如何部署混合雲WAF防護叢集 - Web Application Firewall

購買混合雲WAF執行個體後，您可以自訂部署混合雲WAF防護叢集（以下簡稱混合雲叢集）。只有成功部署混合雲叢集後，您才可以將網站業務接入混合雲WAF進行防護。本文介紹了部署混合雲叢集的操作方法。

前提條件

已經在阿里雲Web Application Firewall購買頁，購買了混合雲WAF執行個體。
已經準備好部署混合雲叢集所需要的資源。具體包括：
- 已安裝了vagent的伺服器
  混合雲叢集使用您的本機伺服器作為叢集節點。您必須先在規劃作為叢集節點的本機伺服器上安裝WAF用戶端vagent，才能將該伺服器添加為叢集節點。相關操作，請參見步驟一：安裝WAF用戶端。
- 負載平衡裝置
  混合雲叢集由管控、儲存、防護組件組成。為了保證叢集的高穩定性，不同組件建議分開部署。一個組件下包含多個節點時，建議您在節點前部署負載平衡裝置。
關於所需準備的資源數量的建議，請參見準備叢集資源。

準備叢集資源

您可以根據防護情境，選擇對應的叢集部署方案，不同方案所需要的叢集資源數量不同。

防護情境	部署方案	所需資源	部署說明
安全性、高穩定性業務上線防護，追求業務和防護能力的高穩定性	防護能力和管控能力都容災部署	1萬QPS以內的HTTP業務防護量或4000 QPS以內的HTTPS業務防護量（預設）：推薦5台伺服器+2個負載平衡裝置超過預設防護量：按需擴容防護節點（一個防護節點支援處理5000 QPS的HTTP業務或2000 QPS的HTTPS業務）	儲存群組件：1台伺服器管控組件：2台（及以上）伺服器+1個負載平衡裝置防護組件：2台（及以上）伺服器+1個負載平衡裝置
高穩定性業務上線防護，追求業務高穩定性	防護能力容災部署	1萬QPS以內的HTTP業務防護量或4000 QPS以內的HTTPS業務防護量（預設）：推薦3台伺服器+1個負載平衡裝置超過預設防護量：按需擴容防護節點（一個防護節點支援處理5000 QPS的HTTP業務或2000 QPS的HTTPS業務）	管控和儲存群組件：1台伺服器防護組件：2台（及以上）伺服器+1個負載平衡裝置
基本防護能力PoC測試	最小化叢集部署	1萬QPS以內的HTTP業務防護量或4000 QPS以內的HTTPS業務防護量（預設）：至少2台伺服器超過預設防護量：按需擴容防護節點（一個防護節點支援處理5000 QPS的HTTP業務或2000 QPS的HTTPS業務）	管控和儲存群組件：1台伺服器防護組件：1台（及以上）伺服器

操作步驟

登入Web Application Firewall控制台。
在左側導覽列，選擇系統管理 > 混合雲設定。
單擊添加叢集。

根據添加叢集設定精靈，完成基本資料配置。

您需要設定下表描述的叢集基本資料，然後單擊下一步。基本資料配置

參數	說明
叢集名稱	為混合雲叢集設定一個名稱。
防護節點數	選擇混合雲叢集包含的防護節點的數量。說明您在所有自訂的混合雲WAF叢集中添加的節點個數，不能超過您購買的混合雲WAF執行個體中的節點數規格。每個防護節點對應一台伺服器，可用於防護不超過5000 QPS的HTTP業務流量，或者不超過2000 QPS的HTTPS業務流量。您可以根據叢集要防護的網站業務的QPS來選擇叢集節點數。
服務連接埠設定	設定混合雲叢集使用的防護連接埠。叢集防護連接埠必須包含所有要防護的網站業務所使用的協議連接埠。後續接入網站業務到混合雲叢集進行防護時，您只能從叢集防護連接埠中選擇網站業務的協議連接埠。設定說明：預設開啟了80、8080、443、8443連接埠。如果沒有特殊需求，無需修改。如果需要開啟其他連接埠，可以手動輸入。每輸入一個連接埠，需要按斷行符號後才會儲存。防護連接埠僅不支援22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987這些特定的系統連接埠。警告建議您只設定必須用到的防護連接埠，不要添加與業務無關的連接埠，避免引入安全風險。
叢集接入模式	設定混合雲叢集的網路接入模式。可選值：公網接入：表示混合雲叢集通過公網串連雲WAF控制台。專線私網接入：表示混合雲叢集通過專線串連雲WAF私網控制台。重要只有當您已經搭建了Express Connect，才支援使用該模式。
備忘	為混合雲叢集添加備忘說明。

根據添加叢集設定精靈，完成節點群組配置。

您必須先在叢集下添加多個節點群組，然後可以在節點群組中添加節點。

添加節點群組說明：

每個節點群組需要使用一台負載平衡伺服器，確保業務的負載平衡和容災能力。
說明
如果您沒有負載平衡裝置，可以聯絡WAF技術支援人員擷取協助。
節點群組類型包括儲存（對應儲存群組件，一個叢集中僅支援添加1個）、管控（對應管控組件，一個叢集中可以添加多個，進行容災）、防護（對應防護組件，一個叢集中可以添加多個，進行容災）、管控和儲存（對應管控和儲存群組件，一個叢集中僅支援添加1個）。
您必須按照以下順序依次添加對應的節點群組：
- 方式一（至少添加3個節點群組）：先添加1個儲存節點群組，然後添加至少1個管控節點群組，最後添加至少1個防護節點群組。
- 方式二（至少添加2個節點群組）：先添加1個管控和儲存節點群組，然後添加至少1個防護節點群組。

參照以下步驟，添加一個節點群組：

單擊添加節點群組。

在添加節點群組對話方塊，完成節點群組參數配置。

具體參數說明如下表所示。

參數	說明
節點群組名稱	為節點群組設定一個名稱。
負載平衡（伺服器）IP	設定與該節點群組綁定的負載平衡伺服器的公網IP地址。
節點群組類型	選擇該節點群組的類型。可選項：防護、儲存、管控、管控和儲存。
所在地區	當節點群組類型為防護時，需要選擇節點群組所在地區。其他類型的節點群組，無需設定該參數。
備忘	為節點群組添加備忘說明。

單擊儲存。

根據添加叢集設定精靈，完成節點初始化配置。

您需要在混合雲叢集中添加本機伺服器作為叢集節點。在添加本地節點前，您必須在本機伺服器上安裝WAF用戶端vagent。相關操作，請參見步驟一：安裝WAF用戶端。

添加節點說明：

您在當前叢集中添加的節點個數不能超過該叢集的防護節點數規格。
建議您在防護節點群組下添加至少2個節點，保證線上雙活容災。

參照以下步驟，在叢集中添加一個節點：

單擊添加節點。

在添加節點對話方塊，完成節點參數配置。

具體參數說明如下表所示。

參數	說明
伺服器IP地址	設定本機伺服器的公網IP地址。
節點名稱	為節點設定一個名稱。
所在地區	選擇節點所在地區資訊。
伺服器配置	預設顯示該伺服器的配置資訊。
防護節點群組	選擇要加入的防護節點群組。

單擊儲存。

完成添加叢集設定精靈後，叢集將會自動建立，請您耐心等待數分鐘。
成功建立叢集後，您可以在頁面上方查看叢集的基本資料。
如果您建立了多個混合雲叢集，則可以單擊切換叢集，選擇要查詢的叢集資訊。
檢查節點運行狀態。
叢集建立成功後，您可以在叢集節點詳情地區，查看節點和應用的狀態。
- 節點狀態表示伺服器是否正常運行。正常狀態表示正在運行，已停止狀態表示伺服器已關機。
  如果伺服器已關機，則該節點將無法提供WAF防護服務，請您及時檢查伺服器關機原因，儘快修複異常。
- 應用狀態表示節點上的WAF用戶端應用程式（vagent）是否正常運行。正常狀態表示運行正常，已停止狀態表示vagent已停止運行。
  如果vagent已停止運行，則該節點可能無法正常提供WAF防護服務，建議您登入本機伺服器，檢查vagent的安裝和運行狀態，儘快修複異常。相關操作，請參見步驟一：安裝WAF用戶端。

後續步驟

成功部署混合雲WAF叢集後，您就可以在網站接入頁面，將要防護的網站業務接入到混合雲WAF進行防護。

在填寫網站資訊時，您需要將防護資源設定為混合雲叢集，並設定要使用的防護節點群組名稱，其餘設定與接入公用叢集WAF進行防護相同。具體操作，請參見網站接入。添加網域名稱