Установка с использованием VMware vApp

Фильтрующий узел может быть установлен в виде VMware vApp.

Функциональность фильтрующего узла, установленного в виде VMware vApp, полностью идентична функциональности других вариантов установки.

Необходимые условия

Система виртуализации должна удолетворять следующим требованиям:

  • Поддержка технологии vApp.
  • vCenter версии 5.5 и выше.
  • ESXi версии 5.5 и выше.

Права доступа:

  • Наличие доступа к консоли vCenter с правами на создание OVF-шаблонов
  • Наличие доступа в облако Валарм с правами на создание узлов

Получите ссылку на OVF-шаблон

  1. Откройте https://my.wallarm.com.
  2. Нажмите Узлы.
  3. Нажмите Получить ссылку на OVF-шаблон.

В буфер обмена скопируется путь к OVF-шаблону. Ссылка действительна в течение 24 часов.

У фильтрующего узла автоматически изменятся реквизиты доступа. Если старый узел еще находится в строю, он потеряет возможность взаимодействовать с Валарм API.

Разверните OVF-шаблон для VMware

  1. Зайдите в vCenter через vSphere Client или vSphere Web Service.
  2. Нажмите File.
  3. Нажмите Deploy OVF template.
  4. Скопируйте из буфера обмена путь к OVF-шаблону.
  5. Укажите на этапе Name and Location название, под которым виртуальная машина будет видна в интерфейсе vSphere Client.
  6. На этапе Deployment configuration выберите конфигурацию:

    • up to 10mbps предназначена для тестовых инсталляций. Использует 1 виртуальный процессор и 512 МБ памяти.
    • 10-50mbps рассчитана на нагрузку до 50 Мбит трафика. Использует 4 виртуальных процессора и 16 ГБ памяти.
    • 50-100mbps рассчитана на нагрузку до 100 Мбит трафика. Использует 8 виртуальных процессоров и 32 ГБ памяти.

      Размер дискового пространства

      Убедитесь, что дискового пространства выделяется как минимум в 4 раза больше объема оперативной памяти. Например, при объеме оперативной памяти 16 ГБ потребуется 64 ГБ дискового пространства.

  7. Настройте на этапе Properties параметры фильтрующего узла. Эти параметры будут использоваться только для конфигурации при первом запуске.

    • Hostname имя сервера.
    • HTTP hosts: список доменов, которые будут обрабатываться. Запросы, у которых значение заголовка Host не входит в указанный список, не будут передаваться на бэкенды и будут заблокированы.
    • HTTP backends: список IP-адресов, на которые будут пересылаться запросы.
  8. При первой загрузке виртуальной машины в консоли сервера появится предложение установки пароля для root.

    Имя пользователя

    Когда система запросит имя пользователя, введите installer.

    После первой загрузки необходимо выполнить одно из перечисленных ниже действий:

    • Подождать 15 минут, пока выгрузятся специфичные для для фильтрующего узла файлы.
    • Вручную запустить /usr/share/wallarm-common/syncnode.

Дополнительные настройки

После установки фильтрующий узел может потребовать дополнительной настройки.

Далее приводится несколько типовых настроек, которые вы можете выполнить, если это требуется.

Для получения информации о других доступных настройках, обратитесь к разделу «Настройка» руководства администратора.

Настройка отображения реального IP-адреса клиента

Если фильтрующий узел развернут за прокси-сервером или балансировщиком нагрузки, то при такой схеме развертывания без дополнительной настройки адрес источника на фильтрующем узле может совпадать с одним из IP-адресов прокси-сервера или балансировщика нагрузки, а не с IP-адресом клиента.

В этом случае, если вы хотите, чтобы на фильтрующий узел передавался IP-адрес клиента в качестве адреса источника, то требуется дополнительная настройка прокси-сервера или балансировщика.

Настройка расширенного логирования

Вы можете настроить логирование переменных фильтрующего узла с помощью NGINX. Это позволит проводить более быструю диагностику состояния фильтрующего узла, основываясь на содержимом лог-файла NGINX.

Добавление адресов сканера Валарм в белый список

Сканер Валарм позволяет сканировать ресурсы вашей компании на уязвимости. Сканирование происходит с IP-адресов из этих списков:

Если вы используете сканер Валарм, то для его корректной работы рекомендуется настроить на средствах защиты вашего периметра (файерволы, системы предотвращения вторжений и т. д.) белые списки, содержащие в себе IP-адреса сканера Валарм.

Ограничение времени обработки единичного запроса

Используйте директиву Валарм wallarm_process_time_limit, чтобы задать ограничение времени обработки единичного запроса фильтрующим узлом.

Если запрос обрабатывается за большее время, чем указано в директиве, то в лог-файл заносится информация об ошибке, а запрос помечается как атака overlimit_res.

Ограничение времени ожидания ответа сервера

Используйте директиву NGINX proxy_read_timeout, чтобы задать таймаут чтения ответа проксированного сервера.

Если за это время сервер ничего не передаст, то соединение будет закрыто.

Ограничение максимального размера запроса

Используйте директиву NGINX client_max_body_size, чтобы задать ограничение на максимальный размер тела запроса клиента.

В случае превышения этого ограничения NGINX вернет клиенту ответ с кодом 413 (Payload Too Large, также известный как Request Entity Too Large).

results matching ""

    No results matching ""