Web 应用防火墙 WAF(Web Application Firewall)支持通过控制台迁移工具,自助将WAF 2.0实例迁移到WAF 3.0。本文介绍要迁移的实例需满足的条件、迁移后的详细说明和如何进行迁移。
自助迁移工具入口分批灰度开放。
如果您的Web应用防火墙控制台左侧导航栏底部已显示WAF3.0迁移入口按钮,表示您可以直接进行自助迁移。
如果没有WAF3.0迁移入口按钮,且急需将实例迁移到WAF 3.0,您需要在WAF 3.0自助迁移入口申请页面提交申请,通过后再进行自助迁移。
使用限制
支持迁移的WAF 2.0实例需满足如下要求:
实例接入方式为CNAME接入、透明接入(七层SLB类型、四层SLB类型、ECS类型)或混合云接入。
说明透明接入(ALB类型)暂不支持迁移。如果您的实例中存在ALB类型的透明接入,您可以关闭引流、删除域名接入配置后,再进行自助迁移。具体操作,请参见有透明接入引流的实例能不能迁移?
七层SLB类型、四层SLB类型、ECS类型迁移后分别对应云产品接入的CLB(HTTP/HTTPS)、CLB(TCP)、ECS。
阿里云每日0-3点进行云产品资产同步等操作,建议您避开该时段进行透明接入的迁移。
实例版本为云WAF的包年包月高级版、企业版、旗舰版,混合云WAF的独享版,按量付费版。
实例未使用大屏服务、未开启定制功能。
实例在15天内不会到期。
进行迁移的账号为阿里云账号(主账号),并且该账号未欠费。
您可以将鼠标悬停在右上角头像处,查看账号详情。
迁移说明
迁移流程
迁移透明接入的域名时,WAF会将域名绑定的云产品(七层SLB类型、四层SLB类型、ECS类型)实例引流端口的流量迁移到对应云产品接入中,同时将实例添加为防护对象,将域名添加为自定义防护对象。
迁移混合云接入的流量时,WAF默认将流量迁移到混合云反向代理模式中,并生成一个防护对象。
操作步骤
迁移前请关闭实例的自动续费功能,避免迁移期间WAF 2.0实例自动续费,迁移完成后WAF 3.0实例再次重复自动续费。
如果您的实例在未来15天内即将到期,关闭自动续费功能后,请手动续费1个月,保证迁移窗口期内,实例不会到期。
登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏底部,单击WAF3.0迁移入口。
如果您的实例满足迁移要求,您可以在迁移须知面板,阅读并勾选迁移须知后,单击我已了解迁移须知,开始迁移,进入迁移工具页面,准备进行迁移。
如果您的实例不满足迁移要求,WAF将弹出错误提示框。您可以根据提示内容,执行对应操作。如果您有迁移相关的任何问题,请加入钉群(钉群号:34657699),联系产品技术专家进行咨询。
如果存在透明接入的域名,将域名绑定到对应云产品(ECS、CLB(TCP)、CLB(HTTP/HTTPS))。
迁移前后绑定关系:ECS对应ECS类型,CLB(TCP)对应四层SLB类型,CLB(HTTP/HTTPS)对应七层SLB类型。
在迁移工具页面,选择一键全量迁移、规则迁移或手动分批迁移后,单击立即开始。
重要选择规则迁移后,您需选择要迁移的防护规则。支持多选。
您只能在迁移工具页面选择要迁移的防护规则,请您根据业务情况仔细评估后,再单击立即开始。
在确认迁移的提示对话框,单击确定。
重要单击确定后,实例将开始自动迁移,并进入迁移窗口期。自动迁移预计需要15分钟,请您保持当前页面的打开状态,不要刷新页面。
WAF自动迁移结束后,在WAF 3.0版本实例创建成功对话框,单击确认。
切换到WAF 3.0控制台,确认自动迁移的配置项已迁移完成。自动迁移的配置项信息,请参见迁移流程。
切换到WAF 2.0控制台,在迁移工具页面,查看域名迁移状态。
一键全量迁移
所有域名的迁移状态显示为已迁移,表示该域名的相关配置已自动迁移到WAF 3.0。
说明如果迁移不成功,实例将自动回滚到WAF 2.0。您可以在回滚完成对话框,查看迁移失败原因。
规则迁移、手动分批迁移
域名对应的迁移状态为未迁移,表示该域名存在部分配置未自动迁移到WAF 3.0,您还需要进行手动迁移。
手动迁移。仅规则迁移和手动分批迁移需要进行该操作。
规则迁移
迁移域名转发配置
迁移单个域名:定位到目标域名,单击操作列的迁移到3.0版本。
批量迁移多个域名:选中要迁移的域名,单击域名列表下的批量迁移到3.0版本。
迁移成功后,域名的迁移状态显示为已迁移。
配置防护模板生效对象
在左侧导航栏,单击切到3.0版本。
在WAF 3.0控制台,为自动迁移的防护模板配置生效对象。将防护对象关联到对应防护模板。
在左侧导航栏,选择 。定位到目标防护规则后,单击操作列的编辑,在生效对象区域,将防护对象移入已选择对象框。
说明如果防护模板类型为BOT管理-场景化,在左侧导航栏,选择 。定位到目标防护规则后,单击图标,在生效范围配置向导页,将防护对象移入已选择对象框。
手动分批迁移
迁移域名转发配置
迁移单个域名:定位到目标域名,单击操作列的迁移到3.0版本。
批量迁移多个域名:选中要迁移的域名,单击域名列表下的批量迁移到3.0版本。
迁移成功后,域名的迁移状态显示为已迁移。
创建防护模板及防护规则
切换到WAF 3.0控制台,参考WAF 2.0实例的防护策略,创建防护模板及防护规则。具体操作,请参见防护配置。
配置防护模板生效对象
在左侧导航栏,单击切到3.0版本。
在WAF 3.0控制台,为自动迁移的防护模板配置生效对象。将防护对象关联到对应防护模板。
在左侧导航栏,选择 。定位到目标防护规则后,单击操作列的编辑,在生效对象区域,将防护对象移入已选择对象框。
说明如果防护模板类型为BOT管理-场景化,在左侧导航栏,选择 。定位到目标防护规则后,单击图标,在生效范围配置向导页,将防护对象移入已选择对象框。
切换到WAF 3.0控制台,验证迁移后的配置和实际业务是否正常。
如果迁移后的配置或实际业务存在不正常情况,可单击目标域名操作列的回滚到2.0版本,或选中多个域名,单击域名列表下的批量回滚到2.0版本,将实例及其配置回退到WAF 2.0进行验证。
说明一键全量迁移的域名配置被回滚到2.0后,也可在迁移工具页面,单击目标域名操作列的迁移到3.0版本。此时,系统将只迁移该域名的转发配置。迁移完成后,您需要为该域名配置相应的防护策略。
单击确认迁移完成。
迁移完成后,WAF 2.0实例会被释放,您可以在WAF 3.0控制台进行安全防护。
重要迁移完成后,请及时确认迁移完成。如果迁移窗口期15天到期后,您仍未单击确认迁移完成,实例及其配置会回滚到WAF 2.0,自动创建的WAF 3.0实例会被释放,窗口期内的防护配置也会被删除。如果仍需迁移,需要重新开始。
后续操作
完成迁移后,您需要进行如下操作,才能正常使用WAF 3.0。
配置OpenAPI
WAF 3.0启用新的OpenAPI,需要重新配置。更多信息,请参见API概览。
配置RAM权限
针对OpenAPI接口级别的权限管理需要重新配置。更多信息,请参见授权信息。
配置Terraform
Terraform需要重新配置。更多信息,请参见Terraform Registry(域名)、Terraform Registry(实例)。
配置资源组
资源组暂不支持迁移,需要重新配置。具体操作,请参见添加域名。
配置云监控与告警
WAF 3.0启用新的事件和指标监控项,需要重新配置。具体操作,请参见配置云监控通知。
配置日志服务
您需要重新配置日志服务的如下信息:
配置日志字段和存储类型、防护对象的采集状态、日志存储时长、日志容量。具体操作,请参见日志设置与日志容量管理。
开启或关闭日志服务。具体操作,请参见开启或关闭日志服务。
为迁移后的实例开启自动续费
如果迁移前WAF 2.0实例已开启自动续费,迁移完成后,您需要为迁移后的WAF 3.0实例开启自动续费。否则,实例到期后15天会被释放。具体操作,请参见自动续费。
商品code变更引发的操作
完成迁移后,WAF对应的商品code会发生变化。如果您的实例因此需要进行商务变更,请联系您的商务经理。
常见问题
有透明接入引流的实例能不能迁移?
可以。WAF支持自助将透明接入(七层SLB类型、四层SLB类型、ECS类型)的流量迁移到WAF 3.0。透明接入(ALB类型)的流量暂不支持自助迁移。您可以先关闭ALB类型的引流、删除域名接入配置后,再进行迁移。具体操作可参考如下步骤:
访问网站接入页面,在服务器列表页签,单击实例端口操作列的关闭引流。
在域名列表页签,单击域名操作列的删除。
迁移实例。具体操作,请参见迁移操作。
将迁移后的实例接入WAF 3.0。具体操作,请参见云产品接入。
独享版实例能不能迁移?
不能。WAF 3.0不支持独享版。
迁移过程中,会不会产生费用?
不会。迁移完成后,包年包月实例会在下一次续费时产生费用,按量付费实例会在下一次出账时产生费用。关于费用变化情况和产生费用的时间的详细信息,请参见费用变化。
WAF 2.0按量付费版能不能迁移为WAF 3.0包年包月版?
不能。WAF 2.0按量付费实例只能迁移为WAF 3.0按量付费实例。如果您希望将计费模式转换为包年包月,您可以在迁移完成后,关闭按量付费实例,再重新购买包年包月实例。
关于关闭按量付费实例的具体操作,请参见关闭WAF。
关于购买包年包月实例的具体操作,请参见购买WAF 3.0包年包月实例。
WAF 2.0企业版能不能迁移成WAF 3.0高级版?
不能。
WAF 2.0高级版能不能迁移成WAF 3.0企业版?
不能。包年包月实例仅支持同版本迁移,WAF 2.0高级版只能迁移为WAF 3.0高级版。如果您希望使用企业版,您可以在迁移完成后,将高级版升级为企业版。具体操作,请参见升级。
迁移窗口内,能不能在WAF 2.0上新添加一个域名,再继续进行迁移?
不能。迁移窗口期内,网站接入会被置灰,不支持新添加域名、删除或修改已接入域名的所有转发配置。如果您在迁移窗口期内,需要在WAF 2.0上新添加一个域名,您需要先放弃迁移,再添加域名。完成后,重新进行迁移。
放弃迁移后,系统会删除WAF 3.0实例及其配置,并退出迁移流程。
相关文档
- 本页导读 (1)