Перейти к содержанию

Обновление запущенного Docker‑образа на основе NGINX или Envoy

Инструкция описывает способ обновления запущенного Docker‑образа на основе NGINX или Envoy до версии 3.4.

Использование данных существующей WAF‑ноды

Мы не рекомендуем использовать уже созданную WAF‑ноду предыдущей версии. Пожалуйста, используйте данную инструкцию, чтобы создать новую WAF‑ноду версии 3.4 и развернуть Docker‑контейнер с новой версией.

Обновление разных типов WAF‑ноды и критические изменения

  • При обновлении ноды версии 2.18 и ниже обратите внимание, что версии 3.x содержат критические изменения. Перед обновлением мы рекомендуем внимательно изучить набор изменений и учесть изменение конфигурации при планировании обновления.
  • Мы рекомендуем обновить как клиентские, так и партнерские WAF‑ноды версии 3.2 и ниже до последней версии (3.4). Более ранние версии скоро перестанут поддерживаться.

Требования

  • Доступ к аккаунту с ролью Деплой или Администратор и отключенная двухфакторная аутентификация в Консоли управления Валарм для RU‑облака или EU‑облака

  • Доступ виртуальной машины к Валарм API по адресу api.wallarm.com:444 для EU‑облака или api.wallarm.ru:444 для RU‑облака. Убедитесь, что доступ не ограничен файерволом

Шаг 1: Сообщите об обновлении в техническую поддержку Валарм

Если вы обновляете WAF‑ноду версии 2.18 и ниже до версии 3.4, сообщите технической поддержке Валарм об обновлении и оставьте запрос на включение новой логики списков IP-адресов для вашего аккаунта. Когда новая логика будет включена, убедитесь, что в Консоли управления Валарм доступна секция Списки IP-адресов.

Шаг 2: Загрузите обновленный образ

docker pull wallarm/node:3.4.1-1
docker pull wallarm/envoy:3.4.0-1

Шаг 3: Остановите текущий контейнер

docker stop <RUNNING_CONTAINER_NAME>

Шаг 4: Запустите контейнер на основе нового образа

  1. Если вы обновляете WAF‑ноду версии 2.18 и ниже до версии 3.4, перенесите настройки белых и черных списков с предыдущей версии WAF-ноды на новую, используя инструкцию.

  2. Запустите контейнер на основе нового образа, используя те же параметры конфигурации, которые были переданы с предыдущей версией образа, за исключением WALLARM_ACL_ENABLE.

    Вы можете передать параметры конфигурации в контейнер одним из следующих способов:

Шаг 5: Адаптируйте настройку режимов фильтрации трафика под изменения в версии 3.2

При обновлении WAF‑ноды версии 3.0 и ниже:

  1. Убедитесь, что ожидаемое поведение следующих настроек соответствует изменениям в логике работы режимов off и monitoring:

  2. Если ожидаемое поведение не соответствует изменениям в логике работы режимов off и monitoring, адаптируйте настройку режимов фильтрации под изменения по инструкции.

Шаг 6: Протестируйте работу Валарм WAF

  1. Отправьте тестовый запрос с атаками SQLI и XSS на адрес защищенного ресурса:

    curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
    
  2. Перейдите в Консоль управления Валарм → секция События для EU‑облака или для RU‑облака и убедитесь, что атаки появились в списке.

    Атаки в интерфейсе

Шаг 7: Удалите WAF‑ноду предыдущей версии

Если развернутый образ версии 3.4 работает корректно, вы можете удалить WAF‑ноду предыдущей версии в Консоли управления Валарм → секция Ноды.