることを確認します。
-
任意で、ノードの他の動作面も[テスト][link-docs-check-operation]します。
コンテナのデプロイ時に発生したエラーの詳細は、インスタンスのView logsメニューに表示されます。インスタンスにアクセスできない場合は、必要なフィルタリングノードのパラメータが正しい値でコンテナに渡されていることを確認してください。