Security Edgeコネクタ
¶
Security Edgeプラットフォームは、Wallarmがホスティングする環境内で地理的に分散したロケーションにWallarm Nodeをデプロイするためのマネージドサービスを提供します。主要なデプロイオプションの1つがコネクタNodeのデプロイで、オンサイトでのインストールは不要で、API全体を堅牢に保護します。
サポート対象プラットフォーム
現在、EdgeコネクタはMuleSoft Mule Gateway、CloudFront、Cloudflare、Fastly、IBM DataPowerにのみ対応しています。
要件¶
-
Security Edgeサブスクリプション(無料または有料)
-
次のいずれかのAPI管理プラットフォーム上で稼働しているAPI:
- MuleSoft Mule Gateway
- CloudFront
- Cloudflare
- Fastly
- IBM DataPower
Security Edgeコネクタの実行¶
Security Edgeコネクタを実行するには、Wallarm Console → Security Edge → Connectors → Add connectorに移動します。このセクションが利用できない場合は、必要なサブスクリプションへのアクセスについてsales@wallarm.comまでご連絡ください。
Free Tierでは、Quick setupでEdge Nodeをデプロイ後、Security Edgeセクションから設定を調整できます。
1. コネクタ用Edge Nodeのデプロイ¶
指定が必要なのはコネクタの設定のみです。デプロイはWallarmが実施し、プラットフォームからのトラフィックをルーティングするためのエンドポイントを提供します。
1つのエンドポイントで複数の異なるホストからの接続を処理できます。
-
Wallarm Console → Security Edge → Connectors → Add connectorに進みます。
-
Nodeのデプロイ設定を指定します:
-
Regions: コネクタ用のWallarm Nodeをデプロイするリージョンを1つ以上選択します。APIやアプリケーションがデプロイされている場所に近いリージョンを選択することを推奨します。複数リージョンを選択すると、いずれかのインスタンスが利用不可になった場合に負荷が分散され、ジオ冗長性が向上します。
リージョンはAWSまたはAzureから選択できます。
-
Filtration mode: トラフィック解析モード。
-
Application: 全体のアプリケーションIDです。Wallarmでは、Applicationsがインフラストラクチャの一部(例: ドメイン、ロケーション、インスタンス)の識別と整理に役立ちます。
各Nodeには全体のアプリケーションIDが必要で、ロケーションやインスタンスごとに個別のIDを割り当てることも可能です。
-
Allowed hosts: Nodeが受け付けて解析するトラフィックのホストを指定します。
指定したホストが存在しない、または到達できない場合は415エラーが返され、トラフィックは処理されません。
-
Location configuration: 必要に応じて、特定のホストやロケーションに一意のアプリケーションIDとトラフィック解析モードを割り当てます。
-
-
Auto-update strategy設定では、Edge Nodeバージョンを選択し、必要に応じてAuto updateを有効化できます。バージョンを明示的に選択しない場合は、最新バージョンが自動的にデプロイされます。
-
保存後、Wallarmがコネクタ用のNodeをデプロイして設定を完了するまでに3〜5分かかります。
デプロイ完了時、ステータスはPendingからActiveに変わります。
-
後でプラットフォームからトラフィックをルーティングするために必要になるので、Nodeのエンドポイントをコピーします。
NodeがActiveのステータスの間は、いつでもEdge Nodeのデプロイ設定を変更できます。Nodeは再デプロイされ、ステータスはPendingからActiveへと遷移します。エンドポイントは変わりませんが、再デプロイ中は利用できません。
2. APIを実行しているプラットフォームへのWallarmコードの組み込み¶
Edge Nodeをデプロイしたら、プラットフォームにWallarmコードを組み込み、デプロイ済みNodeへトラフィックをルーティングする必要があります。
-
Wallarm Console UIから、使用プラットフォーム用のコードバンドルをダウンロードします。
-
次の手順に従って、API管理プラットフォームにバンドルを適用します:
テレメトリポータル¶
Security Edgeコネクタ向けのテレメトリポータルは、Wallarmが処理したトラフィックのメトリクスをリアルタイムに可視化するGrafanaダッシュボードを提供します。
ダッシュボードには、総処理リクエスト数、RPS、検出・ブロックされた攻撃、デプロイ済みEdge Node数、リソース消費量、5xxレスポンス数などの主要なメトリクスが表示されます。
NodeがActiveのステータスになったら、Run telemetry portalを実行します。開始から約5分後、Security Edgeセクションからのダイレクトリンクでアクセス可能になります。
Grafanaのホームページからダッシュボードへ移動するには、Dashboards → Wallarm → Portal Connector Overviewに進みます。複数のNodeがある場合は、各ダッシュボードを表示するためにコネクタのエンドポイントに対応するTenant IDに切り替えてください。
Edge Nodeのアップグレード¶
Auto updateを有効にすると、新しいマイナーまたはパッチバージョンがリリースされ次第(選択したオプションに応じて)、Edge Nodeは自動的にアップグレードされます。初期設定はすべて保持されます。Auto updateはデフォルトでオフです。
Edge Nodeを手動でアップグレードするには、対象Nodeを編集用に開き、Auto updateセクションでバージョンを選択します。最適なパフォーマンスとセキュリティのため、最新バージョンの使用を推奨します。
新しいメジャーバージョンへのアップグレードは手動でのみ実行できます。
各バージョンの変更履歴は記事を参照してください。Edge Nodeのバージョンは<MAJOR_VERSION>.<MINOR_VERSION>.<PATCH_VERSION>
形式で、リンク先の記事の同一バージョンに対応します。Edge Nodeバージョンのビルド番号は小規模な変更を示します。
また、コネクタのコードバンドルをアップグレードする必要がある場合があります。変更履歴とアップグレード手順はConnector Code Bundleの変更履歴を参照してください。
Edge Nodeの削除¶
Edge Nodeを削除すると、そのエンドポイントは利用できなくなり、セキュリティ解析のためにトラフィックを経由させることができなくなります。
プラットフォームに組み込まれたWallarmのコードバンドルは、バンドル設定で指定されたNodeのエンドポイントへの到達を引き続き試みます。しかし、failed: Couldn't resolve address
エラーで失敗し、トラフィックはEdge Nodeを経由せずにターゲットへ流れ続けます。
サブスクリプションが失効した場合、14日後にEdge Nodeは自動的に削除されます。
トラブルシューティング¶
-
If the Wallarm-hosted node status in the Wallarm Console is Failed, something went wrong with the deployment. Please report it on the Wallarm Support portal, and we will investigate.
-
For any other issues or assistance, please also leave a request on the Wallarm Support portal. We are available to help with any deployment problems.