Работа фильтрующей ноды в режиме мониторинга

A

Alex000

Member
Прошу описать работу WAF в режиме мониторинга (настройки nginx), когда сайт расположен на одной машине (192.168.0.10), а все компоненты WAF (фильтрующая нода, api, личный кабинет, БД, AI и сканер) на другой машине (192.168.0.20).
В предоставленной инструкции (https://nemesida-waf.ru/manuals/9306#passive-mode) в пункте "Работа фильтрующей ноды в режиме мониторинга" описаны не все параметры, наличие некоторых параметров вызывает вопросы (server 127.0.0.1:88 backup; - почему порт 88 и что за сервер "backup"). При написании инструкции прошу детельно описать ip-адреса и номера портов, а также где эти параметры встречаются при установке компонентов WAF.

Наличие такой инструкции снизит число вопросов как в техническую поддержку, так и на этом форуме, а также поможет принять решение внедрения вашего продукта в экосистему предприятия.
 
Добрый день!

1. Мы не рекомендуем устанавливать на одном сервере все компоненты Немезида ВАФ, так как это неизбежно приведет к проблемам в будущем. Например, если компоненты используют общие аппаратыне ресурсы сервера, то повышение нагрузки на один компонент и, следовательно, повышенное потребление аппаратных ресурсов всего сервера приведет к сбоям в работе всех компонентов из-за нехватки аппаратных ресурсов.
2. Благодарим за обратную связь, мы доработаем инструкцию и более подробно расскажем о настройке дублирования трафика. В инструкции представлен один из вариантов настройки зеркалирования трафика, но вы можете организовать дублирование трафика, используя любой другой доступный способ.
Опция server 127.0.0.1:88 backup относится к секции настройки апстримов (апстримы используются для балансировки нагрузки, то есть, распределения трафика между несколькими серверами). Значение backup рядом с IP-адресом сервера означает, что данный адрес является резервным для запросов, и запросы будут на него отправлены только в том случае, если все остальные серверы недоступны.

В представленном примере:

Bash: 
upstream mirror_upstream {
        server nemesida_waf_server:port;
        server 127.0.0.1:88 backup;
}

При проксировании трафика на mirror_upstream запросы будут всегда отправляться на сервер nemesida_waf_server (так как это основной сервер). В случае, если по каким-то причинам сервер nemesida_waf_server недоступен, то запросы будут отправляться на резервный сервер 127.0.0.1:88, чтобы не создавать очереди запросов, пока не будет восстановлена работоспособность сервера nemesida_waf_server. При этом обратите внимание, что в секции server заданы настройки для сервера 127.0.0.1:88, где строка return 200 "Response code: 200" будет возвращать код ответа 200 при обработке запроса. Таким образом, запросы будут обработаны и не будут возвращать клиенту код ошибки из-за превышения времени ответа основного сервера.

Bash: 
server {
        listen  127.0.0.1:88 default_server;
        return 200 "Response code: 200";
        add_header Content-Type text/plain;
        access_log off;
}
Более подробная информация по возможностям настройки дублирования трафика представлена в официальной документации веб-сервера
 
You must log in or register to reply here.
Back
Top