Web Application Firewall (WAF) は、ハイブリッドクラウド WAF の保護クラスタをサポートしています。クラスタは、オンプレミスサーバーを WAF 保護ノードとして使用します。ハイブリッドクラウド WAF の保護クラスタをデプロイする前に、保護ノードとして使用するオンプレミスサーバーに WAF エージェント (vagent) をインストールする必要があります。このトピックでは、オンプレミスサーバーに vagent をインストールして起動する方法について説明します。
背景情報
vagent は WAF のクライアントアプリケーションです。ハイブリッドクラウド WAF の保護クラスタの保護ノードとして機能するオンプレミスサーバーに vagent をインストールする必要があります。
vagent は、次の機能を提供します。
Alibaba Cloud WAF と通信し、WAF 保護ノードの実行ステータスを報告し、最新の WAF 保護ルールをダウンロードします。これらの機能により、サービスの安定性が確保されます。
クラスタ構成に基づいて、オンプレミスサーバーで保護ノード構成を追加または削除し、サービスの実行ステータスを監視します。これらの機能により、安定した効果的な保護が保証されます。
オンプレミスサーバーに vagent をインストールして起動すると、サーバーのシステムプロセスに AliYunDunWaf プロセスが表示されます。これは、vagent が動作しており、Alibaba Cloud WAF と通信できることを示しています。その後、クラスタを構成し、オンプレミス保護ノードとしてサーバーをクラスタに追加できます。詳細については、「ハイブリッドクラウド WAF の保護クラスタをデプロイする」をご参照ください。
インストール環境の要件
vagent は、rpm コマンドを実行することで Linux サーバーにのみインストールできます。次の表に、vagent でサポートされているオペレーティングシステムのバージョンを示します。
お使いのオペレーティングシステムバージョンが vagent でサポートされていない場合は、WAF テクニカルサポートにお問い合わせください。
オペレーティングシステム | サポートされているバージョン |
Linux |
|
手順
オンプレミスサーバーにログオンします。
必要な DingTalk グループで WAF テクニカルサポートに連絡して、vagent の最新バージョンを入手し、オンプレミスサーバーにダウンロードします。
vagent をインストールします。
次のコマンドを実行して、オンプレミスサーバーに vagent をインストールします。
コマンドを実行する前に、
xxxxxxx.xxxxxをダウンロードした vagent のバージョン番号に置き換えます。sudo rpm -ivh t-yundun-vagent-xxxxxxx.xxxxx.rpmインストールが完了したら、次のコマンドを実行して vagent のバージョンを表示します。 vagent の最新バージョンがインストールされていることを確認します。
rpm -qa|grep vagent
vagent の構成ファイルを修正します。
vagent をインストールした後、vagent と Alibaba Cloud WAF 間の通信を有効にするには、ハイブリッドクラウド WAF のアクセスモードに基づいて vagent 構成ファイルを修正する必要があります。 vagent 構成ファイルを修正するには、次の手順を実行します。
次のコマンドを実行して、vagent 構成ファイルを開きます。
sudo vi /home/admin/vagent/conf/vagent.toml[i] を押して挿入モードに入り、次の情報を修正または追加します。
domain="wafopenapi.cn-hangzhou.aliyuncs.com" // ハイブリッドクラウド WAF のエンドポイント。詳細については、このトピックの「domain パラメーターの有効な値」セクションを参照してください。 access_key_id=************* // Alibaba Cloud アカウントの AccessKey ID。 access_key_secret=*********** // Alibaba Cloud アカウントの AccessKey シークレット。Domain パラメーターの有効な値
WAF リージョン
ハイブリッドクラウド WAF のアクセスモード
domain パラメーターの値
中国本土
インターネット: このオプションを選択すると、WAF コンソールはインターネット経由でのみハイブリッドクラウドクラスタからのアクセスを許可します。
wafopenapi.cn-hangzhou.aliyuncs.com内部ネットワーク: このオプションを選択すると、WAF コンソールは Express Connect 回線経由でのみハイブリッドクラウドクラスタからのアクセスを許可します。 Express Connect をデプロイした場合にのみ、このオプションを選択できます。
説明次のリージョンにある仮想プライベートクラウド (VPC) のみがサポートされています: 中国 (杭州)、中国 (上海)、中国 (北京)。 VPC が中国本土の別のリージョンにある場合は、ビジネス マネージャーまたはアーキテクトにお問い合わせください。
wafopenapi.vpc-proxy.aliyuncs.com中国本土以外
インターネット: このオプションを選択すると、WAF コンソールはインターネット経由でのみハイブリッドクラウドクラスタからのアクセスを許可します。
wafopenapi.ap-southeast-1.aliyuncs.com内部ネットワーク: このオプションを選択すると、WAF コンソールは Express Connect 回線経由でのみハイブリッドクラウドクラスタからのアクセスを許可します。 Express Connect をデプロイした場合にのみ、このオプションを選択できます。
説明VPC が中国本土以外のリージョンにある場合は、ビジネス マネージャーまたはアーキテクトにお問い合わせください。
wafopenapi-intl.vpc-proxy.aliyuncs.com[esc] キーを押して、挿入モードを終了します。
:wq と入力し、[enter] キーを押して、構成ファイルを保存して終了します。
vagent を起動します。
次のコマンドを実行して、vagent を起動します。
sudo systemctl start vagent次のコマンドを実行して、vagent の自動起動を構成します。
sudo systemctl enable vagent構成が成功すると、システムは次の情報を表示します。
Created symlink from /etc/systemd/system/multi-user.target.wants/vagent.service to /usr/lib/systemd/system/vagent.service.
その他の関連コマンド:
vagent を停止します。
sudo systemctl stop vagentvagent のステータスを表示します。
sudo systemctl status vagent
vagent が起動に失敗した場合、次のいずれかの方法を使用して vagent のログをクエリし、トラブルシューティングを行うことができます。
systemd ツールを使用します。次のコマンドを実行します。
sudo journalctl -u vagentvagent ログファイルを使用します。次のコマンドを実行します。
tail /home/admin/vagent/logs/vagent.log
vagent がインストールされていることを確認します。
Linux オペレーティングシステムでは、次のコマンドを実行して、vagent がインストールされているかどうかを確認します。
ps aux | grep AliYunDunWafコマンド出力に
AliYunDunWafプロセスが表示されている場合、vagent はオンプレミスサーバーにインストールされ、実行されています。コマンド出力に
AliYunDunWafプロセスが表示されていない場合は、インストール手順を正しく実行したかどうかを確認し、vagent を再インストールして起動します。 vagent がまだインストールに失敗する場合は、WAF テクニカルサポートにお問い合わせください。
次のステップ
オンプレミスサーバーに vagent をインストールした後、ハイブリッドクラウド WAF の保護クラスタに保護ノードとしてオンプレミスサーバーを追加できます。詳細については、「ハイブリッドクラウド WAF の保護クラスタをデプロイする」をご参照ください。