Развертывание с Amazon Machine Image

Развертывание фильтрующего узла с Amazon Machine Image (AMI) проходит следующим образом:

  1. Вход в учетную запись Amazon Web Services.
  2. Запуск инстанса с фильтрующим узлом.
  3. Подключение по SSH к инстансу с фильтрующим узлом.
  4. Настройка фильтрующего узла для использования прокси-сервера.
  5. Подключение фильтрующего узла к облаку Wallarm.
  6. Настройка правил проксирования и фильтрации.

1. Вход в учетную запись Amazon Web Services

Войдите в aws.amazon.com.

2. Запуск инстанса с фильтрующим узлом

Запустите инстанс с фильтрующим узлом, перейдя в Amazon Marketplace. Инстанс запустится с предустановленным фильтрующим узлом.

Подробнее о запуске инстансов в AWS: Amazon Elastic Compute Cloud: Launching an Instance.

3. Подключение по SSH к инстансу с фильтрующим узлом

Необходимо подключаться к инстансу, используя имя пользователя admin.

Подробнее в Amazon Elastic Compute Cloud: Connecting to Your Linux Instance Using SSH.

4. Настройка фильтрующего узла для использования прокси-сервера

Данный этап настройки предназначен для пользователей, использующих свой прокси-сервер для работы защищаемых веб-приложений.

Если Вы не используете прокси-сервер, пропустите этот этап настройки.

Чтобы настроить фильтрующий узел Wallarm для использования Вашего прокси-сервера, необходимо присвоить новые значения переменным окружения, которые определяют используемый прокси-сервер.

Добавьте в файл /etc/environment экспорты новых значений переменных окружения:

  • export https_proxy — прокси для протокола https;
  • export http_proxy — прокси для протокола http;
  • export no_proxy — ресурсы, для запросов к которым необходимо отключить проксирование.

Присвойте переменным https_proxy и http_proxy строки вида <scheme>://<proxy_user>:<proxy_pass>@<host>:<port>, где:

  • <scheme> — используемый протокол (должен совпадать с протоколом, для которого настраивается прокси в текущей переменной окружения);
  • <proxy_user> — имя пользователя для авторизации на прокси-сервере;
  • <proxy_pass> — пароль для авторизации на прокси-сервере;
  • <host> — хост используемого прокси-сервера;
  • <port> — порт используемого прокси-сервера.

Присвойте переменной no_proxy значение в виде массива IP-адресов и/или доменов, к которым нужно обращаться без использования прокси: "<res_1>, <res_2>, <res_3>, <res_4>, ...", где <res_1>, <res_2>, <res_3> и <res_4> — IP-адреса и/или домены.

Ресурсы, к которым нужно обращаться без использования прокси

Для корректной работы системы в список ресурсов, к которым нужно обращаться без прокси, необходимо добавить следующие IP-адреса и домен: 127.0.0.1, 127.0.0.8, 127.0.0.9 и localhost.

IP-адреса 127.0.0.8 и 127.0.0.9 используются для работы фильтрующего узла Wallarm.

Пример корректного содержимого файла /etc/environment ниже демонстрирует следующую конфигурацию:

  • Протоколы https и http используют хост 1.2.3.4 и порт 1234 для проксирования запросов;
  • Протоколы https и http используют имя пользователя admin и пароль 01234 для авторизации на прокси-сервере;
  • Для запросов к 127.0.0.1, 127.0.0.8, 127.0.0.9 и localhost проксирование отключено.
export https_proxy=http://admin:01234@1.2.3.4:1234
export http_proxy=http://admin:01234@1.2.3.4:1234
export no_proxy="127.0.0.1, 127.0.0.8, 127.0.0.9, localhost"

5. Подключение фильтрующего узла к облаку Wallarm

Фильтрующий узел взаимодействует с облаком, находящемся на удаленном сервере.

Подключение фильтрующего узла к облаку происходит при помощи скрипта addnode.

  1. Запустите скрипт addnode: /usr/share/wallarm-common/addnode

  2. Введите логин и пароль. Используется связка логин и пароль от вашей учетной записи на https://my.wallarm.com. Учетная запись должна иметь права на подключение нового фильтрующего узла. Для учетной записи должна быть отключена двухфакторная аутентификация. Если таких прав нет или для пользователя включена двухфакторная аутентификация, скрипт сообщит об ошибке.

Доступ к API

Для работы с облаком узел должен иметь доступ к https://api.wallarm.com:444. В случае проблем убедитесь, что доступ не ограничен файрволом.

6. Настройка правил проксирования и фильтрации:

Параметры фильтрации и проксирования настраиваются в файле /etc/nginx/conf.d/wallarm.conf при помощи директивы wallarm_mode.

Убедитесь, что строка с директивой wallarm_mode не закомментирована. Если в начале строки присутствует символ #, удалите его.

Установите режим мониторинга, задав значение monitoring для директивы wallarm_mode, как указано в примере:

#
# Wallarm module specific parameters
#

wallarm_mode monitoring;
# wallarm_mode_allow_override on;

Настройка выделения оперативной памяти для фильтрующего узла

Фильтрующий узел использует находящееся в памяти хранилище Tarantool.

По умолчанию развернутый образ Wallarm выделяет под Tarantool 75% от общей памяти инстанса.

Вы можете изменить это значени.

Укажите объем оперативной памяти для Tarantool:

  1. Откройте для редактирования конфигурационный файл Tarantool:

    vi /etc/default/wallarm-tarantool

  2. Укажите размер выделенной памяти в директиве SLAB_ALLOC_ARENA в ГБ. Например, 24 ГБ:

    SLAB_ALLOC_ARENA=24

  3. Чтобы применить сделанные изменения, перезапустите Tarantool:

    systemctl restart wallarm-tarantool

Установка завершена

На этом установка завершена.

Проверьте, что фильтрующий узел работает и пропускает через себя трафик. Подробнее в Проверка работоспособности фильтрующего узла.

results matching ""

    No results matching ""