目录
AWS背景
• CloudFormation模板
• CloudWatch
• Auto Scaling
梭子鱼Web应用防火墙
• Auto Scaling
• Bootstrapping
• 梭子鱼CloudFormation模板(CFT)流程图
梭子鱼 Web应用防火墙(WAF)目前可以使用CloudFormation模板在AWS上进行自动部署。此外,梭子鱼WAF还集成了AWS CloudWatch和AWS移动消息推送服务(SNS)用于执行自动动态扩展。同时为确保安全部署,梭子鱼WAF还将集成了AWS IAM和STS服务。
梭子鱼WAF提供针对自动攻击和目标攻击的安全防护和DDOS防护。
AWS环境
AWS CloudFormation模板
借助AWS CloudFormation模板,无论是最初的使用VPC安装,还是后续的修订策略,DevOps团队均可以实现应用部署自动化。基于这些策略的Auto-Scaling能让您根据自身需求将部署大小调节至最优水平。
CloudFormation模板能使用部署所需的所有资源设置完整的AWS部署。例如,一个CloudFormation模板可以设置一个AWS虚拟私有云(VPC),并在这个云中创建您所选择的EC2实例。然后,它会下载需要的安装包,并执行配置任务,使用AWS基础设施端对端地创建您的应用。从本质上说,这意味着一旦您创建了CloudFormation模板,则无需再进行任何手动操作——它会自动执行所有部署操作。
AWS CloudWatch
AWS CloudWatch是一个监控系统,用于监控实例的各项数值(如CPU、网络带宽等),并在超出临界值时发出警报。该系统一般与AWS移动消息推送服务结合使用。SNS系统可以通过电子邮件、SMS等发送警报。这些警报可用于追踪AWS系统上的行为,并执行自动动态扩展。
AWS Auto Scaling
利用Auto Scaling可在AWS部署上添加或移除实例,具体的操作可基于CloudWatch警报或日程。组合在一起自动动态扩展的实例(如服务一个网站的WAF集群)称为Auto Scaling群组。Auto Scaling群组与Launch Configuration相关联。Launch Configuration提供启动图像所需的所有信息,如VPC、启动的实例、实例数量等。
梭子鱼 Web应用防火墙
Auto Scaling
梭子鱼Web应用防火墙目前支持AWS上的CloudFormation部署和自动扩展。DevOps团队可以通过该支持将梭子鱼WAF整合至部署流程。梭子鱼WAF实例使用您选择的配置初始化,然后与其他服务器一同扩展或缩小。根据CPU使用、带宽和日程使用扩展策略可以优化成本和执行。
使用AWS CloudWatch Alarms可按照事件或日程进行自动动态扩展。部署CloudWatch Alarms的梭子鱼WAF能为管理员提供额外的监控渠道;向CloudWatch系统持续报告CPU和带宽度量能让管理员监控部署实例的执行情况。
为自动扩展策略设置的CloudWatch Alarms也能采用AWS SNS,在选择的渠道(邮件、SMS等)向管理员发出通知。这些能通知管理员组内的自动动态扩展事件。
Bootstrapping
在Auto Scaling基础上,梭子鱼WAF还添加了Bootstrapping支持。管理员可以定义CloudFormation模板上第一个WAF的基本配置。一旦创建了初始实例并添加引导程序,建立的其他任何实例也都可以使用该实例同步配置,并在启动后几分钟内提供流量,无需任何管理员干预。集群中任何一个实例的配置变化会同步至所有其他集群的实例。
Auto Scaling改善了AWS上部署的可用性。一个自动扩展组能在一个区域的多个可用性区域部署,一旦某个可用性区域出现可达性问题,业务依然可以正常运行。如果您选择在另一个区域部署,您可以使用CloudFormation模板轻松复制部署——提高灾难恢复能力。
梭子鱼Web应用防火墙还在自动扩展组中的多个可用性区域间部署。它能与该部署模型无缝连接,无需任何额外的配置或管理员干预。
以下流程图描述了采用AWS CloudFormation和自动扩展的梭子鱼 WAF部署:
如图所示,梭子鱼WAF采用AWS S3储存聚类信息。为防止储存区受到攻击,梭子鱼WAF与AWS IAM整合为一体。启动时,创建一个IAM角色,对S3储存段访问权限有限。使用AWS安全令牌服务提供对储存段的访问,该服务提供短期令牌访问S3储存段。令牌为动态生成,设置了过期时间以防止滥用。
