Обновление Ingress‑контроллера NGINX с сервисами Вебмониторэкс с сервисами Вебмониторэкс WAF¶

Инструкция описывает способ обновления развернутого Ingress‑контроллера Вебмониторэкс до новой версии с WAF‑нодой 2.18.

• Для обновления необходимо склонировать новую версию Helm‑чарта и применить обновления к установленной версии.

• Настройки, примененные к установленному Ingress‑контроллеру, и аннотации Ingress сохраняются после обновления.

Обновление¶

1. Склонируйте новую версию Helm‑чарта из репозитория Вебмониторэкс:

   git clone https://github.com/wallarm/ingress-chart --branch 2.18.1-8 --single-branch
   

2. Обновите предыдущий Helm‑чарт:

   helm upgrade --set controller.wallarm.enabled=true,controller.wallarm.token=<WALLARM_API_TOKEN>,controller.wallarm.apiHost=api.wallarm.ru <INGRESS_CONTROLLER_NAME> ingress-chart/wallarm-ingress -n <KUBERNETES_NAMESPACE>
   

   • <WALLARM_API_TOKEN> — токен ноды Вебмониторэкс, созданной при установке Ingress‑контроллера Вебмониторэкс
   • <INGRESS_CONTROLLER_NAME> — название развернутого Ingress‑контроллера Вебмониторэкс
   • <KUBERNETES_NAMESPACE> — namespace вашего Ingress

Тестирование¶

1. Убедитесь, что чарт обновлен:

   helm ls
   

   Версия чарта должна соответствовать wallarm-ingress-1.8.x.

2. Получите список pod'ов, передав в <INGRESS_CONTROLLER_NAME> название Ingress‑контроллера Вебмониторэкс:

   kubectl get pods -l release=<INGRESS_CONTROLLER_NAME>
   

   Все pod'ы должны быть в состоянии: STATUS: Running и READY: N/N. Например:

   NAME                                                              READY     STATUS    RESTARTS   AGE
   ingress-controller-nginx-ingress-controller-675c68d46d-cfck8      3/3       Running   0          5m
   ingress-controller-nginx-ingress-controller-wallarm-tarantljj8g   8/8       Running   0          5m
   ingress-controller-nginx-ingress-default-backend-584ffc6c7xj5xx   1/1       Running   0          5m
   

3. Отправьте тестовый запрос с атаками SQLI и XSS на адрес Ingress‑контроллера Вебмониторэкс:

   curl http://<INGRESS_CONTROLLER_IP>/?id='or+1=1--a-<script>prompt(1)</script>'
   

   Если нода находится в статусе block, в ответ на запрос вернется код 403 Forbidden и атаки отобразятся в Консоли управления Вебмониторэкс → секция События.

Настройка¶

Глобальные настройки Ingress‑контроллера Вебмониторэкс и аннотации Ingress, примененные к предыдущей версии, сохранятся для новой версии. Список всех настроек и аннотаций доступен по ссылке.

Частые настройки:

• Идентификация IP‑адреса клиента при перенаправлении трафика на Ingress-контроллер через балансировщик

• Блокировка запросов по IP‑адресам

• Добавление IP‑адресов Вебмониторэкс в белый список для работы сканера

• Повышение стабильности работы Ingress‑контроллера

• Мониторинг Ingress‑контроллера