Деплой и настройка ноды с мультиарендной опцией¶

Нода Вебмониторэкс с мультиарендной опцией — нода, которая защищает инфраструктуры нескольких независимых организаций или несколько изолированных сред одновременно.

Способы установки ноды с мультиарендной опцией¶

В зависимости от вашей инфраструктуры и задачи, можно установить ноду одним из следующих способов:

• Установить одну ноду для фильтрации трафика всех клиентов или изолированных сред. Трафик будет обрабатываться следующим образом:

  

  • Одна нода обрабатывает трафик нескольких тенантов (Tenant 1, Tenant 2).

    Термин "партнерский клиент"

    В предыдущей версии документации для обозначения "тенанта" использовался термин "партнерский клиент". В дальнейшем будет использоваться термин "тенант".

  • Нода определяет тенанта, которому поступает трафик, по ID связи "тенант-приложение" (wallarm_application).

  • Для доменов https://tenant1.com и https://tenant2.com настроена A‑запись DNS с IP‑адресом партнера или клиента с изолированными средами: 225.130.128.241. Данная настройка приведена в качестве примера, на стороне партнера и тенанта может использоваться другая настройка.
  • На стороне партнера настроено проксирование легитимных запросов на адреса тенантов Tenant 1 и Tenant 2: http://upstream1:8080 и http://upstream2:8080 соответственно. Данная настройка приведена в качестве примера, на стороне партнера и тенанта может использоваться другая настройка.

• Установить несколько нод, чтобы каждая фильтровала трафик отдельного тенанта.

  Трафик будет обрабатывается аналогичным образом, как приведено на схеме выше, но на нескольких серверах партнера или тенанта.

Особенности ноды с мультиарендной опцией¶

• Устанавливается на те же платформы и по тем же инструкциям, что и обычная нода.

• Может быть установлена на уровне технического тенанта или на уровне тенанта. Если необходимо предоставить тенанту доступ к Консоли управления, нода должна быть установлена на уровне соответствующего тенанта.

• Настраивается по инструкциям для обычной ноды.

• Директива wallarm_application используется для идентификации приложений тенанта. Приложений может быть несколько.

Требования к установке¶

• Настроенные аккаунты тенантов

• Выполнение установки от пользователя с ролью Глобальный администратор или Деплой/Администратор.

  Пользователь с ролью Деплой/Администратор должен быть добавлен в аккаунт технического тенанта или тенанта, в зависимости от того, в каком аккаунте должна быть создана нода.

• Отключенная двухфакторная аутентификация для пользователя, который выполняет установку ноды

• Поддерживаемая платформа для установки

Рекомендации к установке ноды с мультиарендной опцией¶

• Если тенант должен иметь доступ к Консоли управления, создайте ноду в аккаунте тенанта

• Выполняйте настройку ноды в конфигурационном файле, который описывает обработку трафика тенанта

Процедура установки ноды с мультиарендной опцией¶

1. Выберите подходящую форму установки и следуйте соответствующей инструкции:

   • Модуль для NGINX stable из репозитория NGINX
   • Модуль для NGINX stable из репозитория Debian/CentOS
   • Модуль для NGINX Plus
   • Docker‑контейнер с модулями NGINX
     
   • Ingress‑контроллер NGINX
   • Sidecar‑контейнер
   • Образ Google Cloud Platform
   • Модуль для Kong

2. Если вы используете одну ноду для фильтрации трафика нескольких клиентов или изолированных сред:

   1. Войдите в Консоль управления Вебмониторэкс под пользователем с ролью Глобальный администратор.
   2. В секции Ноды найдите только что установленную ноду.
   3. Из меню ноды выберите пункт Сделать мультиарендной.

3. Откройте конфигурационный файл NGINX с настройками обработки трафика тенантов и задайте ID приложений с помощью директивы wallarm_application.

   Если вы используете одну ноду Вебмониторэкс для обработки трафика всех тенантов, значения директив wallarm_application должны соответствовать ID, заданным во время привязки приложений к аккаунтам тенантов.

   Пример конфигурационного файла, если одна нода обрабатывает трафик двух клиентов:

   server {
       listen       80;
       server_name  tenant1.com;
       wallarm_mode block;
       wallarm_application 13;
   
       location / {
           proxy_pass      http://upstream1:8080;
       }
   }
   
   server {
       listen       80;
       server_name  tenant2.com;
       wallarm_mode monitoring;
       wallarm_application 14;
   
       location / {
           proxy_pass      http://upstream2:8080;
       }
   }
   

   • На стороне тенантов настроены A‑записи DNS с IP‑адресом партнера
   • На стороне партнера настроено проксирование запросов к доменам тенантов на адреса, которые передали тенанты (http://upstream1:8080 для тенанта с ID приложения 13 и http://upstream2:8080 для тенанта с ID приложения 14)
   • Все входящие запросы поступают на IP‑адрес партнера для фильтрации, легитимные запросы отправляются на http://upstream1:8080 для тенанта с ID приложения 13 и http://upstream2:8080 для тенанта с ID приложения 14

Настройка партнерской ноды¶

Чтобы кастомизировать настройки ноды, используйте доступные директивы.

Частые настройки:

• Настройка режима фильтрации запросов

• Логирование переменных ноды Вебмониторэкс

• Использование балансировщика или прокси‑сервера перед нодой Вебмониторэкс

• Ограничение времени обработки единичного запроса в директиве wallarm_process_time_limit

• Ограничение времени ожидания ответа сервера в директиве NGINX proxy_read_timeout

• Ограничение максимального размера запроса в директиве NGINX client_max_body_size

• Настройка динамического преобразования доменного имени

• Двойное обнаружение атак с помощью библиотеки libdetection