コンテンツにスキップ

GCPへのWallarm Dockerイメージのデプロイ

このクイックガイドでは、NGINXベースのWallarm nodeのDockerイメージGoogle Compute Engine (GCE)コンポーネントを使用してGoogle Cloud Platformへデプロイする手順を説明します。

手順の制限事項

本手順では、ロードバランシングおよびノードのオートスケーリングの構成は対象外です。これらのコンポーネントを設定する場合は、該当するGCPのドキュメントを参照してください。

ユースケース

Among all supported Wallarm deployment options, Wallarm deployment on Google Compute Engine (GCE) using the Docker image is recommended in these use cases:

  • If your applications leverage a microservices architecture, and are already containerized and operational on GCE.

  • If you require fine-grained control over each container, the Docker image excels. It affords a greater level of resource isolation than typically possible with traditional VM-based deployments.

要件

Wallarm nodeのDockerコンテナ構成のオプション

The filtering node configuration parameters should be passed to the deployed Docker container in one of the following ways:

  • In the environment variables. This option allows for the configuration of only basic filtering node parameters. Most directives cannot be configured through environment variables.

  • In the mounted configuration file. This option allows full filtering node configuration via any directives. With this configuration method, environment variables with the filtering node and Wallarm Cloud connection settings are also passed to the container.

環境変数で構成されたWallarm nodeのDockerコンテナをデプロイする

環境変数のみで構成されたコンテナ化されたWallarmフィルタリングノードをデプロイするには、GCP Consoleまたはgcloud CLIを使用できます。本手順ではgcloud CLIを使用します。

  1. Get Wallarm token of the appropriate type:

    1. Open Wallarm Console → SettingsAPI tokens in the US Cloud or EU Cloud.
    2. Find or create API token with the Node deployment/Deployment usage type.
    3. Copy this token.
    1. Open Wallarm Console → Nodes in the US Cloud or EU Cloud.
    2. Do one of the following:
      • Create the node of the Wallarm node type and copy the generated token.
      • Use existing node group - copy token using node's menu → Copy token.

  2. インスタンスをWallarm Cloudに接続するために使用するWallarm nodeトークンをローカル環境変数に設定します:

    export WALLARM_API_TOKEN='<WALLARM_API_TOKEN>'

  3. gcloud compute instances create-with-containerコマンドを使用して、Dockerコンテナを実行した状態でインスタンスを作成します:

    gcloud compute instances create-with-container <INSTANCE_NAME> \
    --zone <DEPLOYMENT_ZONE> \
    --tags http-server \
    --container-env WALLARM_API_TOKEN=${WALLARM_API_TOKEN} \
    --container-env NGINX_BACKEND=<HOST_TO_PROTECT_WITH_WALLARM> \
    --container-env WALLARM_API_HOST=us1.api.wallarm.com \
    --container-image registry-1.docker.io/wallarm/node:6.4.1

    gcloud compute instances create-with-container <INSTANCE_NAME> \
    --zone <DEPLOYMENT_ZONE> \
    --tags http-server \
    --container-env WALLARM_API_TOKEN=${WALLARM_API_TOKEN} \
    --container-env NGINX_BACKEND=<HOST_TO_PROTECT_WITH_WALLARM> \
    --container-image registry-1.docker.io/wallarm/node:6.4.1
    • <INSTANCE_NAME>: インスタンス名です。例: wallarm-node
    • --zone: インスタンスをホストするゾーンです。
    • --tags: インスタンスタグです。タグは、他のリソースからのインスタンスへの到達性を構成するために使用します。本例では、ポート80を開放するhttp-serverタグをインスタンスに割り当てます。
    • --container-image: フィルタリングノードのDockerイメージへのリンクです。

    • --container-env: フィルタリングノードの構成に用いる環境変数です(利用可能な変数は下記の表に記載しています)。WALLARM_API_TOKENの値を明示的に渡すことは推奨しません。

      Environment variable Description Required
      WALLARM_API_TOKEN Wallarm node or API token. Yes
      WALLARM_LABELS

      Available starting from node 4.6. Works only if WALLARM_API_TOKEN is set to API token with the Deploy role. Sets the group label for node instance grouping, for example:

      WALLARM_LABELS="group=<GROUP>"

      ...will place node instance into the <GROUP> instance group (existing, or, if does not exist, it will be created).

      		 Yes (for API tokens)
      NGINX_BACKEND Domain or IP address of the resource to protect with the Wallarm solution. Yes
      WALLARM_API_HOST Wallarm API server:
      • us1.api.wallarm.com for the US Cloud
      • api.wallarm.com for the EU Cloud
      By default: api.wallarm.com.      		 No
      WALLARM_MODE Node mode:
      • block to block malicious requests
      • safe_blocking to block only those malicious requests originated from graylisted IP addresses
      • monitoring to analyze but not block requests
      • off to disable traffic analyzing and processing
      By default: monitoring.
      Detailed description of filtration modes →      		 No
      WALLARM_APPLICATION Unique identifier of the protected application to be used in the Wallarm Cloud. The value can be a positive integer except for 0.

      Default value (if the variable is not passed to the container) is -1 which indicates the default application displayed in Wallarm Console → Settings → Application.

      More details on setting up applications →      		 No
      SLAB_ALLOC_ARENA (TARANTOOL_MEMORY_GB NGINX Node 5.x and earlier) Amount of memory allocated to wstore. The value can be a float (a dot . is a decimal separator). By default: 1.0 (1 gygabyte).
      Note that when passing this variable in Docker run command with the -e, the variable is not recorded in any configuration file within the container, but it is still used when wstore starts.      		 No
      NGINX_PORT Sets a port that NGINX will use inside the Docker container.

      Starting from the Docker image 4.0.2-1, the wallarm-status service automatically runs on the same port as NGINX.

      Default value (if the variable is not passed to the container) is 80.

      Syntax is NGINX_PORT='443'.      		 No
      WALLARM_STATUS_ALLOW Custom CIDRs that are allowed to access the /wallarm-status endpoint from outside the Docker container. Example value: 10.0.0.0/8. If you need to pass several values, use a comma , as a separator. To access the service externally, use the Docker container's IP, specifying the /wallarm-status endpoint path. No
      DISABLE_IPV6 The variable with any value except for an empty one deletes the listen [::]:80 default_server ipv6only=on; line from the NGINX configuration file which will stop NGINX from IPv6 connection processing.

      If the variable is not specified explicitly or has an empty value "", NGINX processes both IPv6 and IPv4 connections.      		 No
      WALLARM_APIFW_ENABLE This setting toggles API Specification Enforcement on or off, available from release 4.10 onwards. Please note that activating this feature does not substitute for the required subscription and configuration through the Wallarm Console UI.

      Its default value is true, enabling the functionality.      		 No
      WALLARM_APID_ONLY (5.3.7 and higher) In this mode, attacks detected in your traffic are blocked locally by the node (if enabled) but not exported to Wallarm Cloud. Meanwhile, API Discovery and some other features remain fully functional, detecting your API inventory and uploading it to the Cloud for visualization. This mode is for those who want to review their API inventory and identify sensitive data first, and plan controlled attack data export accordingly. However, disabling attack export is rare, as Wallarm securely processes attack data and provides sensitive attack data masking if needed. More details
      By default: false.      		 No
      APIFW_METRICS_ENABLED (6.4.1 and higher) Enables Prometheus metrics for the API Specification Enforcement module.
      By default: false (disabled).      		 No
      APIFW_METRICS_HOST (6.4.1 and higher) Defines the host and port on which the API Specification Enforcement exposes metrics.
      By default: :9010.      		 No
      APIFW_METRICS_ENDPOINT_NAME (6.4.1 and higher) Defines the HTTP path of the API Specification Enforcement metrics endpoint
      By default: metrics.      		 No
      WALLARM_WSTORE__METRICS__LISTEN_ADDRESS Defines the host and port on which [Postanalytics and general system metrics][wstore-metrics] are exposed.
      By default: http://localhost:9001/metrics.      		 No
      WALLARM_WSTORE__SERVICE__PROTOCOL (6.6.0 and higher) Specifies the protocol family that wstore uses for incoming connections. Possible values:
      • "tcp" - dual-stack mode (listens on both IPv4 and IPv6)
      • "tcp4" - IPv4 only
      • "tcp6" - IPv6 only
      By default: "tcp4".      		 No

    • gcloud compute instances create-with-containerコマンドのすべてのパラメータはGCPのドキュメントに記載されています。

  4. GCP Console → Compute Engine → VM instancesを開き、インスタンスが一覧に表示されていることを確認します。

  5. フィルタリングノードの動作をテストします

マウントしたファイルで構成したWallarm nodeのDockerコンテナをデプロイする

環境変数およびマウントしたファイルで構成されたコンテナ化Wallarmフィルタリングノードをデプロイするには、インスタンスを作成し、このインスタンスのファイルシステムにフィルタリングノードの構成ファイルを配置し、このインスタンスでDockerコンテナを実行します。これらの手順はGCP Consoleまたはgcloud CLIで実行できます。本手順ではgcloud CLIを使用します。

  1. Get Wallarm token of the appropriate type:

    1. Open Wallarm Console → SettingsAPI tokens in the US Cloud or EU Cloud.
    2. Find or create API token with the Node deployment/Deployment usage type.
    3. Copy this token.
    1. Open Wallarm Console → Nodes in the US Cloud or EU Cloud.
    2. Do one of the following:
      • Create the node of the Wallarm node type and copy the generated token.
      • Use existing node group - copy token using node's menu → Copy token.

  2. gcloud compute instances createコマンドを使用して、Compute Engineレジストリの任意のOSイメージを基にインスタンスを作成します:

    gcloud compute instances create <INSTANCE_NAME> \
    --image <PUBLIC_IMAGE_NAME> \
    --zone <DEPLOYMENT_ZONE> \
    --tags http-server
    • <INSTANCE_NAME>: インスタンス名です。
    • --image: Compute EngineレジストリのOSイメージ名です。作成されるインスタンスはこのイメージを基にし、後でDockerコンテナの実行に使用します。このパラメータを省略すると、インスタンスはDebian 10イメージを基にします。
    • --zone: インスタンスをホストするゾーンです。
    • --tags: インスタンスタグです。タグは、他のリソースからのインスタンスへの到達性を構成するために使用します。本例では、ポート80を開放するhttp-serverタグをインスタンスに割り当てます。
    • gcloud compute instances createコマンドのすべてのパラメータはGCPのドキュメントに記載されています。

  3. GCP Console → Compute Engine → VM instancesを開き、インスタンスが一覧に表示され、RUNNINGステータスであることを確認します。

  4. GCPの手順に従ってSSHでインスタンスに接続します。

  5. 該当するOS向けの手順に従って、インスタンスにDockerパッケージをインストールします。

  6. インスタンスをWallarm Cloudに接続するために使用するWallarm nodeトークンをローカル環境変数に設定します:

    export WALLARM_API_TOKEN='<WALLARM_API_TOKEN>'

  7. インスタンス内で、フィルタリングノードの構成を含むファイルdefaultを配置するディレクトリを作成します(例えば、ディレクトリ名はconfigsとできます)。最小設定のファイル例:

    server {
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    #listen 443 ssl;

    server_name localhost;

    #ssl_certificate cert.pem;
    #ssl_certificate_key cert.key;

    root /usr/share/nginx/html;

    index index.html index.htm;

    wallarm_mode monitoring;
    # wallarm_application 1;

    location / {
            proxy_pass http://example.com;
            include proxy_params;
    }
}

    構成ファイルで指定できるフィルタリングノードのディレクティブの一覧 →

  8. 環境変数とマウントした構成ファイルを指定して、docker runコマンドでWallarm nodeのDockerコンテナを実行します:

    docker run -d -e WALLARM_API_TOKEN=${WALLARM_API_TOKEN} -e WALLARM_LABELS='group=<GROUP>' -e WALLARM_API_HOST='us1.api.wallarm.com' -v <INSTANCE_PATH_TO_CONFIG>:<DIRECTORY_FOR_MOUNTING> -p 80:80 wallarm/node:6.4.1

    docker run -d -e WALLARM_API_TOKEN=${WALLARM_API_TOKEN} -e WALLARM_LABELS='group=<GROUP>' -v <INSTANCE_PATH_TO_CONFIG>:<CONTAINER_PATH_FOR_MOUNTING> -p 80:80 wallarm/node:6.4.1
    • <INSTANCE_PATH_TO_CONFIG>: 前の手順で作成した構成ファイルへのパスです。例: configs

    • <DIRECTORY_FOR_MOUNTING>: 構成ファイルをマウントするコンテナ内のディレクトリです。構成ファイルは、NGINXが使用する次のコンテナディレクトリにマウントできます:

      • /etc/nginx/conf.d — 共通設定
      • /etc/nginx/http.d — 仮想ホスト設定
      • /var/www/html — 静的ファイル

      フィルタリングノードのディレクティブは/etc/nginx/http.d/default.confファイルに記述する必要があります。

    • -p: フィルタリングノードがリッスンするポートです。値はインスタンスのポートと同一にします。

    • -e: フィルタリングノードの構成に用いる環境変数です(利用可能な変数は下記の表に記載しています)。WALLARM_API_TOKENの値を明示的に渡すことは推奨しません。

      Environment variable Description Required
      WALLARM_API_TOKEN Wallarm node or API token. Yes
      WALLARM_API_HOST Wallarm API server:
      • us1.api.wallarm.com for the US Cloud
      • api.wallarm.com for the EU Cloud
      By default: api.wallarm.com.      		 No
      WALLARM_LABELS

      Available starting from node 4.6. Works only if WALLARM_API_TOKEN is set to API token with the Deploy role. Sets the group label for node instance grouping, for example:

      WALLARM_LABELS="group=<GROUP>"

      ...will place node instance into the <GROUP> instance group (existing, or, if does not exist, it will be created).

      		 Yes (for API tokens)
      SLAB_ALLOC_ARENA (TARANTOOL_MEMORY_GB NGINX Node 5.x and earlier) Amount of memory allocated to wstore. The value can be a float (a dot . is a decimal separator). By default: 1.0 (1 gygabyte). No
      WALLARM_APID_ONLY (5.3.7 and higher) In this mode, attacks detected in your traffic are blocked locally by the node (if enabled) but not exported to Wallarm Cloud. Meanwhile, API Discovery and some other features remain fully functional, detecting your API inventory and uploading it to the Cloud for visualization. This mode is for those who want to review their API inventory and identify sensitive data first, and plan controlled attack data export accordingly. However, disabling attack export is rare, as Wallarm securely processes attack data and provides sensitive attack data masking if needed. More details
      By default: false.      		 No
      APIFW_METRICS_ENABLED (6.4.1 and higher) Enables Prometheus metrics for the API Specification Enforcement module.
      By default: false (disabled).      		 No
      APIFW_METRICS_HOST (6.4.1 and higher) Defines the host and port on which the API Specification Enforcement exposes metrics.
      By default: :9010.      		 No
      APIFW_METRICS_ENDPOINT_NAME (6.4.1 and higher) Defines the HTTP path of the API Specification Enforcement metrics endpoint
      By default: metrics.      		 No
      WALLARM_WSTORE__METRICS__LISTEN_ADDRESS Defines the host and port on which [Postanalytics and general system metrics][wstore-metrics-mount] are exposed.
      By default: http://localhost:9001/metrics.      		 No
      WALLARM_WSTORE__SERVICE__PROTOCOL (6.6.0 and higher) Specifies the protocol family that wstore uses for incoming connections. Possible values:
      • "tcp" - dual-stack mode (listens on both IPv4 and IPv6)
      • "tcp4" - IPv4 only
      • "tcp6" - IPv6 only
      By default: "tcp4".      		 No

  9. フィルタリングノードの動作をテストします

フィルタリングノードの動作テスト

  1. GCP Console → Compute Engine → VM instancesを開き、External IP列からインスタンスのIPアドレスをコピーします。

    コンテナインスタンスの設定

    IPアドレスが空の場合は、インスタンスがRUNNINGステータスであることを確認してください。

  2. コピーしたアドレスにテスト用のパストラバーサル攻撃リクエストを送信します:

    curl http://<COPIED_IP>/etc/passwd

  3. US CloudまたはEU CloudのWallarm Console → Attacksを開き、攻撃が一覧に表示されていることを確認します。
    UIのAttacks

  4. 任意で、ノードの他の動作面も[テスト][link-docs-check-operation]します。

コンテナのデプロイ時に発生したエラーの詳細は、インスタンスのView logsメニューに表示されます。インスタンスにアクセスできない場合は、必要なフィルタリングノードのパラメータが正しい値でコンテナに渡されていることを確認してください。