DDoS攻撃、SQLインジェクション、クロスサイトスクリプティング、悪意のあるHTTPリクエスト、SSHブルートフォース攻撃などの一般的なネットワーク攻撃を防止するために、Webアプリケーションファイアウォール (WAF) が有効になっているApplication Load Balancer (ALB) インスタンスを使用できます。 WAF対応のALBインスタンスは、さまざまなHTTPプロトコルとエンコードアルゴリズムをサポートしており、詳細で正確なセキュリティシステムの構築に役立ちます。 webアプリケーションが侵入に対して脆弱であるか、より高いセキュリティが必要な場合は、WAF対応のALBインスタンスを使用できます。
WAF対応ALBインスタンスの詳細については、「WAF対応ALBインスタンスのメリット」をご参照ください。 WAFの詳細については、「」をご参照ください。WAFとは何ですか?
WAF対応ALBインスタンスの課金ルールの詳細については、「ALB課金ルール」をご参照ください。
前提条件
ALB Ingressコントローラーがクラスターにインストールされています。 詳細については、「ALB Ingressコントローラーの管理」をご参照ください。
説明ALB Ingressを使用してACK専用クラスターにデプロイされたサービスにアクセスするには、まずALB Ingressコントローラーが必要とする権限をクラスターに付与する必要があります。 詳細については、「ACK専用クラスターにALB Ingressコントローラーへのアクセスを許可する」をご参照ください。
kubectlクライアントがACKクラスターに接続されています。 詳細については、「クラスターのkubeconfigファイルを取得し、kubectlを使用してクラスターに接続する」をご参照ください。
WAF対応ALBインスタンスの設定
ALBインスタンスを作成するとき、または既存のALBインスタンスの設定を変更するときに、edition
パラメーターをAlbConfigに追加し、値をStandardWithWaf
に設定して、ALBインスタンスのWAFを有効にします。 再利用されたALBインスタンスのeditionパラメーターは変更できません。
apiVersion: alibabacloud.com/v1
kind: AlbConfig
metadata:
name: alb
spec:
config:
addressType: Internet
edition: StandardWithWaf # Enable WAF protection.
zoneMappings:
#...
ALBインスタンスでWAF保護が不要になった場合は、edition
パラメーターの値をStandard
に設定します。
関連ドキュメント
ソースIPアドレスに基づいてアクセス制御を適用する方法の詳細については、「AlbConfigsを使用したACLルールの追加と変更」をご参照ください。
クライアントIDを認証する方法の詳細については、「HTTPS相互認証を使用してセキュリティを強化する」をご参照ください。