Настройка и запуск ПроAPI Защита¶
Инструкция описывает процесс запуска фильтрующей ноды в связке с консолью управления.
Доступна работы в режиме proxy.
Создание приложения в Консоли управления ПроAPI Защита¶
Создайте приложение по инструкции. После создания приложения сохраните ключ (токен) приложения, он понадобится для следующего шага.
Запуск ноды ПроAPI Защиты¶
Подключите репозиторий. Процесс подключения описан в разделе Установка и настройка.
Примеры запуска ноды:
docker pull registry.webmonitorx.ru/api-firewall/api-firewall:1.2.4
docker run --rm -d \
-e APIFW_URL=http://0.0.0.0:80 \
-e APIFW_SERVER_URL=http://172.17.0.1:8091 \
-e APIFW_MANAGER_ADDRESS=apifw-manager.webmonitorx.dev:8081 \
-e APIFW_MANAGER_KEY="KEY" \
-e APIFW_LICENSE_KEY=__LICENSE_KEY__ \
-p 80:80 \
registry.webmonitorx.ru/api-firewall/api-firewall:1.2.4
Ниже представлен минимальный набор переменных окружения:
| Переменная среды | Описание |
|---|---|
APIFW_URL | URL-адрес, внутри контейнера на котором ПроAPI Защита будет принимать входящие соединения. Значение по умолчанию: http://0.0.0.0:8282/. |
APIFW_SERVER_URL | URL-адрес защищаемого приложения или DNS балансировщика. Например: http://backend.local:8080. |
APIFW_MANAGER_ADDRESS (для интеграции с консолью управления ПроAPI Защита) | Адрес и порт консоли управления ПроAPI Защита, схему указывать не нужно. |
APIFW_MANAGER_KEY (для интеграции с консолью управления ПроAPI Защита) | Ключ приложения. Нужен для первичной регистрации ноды ПроAPI Защиты в консоли управления. |
APIFW_LICENSE_KEY(для интеграции с консолью управления ПроAPI Защита) | Лицензионный ключ. |
APIFW_SET_REAL_IP_FROM(для интеграции с консолью управления ПроAPI Защита) | IP адреса, с которых разрешено доверять содержимому заголовка переданного через APIFW_REAL_IP_HEADER. |
APIFW_REAL_IP_HEADER(для интеграции с консолью управления ПроAPI Защита) | Заголовок, в котором передается информация об IP адресе клиента. По умолчанию - X-REAL-IP |
APIFW_REAL_IP_RECURSIVE(для интеграции с консолью управления ПроAPI Защита) | False - Считать IP адресом клиента последний IP адрес из списка переданных в REAL_IP_HEADER.True - Считать IP адресом клиента последний не доверенный IP адрес из списка переданных в REAL_IP_HEADERЗначение по умолчанию - false |
APIFW_MANAGER_CLIENT_CA_FILE(для интеграции с консолью управления ПроAPI Защита) | CA сертификат. Для настройки Secure gRPC между нодами и консолью управления |
APIFW_MANAGER_CLIENT_CERT_FILE(для интеграции с консолью управления ПроAPI Защита) | Сертификат клиента. Для Secure gRPC |
APIFW_MANAGER_CLIENT_KEY_FILE(для интеграции с консолью управления ПроAPI Защита) | Секретный ключ сертификата клиента. Для Secure gRPC |
APIFW_PASS_OPTIONS | Если установлено значение true, ПроAPI Защита не будет блокировать запросы с методом OPTIONS, даже если такие запросы не описаны в спецификации. Значение по умолчанию — false. |
После запуска фильтрующая нода выполнит первоначальную синхронизацию с консолью управления, загрузит OAS и применит установленный режим работы.
Полный набор переменных окружения →
Синхронизация и начало работы¶
После завершения синхронизации ПО ПроAPI Защита начнет работать согласно заданным параметрам.
Работа и обновление конфигураций¶
-
Во время работы ПроAPI Защита отправляет события и метрики в Консоли управления ПроAPI Защита для дальнейшего анализа.
-
Фильтрующая нода регулярно проверяет наличие изменений в настройках приложения и обновление OAS в Консоли управления. Все изменения применяются автоматически, без остановки обработки трафика.
Примечание
Убедитесь, что все компоненты имеют актуальные версии ПО и совместимы друг с другом.