Установка Ingress‑контроллера NGINX с сервисами Вебмониторэкс¶
С помощью данной инструкции вы развернете Ingress‑контроллер NGINX с сервисами Вебмониторэкс в кластере Kubernetes.
Требования¶
-
Kubernetes версии 1.19-1.24
-
Менеджер пакетов Helm
-
Совместимость сервисов с Community Ingress‑контроллером NGINX версии 1.1.3 или ниже
-
Доступ к аккаунту с ролью Администратор в Консоли управления Вебмониторэкс
-
Доступ к
https://api.wallarm.ru:444
для работы с Вычислительным кластером Вебмониторэкс -
Доступ к
https://charts.wallarm.com
для добавления Helm‑чартов Вебмониторэкс. Убедитесь, что доступ не ограничен настройками файервола -
Доступ к репозиториям Вебмониторэкс на Docker Hub
https://hub.docker.com/r/wallarm
. Убедитесь, что доступ не ограничен настройками файервола -
Доступ к хранилищу Яндекс S3 (
https://storage.yandexcloud.net
), чтобы обеспечить корректную блокировку IP‑адресов, зарегистрированных в странах, регионах или дата-центрах из белого, черного и серого списков IPНеобходимо обеспечить доступ к
https://storage.yandexcloud.net
или нескольким диапазонам IP‑адресов: диапазон 1 и диапазон 2.
Смотрите также
Известные ограничения¶
-
Не поддерживается работа без модуля постаналитики.
-
Масштабирование модуля постаналитики (уменьшение) может приводить к частичной потере данных об атаках.
Установка¶
-
Установите Ingress‑контроллер Вебмониторэкс.
-
Включите анализ трафика для вашего Ingress.
-
Протестируйте работу Ingress‑контроллера Вебмониторэкс.
Шаг 1: Установка Ingress‑контроллера Вебмониторэкс¶
-
Перейдите в Консоль управления Вебмониторэкс → секция Ноды.
-
Создайте ноду Вебмониторэкс и скопируйте токен.
-
Добавьте репозиторий c Helm‑чартами Вебмониторэкс в локальный каталог:
helm repo add wallarm https://charts.wallarm.com
-
Создайте файл
values.yaml
с конфигурацией Вебмониторэкс.Пример файла с минимальной конфигурацией:
controller: wallarm: enabled: "true" token: "<WALLARM_API_TOKEN>" apiHost: "api.wallarm.ru"
<WALLARM_API_TOKEN>
— токен ноды Вебмониторэкс. -
Установите пакеты Вебмониторэкс:
helm install --version 3.6.9 <INGRESS_CONTROLLER_NAME> wallarm/wallarm-ingress -n <KUBERNETES_NAMESPACE> -f <PATH_TO_VALUES>
<INGRESS_CONTROLLER_NAME>
— название Ingress‑контроллера Вебмониторэкс<KUBERNETES_NAMESPACE>
— пространство имен, в котором будет развернут Ingress‑контроллер Вебмониторэкс<PATH_TO_VALUES>
— путь до файлаvalues.yaml
Шаг 2: Включение анализа трафика для вашего Ingress¶
kubectl annotate ingress <YOUR_INGRESS_NAME> nginx.ingress.kubernetes.io/wallarm-mode=monitoring
kubectl annotate ingress <YOUR_INGRESS_NAME> nginx.ingress.kubernetes.io/wallarm-application=<APPLICATION>
-
<YOUR_INGRESS_NAME>
— название вашего Ingress -
<APPLICATION>
— положительное число, уникальное для каждого из ваших приложений или группы приложений; используется для получения раздельной статистики и отличия атак, направленных на соответствующие приложения
Шаг 3: Тестирование работы Ingress‑контроллера Вебмониторэкс¶
-
Получите список pod'ов, передав в
<INGRESS_CONTROLLER_NAME>
название Ingress‑контроллера Вебмониторэкс:
kubectl get pods -l release=<INGRESS_CONTROLLER_NAME>
Все pod'ы должны быть в состоянии: STATUS: Running и READY: N/N. Например:
NAME READY STATUS RESTARTS AGE ingress-controller-nginx-ingress-controller-675c68d46d-cfck8 3/3 Running 0 5m ingress-controller-nginx-ingress-controller-wallarm-tarantljj8g 8/8 Running 0 5m
-
Отправьте тестовый запрос с атаками SQLI и XSS на адрес Ingress‑контроллера Вебмониторэкс:
curl http://<INGRESS_CONTROLLER_IP>/?id='or+1=1--a-<script>prompt(1)</script>'
Если нода находится в статусе
block
, в ответ на запрос вернется код403 Forbidden
и атаки отобразятся в Консоли управления Вебмониторэкс → секция События.
Настройка¶
После успешной установки и тестирования Ingress‑контроллера Вебмониторэкс вы можете применить к решению дополнительные настройки, например:
Для получения списка всех настроек и соответствующих инструкций перейдите по ссылке.