Wallarm NGINX modüllerini yükseltme¶

Bu talimatlar, bireysel paketlerden kurulmuş Wallarm NGINX modüllerini 4.x’ten 6.x sürümüne yükseltme adımlarını açıklar. Bunlar, aşağıdaki talimatlardan biriyle kurulmuş modüllerdir:

NGINX stable için bireysel paketler
NGINX Plus için bireysel paketler
Dağıtımın sağladığı NGINX için bireysel paketler

Tümü bir arada yükleyici ile yükseltme

4.10 sürümünden itibaren, bireysel Linux paketleri kullanım dışı bırakıldığından yükseltme Wallarm’ın all-in-one installer aracı ile gerçekleştirilir. Bu yöntem, önceki yaklaşıma kıyasla yükseltme sürecini ve devam eden kurulum bakımını basitleştirir.

Yükleyici aşağıdaki işlemleri otomatik olarak gerçekleştirir:

İşletim sisteminizi ve NGINX sürümünü kontrol eder.
Algılanan işletim sistemi ve NGINX sürümü için Wallarm depolarını ekler.
Bu depolardan Wallarm paketlerini kurar.
Kurulu Wallarm modülünü NGINX’inize bağlar.
Sağlanan belirteç ile filtreleme düğümünü Wallarm Cloud’a bağlar.

Kullanım ömrü sona ermiş düğümü (3.6 veya altı) yükseltmek için lütfen farklı talimatları kullanın.

Gereksinimler¶

Access to the account with the Administrator role in Wallarm Console for the US Cloud or EU Cloud.
Access to https://meganode.wallarm.com to download all-in-one Wallarm installer. Ensure the access is not blocked by a firewall.
Access to https://us1.api.wallarm.com for working with US Wallarm Cloud or to https://api.wallarm.com for working with EU Wallarm Cloud. If access can be configured only via the proxy server, then use the instructions.
Executing all commands as a superuser (e.g. root).
Access to the IP addresses and their corresponding hostnames (if any) listed below. This is needed for downloading updates to attack detection rules and API specifications, as well as retrieving precise IPs for your allowlisted, denylisted, or graylisted countries, regions, or data centers.
US CloudEU Cloud
node-data0.us1.wallarm.com - 34.96.64.17 node-data1.us1.wallarm.com - 34.110.183.149 us1.api.wallarm.com - 35.235.66.155 34.102.90.100 34.94.156.115 35.235.115.105
node-data1.eu1.wallarm.com - 34.160.38.183 node-data0.eu1.wallarm.com - 34.144.227.90 api.wallarm.com - 34.90.110.226

Yükseltme prosedürü¶

Filtreleme düğümü ve postanalytics modülleri aynı sunucuda yüklüyse, tümünü yükseltmek için aşağıdaki talimatları izleyin.

Yeni bir makinede tümü bir arada yükleyici ile daha yeni sürüm bir düğüm çalıştırmanız, düzgün çalıştığını test etmeniz ve önceki düğümü durdurup trafiği eski makine yerine yeni makine üzerinden akacak şekilde yapılandırmanız gerekecektir.
Filtreleme düğümü ve postanalytics modülleri farklı sunucularda yüklüyse, bu talimatları izleyerek önce postanalytics modülünü, ardından filtreleme modülünü yükseltin.

Adım 1: Temiz makine hazırlayın¶

When upgrading modules with all-in-one installer, you cannot upgrade an old package installation - instead you need to use a clean machine. Thus, as step 1, prepare a machine with one of the supported OS:

Debian 10, 11 and 12.x
Ubuntu LTS 18.04, 20.04, 22.04
CentOS 7, 8 Stream, 9 Stream
Alma/Rocky Linux 9
RHEL 8.x
RHEL 9.x
Oracle Linux 8.x
Oracle Linux 9.x
Redox
SuSe Linux
Others (the list is constantly widening, contact Wallarm support team to check if your OS is in the list)

Using new clean machine will lead to that at some moment you will have both old and new node, which is good: you can test the new one working properly without stopping the old one.

Adım 2: En güncel NGINX’i ve bağımlılıkları kurun¶

Install the latest NGINX version of:

NGINX stable (the latest supported version is v1.28.0) - see how to install it in the NGINX documentation.
NGINX Mainline (the latest supported version is v1.27.5) - see how to install it in the NGINX documentation.
NGINX Plus (the latest supported version is NGINX Plus R33) - see how to install it in the NGINX documentation.

Distribution-Provided NGINX - to install, use the following commands:

DebianUbuntuCentOSAlmaLinux, Rocky Linux or Oracle Linux 8.xRHEL 8.x

sudo apt update 
sudo apt -y install --no-install-recommends nginx

sudo apt-get update
sudo apt-get install nginx

sudo yum -y update 
sudo yum install -y nginx

sudo yum -y update 
sudo yum install -y nginx

sudo yum -y update 
sudo yum install -y nginx

Adım 3: Wallarm belirteci hazırlayın¶

To install node, you will need a Wallarm token of the appropriate type. To prepare a token:

API tokenNode token

Open Wallarm Console → Settings → API tokens in the US Cloud or EU Cloud.
Find or create API token with the Node deployment/Deployment usage type.
Copy this token.

Open Wallarm Console → Nodes in the US Cloud or EU Cloud.
Do one of the following:
- Create the node of the Wallarm node type and copy the generated token.
- Use existing node group - copy token using node's menu → Copy token.

Adım 4: Tümü bir arada Wallarm yükleyicisini indirin¶

Wallarm suggests all-in-one installations for the following processors:

x86_64
ARM64 (beta)

To download all-in-one Wallarm installation script, execute the command:

x86_64 versionARM64 version (beta)

curl -O https://meganode.wallarm.com/6.6/wallarm-6.6.1.x86_64-glibc.sh

curl -O https://meganode.wallarm.com/6.6/wallarm-6.6.1.aarch64-glibc.sh

Adım 5: Tümü bir arada Wallarm yükleyicisini çalıştırın¶

Filtreleme düğümü ve postanalytics aynı sunucuda¶

Run downloaded script:

API tokenNode token

# If using the x86_64 version:
sudo env WALLARM_LABELS='group=<GROUP>' sh wallarm-6.6.1.x86_64-glibc.sh

# If using the ARM64 version:
sudo env WALLARM_LABELS='group=<GROUP>' sh wallarm-6.6.1.aarch64-glibc.sh

The WALLARM_LABELS variable sets group into which the node will be added (used for logical grouping of nodes in the Wallarm Console UI).

# If using the x86_64 version:
sudo sh wallarm-6.6.1.x86_64-glibc.sh

# If using the ARM64 version:
sudo sh wallarm-6.6.1.aarch64-glibc.sh

Select US Cloud or EU Cloud.
Enter Wallarm token.

Filtreleme düğümü ve postanalytics farklı sunucularda¶

Filtreleme düğümü ve postanalytics modüllerini yükseltme adımlarının sırası

Filtreleme düğümü ve postanalytics modülleri farklı sunuculara kurulmuşsa, filtreleme düğümü paketlerini güncellemeden önce postanalytics paketlerini yükseltmek gereklidir.

Postanalytics modülünü şu talimatları izleyerek yükseltin.

Filtreleme düğümünü yükseltin:

API belirteciNode belirteci

# x86_64 sürümünü kullanıyorsanız:
sudo env WALLARM_LABELS='group=<GROUP>' sh wallarm-6.5.1.x86_64-glibc.sh filtering

# ARM64 sürümünü kullanıyorsanız:
sudo env WALLARM_LABELS='group=<GROUP>' sh wallarm-6.5.1.aarch64-glibc.sh filtering

WALLARM_LABELS değişkeni, düğümün ekleneceği grubu ayarlar (Wallarm Console UI içinde düğümlerin mantıksal gruplandırılması için kullanılır).

# x86_64 sürümünü kullanıyorsanız:
sudo sh wallarm-6.5.1.x86_64-glibc.sh filtering

# ARM64 sürümünü kullanıyorsanız:
sudo sh wallarm-6.5.1.aarch64-glibc.sh filtering

Adım 6: Eski düğüm makinesinden yeniye NGINX ve postanalytics yapılandırmasını aktarın¶

Gerekli yönergeleri veya dosyaları kopyalayarak düğümle ilgili NGINX ve postanalytics yapılandırmalarını eski makineden yeniye taşıyın:

/etc/nginx/conf.d/default.conf veya http seviyesi için NGINX ayarlarının bulunduğu /etc/nginx/nginx.conf

Filtreleme ve postanalytics düğümleri farklı sunuculardaysa, filtreleme düğümü makinesindeki /etc/nginx/nginx.conf dosyasının http bloğunda wallarm_tarantool_upstream adını wallarm_wstore_upstream olarak değiştirin.
Trafik yönlendirme için NGINX ve Wallarm ayarlarını içeren /etc/nginx/sites-available/default
/etc/nginx/conf.d/wallarm-status.conf → yeni makinede /etc/nginx/wallarm-status.conf konumuna kopyalayın

Ayrıntılı açıklama bağlantıda mevcuttur.
/etc/wallarm/node.yaml → yeni makinede /opt/wallarm/etc/wallarm/node.yaml konumuna kopyalayın

Ayrı postanalytics sunucusunda özel host ve port kullanıyorsanız, kopyalanan dosyada postanalytics düğümü makinesinde tarantool bölümünün adını wstore olarak değiştirin.

Adım 7: NGINX’i yeniden başlatın¶

Restart NGINX using the following command:

sudo systemctl restart nginx

Adım 8: Wallarm düğümü çalışmasını test edin¶

Yeni düğümün çalışmasını test etmek için:

Korunan kaynak adresine test SQLI ve XSS saldırıları içeren isteği gönderin:
```
curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
```
Wallarm Console → Attacks bölümünü US Cloud veya EU Cloud içinde açın ve saldırıların listede görüntülendiğinden emin olun.
Cloud’da saklanan verileriniz (kurallar, IP lists) yeni düğümle senkronize edildiğinde, kurallarınızın beklendiği gibi çalıştığından emin olmak için bazı test saldırıları gerçekleştirin.

Adım 9: Trafiği Wallarm düğümüne göndermeyi yapılandırın¶

Yük dengeleyicinizin hedeflerini Wallarm örneğine trafik gönderecek şekilde güncelleyin. Ayrıntılar için lütfen yük dengeleyicinizin belgelerine bakın.

Tüm trafiği yeni düğüme yönlendirmeden önce, öncelikle kısmi yönlendirme yapmanız ve yeni düğümün beklenildiği gibi davrandığını kontrol etmeniz önerilir.

Adım 10: Eski düğümü kaldırın¶

Wallarm Console → Nodes içinde eski düğümü seçip Delete’e tıklayarak silin.
İşlemi onaylayın.

Düğüm Cloud’dan silindiğinde, uygulamalarınıza gelen isteklerin filtrelenmesini durduracaktır. Filtreleme düğümünü silme işlemi geri alınamaz. Düğüm, düğümler listesinden kalıcı olarak kaldırılacaktır.

Eski düğümlü makineyi silin veya sadece Wallarm düğüm bileşenlerinden temizleyin:

DebianUbuntuCentOS or Amazon Linux 2.0.2021x and lowerAlmaLinux, Rocky Linux or Oracle Linux 8.xRHEL 8.x

sudo apt remove wallarm-node nginx-module-wallarm

sudo apt remove wallarm-node nginx-module-wallarm

sudo yum remove wallarm-node nginx-module-wallarm

sudo yum remove wallarm-node nginx-module-wallarm

sudo yum remove wallarm-node nginx-module-wallarm