Перейти к содержанию

Что нового в ноде Вебмониторэкс версии 3.6

На этой странице перечислены изменения, доступные при обновлении ноды 3.4 и 3.2 до версии 3.6. Все изменения доступны как в клиентской ноде, так и в ноде с мультиарендной опцией версии 3.6. Перед обновлением компонентов мы рекомендуем внимательно изучить набор изменений и рекомендации по обновлению.

Если вы обновляете ноду версии 2.18, доступные изменения приведены в отдельном списке.

При обновлении с ноды версии 3.4

В новой версии ноды:

  • Обновлена версия Community Ingress‑контроллера NGINX, на котором основан Ingress-контроллер Вебмониторэкс. Ранее использовалась версия 0.26.2, теперь — 1.1.3.

    Инструкция по миграции на новую версию Ingress‑контроллера Вебмониторэкс →

  • Добавлена поддержка AlmaLinux, Rocky Linux и Oracle Linux 8.x в связи с прекращением поддержки CentOS 8.x.

    Пакеты ноды для альтернативной операционной системы будут храниться в репозитории CentOS 8.x.

  • Можно настраивать обнаружение атак типа overlimit_res с помощью специального правила в Консоли управления.

    Подробнее о правиле Настроить обработку атак типа overlimit_res

  • В связи с предыдущим пунктом, устарели следующие директивы NGINX:

    • Директива NGINX wallarm_process_time_limit, которые использовались для установки собственного лимита времени на обработку одного запроса.

      Теперь лимит задается с помощью правила.

    • Директива NGINX wallarm_process_time_limit_block, которые задавали режим блокировки атак типа overlimit_res.

      Если создано правило, нода будет блокировать атаки типа overlimit_res в соответствии с общим режимом фильтрации.

    Полная поддержка параметров прекратится в будущих релизах. Если параметры явно заданы в конфигурационных файлах и правило еще не настроено, поведение ноды соответствует значениям параметров. Однако рекомендуется перенести настройки в правило заранее, соответствующие шаги приведены в инструкциях по обновлению модулей.

  • Обновлен пример страницы блокировки /usr/share/nginx/html/wallarm_blocked.html. Обновлен внешний вид, добавлена возможность настроить логотип и почту для обращений.

    Теперь по умолчанию страница выглядит следующим образом:

    Вебмониторэкс blocking page

    Подробнее о настройке страницы блокировки →

  • Добавлена новая директива NGINX wallarm_acl_access_phase, с помощью которой вы можете увеличить производительность ноды Вебмониторэкс следующим образом:

    • По умолчанию фильтрующая нода блокирует запросы с IP-адресов из черного списка только после анализа запросов на наличие атак.
    • Включение wallarm_acl_access_phase on меняет операции местами: блокировка запросов с IP-адресов из черного списка будет происходить сразу, без поиска атак в запросах. Это существенно снижает нагрузку на CPU ноды.

  • Изменились названия следующих директив NGINX:

    Параметры с устаревшими названиями временно поддерживаются, но в будущих релизах их поддержка прекратится полностью. Логика параметров не изменилась.

  • Добавлена новая директива NGINX wallarm_acl_access_phase - по умолчанию фильтрующая нода блокирует запросы с IP-адресов из черного списка после поиска атак. Включение (on) директивы меняет операции местами, блокировка запросов при этом происходит сразу, без поиска атак. Это существенно снижает нагрузку на CPU ноды.

  • Изменилось название аннотации Ingress: nginx.ingress.kubernetes.io/wallarm-instance → nginx.ingress.kubernetes.io/wallarm-application.

    Аннотация с устаревшим названием временно поддерживается, но в будущих релизах ее поддержка прекратится полностью. Логика аннотации не изменилась.

  • Изменилось название файла со сборкой индивидуальных правил: /etc/wallarm/lom → /etc/wallarm/custom_ruleset. Теперь на ноду выгружается файл только с новым названием.

    В директиве NGINX wallarm_custom_ruleset_path изменилось значение по умолчанию, новое значение — /etc/wallarm/custom_ruleset.

  • Изменились названия параметров статистики ноды Вебмониторэкс:

    • lom_apply_timecustom_ruleset_apply_time
    • lom_idcustom_ruleset_id

    Эндпоинт http://127.0.0.8/wallarm-status временно возвращает как параметры с устаревшими названиями, так и с новыми. В будущих релизах устаревшие параметры будут удалены.

    Подробнее о сервисе статистики →

  • Изменилось название метрики collectd: gauge-lom_idgauge-custom_ruleset_id.

    Сервис временно возвращает как метрику с устаревшим названием, так и с новым. В будущих релизах поддержка устаревшей метрики прекатится полностью.

    Все метрики collectd →

  • Новая переменная окружения NGINX_PORT для Docker‑контейнера Вебмониторэкс на основе NGINX. В переменной передается порт, который будет использовать NGINX внутри Docker-контейнера.

    Инструкция по запуску Docker‑контейнера Вебмониторэкс на основе NGINX →

При обновлении с ноды версии 3.2

В новой версии ноды вам будут доступны все изменения, описанные выше, а также:

[Полный список поддерживаемых форм установок →](../admin-ru/supported-platforms.md)

Какие ноды рекомендуется обновить?

  • Клиентские ноды и ноды с мультиарендной опцией версии 3.x, чтобы поддерживать модули в актуальном состоянии и избегать использования устаревших версий.

  • Клиентские ноды и ноды с мультиарендной опцией версии 2.18 и ниже. Версия 2.18 больше не поддерживается, а изменения в новых версиях упрощают настройку ноды и повышают качество фильтрации трафика. Обратите внимание, что некоторые настройки ноды 2.18 несовместимы с новой версией ноды.

Процедура обновления

  1. Ознакомьтесь с рекомендациями по обновлению модулей.

  2. Обновите модули, следуя подходящей инструкции: