Развертывание на Google Cloud Platform

Развертывание фильтрующего узла на Google Cloud Platform (GCP) проходит следующим образом:

  1. Вход в учетную запись Google Cloud Platform.
  2. Запуск виртуальной машины (VM instance) с предустановленным фильтрующим узлом Wallarm Node.
  3. Подключение к консоли инстанса для дополнительной конфигурации.
  4. Настройка фильтрующего узла для использования прокси-сервера.
  5. Регистрация фильтрующего узла в Wallarm Cloud.
  6. Настройка правил проксирования и фильтрации.

1. Вход в учетную запись Google Cloud Platform

Войдите в console.cloud.google.com.

2. Запуск виртуальной машины (VM instance) с предустановленным фильтрующим узлом Wallarm Node.

Запустите инстанс с Wallarm Node. Для этого перейдите по этой ссылке и нажмите LAUNCH ON COMPUTER ENGINE.

Инстанс запустится с предустановленным фильтрующим узлом.

3. Подключение к консоли инстанса для дополнительной конфигурации

Подробнее в Google Cloud Platform: Connecting to Instances.

4. Настройка фильтрующего узла для использования прокси-сервера

Данный этап настройки предназначен для пользователей, использующих свой прокси-сервер для работы защищаемых веб-приложений.

Если Вы не используете прокси-сервер, пропустите этот этап настройки.

Чтобы настроить фильтрующий узел Wallarm для использования Вашего прокси-сервера, необходимо присвоить новые значения переменным окружения, которые определяют используемый прокси-сервер.

Добавьте в файл /etc/environment экспорты новых значений переменных окружения:

  • export https_proxy — прокси для протокола https;
  • export http_proxy — прокси для протокола http;
  • export no_proxy — ресурсы, для запросов к которым необходимо отключить проксирование.

Присвойте переменным https_proxy и http_proxy строки вида <scheme>://<proxy_user>:<proxy_pass>@<host>:<port>, где:

  • <scheme> — используемый протокол (должен совпадать с протоколом, для которого настраивается прокси в текущей переменной окружения);
  • <proxy_user> — имя пользователя для авторизации на прокси-сервере;
  • <proxy_pass> — пароль для авторизации на прокси-сервере;
  • <host> — хост используемого прокси-сервера;
  • <port> — порт используемого прокси-сервера.

Присвойте переменной no_proxy значение в виде массива IP-адресов и/или доменов, к которым нужно обращаться без использования прокси: "<res_1>, <res_2>, <res_3>, <res_4>, ...", где <res_1>, <res_2>, <res_3> и <res_4> — IP-адреса и/или домены.

Ресурсы, к которым нужно обращаться без использования прокси

Для корректной работы системы в список ресурсов, к которым нужно обращаться без прокси, необходимо добавить следующие IP-адреса и домен: 127.0.0.1, 127.0.0.8, 127.0.0.9 и localhost.

IP-адреса 127.0.0.8 и 127.0.0.9 используются для работы фильтрующего узла Wallarm.

Пример корректного содержимого файла /etc/environment ниже демонстрирует следующую конфигурацию:

  • Протоколы https и http используют хост 1.2.3.4 и порт 1234 для проксирования запросов;
  • Протоколы https и http используют имя пользователя admin и пароль 01234 для авторизации на прокси-сервере;
  • Для запросов к 127.0.0.1, 127.0.0.8, 127.0.0.9 и localhost проксирование отключено.
export https_proxy=http://admin:01234@1.2.3.4:1234
export http_proxy=http://admin:01234@1.2.3.4:1234
export no_proxy="127.0.0.1, 127.0.0.8, 127.0.0.9, localhost"

5. Регистрация фильтрующего узла в Wallarm Cloud

Фильтрующий узел взаимодействует с облаком, находящемся на удаленном сервере.

Подключение фильтрующего узла к облаку происходит при помощи скрипта addnode.

  1. Запустите скрипт addnode: /usr/share/wallarm-common/addnode

  2. Введите логин и пароль. Используется связка логин и пароль от вашей учетной записи на https://my.wallarm.com. Учетная запись должна иметь права на подключение нового фильтрующего узла. Для учетной записи должна быть отключена двухфакторная аутентификация. Если таких прав нет или для пользователя включена двухфакторная аутентификация, скрипт сообщит об ошибке.

Доступ к API

Для работы с облаком узел должен иметь доступ к https://api.wallarm.com:444. В случае проблем убедитесь, что доступ не ограничен файрволом.

6. Настройка правил проксирования и фильтрации:

Параметры фильтрации и проксирования настраиваются в файле /etc/nginx/conf.d/wallarm.conf при помощи директивы wallarm_mode.

Убедитесь, что строка с директивой wallarm_mode не закомментирована. Если в начале строки присутствует символ #, удалите его.

Установите режим мониторинга, задав значение monitoring для директивы wallarm_mode, как указано в примере:

#
# Wallarm module specific parameters
#

wallarm_mode monitoring;
# wallarm_mode_allow_override on;

Дополнительно. Настройка выделения оперативной памяти для фильтрующего узла

Фильтрующий узел использует находящееся в памяти хранилище Tarantool.

По умолчанию развернутый образ Wallarm Node выделяет под Tarantool 75% от общей памяти инстанса.

Вы можете изменить объем оперативной памяти для Tarantool:

  1. Откройте для редактирования конфигурационный файл Tarantool:

    vi /etc/default/wallarm-tarantool

  2. Укажите размер выделенной памяти в директиве SLAB_ALLOC_ARENA в ГБ. Например, 24 ГБ:

    SLAB_ALLOC_ARENA=24

  3. Чтобы применить сделанные изменения, перезапустите Tarantool:

    systemctl restart wallarm-tarantool

Установка завершена

На этом установка завершена.

Проверьте, что фильтрующий узел работает и пропускает через себя трафик. Подробнее в Проверка работоспособности фильтрующего узла.

results matching ""

    No results matching ""