如何部署混合云WAF防护集群 - Web 应用防火墙

购买混合云WAF实例后，您可以自定义部署混合云WAF防护集群（以下简称混合云集群）。只有成功部署混合云集群后，您才可以将网站业务接入混合云WAF进行防护。本文介绍了部署混合云集群的操作方法。

前提条件

已经在阿里云Web应用防火墙购买页，购买了混合云WAF实例。
已经准备好部署混合云集群所需要的资源。具体包括：
- 已安装了vagent的服务器
  混合云集群使用您的本地服务器作为集群节点。您必须先在规划作为集群节点的本地服务器上安装WAF客户端vagent，才能将该服务器添加为集群节点。相关操作，请参见步骤一：安装WAF客户端。
- 负载均衡设备
  混合云集群由管控、存储、防护组件组成。为了保证集群的高稳定性，不同组件建议分开部署。一个组件下包含多个节点时，建议您在节点前部署负载均衡设备。
关于所需准备的资源数量的建议，请参见准备集群资源。

准备集群资源

您可以根据防护场景，选择对应的集群部署方案，不同方案所需要的集群资源数量不同。

防护场景	部署方案	所需资源	部署说明
安全性、高稳定性业务上线防护，追求业务和防护能力的高稳定性	防护能力和管控能力都容灾部署	1万QPS以内的HTTP业务防护量或4000 QPS以内的HTTPS业务防护量（默认）：推荐5台服务器+2个负载均衡设备超过默认防护量：按需扩容防护节点（一个防护节点支持处理5000 QPS的HTTP业务或2000 QPS的HTTPS业务）	存储组件：1台服务器管控组件：2台（及以上）服务器+1个负载均衡设备防护组件：2台（及以上）服务器+1个负载均衡设备
高稳定性业务上线防护，追求业务高稳定性	防护能力容灾部署	1万QPS以内的HTTP业务防护量或4000 QPS以内的HTTPS业务防护量（默认）：推荐3台服务器+1个负载均衡设备超过默认防护量：按需扩容防护节点（一个防护节点支持处理5000 QPS的HTTP业务或2000 QPS的HTTPS业务）	管控和存储组件：1台服务器防护组件：2台（及以上）服务器+1个负载均衡设备
基本防护能力PoC测试	最小化集群部署	1万QPS以内的HTTP业务防护量或4000 QPS以内的HTTPS业务防护量（默认）：至少2台服务器超过默认防护量：按需扩容防护节点（一个防护节点支持处理5000 QPS的HTTP业务或2000 QPS的HTTPS业务）	管控和存储组件：1台服务器防护组件：1台（及以上）服务器

操作步骤

登录Web应用防火墙控制台。
在左侧导航栏，选择系统管理 > 混合云设置。
单击添加集群。

根据添加集群配置向导，完成基本信息配置。

您需要设置下表描述的集群基本信息，然后单击下一步。基本信息配置

参数	说明
集群名称	为混合云集群设置一个名称。
防护节点数	选择混合云集群包含的防护节点的数量。说明您在所有自定义的混合云WAF集群中添加的节点个数，不能超过您购买的混合云WAF实例中的节点数规格。每个防护节点对应一台服务器，可用于防护不超过5000 QPS的HTTP业务流量，或者不超过2000 QPS的HTTPS业务流量。您可以根据集群要防护的网站业务的QPS来选择集群节点数。
服务端口设置	设置混合云集群使用的防护端口。集群防护端口必须包含所有要防护的网站业务所使用的协议端口。后续接入网站业务到混合云集群进行防护时，您只能从集群防护端口中选择网站业务的协议端口。设置说明：默认开启了80、8080、443、8443端口。如果没有特殊需求，无需修改。如果需要开启其他端口，可以手动输入。每输入一个端口，需要按回车后才会保存。防护端口仅不支持22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987这些特定的系统端口。警告建议您只设置必须用到的防护端口，不要添加与业务无关的端口，避免引入安全风险。
集群接入模式	设置混合云集群的网络接入模式。可选值：公网接入：表示混合云集群通过公网连接云WAF控制台。专线私网接入：表示混合云集群通过专线连接云WAF私网控制台。重要只有当您已经搭建了高速通道，才支持使用该模式。
备注	为混合云集群添加备注说明。

根据添加集群配置向导，完成节点组配置。

您必须先在集群下添加多个节点组，然后可以在节点组中添加节点。

添加节点组说明：

每个节点组需要使用一台负载均衡服务器，确保业务的负载均衡和容灾能力。
说明
如果您没有负载均衡设备，可以联系WAF技术支持人员获取帮助。
节点组类型包括存储（对应存储组件，一个集群中仅支持添加1个）、管控（对应管控组件，一个集群中可以添加多个，进行容灾）、防护（对应防护组件，一个集群中可以添加多个，进行容灾）、管控和存储（对应管控和存储组件，一个集群中仅支持添加1个）。
您必须按照以下顺序依次添加对应的节点组：
- 方式一（至少添加3个节点组）：先添加1个存储节点组，然后添加至少1个管控节点组，最后添加至少1个防护节点组。
- 方式二（至少添加2个节点组）：先添加1个管控和存储节点组，然后添加至少1个防护节点组。

参照以下步骤，添加一个节点组：

单击添加节点组。

在添加节点组对话框，完成节点组参数配置。

具体参数说明如下表所示。

参数	说明
节点组名称	为节点组设置一个名称。
负载均衡（服务器）IP	设置与该节点组绑定的负载均衡服务器的公网IP地址。
节点组类型	选择该节点组的类型。可选项：防护、存储、管控、管控和存储。
所在地区	当节点组类型为防护时，需要选择节点组所在地区。其他类型的节点组，无需设置该参数。
备注	为节点组添加备注说明。

单击保存。

根据添加集群配置向导，完成节点初始化配置。

您需要在混合云集群中添加本地服务器作为集群节点。在添加本地节点前，您必须在本地服务器上安装WAF客户端vagent。相关操作，请参见步骤一：安装WAF客户端。

添加节点说明：

您在当前集群中添加的节点个数不能超过该集群的防护节点数规格。
建议您在防护节点组下添加至少2个节点，保证在线双活容灾。

参照以下步骤，在集群中添加一个节点：

单击添加节点。

在添加节点对话框，完成节点参数配置。

具体参数说明如下表所示。

参数	说明
服务器IP地址	设置本地服务器的公网IP地址。
节点名称	为节点设置一个名称。
所在地区	选择节点所在地域信息。
服务器配置	默认显示该服务器的配置信息。
防护节点组	选择要加入的防护节点组。

单击保存。

完成添加集群配置向导后，集群将会自动创建，请您耐心等待数分钟。
成功创建集群后，您可以在页面上方查看集群的基本信息。
如果您创建了多个混合云集群，则可以单击切换集群，选择要查询的集群信息。
检查节点运行状态。
集群创建成功后，您可以在集群节点详情区域，查看节点和应用的状态。
- 节点状态表示服务器是否正常运行。正常状态表示正在运行，已停止状态表示服务器已关机。
  如果服务器已关机，则该节点将无法提供WAF防护服务，请您及时检查服务器关机原因，尽快修复异常。
- 应用状态表示节点上的WAF客户端应用程序（vagent）是否正常运行。正常状态表示运行正常，已停止状态表示vagent已停止运行。
  如果vagent已停止运行，则该节点可能无法正常提供WAF防护服务，建议您登录本地服务器，检查vagent的安装和运行状态，尽快修复异常。相关操作，请参见步骤一：安装WAF客户端。

后续步骤

成功部署混合云WAF集群后，您就可以在网站接入页面，将要防护的网站业务接入到混合云WAF进行防护。

在填写网站信息时，您需要将防护资源设置为混合云集群，并设置要使用的防护节点组名称，其余设置与接入公共集群WAF进行防护相同。具体操作，请参见网站接入。添加域名