购买混合云WAF实例后,您可以自定义部署混合云WAF防护集群(以下简称混合云集群)。只有成功部署混合云集群后,您才可以将网站业务接入混合云WAF进行防护。本文介绍了部署混合云集群的操作方法。

前提条件

  • 已经在阿里云Web应用防火墙购买页,购买了混合云WAF实例。混合云WAF
  • 已经准备好部署混合云集群所需要的资源。具体包括:
    • 已安装了vagent的服务器

      混合云集群使用您的本地服务器作为集群节点。您必须先在规划作为集群节点的本地服务器上安装WAF客户端vagent,才能将该服务器添加为集群节点。相关操作,请参见安装WAF客户端

    • 负载均衡设备

      混合云集群由管控、存储、防护组件组成。为了保证集群的高稳定性,不同组件建议分开部署。一个组件下包含多个节点时,建议您在节点前部署负载均衡设备。

    关于所需准备的资源数量的建议,请参见准备集群资源

准备集群资源

您可以根据防护场景,选择对应的集群部署方案,不同方案所需要的集群资源数量不同。

防护场景 部署方案 所需资源 部署说明
安全性、高稳定性业务上线防护,追求业务和防护能力的高稳定性 防护能力和管控能力都容灾部署
  • 1万QPS以内的HTTP业务防护量或4000 QPS以内的HTTPS业务防护量(默认)

    推荐5台服务器+2个负载均衡设备

  • 超过默认防护量:

    按需扩容防护节点(一个防护节点支持处理5000 QPS的HTTP业务或2000 QPS的HTTPS业务)

  • 存储组件:1台服务器
  • 管控组件:2台(及以上)服务器+1个负载均衡设备
  • 防护组件:2台(及以上)服务器+1个负载均衡设备
高稳定性业务上线防护,追求业务高稳定性 防护能力容灾部署
  • 1万QPS以内的HTTP业务防护量或4000 QPS以内的HTTPS业务防护量(默认)

    推荐3台服务器+1个负载均衡设备

  • 超过默认防护量:

    按需扩容防护节点(一个防护节点支持处理5000 QPS的HTTP业务或2000 QPS的HTTPS业务)

  • 管控和存储组件:1台服务器
  • 防护组件:2台(及以上)服务器+1个负载均衡设备
基本防护能力PoC测试 最小化集群部署
  • 1万QPS以内的HTTP业务防护量或4000 QPS以内的HTTPS业务防护量(默认)

    至少2台服务器

  • 超过默认防护量:

    按需扩容防护节点(一个防护节点支持处理5000 QPS的HTTP业务或2000 QPS的HTTPS业务)

  • 管控和存储组件:1台服务器
  • 防护组件:1台(及以上)服务器

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在左侧导航栏,选择系统管理 > 混合云设置
  3. 单击添加集群
  4. 根据添加集群配置向导,完成基本信息配置
    您需要设置下表描述的集群基本信息,然后单击下一步基本信息配置
    参数 说明
    集群名称 为混合云集群设置一个名称。
    防护节点数 选择混合云集群包含的防护节点的数量。
    说明 您在所有自定义的混合云WAF集群中添加的节点个数,不能超过您购买的混合云WAF实例中的节点数规格。

    每个防护节点对应一台服务器,可用于防护不超过5000 QPS的HTTP业务流量,或者不超过2000 QPS的HTTPS业务流量。您可以根据集群要防护的网站业务的QPS来选择集群节点数。

    服务端口设置 设置混合云集群使用的防护端口。集群防护端口必须包含所有要防护的网站业务所使用的协议端口。后续接入网站业务到混合云集群进行防护时,您只能从集群防护端口中选择网站业务的协议端口。
    设置说明:
    • 默认开启了80、8080、443、8443端口。如果没有特殊需求,无需修改。
    • 如果需要开启其他端口,可以手动输入。每输入一个端口,需要按回车后才会保存。

      防护端口仅不支持22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987这些特定的系统端口。

      警告 建议您只设置必须用到的防护端口,不要添加与业务无关的端口,避免引入安全风险。
    集群接入模式 设置混合云集群的网络接入模式。可选值:
    • 公网接入表示混合云集群通过公网连接云WAF控制台
    • 专线私网接入表示混合云集群通过专线连接云WAF私网控制台
      注意 只有当您已经搭建了高速通道,才支持使用该模式
    备注 为混合云集群添加备注说明。
  5. 根据添加集群配置向导,完成节点组配置节点组配置
    您必须先在集群下添加多个节点组,然后可以在节点组中添加节点。
    添加节点组说明:
    • 每个节点组需要使用一台负载均衡服务器,确保业务的负载均衡和容灾能力。
      说明 如果您没有负载均衡设备,可以联系WAF技术支持人员获取帮助。
    • 节点组类型包括存储(对应存储组件,一个集群中仅支持添加1个)、管控(对应管控组件,一个集群中可以添加多个,进行容灾)、防护(对应防护组件,一个集群中可以添加多个,进行容灾)、管控和存储(对应管控和存储组件,一个集群中仅支持添加1个)。
      您必须按照以下顺序依次添加对应的节点组:
      • 方式一(至少添加3个节点组):先添加1个存储节点组,然后添加至少1个管控节点组,最后添加至少1个防护节点组。
      • 方式二(至少添加2个节点组):先添加1个管控和存储节点组,然后添加至少1个防护节点组。

    参照以下步骤,添加一个节点组:

    1. 单击添加节点组
    2. 添加节点组对话框,完成节点组参数配置。添加节点组
      具体参数说明如下表所示。
      参数 说明
      节点组名称 为节点组设置一个名称。
      负载均衡(服务器)IP 设置与该节点组绑定的负载均衡服务器的公网IP地址。
      节点组类型 选择该节点组的类型。可选项:防护存储管控管控和存储
      所在地区 节点组类型防护时,需要选择节点组所在地区。其他类型的节点组,无需设置该参数。
      备注 为节点组添加备注说明。
    3. 单击保存
  6. 根据添加集群配置向导,完成节点初始化配置
    您需要在混合云集群中添加本地服务器作为集群节点。在添加本地节点前,您必须在本地服务器上安装WAF客户端vagent。相关操作,请参见安装WAF客户端
    添加节点说明:
    • 您在当前集群中添加的节点个数不能超过该集群的防护节点数规格。
    • 建议您在防护节点组下添加至少2个节点,保证在线双活容灾。

    参照以下步骤,在集群中添加一个节点:

    1. 单击添加节点
    2. 添加节点对话框,完成节点参数配置。添加节点
      具体参数说明如下表所示。
      参数 说明
      服务器IP地址 设置本地服务器的公网IP地址。
      节点名称 为节点设置一个名称。
      所在地区 选择节点所在地域信息。
      服务器配置 默认显示该服务器的配置信息。
      防护节点组 选择要加入的防护节点组。
    3. 单击保存
  7. 完成添加集群配置向导后,集群将会自动创建,请您耐心等待数分钟。
    成功创建集群后,您可以在页面上方查看集群的基本信息

    如果您创建了多个混合云集群,则可以单击切换集群,选择要查询的集群信息。

    集群基本信息
  8. 检查节点运行状态。集群节点详情
    集群创建成功后,您可以在集群节点详情区域,查看节点和应用的状态。
    • 节点状态表示服务器是否正常运行。正常状态表示正在运行,已停止状态表示服务器已关机。

      如果服务器已关机,则该节点将无法提供WAF防护服务,请您及时检查服务器关机原因,尽快修复异常。

    • 应用状态表示节点上的WAF客户端应用程序(vagent)是否正常运行。正常状态表示运行正常,已停止状态表示vagent已停止运行。

      如果vagent已停止运行,则该节点可能无法正常提供WAF防护服务,建议您登录本地服务器,检查vagent的安装和运行状态,尽快修复异常。相关操作,请参见安装WAF客户端

后续步骤

成功部署混合云WAF集群后,您就可以在网站接入页面,将要防护的网站业务接入到混合云WAF进行防护。

填写网站信息时,您需要将防护资源设置为混合云集群,并设置要使用的防护节点组名称,其余设置与接入公共集群WAF进行防护相同。具体操作,请参见网站接入添加域名