Перейти к содержанию

Обновление запущенного Docker‑образа на основе NGINX или Envoy

Инструкция описывает способ обновления запущенного Docker‑образа на основе NGINX или Envoy до версии 3.2.

Использование данных существующей WAF‑ноды

Мы не рекомендуем использовать уже созданную WAF‑ноду предыдущей версии. Пожалуйста, используйте данную инструкцию, чтобы создать новую WAF‑ноду версии 3.2 и развернуть Docker‑контейнер с новой версией.

Обновление разных типов WAF‑ноды и критические изменения

  • Версия 3.2 несовместима с версиями 2.18 и ниже и включает в себя критические изменения. Перед обновлением мы рекомендуем ознакомиться с набором изменений и учесть изменение конфигурации при планировании обновления.
  • Мы рекомендуем обновить как клиентские, так и партнерские WAF‑ноды версии 3.0 и ниже до версии 3.2. В релизе 3.2 доступна настройка серых списков IP‑адресов и другие новые возможности продукта. Более ранние версии скоро перестанут поддерживаться.

Требования

  • Доступ к аккаунту с ролью Деплой или Администратор и отключенная двухфакторная аутентификация в Консоли управления Валарм для RU‑облака или EU‑облака

  • Доступ виртуальной машины к Валарм API по адресу api.wallarm.com:444 для EU‑облака или api.wallarm.ru:444 для RU‑облака. Убедитесь, что доступ не ограничен файерволом

Шаг 1: Сообщите об обновлении в техническую поддержку Валарм

Если вы обновляете WAF‑ноду версии 2.18 и ниже до версии 3.2, сообщите технической поддержке Валарм об обновлении и оставьте запрос на включение новой логики списков IP-адресов для вашего аккаунта. Когда новая логика будет включена, убедитесь, что в Консоли управления Валарм доступна секция Списки IP-адресов.

Шаг 2: Адаптируйте настройку режимов фильтрации трафика под изменения в версии 3.2

  1. Убедитесь, что ожидаемое поведение следующих настроек соответствует изменениям в логике работы режимов off и monitoring:

  2. Если ожидаемое поведение не соответствует изменениям в логике работы режимов off и monitoring, адаптируйте настройку режимов фильтрации под изменения по инструкции.

Шаг 3: Загрузите обновленный образ

docker pull wallarm/node:3.2.0-1
docker pull wallarm/envoy:3.2.0-1

Шаг 4: Остановите текущий контейнер

docker stop <RUNNING_CONTAINER_NAME>

Шаг 5: Запустите контейнер на основе нового образа

  1. Перенесите настройки белых и черных списков с предыдущей версии WAF-ноды на новую, используя инструкцию.

  2. Запустите контейнер на основе нового образа, используя те же параметры конфигурации, которые были переданы с предыдущей версией образа, за исключением WALLARM_ACL_ENABLE.

    Вы можете передать параметры конфигурации в контейнер одним из следующих способов:

Шаг 6: Протестируйте работу Валарм WAF

  1. Отправьте тестовый запрос с атаками SQLI и XSS на адрес защищенного ресурса:

    curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
    
  2. Перейдите в Консоль управления Валарм → секция События для EU‑облака или для RU‑облака и убедитесь, что атаки появились в списке.

    Атаки в интерфейсе

Шаг 7: Удалите WAF‑ноду предыдущей версии

Если развернутый образ версии 3.2 работает корректно, вы можете удалить WAF‑ноду предыдущей версии в Консоли управления Валарм → секция Ноды.