Wallarm SidecarがサポートするPodのアノテーション¶
Wallarm Sidecar solutionは、Podごとのアノテーションを通じて設定できます。本書には、当ソリューションがサポートするアノテーションの一覧が記載されています。
グローバル設定とPodごとの設定の優先順位
Podごとのアノテーションは、Helmチャートの値よりも優先されます.
アノテーション一覧¶
| アノテーションと対応するチャート値 | 説明 |
|---|---|
Annotation: sidecar.wallarm.io/sidecar-injection-schemaconfig.injectionStrategy.schema | Wallarmコンテナの展開パターン:single(デフォルト)またはsplit. |
Annotation: sidecar.wallarm.io/sidecar-injection-iptables-enableconfig.injectionStrategy.iptablesEnable | iptables init コンテナを起動するかどうか:true(デフォルト)またはfalse. |
Annotation: sidecar.wallarm.io/wallarm-applicationチャート値なし | WallarmアプリケーションID. |
Annotation: sidecar.wallarm.io/wallarm-block-pageチャート値なし | ブロックされたリクエストに返すブロックページとエラーコード. |
Annotation: sidecar.wallarm.io/wallarm-enable-libdetectionconfig.wallarm.enableLibDetection | SQLインジェクション攻撃をlibdetectionライブラリで追加検証するかどうか:on(デフォルト)またはoff. |
Annotation: sidecar.wallarm.io/wallarm-fallbackconfig.wallarm.fallback | Wallarmフォールバックモード:on(デフォルト)またはoff. |
Annotation: sidecar.wallarm.io/wallarm-modeconfig.wallarm.mode | トラフィックフィルトレーションモード:monitoring(デフォルト)、safe_blocking、blockまたはoff. |
Annotation: sidecar.wallarm.io/wallarm-mode-allow-overrideconfig.wallarm.modeAllowOverride | Cloudでの設定を介してwallarm_modeの値を上書きできるかどうかを管理します:on(デフォルト)、offまたはstrict. |
Annotation: sidecar.wallarm.io/wallarm-node-groupconfig.wallarm.api.nodeGroup | 新たに展開されるノードを追加するフィルタリングノードグループの名前を指定します。この方法によるノードのグルーピングは、Deployロールを持つAPIトークンを使用してCloudにノードを作成して接続する場合にのみ利用可能です(その値はconfig.wallarm.api.tokenパラメータに渡されます)。この値はTarantool podには適用されず、Tarantool podのノードは常に config.wallarm.api.nodeGroup Helmチャート値で指定されたノードグループにリンクされます. |
Annotation: sidecar.wallarm.io/wallarm-parser-disableチャート値なし | パーサを無効化できます。ディレクティブの値は無効にするパーサの名前に対応し、例:jsonです。複数のパーサを指定する場合はセミコロンで区切ります。例:json;base64. |
Annotation: sidecar.wallarm.io/wallarm-parse-responseconfig.wallarm.parseResponse | 攻撃検出のためにアプリケーションのレスポンスを解析するかどうか:on(デフォルト)またはoff. レスポンス解析は、パッシブ検出および脅威再現テスト中の脆弱性検出に必要です. |
Annotation: sidecar.wallarm.io/wallarm-acl-export-enableconfig.wallarm.aclExportEnable | ノードからCloudへdenylisted IPからのリクエストに関する統計情報を送信するかどうかを、有効onまたは無効offで設定します。
|
Annotation: sidecar.wallarm.io/wallarm-parse-websocketconfig.wallarm.parseWebsocket | Wallarmは完全なWebSocketサポートを提供します。デフォルトではWebSocketメッセージは攻撃解析されません。機能を強制するには、API Securityのサブスクリプションプランを有効にし、このアノテーションを使用してonまたはoff(デフォルト)を指定します. |
Annotation: sidecar.wallarm.io/wallarm-unpack-responseconfig.wallarm.unpackResponse | アプリケーションレスポンスで返される圧縮データの解凍を行うかどうか:on(デフォルト)またはoff. |
Annotation: sidecar.wallarm.io/wallarm-upstream-connect-attemptsconfig.wallarm.upstream.connectAttempts | TarantoolまたはWallarm APIへの即時再接続の回数を定義します. |
Annotation: sidecar.wallarm.io/wallarm-upstream-reconnect-intervalconfig.wallarm.upstream.reconnectInterval | 即時再接続の回数の閾値を超えた後、TarantoolまたはWallarm APIへの再接続試行間隔を定義します. |
Annotation: sidecar.wallarm.io/application-portconfig.nginx.applicationPort | 公開されているアプリケーションpodのポートが見つからない場合、Wallarmコンテナはこのポートへの着信リクエストを待機します(詳細). |
Annotation: sidecar.wallarm.io/nginx-listen-portconfig.nginx.listenPort | Wallarmコンテナがリッスンするポートです。このポートはWallarm sidecar solution専用であり、application-portと同じにはできません. |
Annotation: sidecar.wallarm.io/nginx-http-includeチャート値なし | NGINXの設定ファイルのパスの配列で、NGINX構成のhttpレベルにインクルードされるものです。ファイルはコンテナにマウントされ、このパスはコンテナ内のファイルを指す必要があります. |
Annotation: sidecar.wallarm.io/nginx-http-snippetチャート値なし | NGINX構成のhttpレベルに含める追加のインライン設定です. |
Annotation: sidecar.wallarm.io/nginx-server-includeチャート値なし | NGINXの設定ファイルのパスの配列で、NGINX構成のserverレベルにインクルードされるものです。ファイルはコンテナにマウントされ、このパスはコンテナ内のファイルを指す必要があります. |
Annotation: sidecar.wallarm.io/nginx-server-snippetチャート値なし | NGINX構成のserverレベルに含める追加のインライン設定です. |
Annotation: sidecar.wallarm.io/nginx-location-includeチャート値なし | NGINXの設定ファイルのパスの配列で、NGINX構成のlocationレベルにインクルードされるものです。ファイルはコンテナにマウントされ、このパスはコンテナ内のファイルを指す必要があります. |
Annotation: sidecar.wallarm.io/nginx-location-snippetチャート値なし | NGINX構成のlocationレベルに含める追加のインライン設定です. |
Annotation: sidecar.wallarm.io/nginx-extra-modulesチャート値なし | 有効にする追加のNGINXモジュールの配列です. |
Annotation: sidecar.wallarm.io/nginx-worker-connectionsconfig.nginx.workerConnections | NGINXワーカープロセスが開くことのできる同時接続の最大数(詳細)。デフォルトでは、チャート値は4096に設定されています. |
Annotation: sidecar.wallarm.io/nginx-worker-processesconfig.nginx.workerProcesses | NGINXワーカープロセス数。デフォルトでは、チャート値はautoに設定されており、これはワーカーの数がCPUコア数に合わせて設定されることを意味します. |
Annotation: sidecar.wallarm.io/proxy-extra-volumesチャート値なし | Podに追加するカスタムボリュームの配列。アノテーション値はシングルクォート''で囲む必要があります. |
Annotation: sidecar.wallarm.io/proxy-extra-volume-mountsチャート値なし | sidecar-proxyコンテナに追加するカスタムボリュームマウントのJSONオブジェクト。アノテーション値はシングルクォート''で囲む必要があります. |
Annotation: sidecar.wallarm.io/proxy-cpuconfig.sidecar.containers.proxy.resources.requests.cpu | sidecar-proxyコンテナの要求CPUです. |
Annotation: sidecar.wallarm.io/proxy-memoryconfig.sidecar.containers.proxy.resources.requests.memory | sidecar-proxyコンテナの要求メモリです. |
Annotation: sidecar.wallarm.io/proxy-cpu-limitconfig.sidecar.containers.proxy.resources.limits.cpu | sidecar-proxyコンテナのCPU制限です. |
Annotation: sidecar.wallarm.io/proxy-memory-limitconfig.sidecar.containers.proxy.resources.limits.memory | sidecar-proxyコンテナのメモリ制限です. |
Annotation: sidecar.wallarm.io/helper-cpuconfig.sidecar.containers.helper.resources.requests.cpu | sidecar-helperコンテナの要求CPUです. |
Annotation: sidecar.wallarm.io/helper-memoryconfig.sidecar.containers.helper.resources.requests.memory | sidecar-helperコンテナの要求メモリです. |
Annotation: sidecar.wallarm.io/helper-cpu-limitconfig.sidecar.containers.helper.resources.limits.cpu | sidecar-helperコンテナのCPU制限です. |
Annotation: sidecar.wallarm.io/helper-memory-limitconfig.sidecar.containers.helper.resources.limits.memory | sidecar-helperコンテナのメモリ制限です. |
Annotation: sidecar.wallarm.io/init-iptables-cpuconfig.sidecar.initContainers.iptables.resources.requests.cpu | sidecar-init-iptablesコンテナの要求CPUです. |
Annotation: sidecar.wallarm.io/init-iptables-memoryconfig.sidecar.initContainers.iptables.resources.requests.memory | sidecar-init-iptablesコンテナの要求メモリです. |
Annotation: sidecar.wallarm.io/init-iptables-cpu-limitconfig.sidecar.initContainers.iptables.resources.limits.cpu | sidecar-init-iptablesコンテナのCPU制限です. |
Annotation: sidecar.wallarm.io/init-iptables-memory-limitconfig.sidecar.initContainers.iptables.resources.limits.memory | sidecar-init-iptablesコンテナのメモリ制限です. |
Annotation: sidecar.wallarm.io/init-helper-cpuconfig.sidecar.initContainers.helper.resources.requests.cpu | sidecar-init-helperコンテナの要求CPUです. |
Annotation: sidecar.wallarm.io/init-helper-memoryconfig.sidecar.initContainers.helper.resources.requests.memory | sidecar-init-helperコンテナの要求メモリです. |
Annotation: sidecar.wallarm.io/init-helper-cpu-limitconfig.sidecar.initContainers.helper.resources.limits.cpu | sidecar-init-helperコンテナのCPU制限です. |
Annotation: sidecar.wallarm.io/init-helper-memory-limitconfig.sidecar.initContainers.helper.resources.limits.memory | sidecar-init-helperコンテナのメモリ制限です. |
Annotation: sidecar.wallarm.io/profileチャート値なし | このアノテーションは、TLS/SSL終端のためにアプリケーションpodに特定のTLSプロファイルを割り当てるために使用されます。 このアノテーションとTLS/SSL終端はHelmチャート4.6.1以降でサポートされています. |
WallarmがサポートするNGINXディレクティブには直接のアノテーションでカバーされていないものもありますが、nginx-*-snippetおよびnginx-*-includeアノテーションを使用してこれらも設定可能です。
アノテーションの使用方法¶
アプリケーション構成の該当するDeploymentオブジェクトの設定にアノテーションを指定してPodに適用します。例:
apiVersion: apps/v1
kind: Deployment
metadata:
name: myapp
namespace: default
spec:
replicas: 1
selector:
matchLabels:
app: myapp
template:
metadata:
labels:
app: myapp
wallarm-sidecar: enabled
annotations:
sidecar.wallarm.io/wallarm-mode: block
spec:
containers:
- name: application
image: kennethreitz/httpbin
ports:
- name: http
containerPort: 80