コンテンツにスキップ

CDNフィルタリングノード

Wallarm Console UIのNodesセクションでは、Wallarm nodeおよびCDN nodeタイプのノードを管理できます。本記事はCDNノードについて説明します。

Free tierでのCDNノード

CDN nodeタイプのデプロイはFree tierプランではサポートされていません。

Wallarm CDN node operates as a reverse proxy to the protected server. It analyzes incoming traffic, mitigates malicious requests and forwards legitimate requests to the protected server.

CDN node operation scheme

What can be protected with CDN node

With the CDN node you can protect the third-level (or lower, like 4th-, 5th- etc.) domains. For example, you can create CDN node for ple.example.com, but not for example.com.

As for the other characteristics of the Wallarm CDN node:

  • Hosted by the third-party cloud provider (Section.io), so no resources are required from your infrastructure to deploy the CDN node.

    Uploading request data to the third-party cloud provider

    Some data on processed requests is uploaded to the Lumen service.

  • Uploads some request data to the Wallarm Cloud. Learn more about uploaded data and cutting the sensitive data

  • Operates in the safe blocking mode relying on the IP graylist contents to identify suspected traffic and block it.

    To change the mode, use the corresponding rule.

  • The CDN node is fully configured via Wallarm Console UI. The only setting to be changed in another way is adding the Wallarm CNAME record to the protected resource's DNS records.

  • You can request the Wallarm support team to perform application configuration for your node.

ノードの作成

CDNノードを作成するには、こちらの手順に従ってください。

ノードの詳細の表示

インストールされたノードの詳細は、各ノードのテーブルおよびカードに表示されます。カードを開くには、該当するテーブルのレコードをクリックしてください。

利用可能なノードのプロパティおよびメトリクスは以下のとおりです:

  • 保護対象ドメインの名前に基づいて生成されたノード名

  • ノードのIPアドレス

  • 保護対象ドメインに関連付けられたオリジンアドレス

  • 一意のノード識別子(UUID)

  • ノードの状態

  • SSL/TLS証明書:Wallarmが生成したLet's Encrypt証明書またはカスタム証明書

  • フィルタリングノードとWallarm Cloudの最終同期時刻

  • フィルタリングノードの作成日

  • 当月にノードが処理したリクエスト数

  • 使用中のcustom_rulesetおよびproton.dbのバージョン

  • インストールされたWallarmパッケージのバージョン

  • 利用可能なコンポーネントアップデートのインジケータ

CDN node card

保護対象リソースのオリジンアドレスの更新

ホスティングプロバイダーが保護対象リソースに関連付けられたオリジンIPアドレスまたはドメインを動的に更新する場合、CDNノードの設定に指定されたオリジンアドレスを最新の状態に保ってください。そうしないと、CDNノードが誤ったオリジンアドレスにリクエストをプロキシしようとするため、リクエストが保護対象リソースに到達しなくなります。

オリジンアドレスを更新するには、Edit origin address オプションを使用してください。

カスタムSSL/TLS証明書のアップロード

Wallarmは自動的にCDNノードドメインでHTTPSを有効にするLet's Encrypt証明書を発行します。証明書は必要に応じて自動的に生成および更新されます。

保護対象ドメイン用の証明書を既にお持ちで、Let's Encrypt証明書ではなくそれを使用したい場合は、Update SSL/TLS certificate オプションを使用してご自身の証明書をアップロードしてください。

Varnish Cacheの使用

CDNノードとVarnish Cache HTTPアクセラレータを利用すると、ユーザーへのコンテンツ配信(例:サーバーのレスポンス)を高速化できます。ただし、コンテンツを変更した場合、CDN上のキャッシュコピーの更新に遅延が生じる可能性があり、これが問題を引き起こす原因となり、Varnish Cacheを無効化する理由となることがあります。

コンテンツ更新速度に関する問題を回避するため、Varnish Cacheはデフォルトで無効になっています。Varnish Cacheは手動で有効または無効にできます。設定するには、Nodes → CDN nodeメニュー → Enable Varnish Cache または Disable Varnish Cache に進んでください。

ノードの削除

フィルタリングノードが削除されると、ドメインへのリクエストのフィルタリングが停止されます。フィルタリングノードの削除は元に戻すことができません。Wallarm nodeはノード一覧から永久に削除されます。

  1. 保護対象ドメインのDNSレコードからWallarm CNAMEレコードを削除してください。

    不正リクエストの軽減が停止されます

    CNAMEレコードが削除され、インターネット上で変更が反映されると、Wallarm CDN nodeはリクエストのプロキシングを停止し、正当なトラフィックと不正なトラフィックが直接保護対象リソースに到達します。

    削除されたDNSレコードが反映されたにもかかわらず、新しいノードバージョン用に生成されたCNAMEレコードがまだ反映されていない場合、保護対象サーバーの脆弱性が悪用されるリスクが生じます。

  2. 変更が伝播するのを待ってください。実際のCNAMEレコードの状態は、Wallarm Console → NodesCDNDelete node に表示されます。

  3. ノード一覧からCDN nodeを削除してください。

Deleting the node

CDNノードのトラブルシューティング

What do CDN node statuses mean?

The following statuses may appear in Wallarm Console → Nodes for CDN nodes:

  • Registering: Wallarm registers the CDN node in the cloud provider.

    Required action: wait for the Requires CNAME status to add the Wallarm CNAME record to the protected domain's DNS records.

  • Requires CNAME: Wallarm CNAME record is not added to the DNS records of the protected domain or it is added but not propagated yet.

    Required action: add the CNAME record provided by Wallarm to the DNS records of the protected domain or wait for the changes to take effect on the Internet.

    If changes do not take effect for more than 24 hours, please check that your domain provider successfully updated the DNS records. If so, but the Not propagated yet status is still displayed in Wallarm Console, please contact the Wallarm technical support.

    The next expected status is Active.

  • Configuring: Wallarm processes changed origin address or SSL/TLS certificate.

    Required action: wait for the Active status.

  • Active: Wallarm CDN node mitigates the malicious traffic.

    Required action: none. You can monitor the events the CDN node detects.

  • Deleting: Wallarm deletes the CDN node.

    Required action: none, please wait for deletion to be finished.

How to identify the CNAME record propagated?

The Nodes section of Wallarm Console displays the actual status of whether the Wallarm CNAME record took effect on the Internet. If the CNAME record is propagated, the CDN node status is Active.

In addition, you can check the HTTP response headers with the following request:

curl -v <PROTECTED_DOMAIN>

If the Wallarm CNAME record is propagated, the response will contain the section-io-* headers.

If the CNAME record is not propagated for more than 24 hours, please check that your domain provider successfully updated the DNS records. If so, but the Not propagated yet status is still displayed in Wallarm Console, please contact the Wallarm technical support.

The CDN node is highlighted in red in the Nodes section. What does it mean?

If the CDN node is highlighted in red in the Nodes section, an error occurred during its registration or configuration due to the following possible reasons:

  • Unknown error while registering the node in the third-party cloud provider

    Required action: contact the Wallarm technical support.

  • Invalid custom SSL/TLS certificate

    Required action: make sure the uploaded certificate is valid. If not, upload the valid one.

The CDN node highlighted in red does not proxy requests and as a result, does not mitigate malicious traffic.

Why the CDN node could disappear from the node list in Wallarm Console?

Wallarm deletes CDN nodes with CNAME records left unchanged for 10 or more days since the moment of the node creation.

If you find the CDN node disappeared, create a new node.

Why is there a delay in the update of the content protected by the CDN node?

If your site is protected by the CDN node and you notice that when you change your data, the site is updated with a sensible delay, the probable reason may be the Varnish Cache which speeds up your content delivery, but the cached copy on the CDN may be updated with a delay.

Example:

  1. You have Varnish Cache enabled for your CDN node.

  2. You updated prices on your site.

  3. All requests are proxied via CDN, and the cache is not updated immediately.

  4. Site users see the old prices for some time.

To resolve the problem, you may disable Varnish Cache. To do so, proceed to Nodes → CDN node menu → Disable Varnish Cache.