Web Application Firewall (WAF) の専用クラスターは、WAF共有クラスターによって提供される保護機能をサポートします。 WAF専用クラスターは、ワークロードをより適切に保護するためのカスタム設定もサポートします。 たとえば、専用クラスターは、非標準ポート、サーバー名表示 (SNI) 、カスタムエラーページ、柔軟なHTTPS暗号化設定、および永続的な接続タイムアウトのカスタム設定をサポートします。
ワークロードにこれらの保護設定が必要な場合は、WAF専用クラスターを作成し、ワークロードをクラスターに関連付けて保護することを推奨します。
排他クラスターと共有クラスターの比較
項目 | WAF共有クラスター | WAF専用クラスター |
サポートされるリージョン | 共有クラスターは、中国 (北京) 、中国 (杭州) 、中国 (深セン) 、中国 (香港) 、シンガポール (シンガポール) 、マレーシア (クアラルンプール) 、米国 (バージニア) 、オーストラリア (シドニー) サービス終了、ドイツ (フランクフルト) 、インドネシア (ジャカルタ) 、アラブ首長国連邦 (ドバイ) 、と日本 (東京) 。 ワークロードを共有クラスターに関連付けると、WAFは、オリジンサーバーの場所に最も近いリージョンから保護リソースを自動的に割り当てます。 このリージョンは、配信元サーバーのIPアドレスに基づいて決定されます。 | 排他的クラスタは、プライマリおよびセカンダリクラスタを含む。 プライマリクラスターのリージョンを指定できます。 ただし、セカンダリクラスターのリージョンは指定できません。 重要 プライマリクラスターのリージョンを指定すると、リージョンを変更できなくなります。 ワークロードを排他的クラスターに関連付けた後、WAFは、ワークロードを保護するためにプライマリクラスターが存在するリージョンから保護リソースを割り当てます。 セカンダリクラスタはバックアップとして機能します。 プライマリクラスターでエラーが発生した場合、ワークロードはセカンダリクラスターに切り替えられます。 ワークロードが攻撃を受けている場合、保護を強化するためにセカンダリクラスターが使用されます。 |
サポートされているクラスターポート | ワークロードが非標準ポートを使用している場合、Web サイトを WAF に追加する際にポートを指定する必要があります。 共有クラスターは、特定の非標準ポートをサポートします。 詳細については、「WAFでサポートされているポートの表示」をご参照ください。 | 専用クラスターは、共有クラスターよりも多くの非標準ポートをサポートします。 ただし、排他的クラスタは、22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、および4987のシステムポートをサポートしません。 専用クラスターで非標準ポートを使用する場合は、専用クラスターのポートを有効にし、ワークロードを専用クラスターに関連付けるときに有効なポートを選択する必要があります。 説明 専用クラスターは、最大50個の非標準ポートをサポートします。 デフォルトでは、ポート80と443のみが有効になります。 |
SNI | クライアントがSNIをサポートしていない場合、ワークロードを共有クラスターに関連付けた後、HTTPSリクエストが失敗する可能性があります。 詳細については、「SNI互換性から生じるHTTPSアクセス例外 ("証明書が信頼されていない") 」をご参照ください。 | 専用クラスターを設定すると、デフォルトの証明書をアップロードできます。 このようにして、SNIをサポートしていないクライアントは、通常、排他的クラスターによって保護されているWebサイトにアクセスできます。 |
エラーページ | 共有クラスターを使用する場合、WAFはリクエストをブロックするときにデフォルトのエラーページを返します。 | WAFでカスタムエラーページを返す場合は、排他的クラスターを使用してエラーページをカスタマイズできます。 カスタム静的ページを Alibaba Cloud CDN にアップロードし、WAF でページの URL を指定できます。 これによりユーザーエクスペリエンスが向上します。 |
HTTPS 暗号化設定 | 共有クラスターは、カスタムHTTPS暗号化設定をサポートしていません。 | 排他的クラスターを設定するときに、ビジネス要件に基づいてTLSバージョンと暗号スイートを選択してHTTPS暗号化を有効にすることができます。 |
永続接続タイムアウトの設定 | 共有クラスターは、永続的な接続タイムアウトのカスタム設定をサポートしません。 | 排他的クラスターを設定するときに、ネットワークリソースの使用量を改善するために、永続的な接続の最大期間を指定できます。 |
ワークロードを専用クラスターに関連付ける
前提条件
ExclusiveエディションのWAFインスタンスが購入されるか、WAFインスタンスがExclusiveエディションにアップグレードされます。 詳細については、「サブスクリプションWAFインスタンスの更新とアップグレード」をご参照ください。
手順
次の手順では、ワークロードを排他的クラスターに関連付ける方法について説明します。 以下の手順では、ポート90が使用される。 このポートは、共有クラスターでサポートされている非標準ポートの範囲内ではありません。 WAFを使用してこのポートを介してワークロードを保護する場合は、ワークロードを専用クラスターに関連付ける必要があります。
排他的クラスターを作成します。
WAFコンソールにログインします。
上部のナビゲーションバーで、インスタンスが属するリソースグループと、インスタンスが存在する中国本土または外部中国本土のリージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
[排他的設定] ページで、ワークロードに基づいて排他的クラスターを作成します。
この例では、[HTTP] を選択し、[宛先サーバーポート] セクションに90を入力する必要があります。 詳細については、「排他的クラスターの作成」をご参照ください。
[設定の保存] をクリックします。
WAFは、設定に基づいて専用クラスターを作成します。
HTTPポート90上のワークロードを、作成された排他的クラスターに関連付けます。
WebサイトがWAFに追加されます。
左側のナビゲーションウィンドウで、 を選択します。
専用クラスターに追加するWebサイトのドメイン名を見つけます。 次に、[クイックアクセス] 列の [保護リソース] を [排他的クラスター] に設定します。
説明保護リソースは、WAFインスタンスがExclusiveエディションを実行している場合にのみ表示されます。
オプション: ビジネス要件に基づいてWebサイトの設定を更新します。 たとえば、サーバーポートをHTTPポート90に変更します。 詳細については、「WAFへのドメイン名の追加」をご参照ください。
WebサイトをWAFに追加します。
左側のナビゲーションウィンドウで、 を選択します。
[ドメイン名] タブで、[Webサイトアクセス] をクリックします。
オプション: [ドメイン名の追加] ページで、[アクセスモード] を [CNAMEレコード] に設定します。
CNAME Recordが自動的に選択されている場合は、この手順をスキップします。
[Webサイト情報の入力] ステップで、[保護リソース] を [専用クラスター] に設定し、サーバーポートを入力します。 この例では、宛先サーバーポートにHTTPポート90を追加します。
説明[排他的クラスター] を選択した後、[宛先サーバーポート] の排他的クラスターで有効になっているポートからのみサーバーポートを選択できます。 詳細については、「排他的クラスターの作成」をご参照ください。
設定の詳細については、「WAFへのドメイン名の追加」をご参照ください。
[次へ] をクリックします。 次に、指示に従ってWebサイトのDNSレコードを変更します。 DNSレコードを変更すると、WAFはワークロードを保護できます。
詳細については、「DNSレコードの変更」をご参照ください。
ワークロードの特性が変化し、排他的クラスターが影響を受ける場合は、クラスターとWebサイトの設定を更新します。 詳細については、「ステップ1」および「ステップ2」をご参照ください。