Web Application Firewall (WAF) 2.0インスタンスを使用する場合は、Alibaba Cloudが提供するセルフサービスアップグレードツールを使用して、WAF 2.0コンソールでWAF 2.0インスタンスをWAF 3.0にアップグレードできます。 このトピックでは、アップグレードの制限、手順、および手順について説明します。
セルフサービスのアップグレードツールはカナリアリリース中です。
WAF 2.0コンソールの左側のナビゲーションウィンドウにWAF3.0 アップグレードのエントリーが表示されている場合、セルフサービスのアップグレードツールを使用してWAF 2.0インスタンスをWAF 3.0にアップグレードできます。
WAF 2.0コンソールの左側のナビゲーションウィンドウにWAF3.0 アップグレードのエントリーが表示されておらず、WAF 2.0インスタンスをWAF 3.0にアップグレードする場合は、アップグレードアプリケーションをアカウントマネージャーに送信します。
制限
WAF 3.0にアップグレードするWAF 2.0インスタンスは、次の要件を満たす必要があります。
WAF 2.0インスタンスがHybrid Cloud Exclusive Editionインスタンスであるか、webサービスがCNAMEレコードモードまたは透過プロキシモードでWAF 2.0インスタンスに追加されます。 webサービスが透過プロキシモードでWAF 2.0インスタンスに追加されている場合、オリジンサーバーはレイヤー7クラシックロードバランサー (CLB) 、レイヤー4 CLB、またはElastic Compute Service (ECS) インスタンスにデプロイされている必要があります。
説明配信元サーバーがApplication Load Balancer (ALB) インスタンスにデプロイされている場合、トラフィックリダイレクトを無効にしてALBインスタンスのアクセス設定を削除した後にのみ、セルフサービスアップグレードツールを使用してWAF 2.0インスタンスをWAF 3.0にアップグレードできます。 詳細については、「透過プロキシモードでドメイン名が追加されたWAF 2.0インスタンスをアップグレードできますか」をご参照ください。
Alibaba Cloudは、アセットの同期などの操作を毎日00:00から03:00まで実行します。 この期間中は、ドメイン名が追加されたWAF 2.0インスタンスを透過プロキシモードでアップグレードしないことを推奨します。
WAF 2.0インスタンスのエディションは、Subscription Pro edition、Subscription Business Edition、Subscription Enterprise Edition、またはHybrid Cloud Exclusive Editionです。
WAF 2.0インスタンスのデータ視覚化機能は無効になっており、カスタマイズされた機能はWAF 2.0インスタンスに対して有効になっていません。
WAF 2.0インスタンスは15日以内に期限切れになりません。
WAF 2.0インスタンスは、料金滞納がないAlibaba Cloudアカウントに属しています。
アカウントの詳細を表示するには、WAF 2.0コンソールの右上隅にあるプロファイル画像の上にポインターを移動します。
指示
アップグレード処理
透過プロキシモードでWAF 2.0に追加されたドメイン名をWAF 3.0にアップグレードすると、ドメイン名がホストされているクラウドサービスインスタンスが、クラウドネイティブモードでWAF 3.0に追加されるWAF 3.0のカスタム保護オブジェクトになります。
WAF 2.0 Hybrid Cloud ExclusiveインスタンスをWAF 3.0にアップグレードすると、WAF 2.0インスタンスによって保護されたトラフィック用の保護オブジェクトが自動的に作成され、ハイブリッドクラウドリバースプロキシモードでWAF 3.0に追加されます。
手順
WAF 2.0インスタンスをWAF 3.0にアップグレードする前に、WAF 2.0インスタンスの自動更新を無効にして、自動更新が繰り返されないようにします。
アップグレード期間内にWAF 2.0インスタンスの有効期限が切れた場合、インスタンスの有効期限を防ぐために、1か月間手動でインスタンスを更新することを推奨します。
WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。
左側のナビゲーションウィンドウの下部で、WAF3.0 アップグレードのエントリー をクリックします。
WAF 2.0インスタンスが、このトピックの「制限」セクションに記載されている要件を満たしている場合は、手順を読んで、アップグレードに関する注意事項を理解しました。アップグレードを始めます アップグレードの注意事項 パネルで。
インスタンスがこのトピックの「制限」セクションに記載されている要件を満たしていない場合、エラーメッセージが表示されます。 エラーメッセージに基づいてエラーを修正できます。 質問がある場合は、テクニカルサポートのためにDingTalkグループ (グループID: 34657699) に参加します。
ドメイン名が透過プロキシモードでWAF 2.0に追加されている場合は、ドメイン名を対応するクラウドサービスにバインドします。
アップグレードツール ページで、アップグレード方法を選択します。 ワンクリックで完全アップグレードを実行 、ルールのアップグレード 、または 手動でバッチアップグレードする を選択できます。 次に、今すぐ開始する をクリックします。
重要ルールのアップグレード を選択した場合、アップグレードする1つ以上の保護ルールモジュールを選択できます。
アップグレードする保護ルールは、アップグレードツール ページでのみ選択できます。
ヒント メッセージで、OK をクリックします。
重要OK をクリックすると、アップグレードウィンドウが開始されます。 アップグレードが完了するまでに約15分かかります。 この期間中は、現在のページを閉じたり更新したりしないでください。
では、WAF 3.0 バージョンのインスタンスが作成されました メッセージをクリックし、[OK] をクリックします。
WAF 3.0コンソールに切り替えて、設定項目の自動アップグレードが完了したかどうかを確認します。 自動アップグレードされた設定項目については、「アップグレードプロセス」をご参照ください。
WAF 2.0コンソールに切り替えます。 [アップグレードツール] ページで、ドメイン名のアップグレードステータスを確認します。
ワンクリックアップグレード
すべてのドメイン名のアップグレードステータスがアップグレードの場合、ドメイン名のすべての設定が自動的にWAF 3.0にアップグレードされます。
説明アップグレードが失敗した場合、WAFインスタンスはWAF 2.0にロールバックされます。 [ロールバック完了] ダイアログボックスで、アップグレードの失敗の原因を確認できます。
ルールのアップグレードと手動バッチアップグレード
ドメイン名のアップグレードステータスが未アップグレードの場合、ドメイン名の特定の設定は自動的にWAF 3.0にアップグレードされません。 設定を手動でアップグレードする必要があります。
手動アップグレード設定。 この操作は、ルールのアップグレード または 手動でバッチアップグレードする を選択した場合にのみ必要です。
ルールのアップグレード
ドメイン名の転送設定のアップグレード
ドメイン名の転送設定をアップグレードするには、ドメイン名を見つけて、操作 列の バージョン 3.0 へのアップグレード をクリックします。
複数のドメイン名の転送設定を同時にアップグレードするには、ドメイン名リストでドメイン名を選択し、リストの下にある バージョン 3.0 に一括アップグレードする をクリックします。
アップグレードが成功すると、ドメイン名のアップグレードステータスはアップグレード済みに変更されます。
保護テンプレートを保護オブジェクトに関連付ける
左側のナビゲーションウィンドウで、バージョン 3.0 に切り替える をクリックします。
WAF 3.0コンソールで、アップグレードされた保護テンプレートを保護されたオブジェクトに関連付けます。
左側のナビゲーションウィンドウで、 を選択します。 特定の保護対象オブジェクトに関連付ける保護ルールを見つけて、[操作] 列の [編集] をクリックします。 [適用] セクションで、保護ルールを関連付ける保護オブジェクトを [選択するオブジェクト] セクションから [選択したオブジェクト] セクションに移動します。
説明ボット管理ルールを保護されたオブジェクトに関連付ける場合は、左側のナビゲーションウィンドウで 特定の保護対象オブジェクトに関連付けるボット管理ルールを見つけて、アイコンをクリックし
を選択します。ます。 [有効範囲の設定] ステップで、保護ルールを関連付ける保護対象オブジェクトを [選択するオブジェクト] セクションから [選択したオブジェクト] セクションに移動します。
手動バッチアップグレード
ドメイン名の転送設定のアップグレード
ドメイン名の転送設定をアップグレードするには、ドメイン名を見つけて、操作 列の バージョン 3.0 へのアップグレード をクリックします。
複数のドメイン名の転送設定を同時にアップグレードするには、ドメイン名リストでドメイン名を選択し、リストの下にある バージョン 3.0 に一括アップグレードする をクリックします。
アップグレードが成功すると、ドメイン名のアップグレードステータスはアップグレード済みに変更されます。
保護テンプレートと保護ルールの作成
WAF 3.0コンソールに切り替えて、保護テンプレートと保護ルールを作成します。 詳細については、「保護設定」をご参照ください。
保護テンプレートを保護オブジェクトに関連付ける
左側のナビゲーションウィンドウで、バージョン 3.0 に切り替える をクリックします。
WAF 3.0コンソールで、アップグレードされた保護テンプレートを保護されたオブジェクトに関連付けます。
左側のナビゲーションウィンドウで、 を選択します。 特定の保護対象オブジェクトに関連付ける保護ルールを見つけて、[操作] 列の [編集] をクリックします。 [適用] セクションで、保護ルールを関連付ける保護オブジェクトを [選択するオブジェクト] セクションから [選択したオブジェクト] セクションに移動します。
説明ボット管理ルールを保護されたオブジェクトに関連付ける場合は、左側のナビゲーションウィンドウで 特定の保護対象オブジェクトに関連付けるボット管理ルールを見つけて、アイコンをクリックし
を選択します。ます。 [有効範囲の設定] ステップで、保護ルールを関連付ける保護対象オブジェクトを [選択するオブジェクト] セクションから [選択したオブジェクト] セクションに移動します。
WAF 3.0コンソールに切り替えて、アップグレードされた設定が有効かどうか、およびビジネスが期待どおりに実行されるかどうかを確認します。
アップグレードされた設定が無効であるか、ビジネスが期待どおりに実行されない場合は、アップグレードされたドメイン名を見つけ、[操作] 列の [WAF 2.0にロールバック] をクリックして、ドメイン名と対応する設定をロールバックします。 複数のドメイン名を選択し、[WAF 2.0に一括ロールバック] をクリックして、ドメイン名と設定を同時にWAF 2.0にロールバックすることもできます。
説明ワンクリックアップグレード方法を使用してアップグレードされたドメイン名の設定がWAF 2.0にロールバックされた後、[アップグレードツール] ページの [操作] 列の [WAF 3.0へのアップグレード] をクリックして、設定をWAF 3.0に再アップグレードできます。 ドメイン名の転送設定のみがWAF 3.0にアップグレードされます。 アップグレードが完了したら、ドメイン名の保護ルールを設定します。
アップグレード完了の確認 をクリックします。
アップグレードが完了すると、WAF 2.0インスタンスがリリースされ、WAF 3.0コンソールで新しいWAF 3.0インスタンスを使用できます。
重要アップグレードウィンドウで [アップグレード完了の確認] をクリックします。 アップグレードウィンドウの期間内に アップグレード完了の確認 をクリックしない場合、アップグレードされたドメイン名と設定はWAF 2.0にロールバックされます。 WAF 2.0インスタンスをWAF 3.0に再アップグレードすると、アップグレードプロセスが再起動します。
次に何をすべきか
アップグレードが完了したら、WAF 3.0を使用する前に、次の操作を実行する必要があります。
API操作の設定
WAF 3.0は新しいAPI操作を提供します。 API操作を設定する必要があります。 詳細については、「機能別操作一覧」をご参照ください。
RAMユーザーへの権限付与
さまざまなAPI操作に対してRAMユーザーに権限を付与する必要があります。 詳細については、「 RAM での権限付与」をご参照ください。
Terraformを再構成
Terraformを再設定する必要があります。 詳細については、「Terraform Registry (domain) 」および「Terraform Registry (instance) 」をご参照ください。
リソースグループの再構成
リソースグループはアップグレードできません。 リソースグループを再設定する必要があります。 詳細については、「WAFへのドメイン名の追加」をご参照ください。
CloudMonitorを使用したモニタリングとアラートの再設定
セキュリティイベントとサービス指標のモニタリングとアラートを再構成する必要があります。 詳細については、「CloudMonitor 通知の設定」をご参照ください。
ログ設定の再構成
ログ設定を再構成するには、次の操作を実行します。
ログフィールドとログストレージタイプ、ログ収集ステータス、ログ保存期間、およびログストレージ容量を設定します。 詳細については、「ログ設定の構成とログストレージ容量の管理」をご参照ください。
Simple Log Service for WAF機能を有効または無効にします。 詳細については、「Log Service For WAF機能の有効化または無効化」をご参照ください。
製品コードの変更による操作
アップグレードが完了すると、WAFインスタンスの製品コードが変更されます。 上記の変更に関連する質問がある場合は、アカウントマネージャーに連絡してください。
FAQ
透過プロキシモードでドメイン名が追加されたWAF 2.0インスタンスをアップグレードできますか。
はい、ドメイン名が追加されたWAF 2.0インスタンスを透過プロキシモードでアップグレードできます。 配信元サーバーがレイヤー7 CLB、レイヤー4 CLB、またはECSインスタンスにデプロイされ、インスタンスが透過プロキシモードでWAF 2.0に追加されている場合、セルフサービスのアップグレードツールを使用してWAF 2.0インスタンスをWAF 3.0にアップグレードできます。 オリジンサーバーがALBインスタンスにデプロイされ、インスタンスが透過プロキシモードでWAF 2.0に追加されている場合、トラフィックリダイレクトを無効にしてALBインスタンスのアクセス設定を削除した後にのみ、セルフサービスのアップグレードツールを使用してWAF 2.0インスタンスをWAF 3.0にアップグレードできます。 トラフィックのリダイレクトを無効にし、アクセス設定を削除した後にのみ、WAF 2.0インスタンスをWAF 3.0にアップグレードできます。 トラフィックのリダイレクトを無効にしてアクセス設定を削除するには、次の手順を実行します。
[Webサイトアクセス] ページの サーバー タブで、透過プロキシモードでWAF 2.0に追加されているポートを見つけ、操作 列の トラフィックリダイレクトの無効化 をクリックします。
ドメイン名 タブでドメイン名を見つけ、操作 列の 削除 をクリックします。
WAF 2.0インスタンスをアップグレードします。 詳細については、このトピックの「アップグレードプロセス」をご参照ください。
アップグレードしたインスタンスをWAF 3.0に追加します。 詳細については、「クラウドネイティブモード」をご参照ください。
WAF 2.0 Exclusive EditionインスタンスをWAF 3.0にアップグレードできますか。
いいえ、WAF 2.0 Exclusive EditionインスタンスをWAF 3.0にアップグレードすることはできません。 WAF 3.0はExclusive Editionをサポートしていません。
アップグレード操作に対して課金されますか?
いいえ、アップグレード操作に対して課金されません。 サブスクリプションWAFインスタンスを使用している場合、WAFインスタンスを更新した場合にのみ課金されます。
WAF 2.0 Business EditionインスタンスをWAF 3.0 Pro Editionインスタンスにアップグレードできますか。
いいえ。WAF 2.0 Business EditionインスタンスをWAF 3.0 Pro Editionインスタンスにアップグレードすることはできません。
WAF 2.0 Pro EditionインスタンスをWAF 3.0 Enterprise Editionインスタンスにアップグレードできますか。
いいえ。WAF 2.0 Pro EditionインスタンスをWAF 3.0 Enterprise Editionインスタンスにアップグレードすることはできません。 ただし、WAF 2.0 Pro EditionインスタンスをWAF 3.0 Pro Editionインスタンスにアップグレードできます。 WAF 3.0 Enterprise Editionインスタンスを使用する場合は、新しいWAF 3.0インスタンスのエディションをアップグレードできます。 詳細については、「WAFインスタンスのアップグレードまたはダウングレード」をご参照ください。
アップグレード期間内にドメイン名をWAF 2.0インスタンスに追加してから、アップグレードタスクを再開できますか。
いいえ。アップグレードウィンドウ内でドメイン名をWAF 2.0インスタンスに追加してから、アップグレードタスクを再開することはできません。 アップグレードウィンドウ内の Web サイトアクセス ページでドメイン名を追加、削除、または変更することはできません。 アップグレード中のWAF 2.0インスタンスにドメイン名を追加する前に、アップグレードタスクをキャンセルする必要があります。 次に、WAF 2.0インスタンスのアップグレードタスクを再起動する必要があります。
アップグレードタスクをキャンセルすると、新しいWAF 3.0インスタンスと対応する設定が削除され、アップグレードプロセスが終了します。