Praktik terbaik untuk kluster eksklusif WAF - Web Application Firewall

Kluster eksklusif dari Web Application Firewall (WAF) mendukung kemampuan perlindungan yang disediakan oleh kluster bersama WAF. Selain itu, kluster eksklusif WAF juga mendukung konfigurasi kustom untuk melindungi beban kerja Anda dengan lebih baik. Contohnya, kluster eksklusif mendukung port non-standar, Server Name Indication (SNI), halaman kesalahan kustom, pengaturan enkripsi HTTPS yang fleksibel, serta pengaturan kustom untuk batas waktu koneksi persisten.

Jika beban kerja Anda memerlukan konfigurasi perlindungan ini, kami sarankan Anda membuat kluster eksklusif WAF dan mengaitkan beban kerja Anda dengan kluster tersebut untuk meningkatkan perlindungan.

Perbandingan antara kluster eksklusif dan kluster bersama

Item	WAF Shared Cluster	WAF Exclusive Cluster
Wilayah yang Didukung	Kluster bersama didukung oleh 11 node yang tersebar di wilayah berikut: Tiongkok (Beijing), Tiongkok (Hangzhou), Tiongkok (Shenzhen), Tiongkok (Hong Kong), Singapura, Malaysia (Kuala Lumpur), AS (Silicon Valley), Jerman (Frankfurt), Indonesia (Jakarta), UEA (Dubai), dan Jepang (Tokyo). Jika Anda mengaitkan beban kerja dengan kluster bersama, WAF secara otomatis mengalokasikan sumber daya perlindungan dari wilayah terdekat dengan lokasi server asal. Wilayah ini ditentukan berdasarkan alamat IP server asal.	Kluster eksklusif mencakup kluster utama dan sekunder. Anda dapat menentukan wilayah untuk kluster utama, tetapi tidak dapat menentukan wilayah untuk kluster sekunder. Penting Setelah wilayah kluster utama ditentukan, Anda tidak dapat mengubahnya lagi. Setelah Anda mengaitkan beban kerja dengan kluster eksklusif, WAF mengalokasikan sumber daya perlindungan dari wilayah tempat kluster utama berada untuk melindungi beban kerja Anda. Kluster sekunder berfungsi sebagai cadangan. Jika terjadi kegagalan pada kluster utama, beban kerja akan beralih ke kluster sekunder. Jika beban kerja sedang diserang, kluster sekunder digunakan untuk memperkuat perlindungan.
Port Kluster yang Didukung	Jika beban kerja Anda menggunakan port non-standar, Anda harus menentukan port tersebut saat menambahkan situs web ke WAF. Kluster bersama mendukung beberapa port non-standar tertentu. Untuk informasi lebih lanjut, lihat Lihat Port yang Didukung oleh WAF.	Kluster eksklusif mendukung lebih banyak port non-standar dibandingkan kluster bersama. Namun, kluster eksklusif tidak mendukung port sistem berikut: 22, 53, 9100, 4431, 4646, 8301, 6060, 8600, 56688, 15001, 4985, 4986, dan 4987. Jika Anda ingin menggunakan port non-standar dalam kluster eksklusif, Anda harus mengaktifkan port tersebut di kluster eksklusif dan memilih port yang telah diaktifkan saat mengaitkan beban kerja dengan kluster eksklusif. Catatan Kluster eksklusif mendukung hingga 50 port non-standar. Secara default, hanya port 80 dan 443 yang diaktifkan.
SNI	Jika klien tidak mendukung SNI, Permintaan HTTPS mungkin gagal setelah Anda mengaitkan beban kerja dengan kluster bersama. Untuk informasi lebih lanjut, lihat Bagaimana Cara Menyelesaikan Pengecualian Akses HTTPS yang Disebabkan oleh Masalah Kompatibilitas SNI?.	Saat mengonfigurasi kluster eksklusif, Anda dapat mengunggah sertifikat default. Dengan cara ini, klien yang tidak mendukung SNI dapat mengakses situs web yang dilindungi oleh kluster eksklusif secara normal.
Halaman Kesalahan	Jika Anda menggunakan kluster bersama, WAF mengembalikan halaman kesalahan default saat memblokir permintaan.	Jika Anda ingin WAF mengembalikan halaman kesalahan kustom, Anda dapat menggunakan kluster eksklusif dan menyesuaikan halaman kesalahan. Anda dapat mengunggah halaman statis kustom ke Alibaba Cloud CDN dan menentukan URL halaman tersebut di WAF untuk meningkatkan pengalaman pengguna.
Pengaturan Enkripsi HTTPS	Saat mengonfigurasi kluster bersama, Anda dapat memilih Versi TLS dan cipher suite untuk mengaktifkan enkripsi HTTPS sesuai kebutuhan bisnis Anda.	Saat mengonfigurasi kluster eksklusif, Anda dapat memilih Versi TLS dan cipher suite untuk mengaktifkan enkripsi HTTPS sesuai kebutuhan bisnis Anda.
Pengaturan Batas Waktu Koneksi Persisten	Kluster bersama tidak mendukung pengaturan kustom untuk batas waktu koneksi persisten.	Saat mengonfigurasi kluster eksklusif, Anda dapat menentukan durasi maksimum koneksi persisten untuk meningkatkan penggunaan sumber daya jaringan.

Mengaitkan beban kerja dengan kluster eksklusif

Prerequisites

Sebuah instance WAF edisi Exclusive telah dibeli, atau sebuah instance WAF ditingkatkan ke edisi Exclusive. Untuk informasi lebih lanjut, lihat Perbarui Instance WAF.

Procedure

Prosedur berikut menjelaskan cara mengaitkan beban kerja dengan kluster eksklusif. Dalam prosedur ini, port 90 digunakan karena tidak termasuk dalam rentang port non-standar yang didukung oleh kluster bersama. Jika Anda ingin menggunakan WAF untuk melindungi beban kerja melalui port ini, Anda harus mengaitkan beban kerja ke kluster eksklusif.

Buat kluster eksklusif.
1. Masuk ke Konsol WAF. Di bilah navigasi atas, pilih grup sumber daya dan wilayah instance WAF Anda. Wilayah dapat berupa Chinese Mainland atau Outside Chinese Mainland.
2. Di bilah navigasi atas, pilih grup sumber daya tempat instance tersebut berada dan wilayah, Chinese Mainland atau Outside Chinese Mainland, di mana instance tersebut berada.
3. Di panel navigasi sisi kiri, pilih Systems > Exclusive Cluster Configurations.
4. Di halaman Exclusive Cluster Configurations, buat kluster eksklusif berdasarkan beban kerja Anda.
  Dalam contoh ini, Anda harus memilih HTTP dan memasukkan 90 di bagian Destination Server Port. Untuk informasi lebih lanjut, lihat Create an Exclusive Cluster.
5. Klik Save Settings.
  WAF membuat kluster eksklusif berdasarkan pengaturan Anda.
Hubungkan beban kerja melalui port HTTP 90 dengan kluster eksklusif yang telah dibuat.
- Situs web ditambahkan ke WAF.
  1. Di panel navigasi di sebelah kiri, pilih Asset Center > Website Access.
  2. Temukan nama domain situs web yang ingin Anda tambahkan ke kluster eksklusif. Kemudian, atur Protection Resource di kolom Quick Access menjadi Exclusive Cluster.
    Catatan
    Protection Resource hanya muncul ketika instance WAF Anda menjalankan edisi Exclusive.
  3. Opsional:Perbarui pengaturan situs web berdasarkan kebutuhan bisnis Anda. Sebagai contoh, ubah port server menjadi port HTTP 90. Untuk informasi lebih lanjut, lihat Tambahkan Nama Domain ke WAF.
- Tambahkan situs web ke WAF.
  1. Di panel navigasi di sebelah kiri, pilih Asset Center > Website Access.
  2. Pada tab Domain Names, klik Website Access.
  3. Opsional:Pada halaman Add Domain Name, atur Access Mode menjadi CNAME Record.
    Jika CNAME Record dipilih secara otomatis, lewati langkah ini.
  4. Pada langkah Enter Your Website Information, atur Protection Resource menjadi Exclusive Cluster dan masukkan port server. Dalam contoh ini, tambahkan port HTTP 90 di bagian Destination Server Port.
    Catatan
    Setelah Anda memilih Exclusive Cluster, Anda hanya dapat memilih port server dari port yang diaktifkan untuk kluster eksklusif di bagian Destination Server Port. Untuk informasi lebih lanjut, lihat Buat Kluster Eksklusif.
    Untuk informasi lebih lanjut tentang pengaturan, lihat Tambahkan Nama Domain ke WAF.
  5. Klik Next. Kemudian, ikuti petunjuk untuk mengubah catatan DNS situs web. Setelah Anda mengubah catatan DNS, WAF dapat melindungi beban kerja Anda.
    Untuk informasi lebih lanjut, lihat Ubah Catatan DNS.
Jika karakteristik beban kerja berubah dan kluster eksklusif terpengaruh, perbarui pengaturan kluster dan situs web. Untuk informasi lebih lanjut, lihat Langkah 1 dan Langkah 2.