目錄

AWS背景

• CloudFormation模板

• CloudWatch

• Auto Scaling

梭子魚Web應(yīng)用防火墻

• Auto Scaling

• Bootstrapping

• 梭子魚CloudFormation模板(CFT)流程圖

梭子魚 Web應(yīng)用防火墻(WAF)目前可以使用CloudFormation模板在AWS上進(jìn)行自動部署。此外，梭子魚WAF還集成了AWS CloudWatch和AWS移動消息推送服務(wù)(SNS)用于執(zhí)行自動動態(tài)擴(kuò)展。同時為確保安全部署，梭子魚WAF還將集成了AWS IAM和STS服務(wù)。

梭子魚WAF提供針對自動攻擊和目標(biāo)攻擊的安全防護(hù)和DDOS防護(hù)。

AWS環(huán)境

AWS CloudFormation模板

借助AWS CloudFormation模板，無論是最初的使用VPC安裝，還是后續(xù)的修訂策略，DevOps團(tuán)隊(duì)均可以實(shí)現(xiàn)應(yīng)用部署自動化?；谶@些策略的Auto-Scaling能讓您根據(jù)自身需求將部署大小調(diào)節(jié)至最優(yōu)水平。

CloudFormation模板能使用部署所需的所有資源設(shè)置完整的AWS部署。例如，一個CloudFormation模板可以設(shè)置一個AWS虛擬私有云(VPC)，并在這個云中創(chuàng)建您所選擇的EC2實(shí)例。然后，它會下載需要的安裝包，并執(zhí)行配置任務(wù)，使用AWS基礎(chǔ)設(shè)施端對端地創(chuàng)建您的應(yīng)用。從本質(zhì)上說，這意味著一旦您創(chuàng)建了CloudFormation模板，則無需再進(jìn)行任何手動操作——它會自動執(zhí)行所有部署操作。

AWS CloudWatch

AWS CloudWatch是一個監(jiān)控系統(tǒng)，用于監(jiān)控實(shí)例的各項(xiàng)數(shù)值(如CPU、網(wǎng)絡(luò)帶寬等)，并在超出臨界值時發(fā)出警報。該系統(tǒng)一般與AWS移動消息推送服務(wù)結(jié)合使用。SNS系統(tǒng)可以通過電子郵件、SMS等發(fā)送警報。這些警報可用于追蹤AWS系統(tǒng)上的行為，并執(zhí)行自動動態(tài)擴(kuò)展。

AWS Auto Scaling

利用Auto Scaling可在AWS部署上添加或移除實(shí)例，具體的操作可基于CloudWatch警報或日程。組合在一起自動動態(tài)擴(kuò)展的實(shí)例(如服務(wù)一個網(wǎng)站的WAF集群)稱為Auto Scaling群組。Auto Scaling群組與Launch Configuration相關(guān)聯(lián)。Launch Configuration提供啟動圖像所需的所有信息，如VPC、啟動的實(shí)例、實(shí)例數(shù)量等。

梭子魚 Web應(yīng)用防火墻

Auto Scaling

梭子魚Web應(yīng)用防火墻目前支持AWS上的CloudFormation部署和自動擴(kuò)展。DevOps團(tuán)隊(duì)可以通過該支持將梭子魚WAF整合至部署流程。梭子魚WAF實(shí)例使用您選擇的配置初始化，然后與其他服務(wù)器一同擴(kuò)展或縮小。根據(jù)CPU使用、帶寬和日程使用擴(kuò)展策略可以優(yōu)化成本和執(zhí)行。

使用AWS CloudWatch Alarms可按照事件或日程進(jìn)行自動動態(tài)擴(kuò)展。部署CloudWatch Alarms的梭子魚WAF能為管理員提供額外的監(jiān)控渠道;向CloudWatch系統(tǒng)持續(xù)報告CPU和帶寬度量能讓管理員監(jiān)控部署實(shí)例的執(zhí)行情況。

為自動擴(kuò)展策略設(shè)置的CloudWatch Alarms也能采用AWS SNS，在選擇的渠道(郵件、SMS等)向管理員發(fā)出通知。這些能通知管理員組內(nèi)的自動動態(tài)擴(kuò)展事件。

Bootstrapping

在Auto Scaling基礎(chǔ)上，梭子魚WAF還添加了Bootstrapping支持。管理員可以定義CloudFormation模板上第一個WAF的基本配置。一旦創(chuàng)建了初始實(shí)例并添加引導(dǎo)程序，建立的其他任何實(shí)例也都可以使用該實(shí)例同步配置，并在啟動后幾分鐘內(nèi)提供流量，無需任何管理員干預(yù)。集群中任何一個實(shí)例的配置變化會同步至所有其他集群的實(shí)例。

Auto Scaling改善了AWS上部署的可用性。一個自動擴(kuò)展組能在一個區(qū)域的多個可用性區(qū)域部署，一旦某個可用性區(qū)域出現(xiàn)可達(dá)性問題，業(yè)務(wù)依然可以正常運(yùn)行。如果您選擇在另一個區(qū)域部署，您可以使用CloudFormation模板輕松復(fù)制部署——提高災(zāi)難恢復(fù)能力。

梭子魚Web應(yīng)用防火墻還在自動擴(kuò)展組中的多個可用性區(qū)域間部署。它能與該部署模型無縫連接，無需任何額外的配置或管理員干預(yù)。

以下流程圖描述了采用AWS CloudFormation和自動擴(kuò)展的梭子魚 WAF部署：

如圖所示，梭子魚WAF采用AWS S3儲存聚類信息。為防止儲存區(qū)受到攻擊，梭子魚WAF與AWS IAM整合為一體。啟動時，創(chuàng)建一個IAM角色，對S3儲存段訪問權(quán)限有限。使用AWS安全令牌服務(wù)提供對儲存段的訪問，該服務(wù)提供短期令牌訪問S3儲存段。令牌為動態(tài)生成，設(shè)置了過期時間以防止濫用。