Web 应用防火墙 WAF(Web Application Firewall)支持通过控制台升级工具,自助将WAF 2.0实例升级到WAF 3.0。本文介绍要升级的实例需满足的条件、升级后的详细说明和如何进行升级。
自助升级工具入口分批灰度开放。
如果您的Web应用防火墙控制台左侧导航栏底部已显示WAF3.0迁移入口按钮,表示您可以直接进行自助升级。
如果没有WAF3.0迁移入口按钮,且急需将实例升级到WAF 3.0,请联系您的商务经理,提交升级申请,通过后再进行自助升级。
使用限制
支持升级的WAF 2.0实例需满足如下要求:
实例接入方式为CNAME接入、透明接入(七层SLB类型、四层SLB类型、ECS类型)或混合云接入。
说明透明接入(ALB类型)暂不支持升级。如果您的实例中存在ALB类型的透明接入,您可以关闭引流、删除域名接入配置后,再进行自助升级。具体操作,请参见有透明接入引流的实例能不能升级?
七层SLB类型、四层SLB类型、ECS类型升级后分别对应云产品接入的CLB(HTTP/HTTPS)、CLB(TCP)、ECS。
阿里云每日0-3点进行云产品资产同步等操作,建议您在该时段不要进行透明接入的升级。
实例版本包括云WAF的包年包月高级版、企业版、旗舰版,混合云WAF的独享版。
实例未使用大屏服务、未开启定制功能。
实例在15天内不会到期。
进行升级的账号为阿里云账号(主账号),并且该账号未欠费。
您可以将鼠标悬停在右上角头像处,查看账号详情。
升级说明
升级流程
升级透明接入的域名时,WAF会将域名绑定的云产品(七层SLB类型、四层SLB类型、ECS类型)实例引流端口的流量升级到对应云产品接入中,同时将实例添加为防护对象,将域名添加为自定义防护对象。
升级混合云接入的流量时,WAF默认将流量升级到混合云反向代理模式中,并生成一个防护对象。
操作步骤
升级前请关闭实例的自动续费功能,避免升级期间WAF 2.0实例自动续费,升级完成后WAF 3.0实例再次重复自动续费。
如果您的实例在未来15天内即将到期,关闭自动续费功能后,请手动续费1个月,保证升级窗口期内,实例不会到期。
登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏底部,单击WAF3.0迁移入口。
如果您的实例满足升级要求,您可以在迁移须知面板,阅读并勾选升级须知后,单击我已了解迁移须知,开始迁移,进入迁移工具页面,准备进行升级。
如果您的实例不满足升级要求,WAF将弹出错误提示框。您可以根据提示内容,执行对应操作。如果您有升级相关的任何问题,请加入钉群(钉群号:34657699),联系产品技术专家进行咨询。
如果存在透明接入的域名,将域名绑定到对应云产品(ECS、CLB(TCP)、CLB(HTTP/HTTPS))。
升级前后绑定关系:ECS对应ECS类型,CLB(TCP)对应四层SLB类型,CLB(HTTP/HTTPS)对应七层SLB类型。
在迁移工具页面,选择一键全量迁移、规则迁移或手动分批迁移后,单击立即开始。
重要选择规则迁移后,您需选择要升级的防护规则。支持多选。
您只能在迁移工具页面选择要升级的防护规则,请您根据业务情况仔细评估后,再单击立即开始。
在确认升级的提示对话框,单击确定。
重要单击确定后,实例将开始自动升级,并进入升级窗口期。自动升级预计需要15分钟,请您保持当前页面的打开状态,不要刷新页面。
WAF自动升级结束后,在WAF 3.0版本实例创建成功对话框,单击确认。
切换到WAF 3.0控制台,确认自动升级的配置项已升级完成。自动升级的配置项信息,请参见升级流程。
切换到WAF 2.0控制台,在升级工具页面,查看域名升级状态。
一键全量升级
所有域名的升级状态显示为已升级,表示该域名的相关配置已自动升级到WAF 3.0。
说明如果升级不成功,实例将自动回滚到WAF 2.0。您可以在回滚完成对话框,查看升级失败原因。
规则升级、手动分批升级
域名对应的升级状态为未升级,表示该域名存在部分配置未自动升级到WAF 3.0,您还需要进行手动升级。
手动升级。仅规则迁移和手动分批迁移需要进行该操作。
规则升级
升级域名转发配置
升级单个域名:定位到目标域名,单击操作列的迁移到3.0版本。
批量升级多个域名:选中要升级的域名,单击域名列表下的批量迁移到3.0版本。
升级成功后,域名的迁移状态显示为已迁移。
配置防护模板生效对象
在左侧导航栏,单击切到3.0版本。
在WAF 3.0控制台,为自动升级的防护模板配置生效对象。将防护对象关联到对应防护模板。
在左侧导航栏,选择 。定位到目标防护规则后,单击操作列的编辑,在生效对象区域,将防护对象移入已选择对象框。
说明如果防护模板类型为BOT管理-场景化,在左侧导航栏,选择 。定位到目标防护规则后,单击图标,在生效范围配置向导页,将防护对象移入已选择对象框。
手动分批升级
升级域名转发配置
升级单个域名:定位到目标域名,单击操作列的迁移到3.0版本。
批量升级多个域名:选中要升级的域名,单击域名列表下的批量迁移到3.0版本。
升级成功后,域名的迁移状态显示为已迁移。
创建防护模板及防护规则
切换到WAF 3.0控制台,参考WAF 2.0实例的防护策略,创建防护模板及防护规则。具体操作,请参见防护配置。。
配置防护模板生效对象
在左侧导航栏,单击切到3.0版本。
在WAF 3.0控制台,为自动升级的防护模板配置生效对象。将防护对象关联到对应防护模板。
在左侧导航栏,选择 。定位到目标防护规则后,单击操作列的编辑,在生效对象区域,将防护对象移入已选择对象框。
说明如果防护模板类型为BOT管理-场景化,在左侧导航栏,选择 。定位到目标防护规则后,单击图标,在生效范围配置向导页,将防护对象移入已选择对象框。
切换到WAF 3.0控制台,验证升级后的配置和实际业务是否正常。
如果升级后的配置或实际业务存在不正常情况,可单击目标域名操作列的回滚到2.0版本,或选中多个域名,单击域名列表下的批量回滚到2.0版本,将实例及其配置回退到WAF 2.0进行验证。
说明一键全量升级的域名配置被回滚到2.0后,也可在升级工具页面,单击目标域名操作列的升级到3.0版本。此时,系统将只升级该域名的转发配置。升级完成后,您需要为该域名配置相应的防护策略。
单击确认迁移完成。
升级完成后,WAF 2.0实例会被释放,您可以在WAF 3.0控制台进行安全防护。
重要升级完成后,请及时确认升级完成。如果升级窗口期15天到期后,您仍未单击确认迁移完成,实例及其配置会回滚到WAF 2.0,自动创建的WAF 3.0实例会被释放,窗口期内的防护配置也会被删除。如果仍需升级,需要重新开始。
后续操作
完成升级后,您需要进行如下操作,才能正常使用WAF 3.0。
配置OpenAPI
WAF 3.0启用新的OpenAPI,需要重新配置。更多信息,请参见API概览。
配置RAM权限
针对OpenAPI接口级别的权限管理需要重新配置。更多信息,请参见授权信息。
配置Terraform
Terraform需要重新配置。更多信息,请参见Terraform Registry(域名)、Terraform Registry(实例)。
配置资源组
资源组暂不支持升级,需要重新配置。具体操作,请参见添加域名。
配置云监控与告警
WAF 3.0启用新的事件和指标监控项,需要重新配置。具体操作,请参见配置云监控通知。
配置日志服务
您需要重新配置日志服务的如下信息:
配置日志字段和存储类型、防护对象的采集状态、日志存储时长、日志容量。具体操作,请参见日志设置与日志容量管理。
开启或关闭日志服务。具体操作,请参见开启或关闭日志服务。
为升级后的实例开启自动续费
如果升级前WAF 2.0实例已开启自动续费,升级完成后,您需要为升级后的WAF 3.0实例开启自动续费。否则,实例到期后15天会被释放。具体操作,请参见自动续费。
商品code变更引发的操作
完成升级后,WAF对应的商品code会发生变化。如果您的实例因此需要进行商务变更,请联系您的商务经理。
常见问题
有透明接入引流的实例能不能升级?
可以。WAF支持自助将透明接入(七层SLB类型、四层SLB类型、ECS类型)的流量升级到WAF 3.0。透明接入(ALB类型)的流量暂不支持自助升级。您可以先关闭ALB类型的引流、删除域名接入配置后,再进行升级。具体操作可参考如下步骤:
访问网站接入页面,在服务器列表页签,单击实例端口操作列的关闭引流。
在域名列表页签,单击域名操作列的删除。
升级实例。具体操作,请参见升级操作。
将升级后的实例接入WAF 3.0。具体操作,请参见云产品接入。
独享版实例能不能升级?
不能。WAF 3.0不支持独享版。
升级过程中,会不会产生费用?
不会。升级完成后,包年包月实例会在下一次续费时产生费用。
WAF 2.0企业版能不能升级成WAF 3.0高级版?
不能。
WAF 2.0高级版能不能升级成WAF 3.0企业版?
不能。包年包月实例仅支持同版本升级,WAF 2.0高级版只能升级为WAF 3.0高级版。如果您希望使用企业版,您可以在升级完成后,将高级版升级为企业版。具体操作,请参见升级。
升级窗口内,能不能在WAF 2.0上新添加一个域名,再继续进行升级?
不能。升级窗口期内,网站接入会被置灰,不支持新添加域名、删除或修改已接入域名的所有转发配置。如果您在升级窗口期内,需要在WAF 2.0上新添加一个域名,您需要先放弃升级,再添加域名。完成后,重新进行升级。
放弃升级后,系统会删除WAF 3.0实例及其配置,并退出升级流程。