Wallarm Sidecar’ı Yükseltme¶
Bu talimatlar, Wallarm Sidecar çözümünü en son 6.x sürümüne yükseltme adımlarını açıklar.
Gereksinimler¶
-
Kubernetes platform version 1.19-1.29
-
Helm v3 package manager
-
An application deployed as a Pod in a Kubernetes cluster
-
Access to
https://us1.api.wallarm.comfor working with US Wallarm Cloud or tohttps://api.wallarm.comfor working with EU Wallarm Cloud -
Access to
https://charts.wallarm.comto add the Wallarm Helm charts -
Access to the Wallarm repositories on Docker Hub
https://hub.docker.com/r/wallarm -
Access to the IP addresses and their corresponding hostnames (if any) listed below. This is needed for downloading updates to attack detection rules and API specifications, as well as retrieving precise IPs for your allowlisted, denylisted, or graylisted countries, regions, or data centers
-
Access to the account with the Administrator role in Wallarm Console for the US Cloud or the EU Cloud
Adım 1: Wallarm Helm chart deposunu güncelleyin¶
Adım 2: Gelecek tüm K8s manifest değişikliklerini kontrol edin¶
Beklenmedik Sidecar davranışı değişikliklerinden kaçınmak için, Helm Diff Plugin kullanarak gelecek tüm K8s manifest değişikliklerini kontrol edin. Bu eklenti, dağıtılmış Sidecar sürümünün K8s manifestleri ile yenisinin manifestleri arasındaki farkı çıktılar.
Eklentiyi yüklemek ve çalıştırmak için:
-
Eklentiyi yükleyin:
-
Eklentiyi çalıştırın:
helm diff upgrade <RELEASE_NAME> -n wallarm-sidecar wallarm/wallarm-sidecar --version 6.5.1 -f <PATH_TO_VALUES><RELEASE_NAME>, Wallarm Sidecar Helm sürümünün adıdır.wallarm-sidecar, Wallarm Sidecar çözümünün dağıtıldığı ad alanıdır. Dağıtım kılavuzumuza göre büyük olasılıklawallarm-sidecarolarak ayarlanmıştır.-
<PATH_TO_VALUES>, Sidecar Helm chart 6.x ayarlarını içerenvalues.yamldosyasının yoludur. Önceki sürümün dosyasını, Tarantool’dan wstore’a geçiş için güncelleyerek yeniden kullanabilirsiniz:Helm değerleri yeniden adlandırıldı:
postanalytics.tarantool→postanalytics.wstore. Postanalytics belleği açıkça ayrılmışsa, bu değişikliğivalues.yamliçinde uygulayın.
-
Çalışan servislerin stabilitesini etkileyebilecek herhangi bir değişiklik olmadığından emin olun ve stdout’taki hataları dikkatle inceleyin.
Eğer stdout boşsa,
values.yamldosyasının geçerli olduğundan emin olun.
4.10.6 veya daha düşük sürümden yükseltme¶
4.10.7 sürümü kırılma değişikliklerini tanıttı ve çözümün yeniden kurulmasını gerektirdi. Admission webhook sertifikası oluşturma için varsayılan yöntem, certgen süreci ile değiştirildi. Yükseltme sırasında, sertifikalar otomatik olarak yeni certgen süreci kullanılarak oluşturulacaktır.
Ek olarak, bu sürüm, admission webhook sertifikası sağlamak için cert-manager kullanmanızı veya sertifikaları manuel olarak belirtmenizi sağlar.
Adım 3: Çözümün önceki sürümünü kaldırın¶
Adım 4: Önceki sertifika yapıtlarını kaldırın¶
kubectl delete MutatingWebhookConfiguration <RELEASE_NAME>-wallarm-sidecar
kubectl delete secret <RELEASE_NAME>-wallarm-sidecar-admission-tls -n wallarm-sidecar
Adım 5: Yeni çözüm sürümünü dağıtın¶
helm install --version 6.5.1 <RELEASE_NAME> wallarm/wallarm-sidecar --wait -n wallarm-sidecar -f <PATH_TO_VALUES>
-
<RELEASE_NAME>, Helm sürümü için addır. Çözümün ilk dağıtımında kullandığınız adı yeniden kullanmanız önerilir. -
wallarm-sidecar, Helm sürümünün dağıtılacağı ad alanıdır. Çözümün ilk dağıtımında kullandığınız ad alanını yeniden kullanmanız önerilir. -
<PATH_TO_VALUES>, Sidecar Helm chart 6.x ayarlarını içerenvalues.yamldosyasının yoludur. Önceki sürümün dosyasını, Tarantool’dan wstore’a geçiş için güncelleyerek yeniden kullanabilirsiniz:Helm değerleri yeniden adlandırıldı:
postanalytics.tarantool→postanalytics.wstore. Postanalytics belleği açıkça ayrılmışsa, bu değişikliğivalues.yamliçinde uygulayın.
Adım 6: Sidecar Proxy ekli dağıtımları yeniden başlatın¶
Uygulama pod’larına zaten enjekte edilmiş proxy konteynerlerini yükseltmek için ilgili deployment’ları yeniden başlatın:
-
<DEPLOYMENT_NAME>, uygulama deployment’ının adıdır -
<NAMESPACE>, deployment’ın bulunduğu ad alanıdır
4.10.7 veya üzeri sürümden yükseltme¶
Adım 3: Sidecar çözümünü yükseltin¶
Sidecar çözümünün dağıtılmış bileşenlerini yükseltin:
helm upgrade <RELEASE_NAME> -n <NAMESPACE> wallarm/wallarm-sidecar --version 6.5.1 -f <PATH_TO_VALUES>
-
<RELEASE_NAME>: Dağıtılmış Sidecar chart’ının Helm sürümünün adı -
<NAMESPACE>: Sidecar’ın dağıtıldığı ad alanı -
<PATH_TO_VALUES>, Sidecar Helm chart 6.x ayarlarını içerenvalues.yamldosyasının yoludur. Önceki sürümün dosyasını, Tarantool’dan wstore’a geçiş için güncelleyerek yeniden kullanabilirsiniz:Helm değerleri yeniden adlandırıldı:
postanalytics.tarantool→postanalytics.wstore. Postanalytics belleği açıkça ayrılmışsa, bu değişikliğivalues.yamliçinde uygulayın.
Adım 4: Sidecar Proxy ekli dağıtımları yeniden başlatın¶
Uygulama pod’larına zaten enjekte edilmiş proxy konteynerlerini yükseltmek için ilgili deployment’ları yeniden başlatın:
-
<DEPLOYMENT_NAME>, uygulama deployment’ının adıdır -
<NAMESPACE>, deployment’ın bulunduğu ad alanıdır
Yükseltilmiş Sidecar çözümünü test edin¶
-
Helm chart sürümünün yükseltildiğinden emin olun:
Burada
wallarm-sidecar, Sidecar’ın dağıtıldığı ad alanıdır. Ad alanı farklıysa bu değeri değiştirebilirsiniz.Chart sürümü
wallarm-sidecar-6.5.1ile uyumlu olmalıdır. -
Başarıyla başlatıldığını kontrol etmek için Wallarm kontrol düzlemi ayrıntılarını alın:
Her pod aşağıdakileri göstermelidir: READY: N/N ve STATUS: Running, örn.:
-
Uygulama kümesi adresine test Yol Geçişi (Path Traversal) saldırısını gönderin:
İstenen uygulama Pod’unun
wallarm-sidecar: enabledetiketi olmalıdır.Çözümün yeni sürümünün kötü amaçlı isteği önceki sürümde olduğu gibi işlediğini kontrol edin.