梭子魚Web應(yīng)用防火墻借助CloudFormation模板和Auto Scaling拓展AWS支持
目錄
AWS背景
• CloudFormation模板
• CloudWatch
• Auto Scaling
梭子魚Web應(yīng)用防火墻
• Auto Scaling
• Bootstrapping
• 梭子魚CloudFormation模板(CFT)流程圖
梭子魚 Web應(yīng)用防火墻(WAF)目前可以使用CloudFormation模板在AWS上進行自動部署。此外,梭子魚WAF還集成了AWS CloudWatch和AWS移動消息推送服務(wù)(SNS)用于執(zhí)行自動動態(tài)擴展。同時為確保安全部署,梭子魚WAF還將集成了AWS IAM和STS服務(wù)。
梭子魚WAF提供針對自動攻擊和目標攻擊的安全防護和DDOS防護。
AWS環(huán)境
AWS CloudFormation模板
借助AWS CloudFormation模板,無論是最初的使用VPC安裝,還是后續(xù)的修訂策略,DevOps團隊均可以實現(xiàn)應(yīng)用部署自動化。基于這些策略的Auto-Scaling能讓您根據(jù)自身需求將部署大小調(diào)節(jié)至最優(yōu)水平。
CloudFormation模板能使用部署所需的所有資源設(shè)置完整的AWS部署。例如,一個CloudFormation模板可以設(shè)置一個AWS虛擬私有云(VPC),并在這個云中創(chuàng)建您所選擇的EC2實例。然后,它會下載需要的安裝包,并執(zhí)行配置任務(wù),使用AWS基礎(chǔ)設(shè)施端對端地創(chuàng)建您的應(yīng)用。從本質(zhì)上說,這意味著一旦您創(chuàng)建了CloudFormation模板,則無需再進行任何手動操作——它會自動執(zhí)行所有部署操作。
AWS CloudWatch
AWS CloudWatch是一個監(jiān)控系統(tǒng),用于監(jiān)控實例的各項數(shù)值(如CPU、網(wǎng)絡(luò)帶寬等),并在超出臨界值時發(fā)出警報。該系統(tǒng)一般與AWS移動消息推送服務(wù)結(jié)合使用。SNS系統(tǒng)可以通過電子郵件、SMS等發(fā)送警報。這些警報可用于追蹤AWS系統(tǒng)上的行為,并執(zhí)行自動動態(tài)擴展。
AWS Auto Scaling
利用Auto Scaling可在AWS部署上添加或移除實例,具體的操作可基于CloudWatch警報或日程。組合在一起自動動態(tài)擴展的實例(如服務(wù)一個網(wǎng)站的WAF集群)稱為Auto Scaling群組。Auto Scaling群組與Launch Configuration相關(guān)聯(lián)。Launch Configuration提供啟動圖像所需的所有信息,如VPC、啟動的實例、實例數(shù)量等。
梭子魚 Web應(yīng)用防火墻
Auto Scaling
梭子魚Web應(yīng)用防火墻目前支持AWS上的CloudFormation部署和自動擴展。DevOps團隊可以通過該支持將梭子魚WAF整合至部署流程。梭子魚WAF實例使用您選擇的配置初始化,然后與其他服務(wù)器一同擴展或縮小。根據(jù)CPU使用、帶寬和日程使用擴展策略可以優(yōu)化成本和執(zhí)行。
使用AWS CloudWatch Alarms可按照事件或日程進行自動動態(tài)擴展。部署CloudWatch Alarms的梭子魚WAF能為管理員提供額外的監(jiān)控渠道;向CloudWatch系統(tǒng)持續(xù)報告CPU和帶寬度量能讓管理員監(jiān)控部署實例的執(zhí)行情況。
為自動擴展策略設(shè)置的CloudWatch Alarms也能采用AWS SNS,在選擇的渠道(郵件、SMS等)向管理員發(fā)出通知。這些能通知管理員組內(nèi)的自動動態(tài)擴展事件。
Bootstrapping
在Auto Scaling基礎(chǔ)上,梭子魚WAF還添加了Bootstrapping支持。管理員可以定義CloudFormation模板上第一個WAF的基本配置。一旦創(chuàng)建了初始實例并添加引導程序,建立的其他任何實例也都可以使用該實例同步配置,并在啟動后幾分鐘內(nèi)提供流量,無需任何管理員干預。集群中任何一個實例的配置變化會同步至所有其他集群的實例。
Auto Scaling改善了AWS上部署的可用性。一個自動擴展組能在一個區(qū)域的多個可用性區(qū)域部署,一旦某個可用性區(qū)域出現(xiàn)可達性問題,業(yè)務(wù)依然可以正常運行。如果您選擇在另一個區(qū)域部署,您可以使用CloudFormation模板輕松復制部署——提高災(zāi)難恢復能力。
梭子魚Web應(yīng)用防火墻還在自動擴展組中的多個可用性區(qū)域間部署。它能與該部署模型無縫連接,無需任何額外的配置或管理員干預。
以下流程圖描述了采用AWS CloudFormation和自動擴展的梭子魚 WAF部署:
如圖所示,梭子魚WAF采用AWS S3儲存聚類信息。為防止儲存區(qū)受到攻擊,梭子魚WAF與AWS IAM整合為一體。啟動時,創(chuàng)建一個IAM角色,對S3儲存段訪問權(quán)限有限。使用AWS安全令牌服務(wù)提供對儲存段的訪問,該服務(wù)提供短期令牌訪問S3儲存段。令牌為動態(tài)生成,設(shè)置了過期時間以防止濫用。
