コンテンツにスキップ

Dockerイメージを使用したWallarm Native Nodeのアップグレード

本手順では、DockerイメージからデプロイされたNative Nodeをアップグレードする手順を説明します。

Dockerイメージのリリースを表示

要件

  • ホストシステムにDockerがインストールされていること

  • API管理プラットフォームからコンテナ化された環境へのインバウンドアクセス

  • コンテナ化された環境から以下へのアウトバウンドアクセス:

    • デプロイに必要なDockerイメージをダウンロードするためのhttps://hub.docker.com/r/wallarm
    • US/EUのWallarm Cloud用のhttps://us1.api.wallarm.comまたはhttps://api.wallarm.com

    • 攻撃検知ルールおよびAPI仕様の更新をダウンロードし、さらにallowlisted、denylisted、graylistedの国・地域・データセンターの正確なIPを取得するための、以下のIPアドレスへのアクセス

      node-data0.us1.wallarm.com - 34.96.64.17
node-data1.us1.wallarm.com - 34.110.183.149
us1.api.wallarm.com - 35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105

      node-data1.eu1.wallarm.com - 34.160.38.183
node-data0.eu1.wallarm.com - 34.144.227.90
api.wallarm.com - 34.90.110.226

  • さらに、Wallarm ConsoleでAdministratorロールが割り当てられている必要があります

1. 新しいDockerイメージのバージョンをダウンロードします

docker pull wallarm/node-native-aio:0.17.1

2. 実行中のコンテナを停止します

docker stop <RUNNING_CONTAINER_NAME>

3. 新しいイメージを使用してコンテナを起動します

Nodeバージョン0.12.x以下からアップグレードする場合

Nodeバージョン0.12.x以下からアップグレードする場合は、初期設定ファイル(デフォルトのインストール手順ではwallarm-node-conf.yaml)のversion値を更新し、(明示的に指定している場合は)tarantool_exporterセクションの名前をpostanalytics_exporterに変更してください:

-version: 2
+version: 4

-tarantool_exporter:
+postanalytics_exporter:
    address: 127.0.0.1:3313
    enabled: true

...

docker run -d -e WALLARM_API_TOKEN='XXXXXXX' -e WALLARM_LABELS='group=<GROUP>' -e WALLARM_API_HOST='us1.api.wallarm.com' -v ./wallarm-node-conf.yaml:/opt/wallarm/etc/wallarm/go-node.yaml -p 80:5050 wallarm/node-native-aio:0.17.1

docker run -d -e WALLARM_API_TOKEN='XXXXXXX' -e WALLARM_LABELS='group=<GROUP>' -e WALLARM_API_HOST='api.wallarm.com' -v ./wallarm-node-conf.yaml:/opt/wallarm/etc/wallarm/go-node.yaml -p 80:5050 wallarm/node-native-aio:0.17.1
Environment variable Description Required
WALLARM_API_TOKEN Node deployment/Deploymentの使用タイプを持つAPIトークンです。 はい
WALLARM_LABELS ノードインスタンスのグルーピング用にgroupラベルを設定します。例えば:
WALLARM_LABELS="group=<GROUP>"はノードインスタンスを<GROUP>インスタンスグループに配置します(既存のグループがある場合はそこへ、存在しない場合は作成されます)。		 はい
WALLARM_API_HOST Wallarm APIサーバー:
  • USクラウドはus1.api.wallarm.com
  • EUクラウドはapi.wallarm.com
デフォルト: api.wallarm.com		 いいえ

  • -pオプションはホストとコンテナのポートをマッピングします。

    • 最初の値(80)はホストのポートで、外部トラフィックに公開されます。
    • 2つ目の値(5050)はコンテナのポートで、wallarm-node-conf.yamlファイルのconnector.address設定と一致している必要があります。

  • 設定ファイルは、コンテナ内で/opt/wallarm/etc/wallarm/go-node.yamlとしてマウントする必要があります。

    設定ファイルには、初回インストール時に使用したものを再利用できます。必要な場合のみ新しいパラメータを追加するか既存のものを変更してください。サポートされる設定オプションを参照してください。

4. アップグレードを検証します

ノードが正しく動作していることを確認するには、次を実行します。

  1. エラーがないかログを確認します。

    • デフォルトではログは/opt/wallarm/var/log/wallarm/go-node.logに書き込まれ、追加の出力はstdoutにも表示されます。
    • フィルタリングノードの標準ログ(Wallarm Cloudへのデータ送信状況、検出された攻撃など)は、コンテナ内の/opt/wallarm/var/log/wallarmディレクトリにあります。

  2. 保護されたリソースのアドレスに、テスト用のパストラバーサル攻撃を含むリクエストを送信します。

    curl http://localhost/etc/passwd

    トラフィックがexample.comにプロキシされるように構成されている場合は、リクエストに-H "Host: example.com"ヘッダーを含めてください。

  3. アップグレードされたノードが、前のバージョンと比較して期待どおりに動作することを確認します。