1. Home
2. Next-Gen WAF
3. セットアップと設定
4. モジュール-エージェント型デプロイ

Stream Processing Offload Engine (SPOE) は、HAProxy がアウトオブバンド処理のためにトラフィックを外部プログラムへ送信できるようにする仕組みです。HAProxy SPOE モジュールは、SPOE を介して Next-Gen WAF エージェントと通信し、エージェントの応答に基づいて HAProxy のアクセス制御リスト (ACL) を使用してリクエストをブロックできるようにします。

要件

• HAProxy 1.8 以上

• Next-Gen WAF エージェント

インストール

HAProxy SPOE モジュールをインストールするには、以下の手順に従ってください。

パッケージマネージャー経由でダウンロードする

HAProxy SPOE モジュールは、主要な多くのオペレーティングシステムのパッケージマネージャーからインストールできます。

• Alpine: sudo apk add sigsci-module-haproxy

• CentOS: sudo yum install sigsci-module-haproxy

• Debian: sudo apt-get install sigsci-module-haproxy

• Ubuntu: sudo apt-get install sigsci-module-haproxy

エージェントを設定する

HAProxy SPOE サポートを有効にするため、エージェント設定ファイル (デフォルトの場所は /etc/sigsci/agent.conf) に次の行を追加します。

haproxy-spoa-enabled=true

chroot ディレクトリの設定

ヒント: このセクションは、インストール環境によっては不要な場合があります。HAProxy の chroot ディレクトリを設定している場合は、このセクションの手順に従い、以下のコマンドをカスタム chroot ディレクトリに合わせて変更する必要があります。

HAProxy の設定で chroot ディレクトリが指定されている場合、Next-Gen WAF エージェントの設定もそれに合わせて更新する必要があります。エージェントのソケットファイルのデフォルトの場所 (/var/run/sigsci.sock) は、指定した chroot ディレクトリ外にある HAProxy モジュールからはアクセスできません。

1. 以下のコマンドを実行して、Unix ドメインソケット用のディレクトリ構造を作成します。HAPROXY-CHROOT-DIRECTORY を HAProxy の chroot ディレクトリに置き換えてください。

   $ sudo mkdir -p /HAPROXY-CHROOT-DIRECTORY/var/run/

2. chroot 配下の新しいソケットファイルの場所を指定するため、エージェント設定ファイル (デフォルトの場所は /etc/sigsci/agent.conf) に次の行を追加します。

   rpc-address="unix:/haproxy-chroot-directory/var/run/sigsci.sock"

HAProxyを設定する

これらの手順に従って HAProxy を設定します。

SPOA バックエンドの追加

/opt/signalsciences/haproxy-spoe/backend.txt の内容を HAProxy 設定ファイルに追記します。

$ sed "-i.`date +%F`" -e '$r/opt/signalsciences/haproxy-spoe/backend.txt' /etc/haproxy/haproxy.cfg

frontend セクションを更新する

HAProxy v2.2 以上の場合、/opt/signalsciences/haproxy-spoe/frontend-2.2.txt の内容を HAProxy 設定ファイル内の各 HTTP frontend セクションにコピーします。

$ sed -i -e '/^\s*frontend/r/opt/signalsciences/haproxy-spoe/frontend-2.2.txt' /etc/haproxy/haproxy.cfg

HAProxy v1.8 および v2.0 の場合、/opt/signalsciences/haproxy-spoe/frontend-1.8.txt の内容を HAProxy 設定ファイル内の各 HTTP frontend セクションにコピーします。

$ sed -i -e '/^\s*frontend/r/opt/signalsciences/haproxy-spoe/frontend-1.8.txt' /etc/haproxy/haproxy.cfg

アップグレード

HAProxy SPOEモジュールをアップグレードするには

1. 最新バージョンのモジュールをダウンロードしてインストールします。

2. HAProxy モジュールを設定します。

3. 新しいモジュールバージョンが検出されるよう、HAProxy を再起動します。

関連コンテンツ

• モジュールエージェント型デプロイについて

• Next-Gen WAF での API の使用