透明接入常見(jiàn)問(wèn)題
本文列舉了透明接入過(guò)程中,可能遇見(jiàn)的常見(jiàn)問(wèn)題。
同一個(gè)域名是否支持使用透明接入和CNAME接入兩種模式?
不支持。每個(gè)域名只能使用透明接入或CNAME接入兩種模式之一。如果您已通過(guò)CNAME接入開(kāi)啟Web應(yīng)用防火墻(Web Application Firewall,簡(jiǎn)稱(chēng)WAF)防護(hù)的域名,需要切換為透明接入,您必須先刪除該域名的CNAME接入配置,然后在透明接入模式下重新接入該域名。
實(shí)例首次接入WAF時(shí),Web業(yè)務(wù)可能會(huì)出現(xiàn)秒級(jí)閃斷。在客戶端可自動(dòng)重連的情況下該閃斷會(huì)自動(dòng)恢復(fù),不會(huì)對(duì)您的業(yè)務(wù)造成影響,請(qǐng)您關(guān)注業(yè)務(wù)并根據(jù)業(yè)務(wù)系統(tǒng)評(píng)估準(zhǔn)備重連或回源等相關(guān)容災(zāi)機(jī)制。
已透明接入的域名如果無(wú)需WAF轉(zhuǎn)發(fā)流量和提供防護(hù),該如何處理?
如果您確認(rèn)該域名無(wú)需WAF繼續(xù)提供防護(hù),您可以在網(wǎng)站接入頁(yè)面的服務(wù)器列表中,定位該域名所在的源站IP,為對(duì)應(yīng)端口關(guān)閉引流。具體操作,請(qǐng)參見(jiàn)修改端口引流狀態(tài)。操作完成后,該域名的訪問(wèn)流量將切回到域名所在的源站服務(wù)器,不再通過(guò)WAF轉(zhuǎn)發(fā)。
透明接入后,源站可以獲取客戶端的真實(shí)IP嗎?
可以。WAF會(huì)向域名所在的服務(wù)器直接提供真實(shí)的客戶端IP,而不再將WAF的回源IP地址返回給源站服務(wù)器。
端口綁定的證書(shū)更新后,是否需要將證書(shū)重新上傳到WAF透明接入模塊中?
不同類(lèi)型的源站實(shí)例所需操作不同,具體說(shuō)明如下:
源站實(shí)例為ALB類(lèi)型、七層SLB類(lèi)型:不需要在WAF透明接入模塊重新上傳證書(shū)。您只需在負(fù)載均衡實(shí)例中更新證書(shū),WAF透明接入模塊會(huì)自動(dòng)同步最新的證書(shū)。
重要如果對(duì)應(yīng)的負(fù)載均衡實(shí)例關(guān)聯(lián)有過(guò)期證書(shū),則WAF側(cè)無(wú)法同步最新證書(shū),需要將過(guò)期證書(shū)刪除后再同步最新證書(shū)。
源站實(shí)例為四層SLB類(lèi)型、ECS類(lèi)型:需要在WAF透明接入模塊重新上傳證書(shū)。
同一個(gè)域名如果配置到了多個(gè)SLB實(shí)例上,我需要如何完成透明接入?
這種情況下,您需要在對(duì)該域名進(jìn)行透明接入配置時(shí),同時(shí)添加這幾個(gè)SLB實(shí)例的HTTP/HTTPS服務(wù)端口,實(shí)現(xiàn)WAF對(duì)這幾個(gè)實(shí)例同時(shí)引流。
如果配置透明接入時(shí),您僅添加了其中一個(gè)SLB實(shí)例的HTTP/HTTPS服務(wù)端口,WAF將僅轉(zhuǎn)發(fā)來(lái)自該端口的訪問(wèn)流量并對(duì)其進(jìn)行防護(hù)。來(lái)自其他SLB實(shí)例的流量將不會(huì)通過(guò)WAF轉(zhuǎn)發(fā)和受到WAF的防護(hù)。
一個(gè)SLB實(shí)例配置了多個(gè)域名,如果我只對(duì)其中一個(gè)域名完成了透明接入,會(huì)有什么影響?
這種情況下,該SLB實(shí)例上其他域名也受到WAF默認(rèn)防護(hù)策略(包括規(guī)則防護(hù)引擎、CC安全防護(hù))的防護(hù)。WAF如果檢測(cè)到這些域名有攻擊流量,也會(huì)對(duì)攻擊流量進(jìn)行攔截。
透明接入模式下,接入WAF防護(hù)的流量只與服務(wù)器(ECS、SLB、ALB實(shí)例)的引流端口配置有關(guān)。如果您的SLB實(shí)例上配置了多個(gè)域名,且這些域名都是通過(guò)同一個(gè)端口(假設(shè)為HTTPS的443端口)提供服務(wù),則您為其中一個(gè)域名開(kāi)啟透明接入時(shí),需要將SLB實(shí)例的443端口配置為引流端口,該操作會(huì)使443端口上所有流量(包含其他域名的流量)都接入到WAF進(jìn)行防護(hù)。更多信息,請(qǐng)參見(jiàn)透明接入。
透明接入時(shí)為什么看不到我需要接入的七層SLB實(shí)例?
透明接入存在一定的限制條件。具體內(nèi)容,請(qǐng)參見(jiàn)透明接入。
使用透明接入模式將SLB接入到WAF時(shí),如果您在添加域名頁(yè)面的七層SLB類(lèi)型列表中,無(wú)法看到您需要接入的SLB公網(wǎng)實(shí)例或者無(wú)法成功接入WAF,可能原因有以下幾點(diǎn):
原因 | 說(shuō)明 | 解決方法 |
公網(wǎng)SLB實(shí)例所在的地域不在透明接入支持的范圍內(nèi)。 | 目前,僅支持位于如下地域的公網(wǎng)SLB實(shí)例和ECS實(shí)例:西南1(成都)、華北2(北京)、華北3(張家口)、華東1(杭州)、華東2(上海)、華南1(深圳)、中國(guó)(香港)、馬來(lái)西亞(吉隆坡)、印度尼西亞(雅加達(dá))地域的公網(wǎng)SLB實(shí)例使用透明接入模式。 |
|
公網(wǎng)SLB實(shí)例綁定的公網(wǎng)IP是IPv6版本。 | 透明接入不支持IPv6版本的公網(wǎng)SLB實(shí)例。 | 使用IPv4版本的公網(wǎng)SLB實(shí)例接入WAF。 |
公網(wǎng)SLB實(shí)例中未配置監(jiān)聽(tīng)協(xié)議。 | 未添加監(jiān)聽(tīng)端口的SLB實(shí)例將無(wú)法使用透明接入。 | 在SLB實(shí)例控制臺(tái)為SLB實(shí)例添加監(jiān)聽(tīng)端口。 |
原有的公網(wǎng)SLB實(shí)例位于歷史網(wǎng)絡(luò)架構(gòu)中的經(jīng)典網(wǎng)絡(luò)。 | 目前,僅支持已完成公網(wǎng)上移網(wǎng)絡(luò)改造的SLB接入WAF。如果您的SLB滿足其他條件但未出現(xiàn)透明接入列表中,可能是由于您當(dāng)前的SLB未完成公網(wǎng)上移改造。 | 使用私網(wǎng)SLB+EIP的網(wǎng)絡(luò)結(jié)構(gòu)的SLB實(shí)例或新購(gòu)公網(wǎng)SLB實(shí)例(新購(gòu)買(mǎi)的公網(wǎng)SLB實(shí)例不存在歷史網(wǎng)絡(luò)架構(gòu)中的問(wèn)題)接入WAF。 |
透明接入時(shí),需要配置的公網(wǎng)SLB實(shí)例(七層)端口使用的證書(shū)未上傳到阿里云數(shù)字證書(shū)管理服務(wù)控制臺(tái)進(jìn)行統(tǒng)一管理。 | 公網(wǎng)SLB實(shí)例(七層)接入WAF時(shí),需要配置的端口如果為HTTPS協(xié)議,但是該端口使用的證書(shū)未上傳到阿里云SSL證書(shū)服務(wù)中,會(huì)導(dǎo)致SLB無(wú)法將該證書(shū)自動(dòng)同步到WAF中,您將無(wú)法完成網(wǎng)站接入。 | 將該公網(wǎng)SLB實(shí)例(七層)HTTPS端口使用的證書(shū)上傳到數(shù)字證書(shū)管理服務(wù)控制臺(tái)。 |
透明接入時(shí),需要配置的公網(wǎng)SLB實(shí)例端口開(kāi)啟了雙向認(rèn)證。 | 如果當(dāng)前HTTPS協(xié)議在公網(wǎng)SLB中采用了雙向認(rèn)證,則暫時(shí)不支持透明接入。 | 需要在SLB控制臺(tái)取消雙向認(rèn)證選項(xiàng)后,重新在Web應(yīng)用防火墻控制臺(tái)執(zhí)行透明接入。 |
需要執(zhí)行透明接入的公網(wǎng)SLB是新購(gòu)的SLB實(shí)例。 | 新購(gòu)買(mǎi)的SLB實(shí)例存在有一定的數(shù)據(jù)延遲,您可能在透明接入頁(yè)面暫時(shí)無(wú)法看到新購(gòu)買(mǎi)的SLB實(shí)例。 | 完成SLB購(gòu)買(mǎi)后,建議您等待1~3分鐘,再刷新Web應(yīng)用防火墻控制臺(tái)后執(zhí)行透明接入。 |
透明接入時(shí),需要配置的公網(wǎng)SLB實(shí)例端口不在當(dāng)前WAF版本支持的范圍內(nèi)。 | WAF包年包月服務(wù)的高級(jí)版、企業(yè)版、旗艦版支持透明接入模式。如果需要配置的公網(wǎng)SLB實(shí)例端口不在當(dāng)前WAF版本支持的范圍內(nèi),您在添加域名頁(yè)面的七層SLB類(lèi)型列表中,添加該端口時(shí)將無(wú)法保存,從而導(dǎo)致無(wú)法將該公網(wǎng)SLB實(shí)例成功接入WAF。 | 使用當(dāng)前WAF版本支持的端口。 說(shuō)明 透明接入模式下,不同版本支持接入的端口不同。旗艦版支持任意非標(biāo)端口接入;關(guān)于其他版本支持的端口范圍,可以在七層SLB類(lèi)型右上角單擊查看可選范圍獲取。 |
已接入透明WAF的ECS實(shí)例,進(jìn)行了可用區(qū)變更。 | 在ECS創(chuàng)建了遷移任務(wù),變更了可用區(qū),導(dǎo)致透明引流失效。 | 在 Web 應(yīng)用程序防火墻控制臺(tái)中重新開(kāi)啟引流。更多詳情,請(qǐng)參見(jiàn)步驟二:查看和管理引流端口。 |
我使用的是私網(wǎng)SLB+EIP,是否支持透明接入?
支持。