Перейти к содержанию

Обновление Docker‑образа на основе NGINX или Envoy

Инструкция описывает способ обновления Docker‑образа Валарм версии 3.4 или 3.2 до версии 3.6.

Использование данных существующей WAF‑ноды

Мы не рекомендуем использовать уже созданную WAF‑ноду предыдущей версии. Пожалуйста, используйте данную инструкцию, чтобы создать новую WAF‑ноду версии 3.6 и развернуть Docker‑контейнер с новой версией.

Для обновления Docker-образа версии 2.18 и ниже используйте отдельную инструкцию.

Требования

  • Доступ к аккаунту с ролью Деплой или Администратор и отключенная двухфакторная аутентификация в Консоли управления Валарм для RU‑Облака или EU‑Облака

  • Доступ виртуальной машины к Валарм API по адресу api.wallarm.com:444 для EU‑Облака или api.wallarm.ru:444 для RU‑Облака. Убедитесь, что доступ не ограничен файерволом

Шаг 1: Загрузите обновленный образ

docker pull wallarm/node:3.6.2-1
docker pull wallarm/envoy:3.6.1-1

Шаг 2: Остановите текущий контейнер

docker stop <RUNNING_CONTAINER_NAME>

Шаг 3: Убедитесь, что в конфигурации образа нет устаревших элементов

В образах Валарм версии 3.6:

  • Изменились названия директив NGINX:

    Если параметры заданы явно в примонтированном конфигурационном файле, рекомендуем их переименовать. Параметры с устаревшими названиями временно поддерживаются, но в будущих релизах их поддержка прекратится полностью. Логика параметров не изменилась.

  • Изменились названия параметров Envoy:

    Если параметры заданы явно в примонтированном конфигурационном файле, рекомендуем их переименовать. Параметры с устаревшими названиями временно поддерживаются, но в будущих релизах их поддержка прекратится полностью. Логика параметров не изменилась.

Шаг 4: Обновите страницу блокировки Валарм (для образа на основе NGINX)

В новом образе ноды изменился пример страницы блокировки Валарм, &/usr/share/nginx/html/wallarm_blocked.html. Теперь на странице по умолчанию не заданы логотип и почта.

Если вы используете страницу &/usr/share/nginx/html/wallarm_blocked.html:

  1. Скопируйте и кастомизируйте новую страницу-пример по инструкции.

  2. При запуске нового образа примонтируйте в Docker-контейнер конфигурационный файл NGINX и кастомизированную страницу блокировки Валарм.

Шаг 5: Запустите контейнер на основе нового образа

При запуске контйнера можно использовать те же параметрами конфигурации, которые были переданы с предыдущей версией образа, за исключением параметров из предыдущего пункта.

Вы можете передать параметры конфигурации в контейнер одним из следующих способов:

Шаг 6: Протестируйте работу Валарм

  1. Отправьте тестовый запрос с атаками SQLI и XSS на адрес защищенного ресурса:

    curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
    
  2. Перейдите в Консоль управления Валарм → секция События для EU‑Облака или для RU‑Облака и убедитесь, что атаки появились в списке.

    Атаки в интерфейсе

Шаг 7: Удалите WAF‑ноду предыдущей версии

Если развернутый образ версии 3.6 работает корректно, вы можете удалить WAF‑ноду предыдущей версии в Консоли управления Валарм → секция Ноды.

К началу