Web Application Firewall (WAF) 2.0インスタンスを使用する場合は、Alibaba Cloudが提供するセルフサービスアップグレードツールを使用して、WAF 2.0コンソールでインスタンスをWAF 3.0にアップグレードできます。 このトピックでは、WAF 2.0インスタンスのアップグレード条件、セルフサービスアップグレードツールを使用してWAFインスタンスをアップグレードする方法、およびアップグレード手順について説明します。
セルフサービスのアップグレードツールはカナリアリリース中です。
WAF 2.0コンソールの左側のナビゲーションウィンドウにWAF3.0 アップグレードのエントリーが表示されている場合、セルフサービスのアップグレードツールを使用してWAF 2.0インスタンスをWAF 3.0にアップグレードできます。
WAF3.0 アップグレードのエントリーが表示されず、WAF 2.0インスタンスをWAF 3.0に緊急にアップグレードする場合は、アップグレード申請をアカウントマネージャーに送信できます。 申請が承認されたら、セルフサービスのアップグレードツールを使用してWAF 2.0インスタンスをアップグレードできます。
制限事項
WAF 2.0にアップグレードできるWAF 3.0インスタンスは、次の要件を満たす必要があります。
webサービスは、CNAMEレコードモードまたは透過プロキシモードでWAF 2.0インスタンスに追加されます。 webサービスが透過プロキシモードでWAF 2.0インスタンスに追加されている場合、オリジンサーバーはレイヤー7 server Load Balancer (SLB) 、レイヤー4 SLB、またはElastic Compute Service (ECS) インスタンスにデプロイされている必要があります。 または、WAF 2.0インスタンスはHybrid Cloud WAFインスタンスです。
説明webサービスが透過プロキシモードで追加され、オリジンサーバーがApplication Load Balancer (ALB) インスタンスにデプロイされている場合、WAF 2.0インスタンスをWAF 3.0に直接アップグレードすることはできません。 トラフィックリダイレクトを無効にし、ALBインスタンスのアクセス設定を削除する必要があります。 その後、セルフサービスのアップグレードツールを使用して、WAF 2.0インスタンスをアップグレードできます。 詳細については、「透過プロキシモードでドメイン名が追加されたWAF 2.0インスタンスをアップグレードできますか。 」をご参照ください。
webサービスが透過プロキシモードで追加され、オリジンサーバーがレイヤー7 SLB、レイヤー4 SLB、またはECSインスタンスにデプロイされている場合は、CLB(HTTP/HTTPS) 、CLB(TCP) 、WAF 2.0インスタンスをWAF 3.0にアップグレードした後、[クラウドネイティブ] タブでECSを使用してwebサービスをWAFに再追加します。
Alibaba Cloudは、アセットの同期などの操作を毎日00:00から03:00まで実行します。 この期間中は、webサービスが透過プロキシモードで追加されたWAF 2.0インスタンスをアップグレードしないことを推奨します。
WAF 2.0インスタンスは、サブスクリプション課金方法を使用し、次のエディションのいずれかを実行します。オンクラウドWAF Pro、オンクラウドWAF Business、オンクラウドWAF Enterprise。 または、WAF 2.0インスタンスはHybrid Cloud WAF Exclusiveを実行します。
WAF 2.0インスタンスのデータ視覚化機能は無効になっており、WAF 2.0インスタンスのカスタム機能は有効になっていません。
WAF 2.0インスタンスは15日以内に期限切れになりません。
WAF 2.0インスタンスは、AliyunYundunWAFFullAccess権限を持つAlibaba CloudアカウントまたはResource Access Management (RAM) ユーザーに属しています。 Alibaba CloudアカウントまたはRAMユーザーに料金滞納がありません。
アカウントの詳細を表示するには、WAF 2.0コンソールの右上隅にあるプロフィール写真の上にポインターを移動します。
指示
ビジネスへの影響
サービスを中断することなく、WAF 2.0インスタンスをWAF 3.0にアップグレードできます。
アップグレード後、WAF 2.0インスタンスによって提供されるCNAMEと、設定されたback-to-originアドレスは変更されません。 WAF 3.0コンソールの [Webサイト設定] ページの [CNAMEレコード] タブで、ドメイン名、ドメイン名に割り当てられたCNAME、および配信元サーバーのアドレスを表示できます。
アップグレード方法
システムはアップグレードの事前チェックを実行します。 事前チェックに合格した後、次のアップグレード方法のいずれかを選択できます。
ワンクリックで完全アップグレードを実行
アップグレードの開始後、システムは設定がアップグレード要件を満たしているかどうかを確認します。 設定がアップグレード要件を満たしている場合、システムはWAF 3.0インスタンスを作成し、WAF 2.0インスタンスのすべての転送設定と保護設定をアップグレードします。
使用シナリオ: 少数のドメイン名がWAF 2.0インスタンスに追加され、単純な保護ルールが設定されます。 数回クリックするだけで、インスタンスをWAF 3.0にアップグレードします。
手動一括アップグレード
移行ルール
アップグレードが開始されると、選択した保護ルールをアップグレードできるかどうかが確認されます。 保護ルールをアップグレードできる場合、システムはWAF 3.0インスタンスを作成し、保護ルールをWAF 3.0にアップグレードします。 保護ルールの保護パフォーマンスは、アップグレード後も影響を受けません。 指定したドメイン名の転送設定を手動でアップグレードし、保護テンプレートを保護オブジェクトに関連付ける必要があります。
シナリオの使用: 保護ルールを自動的にアップグレードしますが、転送設定を手動でバッチアップグレードし、トラフィック統計を表示する必要があります。
ルールを移行しない
アップグレードの開始後、システムはWAF 3.0インスタンスを作成し、デフォルトの保護ルールを設定しますが、転送設定または保護設定はアップグレードしません。 指定したドメイン名の転送設定を手動でアップグレードし、保護テンプレートを作成し、テンプレートに保護ルールを追加してから、テンプレートを保護オブジェクトに関連付ける必要があります。
使用シナリオ: 多数のドメイン名がWAF 2.0インスタンスに追加されるか、複雑な保護ルールが設定されます。 転送設定と保護設定を手動でバッチアップグレードし、トラフィック統計を表示します。
アップグレード期間
アップグレードプロセスが完了するまでに約15分かかります。 このプロセスは自動アップグレードのみを対象としています。 自動アップグレード中に、WAF 3.0インスタンスが作成され、転送設定と保護設定がアップグレードされます。
手動のバッチアップグレード方法と比較して、ワンクリックアップグレード方法は、システムが複雑な事前チェックを実行するため、完了までにより多くの時間を必要とする。
アップグレード画面
アップグレード期間
アップグレード方法を選択した後、15日間のアップグレードウィンドウ内でアップグレード操作を実行できます。 [アップグレード完了の確認] をクリックすると、アップグレード操作を実行できなくなります。
アップグレードウィンドウの残り時間は、アップグレードツール ページで確認できます。
実行可能な操作
トラフィック統計を表示します。
ドメイン名の一括アップグレードを実行します。
WAF 2.0コンソールとWAF 3.0コンソールを切り替えます。
WAF 3.0コンソールで保護ルールを設定し、新しいWAF 3.0インスタンスがwebサービスを期待どおりに保護するかどうかを確認します。
インスタンスをWAF 2.0にロールバックします。
アップグレードが完了したことを確認するか、アップグレードをキャンセルします。
実行できない操作
WAFコンソールまたは費用コンソールで、WAFインスタンスの更新、アップグレード、ダウングレード、またはサブスクリプション解除を行います。 WAFインスタンスで上記の操作を実行すると、インスタンスがリリースされ、料金が返金されない場合があります。
Webサイトの改ざん防止またはデータ漏洩防止機能を有効または無効にします。
WAF 2.0コンソールのWeb サイトアクセスページまたはWAF 3.0コンソールのアクセス管理ページで転送設定を作成、変更、または削除します。
使用上の注意
アップグレードウィンドウ内に新しいWAF 3.0インスタンスのアラートルールを作成した場合、WAF 2.0コンソールでのみアラートルールがトリガーされたときにアラート通知を受信できます。
アップグレードウィンドウ内で [アップグレード完了の確認] をクリックしない場合、新しいWAF 3.0インスタンスとその設定はWAF 2.0にロールバックされます。 新しいWAFインスタンスがリリースされ、新しい設定が削除されます。
アップグレードが完了したら、WAF 3.0コンソールでのみWAFインスタンスを使用できます。 アップグレード完了の確認 をクリックする前に、アップグレード操作を実行する必要がないことを確認してください。
アップグレード後の変更
エディションと機能
WAF 2.0インスタンスがサブスクリプションの課金方法を使用し、クラウド上のWAF Pro、クラウド上のWAF Business、またはクラウド上のWAF Enterpriseを実行する場合、新しいWAF 3.0インスタンスはそれぞれsubscription Pro Edition、Subscription Enterprise Edition、またはSubscription Ultimate Editionを実行します。 WAF 3.0は、WAF 2.0の機能を強化し、新しい機能を追加します。
WAF 3.0では、サブスクリプションPro Editionインスタンスは、保護ルールエンジンのインテリジェントルールホスティング機能、またはカスタムルールのスライダーCAPTCHA検証機能をサポートしていません。 アップグレード後に上記の機能を使用する場合は、WAF 3.0インスタンスをPro EditionからEnterprise EditionまたはUltimate Editionにアップグレードできます。 詳細については、「WAFインスタンスのアップグレードまたはダウングレード」をご参照ください。
WAF 3.0には、保護テンプレート、カスタムレスポンスルール、メジャーイベント保護、アドバンストアセットセンターの新機能があります。 アップグレードが完了したら、ビジネス要件に基づいて機能を有効にできます。 詳細については、「カスタムブロックページを設定するためのカスタムレスポンスルールの設定」、「メジャーイベント保護」、および「アセットセンター」をご参照ください。
WAF 3.0はHybrid Cloud WAF Exclusiveをサポートしていません。 WAF 2.0インスタンスがHybrid Cloud WAF Exclusiveを実行している場合、アップグレード後にのみWAF 3.0 Subscription Ultimate Editionインスタンスを取得できます。
次の表に、アップグレード前後のWAFインスタンス仕様の変更を示します。
シナリオ
アップグレード前
アップグレード後
シナリオ 1
WAF 2.0インスタンスはHybrid Cloud WAF Exclusiveを実行しており、保護ノードまたはドメイン名の追加クォータを購入していません。 このエディションでは、2つの保護ノードと200ドメイン名のクォータを提供します。
新しいWAF 3.0インスタンスが実行されます。 Ultimate Editionは、1つのデフォルト保護ノード、ハイブリッドクラウドクラスタ用の1つの追加保護ノード、および200ドメイン名のクォータを提供します。
シナリオ 2
WAF 2.0インスタンスはHybrid Cloud WAF Exclusiveを実行し、追加のx保護ノードのクォータを購入しました。 このエディションでは、2つの保護ノードと200ドメイン名のクォータを提供します。
新しいWAF 3.0インスタンスが実行されます。 Ultimate Editionは、1つのデフォルト保護ノード、1つのハイブリッドクラスター用の追加保護ノード、xのハイブリッドクラスター用の追加保護ノード、および200ドメイン名のクォータを提供します。
シナリオ 3
WAF 2.0インスタンスはクラウド上のWAF Enterpriseを実行し、追加のx保護ノードのクォータを購入しました。
新しいWAF 3.0インスタンスはUltimate Editionを実行し、1つのデフォルト保護ノード、xのハイブリッドクラウドクラスター用の追加保護ノード、および200ドメイン名のクォータを提供します。
シナリオ 4
WAF 2.0インスタンスはクラウド上のWAFビジネスを実行し、x保護ノードの追加クォータを購入しました。
新しいWAF 3.0インスタンスは、Enterprise Editionを実行し、1つのデフォルト保護ノード、xのハイブリッドクラウドクラスター用の追加保護ノード、および200ドメイン名のクォータを提供します。
料金
アップグレード操作に対して課金されません。
インスタンスの合計料金は、エディションとWAF 2.0およびWAF 3.0でサポートされている機能の違いにより変更される場合があります。 アップグレード後に初めてインスタンスを更新したときの料金の変更を表示できます。 WAF 3.0料金の詳細については、をご覧ください。WAF 3.0購入ページ
WAF 2.0インスタンスがWAF 3.0にアップグレードされた後、インスタンスを更新する前にWAFインスタンスをサブスクライブまたはダウングレードした場合、払い戻しを申請することはできません。
WAFインスタンスをダウングレードすると、インスタンスの更新時に新しい仕様に基づいてWAFインスタンスに対して課金されます。
サンドボックス、バースト可能なQPS (従量課金) 、およびトラフィック課金保護
サンドボックスは、WAF 3.0の特別なメカニズムです。 WAFインスタンスの1秒あたりのピーククエリ (QPS) が合計QPSクォータを超える場合、WAFインスタンスがサンドボックスに追加される可能性があります。 WAFインスタンスがサンドボックスに追加されると、サービスレベル契約 (SLA) は保証されなくなります。 この場合、WAFインスタンスの保護されたオブジェクトには、パケット損失、レート制限、接続制限、保護失敗、ログデータ例外、レポートデータ例外、アクセスタイムアウト、DDoS攻撃によるトラフィックスクラビング、ブラックホールフィルタリングなどのサービスアクセス例外が発生する可能性があります。 詳細については、「サンドボックスの概要」をご参照ください。
WAFインスタンスのアップグレードウィンドウ内では、システムはWAFインスタンスをサンドボックスに追加しません。
サブスクリプションインスタンス
WAFインスタンスの実際のQPSが、WAFエディションによって提供されるデフォルトのQPSクォータと、購入した追加のQPSクォータを超える場合、WAFインスタンスがサンドボックスに追加される可能性があります。 詳細については、「バースト可能なQPS (従量課金) 」をご参照ください。
アップグレードが完了すると、WAFインスタンスの実際のQPSが、WAFエディションが提供するデフォルトのQPSクォータを超える場合があります。 デフォルトのQPSクォータを超えると、WAFインスタンスがサンドボックスに追加される可能性があります。
WAFインスタンスがサンドボックスに追加されないようにするには、エディションをアップグレードするか、追加のQPSクォータを購入するか、バースト可能なQPS (従量課金) 機能を有効にします。
エディションをアップグレードする方法の詳細については、「WAFインスタンスのアップグレードまたはダウングレード」をご参照ください。
追加のQPSクォータを購入する方法の詳細については、「サブスクリプションWAF 3.0インスタンスの購入」をご参照ください。
バースト可能なQPS (従量課金) 機能を有効にする方法の詳細については、「バースト可能なQPS (従量課金) 」をご参照ください。
従量課金インスタンス
WAFインスタンスのピークQPSが1時間以内にトラフィック課金保護のために指定されたしきい値を超えた場合、WAFインスタンスはサンドボックスに追加されます。 その時間の請求書は生成されません。 これは、過度に高いQPS使用による高コストを防ぐのに役立つ。 詳細については、「トラフィック課金保護」をご参照ください。
アップグレードが完了すると、WAF 3.0インスタンスが作成されます。 デフォルトでは、WAFインスタンスに対してトラフィック課金保護機能が有効になっており、無効にすることはできません。 トラフィック課金保護のしきい値は、従量課金WAFインスタンスでサポートされる最大QPSに設定されます。
中国本土:100,000 QPS
中国本土外:10,000 QPS
最大クォータがビジネス要件を満たせない場合、アカウントマネージャーまたはソリューションアーキテクトにお問い合わせください。
WAFインスタンスのピークQPSが指定されたトラフィック課金保護のしきい値以下の場合、WAFインスタンスは自動的にサンドボックスから削除されます。 サンドボックスからWAFインスタンスを手動で削除する場合は、ビジネス要件に基づいてトラフィック課金保護のしきい値を変更できます。
WAFのシンプルなLog Service
ワンクリックアップグレードが開始すると、新しいWAF 3.0インスタンスのLogstoreが作成されます。 WAF 2.0インスタンスのLogstoreは保持されます。
重要アップグレードが完了すると、新しいWAF 3.0インスタンスのLogstoreのログに必要なフィールドのみが記録されます。 WAF 2.0インスタンスでオプションのフィールドを選択した場合は、WAF 3.0コンソールでフィールドを再選択する必要があります。
アップグレードウィンドウ内で、WAF 2.0コンソールでWAF 2.0インスタンスのLogstoreを表示できます。 アップグレードが完了したら、Simple Log ServiceコンソールでのみWAF 2.0インスタンスのLogstoreを表示できます。 詳細については、「ログの照会と分析」をご参照ください。
WAF 2.0インスタンスのLogstoreでは、指定された保持期間に基づいてログが削除されます。 最も早く保存されたログは、最初に削除されます。 ログを保持する場合は、ログが削除される前にログをバックアップできます。 詳細については、「ダウンロードログ」をご参照ください。
デフォルトでは、新しいWAF 3.0インスタンスのLogstoreの保持期間は180日です。 保存期間は、Simple Log Serviceコンソールで変更できます。
必要な再設定
アップグレードが完了したら、API操作、Terraform、リソースグループ、CloudMonitor通知とアラート、およびSimple Log Service for WAF機能を再設定する必要があります。 また、RAMユーザーにAPI操作の権限を付与し、できるだけ早い機会にWAFインスタンスを更新し、製品コードの変更によるビジネスの変更を完了する必要があります。 詳細については、「What to do next」をご参照ください。
アップグレード処理
透過プロキシモードでWAFサービスインスタンスに追加されたレイヤー7 SLB、レイヤー4 SLB、およびECS関連のドメイン名のトラフィックをアップグレードすると、システムはクラウドネイティブモードでクラウド2.0インスタンスのトラフィックリダイレクトポートをWAF 3.0インスタンスに追加します。 さらに、システムはクラウドサービスインスタンスを保護オブジェクトとして追加します。 ドメイン名を保護オブジェクトとして手動で追加することもできます。
Hybrid Cloud WAFに追加されたドメイン名のトラフィックをアップグレードすると、ハイブリッドクラウドリバースプロキシモードでドメイン名がWAF 3.0インスタンスに追加されます。 さらに、システムはドメイン名を保護オブジェクトとして追加します。
カナリアリリース
手動バッチアップグレード方法の場合、システムはドメイン名レベルでのトラフィックカナリアリリースをサポートします。 システムは最初に部分トラフィックをWAF 3.0にリダイレクトし、次にすべてのトラフィックがWAF 3.0にリダイレクトされるまで、リダイレクトするトラフィックの割合を増やします。 このプロセス中、システムはサービスの信頼性を保証します。 次の図は、トラフィックカナリアリリースの仕組みを示しています。
1% 、5% 、10% 、20% 、30% 、50% 、70% 、90% 、100% のトラフィック比率がサポートされています。 カスタムプロポーションはサポートされていません。 トラフィックの割合を増やすことはできますが、減らすことはできません。
データ漏洩防止機能はカナリアリリースをサポートしていません。 アップグレードの開始後、機能の検出レコードはWAF 3.0に保存されます。
アップグレード手順
1. アップグレードの事前チェックの実行
アップグレード方法を選択する前に、アップグレード方法がサポートされているかどうかを確認する事前チェックが実行されます。 事前チェックが完了したら、[アップグレードツール] ページでチェック時間とチェック結果を表示できます。 必要なアップグレード方法がサポートされていない場合は、提供された理由と提案に基づいてトラブルシューティングを実行できます。 トラブルシューティングが完了したら、[アップグレードツール] ページに戻り、別の事前チェックを実行できます。 必要なアップグレード方法がサポートされている場合は、アップグレードを開始する方法を選択できます。
2. アップグレード方法の選択
WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。
左側のナビゲーションウィンドウの下部で、WAF3.0 アップグレードのエントリー をクリックします。
WAF 2.0インスタンスが、このトピックの「制限」セクションに記載されている要件を満たしている場合は、アップグレードの注意事項 パネルで関連項目を読み、選択し、アップグレードに関する注意事項を理解しました。アップグレードを始めます アップグレードツールページに移動します。
WAF 2.0インスタンスが要件を満たしていない場合、エラーメッセージが表示されます。 エラーメッセージに基づいてエラーを修正できます。 質問がある場合は、テクニカルサポートのためにDingTalkグループ (グループID: 34657699) に参加します。
透過プロキシモードでドメイン名がWAF 2.0インスタンスに追加されている場合は、そのドメイン名を関連するクラウドサービスにバインドします。 ECS、レイヤー4 SLB、またはレイヤー7 SLB関連のドメイン名をそれぞれECS、CLB(TCP) 、またはCLB(HTTP/HTTPS) にバインドできます。
アップグレードツール ページで、ワンクリックで完全アップグレードを実行 、[手動一括移行-ルール移行] 、または [手動一括移行-ルール移行しない] を選択します。 次に、今すぐ開始する をクリックします。
[手動一括移行-移行ルール] を選択した場合、アップグレードする保護ルールを選択する必要があります。 複数のオプションを選択できます。
アップグレードする保護ルールは、アップグレードツール ページでのみ選択できます。 今すぐ開始するをクリックする前に、必要な保護ルールをすべて選択していることを確認してください。
ヒント メッセージで、OK をクリックします。 OK をクリックすると、自動アップグレードが開始され、アップグレードウィンドウも開始されます。 自動アップグレードの完了には約15分かかります。 この期間中は、現在のページを閉じたり更新したりしないでください。
WAF 3.0 バージョンのインスタンスが作成されました メッセージで、[OK] をクリックします。 自動アップグレードが完了すると、メッセージが表示されます。
WAF 3.0コンソールに切り替えて、関連する設定の自動アップグレードが完了したかどうかを確認します。 設定の詳細については、「アップグレードプロセス」をご参照ください。
WAF 2.0コンソールに切り替え、[アップグレードツール] ページでドメイン名のアップグレードステータスを確認します。
ワンクリックでアップグレード
ドメイン名のアップグレードステータスがアップグレードの場合、ドメイン名のすべての設定が自動的にWAF 3.0にアップグレードされます。
説明アップグレードが失敗した場合、WAFインスタンスはWAF 2.0にロールバックされます。 [ロールバック完了] ダイアログボックスで、アップグレードの失敗の原因を確認できます。
手動一括アップグレード
ドメイン名のアップグレードステータスが未アップグレードの場合、ドメイン名の特定の設定は自動的にWAF 3.0にアップグレードされません。 設定を手動でアップグレードする必要があります。
手動アップグレードを実行します。 この手順は、手動一括アップグレード を選択した場合にのみ必要です。 アップグレード中に、ドメイン名に [WAF 3.0へのアップグレード] または [カナリアリリース] を選択できます。 カナリアリリースの進行状況が100% に達すると、WAF 2.0の既存の設定は削除され、アップグレードのステータスはUpgradedになります。 カナリアリリースの詳細については、「カナリアリリース」をご参照ください。
手動一括アップグレード -ルールの移行
ドメイン名の転送設定のアップグレード
ドメイン名の転送設定をアップグレードするには、ドメイン名を見つけて、操作 列の バージョン 3.0 へのアップグレード をクリックします。
複数のドメイン名の転送設定を同時にアップグレードするには、ドメイン名リストでドメイン名を選択し、リストの下にある バージョン 3.0 に一括アップグレードする をクリックします。
アップグレードが成功すると、ドメイン名のアップグレードのステータスがアップグレード済みに変わります。
保護テンプレートを保護オブジェクトに関連付ける
左側のナビゲーションウィンドウで、バージョン 3.0 に切り替える をクリックします。
WAF 3.0コンソールで、アップグレードされた保護テンプレートを保護されたオブジェクトに関連付けます。
左側のナビゲーションウィンドウで、 を選択します。 管理する保護ルールを見つけて、[操作] 列の [編集] をクリックします。 表示されるパネルの [適用] セクションで、保護ルールを関連付ける保護オブジェクトを [選択するオブジェクト] セクションから [選択したオブジェクト] セクションに移動します。
説明BOT 管理 - シナリオ化 を保護されたオブジェクトに関連付ける場合は、左側のナビゲーションウィンドウで を選択します。 次に、管理する保護ルールを見つけてアイコンをクリックし
ます。 表示されるパネルの [有効範囲の設定] ステップで、管理する保護対象オブジェクトを [選択するオブジェクト] セクションから [選択したオブジェクト] セクションに移動します。
手動一括アップグレード -ルールを移行しない
ドメイン名の転送設定のアップグレード
ドメイン名の転送設定をアップグレードするには、ドメイン名を見つけて、操作 列の バージョン 3.0 へのアップグレード をクリックします。
複数のドメイン名の転送設定を同時にアップグレードするには、ドメイン名リストでドメイン名を選択し、リストの下にある バージョン 3.0 に一括アップグレードする をクリックします。
アップグレードが成功すると、ドメイン名のアップグレードのステータスがアップグレード済みに変わります。
保護テンプレートと保護ルールの作成
WAF 3.0コンソールに切り替え、WAF 2.0インスタンスの既存の保護設定に基づいて保護テンプレートと保護ルールを作成します。 詳細については、次をご参照ください: 保護設定を行います。
保護テンプレートを保護オブジェクトに関連付ける
左側のナビゲーションウィンドウで、バージョン 3.0 に切り替える をクリックします。
WAF 3.0コンソールで、作成した保護テンプレートを保護対象オブジェクトに関連付けます。
左側のナビゲーションウィンドウで、 を選択します。 管理する保護ルールを見つけて、[操作] 列の [編集] をクリックします。 表示されるパネルの [適用] セクションで、保護ルールを関連付ける保護オブジェクトを [選択するオブジェクト] セクションから [選択したオブジェクト] セクションに移動します。
説明BOT 管理 - シナリオ化 を保護されたオブジェクトに関連付ける場合は、左側のナビゲーションウィンドウで を選択します。 次に、管理する保護ルールを見つけてアイコンをクリックし
ます。 表示されるパネルの [有効範囲の設定] ステップで、管理する保護対象オブジェクトを [選択するオブジェクト] セクションから [選択したオブジェクト] セクションに移動します。
WAF 3.0コンソールに切り替えて、アップグレードされた設定が有効かどうか、およびビジネスが期待どおりに実行されるかどうかを確認します。
アップグレードされた設定が無効であるか、ビジネスが期待どおりに実行されない場合は、WAFインスタンスとその設定をWAF 2.0にロールバックできます。 関連するドメイン名を見つけて、[操作] 列の [WAF 2.0にロールバック] をクリックします。 複数のドメイン名を選択して、[WAF 2.0へのバッチロールバック] をクリックすることもできます。
ワンクリックアップグレード方法を使用してアップグレードされたドメイン名関連の設定がWAF 2.0にロールバックされた後、[アップグレードツール] ページでドメイン名を確認し、[操作] 列の [WAF 3.0にアップグレード] をクリックして、設定をWAF 3.0に再アップグレードします。 この場合、ドメイン名の転送設定のみがWAF 3.0にアップグレードされます。 アップグレードが完了したら、ドメイン名の保護ルールを設定する必要があります。
アップグレード完了の確認 をクリックします。
WAF 3.0コンソールで新しいWAF 3.0インスタンスを使用します。 アップグレードが完了すると、WAF 2.0インスタンスはリリースされます。
アップグレードウィンドウで [アップグレード完了の確認] をクリックします。 アップグレードウィンドウ内で アップグレード完了の確認 をクリックしない場合、WAFインスタンスとその設定はWAF 2.0にロールバックされます。 新しいWAFインスタンスがリリースされ、新しい設定が削除されます。 アップグレード期間は15日です。 WAF 2.0インスタンスをWAF 3.0に再アップグレードする場合は、アップグレードプロセスを再起動します。
次に何をすべきか
アップグレードが完了したら、次の操作を実行してWAF 3.0を使用する必要があります。
API操作の設定
WAF 3.0は新しいAPI操作を提供します。 API操作を設定する必要があります。 詳細については、「機能別操作一覧」をご参照ください。
RAMユーザーへの権限付与
さまざまなAPI操作に対する権限をRAMユーザーに付与する必要があります。 詳細については、「 RAM での権限付与」をご参照ください。
Terraformを再構成
Terraformを再設定する必要があります。 詳細については、「Terraform Registry (domain) 」および「Terraform Registry (instance) 」をご参照ください。
リソースグループの再構成
リソースグループはアップグレードできません。 リソースグループを再設定する必要があります。 詳細については、「WAFへのドメイン名の追加」をご参照ください。
CloudMonitorの通知とアラートの再構成
セキュリティイベントとサービス指標のモニタリングとアラートを再構成する必要があります。 詳細については、「CloudMonitor 通知の設定」をご参照ください。
ログ設定の再構成
ログ設定を再構成する必要があります。
ログフィールド、ストレージタイプ、および保護されたオブジェクトレベルの設定 (ログ収集ステータス、ログ保持期間、ログストレージ容量など) を設定します。 詳細については、「ログ設定の構成とログストレージ容量の管理」をご参照ください。
Simple Log Service for WAF機能を有効または無効にします。 詳細については、「Log Service For WAF機能の有効化または無効化」をご参照ください。
製品コードの変更による完全なビジネス変更
アップグレードが完了すると、WAFインスタンスの製品コードが変更されます。 この場合、WAFインスタンスでビジネスの変更が必要な場合は、アカウントマネージャーにお問い合わせください。
よくある質問
透過プロキシモードでドメイン名が追加されたWAF 2.0インスタンスをアップグレードできますか。
はい、ドメイン名が追加されたWAF 2.0インスタンスを透過プロキシモードでアップグレードできます。 オリジンサーバーがレイヤー7 SLB、レイヤー4 SLB、またはECSインスタンスにデプロイされており、webサービスが透過プロキシモードでWAF 2.0インスタンスに追加されている場合、セルフサービスアップグレードツールを使用してWAF 2.0インスタンスをWAF 3.0にアップグレードできます。 配信元サーバーがALBインスタンスにデプロイされ、webサービスが透過プロキシモードでWAF 2.0インスタンスに追加されている場合、セルフサービスアップグレードツールを使用してWAF 2.0インスタンスをWAF 3.0にアップグレードすることはできません。 WAF 2.0インスタンスをWAF 3.0にアップグレードする前に、トラフィックリダイレクトを無効にし、アクセス設定を削除する必要があります。 手順:
[Webサイトアクセス] ページの サーバー タブで、必要なポートを見つけ、操作 列の トラフィックリダイレクトの無効化 をクリックします。
ドメイン名 タブで、必要なドメイン名を見つけ、操作 列の 削除 をクリックします。
WAF 2.0インスタンスをアップグレードします。 詳細については、このトピックの「アップグレードプロセス」をご参照ください。
WAF 3.0コンソールで、ALBインスタンスのWAF保護を有効にします。 詳細については、「クラウドネイティブモード」をご参照ください。
WAF 2.0排他インスタンスをWAF 3.0にアップグレードできますか。
はい、アカウントマネージャーに連絡するか、ticket WAF 2.0 ExclusiveインスタンスをWAF 3.0にアップグレードします。
アップグレード操作に対して課金されますか?
いいえ、アップグレード操作に対して課金されません。 サブスクリプションWAFインスタンスを使用している場合、アップグレード後にWAFインスタンスを更新した場合にのみ課金されます。
WAF 2.0 BusinessインスタンスをWAF 3.0 Pro Editionインスタンスにアップグレードできますか。 WAF 2.0 ProインスタンスをWAF 3.0 Enterprise Editionインスタンスにアップグレードできますか。
いいえ、WAF 2.0ビジネスインスタンスをWAF 3.0 Pro Editionインスタンスにアップグレードしたり、WAF 2.0 ProインスタンスをWAF 3.0 Enterprise Editionインスタンスにアップグレードしたりすることはできません。 WAF 2.0 ProインスタンスをWAF 3.0 Pro Editionインスタンスにのみアップグレードできます。 WAF 3.0 Enterprise Editionインスタンスを使用する場合は、新しいWAF 3.0インスタンスのエディションをアップグレードできます。 詳細については、「WAFインスタンスのアップグレードまたはダウングレード」をご参照ください。
アップグレードウィンドウ内でドメイン名をWAF 2.0インスタンスに追加してから、アップグレードを再開できますか。
いいえ。アップグレードウィンドウ内でドメイン名をWAF 2.0インスタンスに追加してから、アップグレードを再開することはできません。 アップグレードウィンドウ内の Web サイトアクセス ページでドメイン名を追加、削除、または変更することはできません。 アップグレードウィンドウ内でドメイン名をWAF 2.0インスタンスに追加する必要がある場合は、アップグレードをキャンセルしてドメイン名を追加する必要があります。 次に、WAF 2.0インスタンスのアップグレードを再起動します。
アップグレードをキャンセルすると、新しいWAF 3.0インスタンスとその設定が削除され、アップグレードプロセスが終了します。
関連ドキュメント
WAF 2.0のエディションと課金の詳細については、「WAFデプロイメントプランとエディション」および「課金ルール」をご参照ください。.
WAF 3.0のエディションと課金の詳細については、「エディション」、「サブスクリプションWAFインスタンスの課金の概要」、「従量課金WAFインスタンスの課金の概要」、「WAFインスタンスのアップグレードまたはダウングレード」、「更新ポリシー」、「払い戻しポリシー」をご参照ください。
WAF 2.0とWAF 3.0の課金、アクセス方法、機能の違いの詳細については、「WAF 3.0とWAF 2.0の比較」をご参照ください。