この記事は Alibaba Cloud アドベントカレンダー2021 7日目の記事です。
Alibaba Cloud WAFにはインスタンスとリージョンの概念があります。
コンソール上では「中国」か「インターナショナル」のどちらかしか表示されませんが、API(CLI)で確認すると実際のデプロイリージョンが確認可能です。
概要
Alibaba Cloud WAF のAPI(CLI)を利用してリージョンを確認する。
確認する際には、中国とインターナショナルでエンドポイントが異なるので注意してください。
# 中国のWAFインスタンス情報を表示
aliyun waf-openapi DescribeInstanceInfos --endpoint wafopenapi.cn-hangzhou.aliyuncs.com
# インターナショナルのWAFインスタンス情報を表示
aliyun waf-openapi DescribeInstanceInfos --endpoint wafopenapi.ap-southeast-1.aliyuncs.com
背景
WAFを購入する際には、中国かインターナショナルかを選択します。
ちなみにこの2つのリージョンの選択肢は地域だけの違いではなく、費用も機能も異なっています。
重要な点は、WAFインスタンスの購入時ではなく、最初に保護するドメイン(もしくはIPアドレス)を設定した際に自動的に最寄りのリージョンにWAFインスタンスがデプロイされる点です。
例えば、インターナショナルのWAFを購入して最初に東京リージョンのECSを保護する設定をしたらそのWAFインスタンスは東京リージョンにデプロイされます。
または、最初に香港リージョンSLBを保護したらそのWAFインスタンスは香港リージョンにデプロイされます。
しかし、どこのリージョンでWAFインスタンスがデプロイされたのかをコンソールから見る方法がありません。
そこで、先ほどのAPI(CLI)から確認をしてみてください。
# インターナショナルのWAFのインスタンス情報から香港リージョンにデプロイされていることが分かる
{
"InstanceInfos": [
{
"EndDate": 1639152000,
"InDebt": 1,
"InstanceId": "waf_intl-sg-xxxxxxxx",
"PayType": 1,
"Region": "cn-hongkong",
"Status": 1,
"SubscriptionType": "Subscription"
}
],
"RequestId": "EB6141D2-B90
その他WAFの注意点
Alibaba Cloud WAF にはハマリポイントが結構ありますので、おまけとして注意点も書いておきます。
- WAFインスタンスのリージョンを変更するには、Alibaba Cloudにチケットでリクエストが必要
- WAFインスタンスはAlibaba Cloudアカウント1つにつき、中国に1つ、インターナショナルに1つまで購入可能
- LogService連携は高額になるので注意
- WAFの保護対象ドメインは個別のサブドメインでも*(アスタリスク)でのワイルドカードでも設定できるか、個別のサブドメインで設定しないと個別に分析ができない
以上です。
明日は8日目になります。