Перейти к содержанию

Деплой и настройка ноды с мультиарендной опцией

Нода Валарм с мультиарендной опцией — нода, которая защищает инфраструктуры нескольких независимых организаций или несколько изолированных сред одновременно.

Способы установки ноды с мультиарендной опцией

В зависимости от вашей инфраструктуры и задачи, можно установить ноду одним из следующих способов:

  • Установить одну ноду для фильтрации трафика всех клиентов или изолированных сред. Трафик будет обрабатываться следующим образом:

    Трафик на партнерской схеме

    • Одна нода обрабатывает трафик нескольких тенантов (Tenant 1, Tenant 2).

      Термин "партнерский клиент"

      В предыдущей версии документации для обозначения "тенанта" использовался термин "партнерский клиент". В дальнейшем будет использоваться термин "тенант".

    • Нода определяет тенанта, которому поступает трафик, по ID связи "тенант-приложение" (wallarm_application).

    • Для доменов https://tenant1.com и https://tenant2.com настроена A‑запись DNS с IP‑адресом партнера или клиента с изолированными средами: 225.130.128.241. Данная настройка приведена в качестве примера, на стороне партнера и тенанта может использоваться другая настройка.
    • На стороне партнера настроено проксирование легитимных запросов на адреса тенантов Tenant 1 и Tenant 2: http://upstream1:8080 и http://upstream2:8080 соответственно. Данная настройка приведена в качестве примера, на стороне партнера и тенанта может использоваться другая настройка.
  • Установить несколько нод, чтобы каждая фильтровала трафик отдельного тенанта.

    Трафик будет обрабатывается аналогичным образом, как приведено на схеме выше, но на нескольких серверах партнера или тенанта.

Особенности ноды с мультиарендной опцией

  • Устанавливается на те же платформы и по тем же инструкциям, что и обычная нода.

  • Может быть установлена на уровне технического тенанта или на уровне тенанта. Если необходимо предоставить тенанту доступ к Консоли управления, нода должна быть установлена на уровне соответствующего тенанта.

  • Настраивается по инструкциям для обычной ноды.

  • Директива wallarm_application используется для идентификации приложений тенанта. Приложений может быть несколько.

Требования к установке

  • Настроенные аккаунты тенантов

  • Выполнение установки от пользователя с ролью Глобальный администратор или Деплой/Администратор.

    Пользователь с ролью Деплой/Администратор должен быть добавлен в аккаунт технического тенанта или тенанта, в зависимости от того, в каком аккаунте должна быть создана нода.

  • Отключенная двухфакторная аутентификация для пользователя, который выполняет установку ноды

  • Поддерживаемая платформа для установки

Рекомендации к установке ноды с мультиарендной опцией

  • Если тенант должен иметь доступ к Консоли управления, создайте ноду в аккаунте тенанта

  • Выполняйте настройку ноды в конфигурационном файле, который описывает обработку трафика тенанта

Процедура установки ноды с мультиарендной опцией

  1. Выберите подходящую форму установки и следуйте соответствующей инструкции:

  2. Если вы используете одну ноду для фильтрации трафика нескольких клиентов или изолированных сред, отправьте запрос в техническую поддержку Валарм для включения мультиарендной опции для ноды.

    В запросе передайте следующие данные:

    • Название Облака Валарм, в котором вы зарегистрировались: EU‑облако или RU‑облако
    • Название глобального аккаунта
    • UUID основного тенанта, полученный от технической поддержки Валарм при создании аккаунта
    • UUID установленной ноды (отображается в Консоли управления Валарм → секция Ноды)
  3. Откройте конфигурационный файл NGINX с настройками обработки трафика тенантов и задайте ID приложений с помощью директивы wallarm_application.

    Если вы используете одну ноду Валарм для обработки трафика всех тенантов, значения директив wallarm_application должны соответствовать ID, заданным во время привязки приложений к аккаунтам тенантов.

    Пример конфигурационного файла, если одна нода обрабатывает трафик двух клиентов:

    server {
        listen       80;
        server_name  tenant1.com;
        wallarm_mode block;
        wallarm_application 13;
    
        location / {
            proxy_pass      http://upstream1:8080;
        }
    }
    
    server {
        listen       80;
        server_name  tenant2.com;
        wallarm_mode monitoring;
        wallarm_application 14;
    
        location / {
            proxy_pass      http://upstream2:8080;
        }
    }
    
    • На стороне тенантов настроены A‑записи DNS с IP‑адресом партнера
    • На стороне партнера настроено проксирование запросов к доменам тенантов на адреса, которые передали тенанты (http://upstream1:8080 для тенанта с ID приложения 13 и http://upstream2:8080 для тенанта с ID приложения 14)
    • Все входящие запросы поступают на IP‑адрес партнера для фильтрации, легитимные запросы отправляются на http://upstream1:8080 для тенанта с ID приложения 13 и http://upstream2:8080 для тенанта с ID приложения 14

Настройка партнерской ноды

Чтобы кастомизировать настройки ноды, используйте доступные директивы.

Частые настройки:

К началу