Wallarm Native Nodeをオールインワンインストーラーでアップグレードする¶
これらの手順は、オールインワンインストーラーを使用してインストールしたNative Nodeのアップグレード手順について説明します。
要件¶
-
Linux OS.
-
x86_64/ARM64アーキテクチャ.
-
すべてのコマンドをスーパーユーザー(例:
root)として実行します. -
以下へのアウトバウンドアクセス:
- Wallarmインストーラーをダウンロードするために
https://meganode.wallarm.com - US/EU Wallarm Cloud向けに
https://us1.api.wallarm.comまたはhttps://api.wallarm.com -
攻撃検出ルールとAPI仕様のアップデートをダウンロードし、許可リスト、拒否リスト、またはグレイリストに登録された国、地域、またはデータセンターの正確なIPを取得するための以下のIPアドレス
- Wallarmインストーラーをダウンロードするために
-
さらに、Wallarm ConsoleでAdministratorロールが割り当てられている必要があります.
1. 新しいインストーラーのバージョンをダウンロード¶
現在のNative Nodeが稼働中のマシンで最新のインストーラーバージョンをダウンロードします:
2. 新しいインストーラーを実行¶
下記のように新しいインストーラーを実行します. 現在稼働中のWallarmサービスが停止され, 新しいバージョンのサービスが自動的に起動されます.
以前生成したDeployロール用のAPIトークンおよびノードグループ名を再利用できます.
設定ファイルについては, 初回インストール時に使用したものを再利用できます. 必要に応じて新しいパラメータの追加または既存パラメータの変更のみを行ってください―詳細はサポートされている設定オプションをご参照ください.
connector-serverモードは, MuleSoft, CloudFront, Cloudflare, Broadcom Layer7 API Gateway, Fastlyコネクタを使用してセルフホスト型ノードを展開した場合に使用されます.
x86_64版インストーラーの場合:
# USクラウド
sudo env WALLARM_LABELS='group=<GROUP>' ./aio-native-0.11.0.x86_64.sh -- --batch --token <API_TOKEN> --mode=connector-server --go-node-config=<PATH_TO_CONFIG> --host us1.api.wallarm.com --preserve false
# EUクラウド
sudo env WALLARM_LABELS='group=<GROUP>' ./aio-native-0.11.0.x86_64.sh -- --batch --token <API_TOKEN> --mode=connector-server --go-node-config=<PATH_TO_CONFIG> --host api.wallarm.com --preserve false
ARM64版インストーラーの場合:
# USクラウド
sudo env WALLARM_LABELS='group=<GROUP>' ./aio-native-0.11.0.aarch64.sh -- --batch --token <API_TOKEN> --mode=connector-server --go-node-config=<PATH_TO_CONFIG> --host us1.api.wallarm.com --preserve false
# EUクラウド
sudo env WALLARM_LABELS='group=<GROUP>' ./aio-native-0.11.0.aarch64.sh -- --batch --token <API_TOKEN> --mode=connector-server --go-node-config=<PATH_TO_CONFIG> --host api.wallarm.com --preserve false
tcp-captureモードは, TCPトラフィック解析用にセルフホスト型ノードを展開した場合に使用されます.
Nodeバージョン0.11.0以上へアップグレードする場合
Nodeバージョン0.11.0以上へアップグレードする場合は, 初期設定ファイル(デフォルトのインストール手順に従いwallarm-node-conf.yaml)内のversion値が更新されていることと, 以前middlewareセクションに設定されていたパラメータがgoreplayセクションに移動されていることを確認してください:
x86_64版インストーラーの場合のアップグレードコマンド:
# USクラウド
sudo env WALLARM_LABELS='group=<GROUP>' ./aio-native-0.11.0.x86_64.sh -- --batch --token <API_TOKEN> --mode=tcp-capture --go-node-config=<PATH_TO_CONFIG> --host us1.api.wallarm.com --preserve false
# EUクラウド
sudo env WALLARM_LABELS='group=<GROUP>' ./aio-native-0.11.0.x86_64.sh -- --batch --token <API_TOKEN> --mode=tcp-capture --go-node-config=<PATH_TO_CONFIG> --host api.wallarm.com --preserve false
ARM64版インストーラーの場合のアップグレードコマンド:
# USクラウド
sudo env WALLARM_LABELS='group=<GROUP>' ./aio-native-0.11.0.aarch64.sh -- --batch --token <API_TOKEN> --mode=tcp-capture --go-node-config=<PATH_TO_CONFIG> --host us1.api.wallarm.com --preserve false
# EUクラウド
sudo env WALLARM_LABELS='group=<GROUP>' ./aio-native-0.11.0.aarch64.sh -- --batch --token <API_TOKEN> --mode=tcp-capture --go-node-config=<PATH_TO_CONFIG> --host api.wallarm.com --preserve false
-
WALLARM_LABELS変数は, ノードが追加されるグループを設定します(これはWallarm Console UI内でのノードの論理的なグルーピングに使用されます).
-
<API_TOKEN>は, Deployロール用に生成されたAPIトークンを指定します. -
<PATH_TO_CONFIG>は, 設定ファイルのパスを指定します.
現在の/opt/wallarm/etc/wallarm/go-node.yaml、/opt/wallarm/etc/wallarm/node.yaml及びログファイルは, /opt/wallarm/aio-backups/<timestamp>ディレクトリにバックアップされます.
3. アップグレードの検証¶
ノードが正常に動作していることを検証するには, 以下の手順を実行してください:
-
エラーログを確認します:
- ログはデフォルトで
/opt/wallarm/var/log/wallarm/go-node.logに出力されます. ここで確認できます. - Wallarm Cloudへのデータ送信の有無や検出された攻撃等、フィルタリングノードの標準ログは, ディレクトリ
/opt/wallarm/var/log/wallarmに格納されています.
- ログはデフォルトで
-
保護されたリソースアドレスに対してテスト用のPath Traversal攻撃リクエストを送信します:
トラフィックが
example.comにプロキシ設定されている場合, リクエストに-H "Host: example.com"ヘッダーを含めてください. -
アップグレードされたノードが前のバージョンと比べて期待通りに動作していることを確認してください.
問題が発生した場合¶
アップグレードまたは再インストールプロセスに問題がある場合は, 以下の手順を実行してください:
-
現在のインストールを削除します:
-
通常の手順でノードを再インストールします.TCPトラフィック解析またはMuleSoft, CloudFront, Cloudflare, Broadcom Layer7 API GatewayまたはFastlyコネクタの場合も同様です.
または, 上記のアップグレード手順に従ってください.