文档

如何将WAF 2.0实例迁移到WAF 3.0

更新时间:

Web 应用防火墙 WAF(Web Application Firewall)支持通过控制台迁移工具,自助将WAF 2.0实例迁移到WAF 3.0。本文介绍要迁移的实例需满足的条件、迁移后的详细说明和如何进行迁移。

重要

自助迁移工具入口分批灰度开放。

使用限制

支持迁移的WAF 2.0实例需满足如下要求:

  • 实例接入方式为CNAME接入透明接入七层SLB类型四层SLB类型ECS类型)或混合云接入

    说明
    • 透明接入ALB类型)暂不支持迁移。如果您的实例中存在ALB类型的透明接入,您可以关闭引流、删除域名接入配置后,再进行自助迁移。具体操作,请参见有透明接入引流的实例能不能迁移?

    • 七层SLB类型四层SLB类型ECS类型迁移后分别对应云产品接入的CLB(HTTP/HTTPS)CLB(TCP)ECS

  • 阿里云每日0-3点进行云产品资产同步等操作,建议您避开该时段进行透明接入的迁移。

  • 实例版本为云WAF的包年包月高级版、企业版、旗舰版,混合云WAF的独享版,按量付费版

  • 实例未使用大屏服务、未开启定制功能。

  • 实例在15天内不会到期。

  • 进行迁移的账号为阿里云账号(主账号),并且该账号未欠费。

    您可以将鼠标悬停在右上角头像处,查看账号详情。image.png

迁移说明

对业务影响

支持平滑迁移,无闪断,不会对正常业务造成影响。

说明

迁移后,WAF 2.0提供的CNAME地址、已配置的回源地址不会发生改变。您可以在CNAME接入列表,查看迁移后的域名、CNAME地址和源站信息。

迁移方式

  • 一键全量迁移

    启动后,系统会预检查您的配置,如果满足迁移要求,系统将自动创建WAF 3.0实例,并全量迁移转发配置和防护配置。

    适用场景:域名较少且规则简单,希望迁移过程简单,一键完成迁移。

  • 规则迁移

    启动后,系统会预检查您选择的规则模块是否支持迁移,如果支持,系统将自动创建WAF 3.0实例,并将选中的防护规则按同等效果迁移到WAF 3.0。您需要手动迁移指定域名的转发配置,并配置防护模板的生效对象。

    适用场景:希望系统迁移规则,但需要手工分批迁移并观察流量情况。

  • 手动分批迁移

    启动后,系统仅自动创建WAF 3.0实例,并配置默认防护策略,而不迁移转发配置和其他防护配置。您需要手动迁移指定域名的转发配置,创建防护模板及规则,配置防护模板的生效对象。

    适用场景:域名较多或者规则复杂,希望分批迁移并观察流量情况。

迁移时长

迁移时长约15分钟,为WAF进行自动迁移的时长,包括WAF自动创建3.0实例、迁移转发配置和防护配置等。

由于一键全量迁移前,系统会进行较为复杂的预检查,所以,一键全量迁移花费的时间会比手动分批迁移、规则迁移长。

迁移窗口期

  • 窗口期时长

    迁移窗口期为允许进行迁移操作的整个周期,从选择迁移方式,并确认迁移计时,共计15天。

    您可以在迁移工具页面,查看迁移窗口期剩余时长。image

  • 可进行的操作

    • 查看业务流量。

    • 域名分批迁移。

    • 来回切换WAF 2.0或WAF 3.0控制台。

    • 可以在WAF 3.0控制台添加防护配置,查看迁移后实例的防护是否生效。

    • 回滚到WAF 2.0。

    • 确认迁移完成或放弃迁移。

  • 不能进行的操作

    • 不能在WAF控制台或用户中心进行续费升级降配退订等操作。否则,可能造成实例被释放、费用退回失败等情况。

    • 不能打开或关闭网页防篡改、敏感信息泄露的防护开关。

    • 不能修改WAF 2.0和WAF 3.0所有的转发配置,包括增删改WAF 2.0网站接入和WAF 3.0接入管理的配置。

  • 需注意的操作

    • 迁移窗口期内,如果您在WAF 3.0添加了新的告警,且告警被触发,您只会在WAF 2.0收到告警提示。

    • 迁移窗口期到期后,如果没有及时确认迁移完成,实例及其配置会自动回滚到WAF 2.0,已迁移到WAF 3.0的实例会被释放,窗口期内的防护配置也会被删除。

    • 迁移完成后,您只能在WAF 3.0控制台进行安全防护。请您确定不再需要进行迁移操作后,再单击确认迁移完成

迁移后的变化

版本规格和支持能力变化

迁移后,云WAF的包年包月高级版、企业版、旗舰版,按量付费版实例的计费模式和版本不会发生变化,由于WAF 3.0在WAF 2.0的基础上进行了升级的同时,也对部分功能做了整合优化,变化如下:

  • WAF 3.0的包年包月高级版取消了规则防护引擎的智能规则托管功能、自定义规则的滑块验证功能。因此,迁移后,如果您需要相应功能,请您将实例版本升级到企业版旗舰版。具体操作,请参见升级

  • WAF 3.0新增了防护模板配置、自定义响应规则、重保场景防护、高级资产中心等功能。迁移后,您可以根据业务需要,配置相应功能。更多信息,请参见设置自定义响应规则重保场景防护资产中心

  • WAF 3.0取消了混合云独享版。因此,WAF 2.0的独享版迁移后的版本如下所示:

    • 中国内地:迁移为包年包月企业版。

    • 非中国内地:迁移为包年包月旗舰版。

    迁移后的规格配置为:

    场景

    迁移前

    迁移后

    场景1

    WAF 2.0混合云版本(包含节点2+200域名)

    WAF 3.0企业版或旗舰版(默认节点1)+扩展节点1+200个域名

    场景2

    WAF 2.0混合云版本(包含节点2+200域名)+付费扩展节点X个

    WAF 3.0企业版或旗舰版(默认节点1)+扩展节点1+扩展节点X+200个域名

    场景3

    WAF 2.0旗舰版+付费扩展节点X个

    WAF 3.0旗舰版(默认节点1)+混合云扩展节点X+200个域名

    场景4

    WAF 2.0企业版+付费扩展节点X个

    WAF 3.0企业版(默认节点1)+混合云扩展节点X+200个域名

费用变化

说明

迁移操作不会产生费用。

由于迁移后的版本规格和支持能力的变化,迁移后,即便您没有使用其他任何功能,WAF 3.0实例产生的费用也可能变化。

  • 变化发生时间

    • 按量付费实例:迁移后,第一次出账时。

    • 包年包月实例:迁移后,第一次续费时。

      重要
      • 实例迁移到WAF 3.0后,在第一次续费前,如果您进行退订或降配操作,WAF不会退还对应金额。

      • 如果您进行了降配,续费时,WAF会按照降配后的规格,收取相应费用。

    关于WAF 3.0包年包月和按量付费实例的定价详情,请参见Web应用防火墙3.0定价页面

  • 包年包月费用变更点

    • 超用QPS

      为了与版本内默认QPS规格保持一致,WAF 3.0 QPS统一按业务流量进行扩展。超用QPS的抵扣包由WAF 2.0的带宽扩展包变为WAF 3.0的QPS扩展

      迁移时,系统会根据WAF 2.0实例已购买的业务带宽规格,自动换算为QPS。如果该QPS规格超过版本默认规格,系统会自动购买QPS扩展规格补齐。

      下表以迁移前已购买100 Mbps的带宽扩展包为例,介绍迁移后的QPS费用的变化情况。

      功能

      版本

      迁移前

      迁移后

      单价

      高级版

      • 中国内地:1,000元/50 Mbps/月

      • 非中国内地:5,000元/50 Mbps/月

      300 元/100 QPS/月,会根据已开启的Bot管理、API安全功能发生变化

      企业版

      • 中国内地:3,000元/50 Mbps/月

      • 非中国内地:12,000元/50 Mbps/月

      旗舰版

      • 中国内地:5,000元/50 Mbps/月

      • 非中国内地:20,000元/50 Mbps/月

      购买数量

      100 Mbps。换算为QPS,约为4,000 QPS

      自动购买规格为4,000的QPS扩展规格

      总费用

      高级版

      • 中国内地:2,000元/月

      • 非中国内地:10,000元/月

      12,000元/月

      企业版

      • 中国内地:6,000元/月

      • 非中国内地:24,000元/月

      旗舰版

      • 中国内地:10,000元/月

      • 非中国内地:40,000元/月

      迁移完成后,您可以根据实际QPS用量,减少QPS规格,降低费用。具体操作,请参见降配

    • 超用域名

      WAF 3.0 CNAME接入的域名不再区分主域名与子域名,统一按接入WAF的域名数计费。超用域名的抵扣包由WAF 2.0的域名扩展包变为WAF 3.0的域名扩展

      迁移时,如果WAF 2.0实例已使用的主域名和子域名数总数超过WAF 3.0版本内默认规格,系统会自动购买域名扩展规格补齐。

      下表以迁移前已购买2个域名扩展包为例,介绍迁移后的域名费用的变化情况。

      功能

      版本

      迁移前

      迁移后

      单价

      高级版

      • 中国内地:600元/个扩展包/月

      • 非中国内地:500元/个扩展包/月

      • 1~10个:150元/个/月

      • 11~100个:110元/个/月

      • >100个:60元/个/月

      企业版

      • 中国内地:1,000元/个扩展包/月

      • 非中国内地:900元/个扩展包/月

      旗舰版

      • 中国内地:2,000元/个扩展包/月

      • 非中国内地:2,000元/个扩展包/月

      购买数量

      高级版

      • 购买2个域名扩展包

      • 高级版、企业版、旗舰版均包含1个免费域名包

      • 不区分主域名或子域名,1个免费域名包和2个域名扩展包共计30个域名。

      版本内包含5个免费域名,系统会自动购买25个域名扩展规格,补齐30个域名。

      企业版

      版本内包含10个免费域名,系统会自动购买20个域名扩展规格,补齐30个域名。

      旗舰版

      版本内包含50个免费域名,系统不会自动购买域名扩展规格。

      总费用

      高级版

      • 中国内地:1,200元/月

      • 非中国内地:1,000元/月

      3,150元/月(10×150+15×110)

      企业版

      • 中国内地:2,000元/月

      • 非中国内地:1,800元/月

      2,600元/月(10×150+10×110)

      旗舰版

      • 中国内地:4,000元/月

      • 非中国内地:4,000元/月

      0元/月

      迁移完成后,您可以根据已接入域名数,减少域名扩展规格,降低费用。具体操作,请参见降配

      降配示例

      如果您已添加主域名example.com及其子域名mail.example.com、主域名example.edu、主域名aliyun.com,共需要4个域名额度。

      您可以直接使用WAF 3.0版本内免费赠送的域名额度,无需额外购买域名扩展包。通过降配,可减少域名扩展规格为0个。

      续费时,域名扩展费用为0元/月。

    • API安全

      迁移前后,API安全费用变化如下所示。

      版本

      迁移前

      迁移后

      高级版

      20,000元/月

      5,000元/月

      企业版

      20,000元/月

      10,000元/月

      旗舰版

      20,000元/月

      20,000元/月

      开启API安全后,弹性后付费的QPS扩展单价额外增加200元/100 QPS/月。

    • Bot管理

      迁移前后,Bot管理费用变化如下所示。

      版本

      Bot管理-Web防护

      Bot管理-APP防护

      迁移前

      迁移后

      迁移前

      迁移后

      高级版

      7,000元/月

      3,500元/月

      2,000元/月

      2,000元/月

      企业版

      7,000元/月

      7,000元/月

      2,000元/月

      2,000元/月

      旗舰版

      7,000元/月

      12,000元/月

      2,000元/月

      2,000元/月

      开启Bot管理-Web防护Bot管理-APP防护任意一种功能后,弹性后付费的QPS扩展单价额外增加200元/100 QPS/月。

新增沙箱、弹性后付费、流量计费保护

沙箱为WAF 3.0引入的一种特殊机制。实例进入沙箱后,WAF将不再保证产品SLA。接入该实例的防护对象将随时可能出现业务访问异常,包括但不限于丢包、限速、限连、防护失效、日志或报表数据异常、访问超时、进入DDoS清洗或黑洞等情况。更多信息,请参见沙箱说明

说明

迁移窗口期内,实例不会进入沙箱。

  • 包年包月实例

    如果实例的实际流量超过已购买QPS流量规格(包括版本包含的默认规格和QPS扩展之和)时,实例可能会进入沙箱。更多信息,请参见弹性后付费

    迁移后,实例的实际流量可能会超过当前版本默认支持的QPS规格,从而使得实例进入沙箱状态。

    您可以通过升级版本、购买QPS扩展规格、开启弹性后付费的方式,避免实例因QPS超用进入沙箱,影响正常业务。

    • 关于升级版本的具体操作,请参见升级

    • 关于购买QPS扩展规格的具体操作,请参见QPS扩展

    • 关于开启弹性后付费QPS的具体操作,请参见开通弹性后付费

  • 按量付费实例

    如果实例在某一小时内的峰值QPS流量超过设定的QPS流量阈值时,实例将进入沙箱,并且该小时不会出账,从而避免因QPS暴涨而产生超高账单。更多信息,请参见流量计费保护

    迁移后,实例默认开启流量计费保护,且不支持关闭,并设置QPS流量阈值(即流量计费保护阈值)与实例支持的最大QPS规格保持一致:

    • 中国内地:100,000 QPS

    • 非中国内地:10,000 QPS

    • 若您的实际业务需求超过该规格,请联系您的商务经理或架构师。

    实例的沙箱状态会在下一个小时的峰值QPS低于或等于流量计费保护阈值时,自动解除。如果沙箱状态持续一段时间,您可以根据实际QPS流量,及时调整流量计费保护阈值

日志服务变化

  • 使用一键迁移后,系统会自动创建WAF 3.0的logstore,同时保留WAF 2.0的logstore。

    重要
    • 使用手动迁移和规则迁移不会自动创建WAF 3.0的logstore,需要您手动开启日志服务,并在WAF 2.0的域名迁移到WAF 3.0后手动开启该域名的日志服务。

    • 迁移窗口期内,您仍可以继续在WAF 2.0的控制台中查看logstore。在迁移完成后,您需要登录日志服务(SLS)控制台查看WAF 2.0的logstore。更多信息,请参见查询和分析日志

  • WAF 2.0的logstore的日志会根据用户设置的保留时间按从远到近的顺序依次清空超出保留时间的日志,直至清空。如果需要保留,请及时备份。具体操作,请参见下载日志

  • WAF 3.0的logstore的日志存储时长默认为180天,如需修改,可在日志服务控制台进行配置。

  • 按量付费实例的日志费用由日志服务出账,WAF侧不再收取该费用。

需要重新进行的配置

迁移后,OpenAPI、针对OpenAPI接口级别的权限管理、Terraform、资源组、云监控与告警、日志服务、实例续费、商品code变化引发的商务变更等需要重新配置。具体操作,请参见后续操作

迁移流程

image
  • 迁移透明接入的域名时,WAF会将域名绑定的云产品(七层SLB类型四层SLB类型ECS类型)实例引流端口的流量迁移到对应云产品接入中,同时将实例添加为防护对象,将域名添加为自定义防护对象。

  • 迁移混合云接入的流量时,WAF默认将流量迁移到混合云反向代理模式中,并生成一个防护对象。

操作步骤

重要
  • 迁移前请关闭实例的自动续费功能,避免迁移期间WAF 2.0实例自动续费,迁移完成后WAF 3.0实例再次重复自动续费。

  • 如果您的实例在未来15天内即将到期,关闭自动续费功能后,请手动续费1个月,保证迁移窗口期内,实例不会到期。

  1. 登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏底部,单击WAF3.0迁移入口

    • 如果您的实例满足迁移要求,您可以在迁移须知面板,阅读并勾选迁移须知后,单击我已了解迁移须知,开始迁移,进入迁移工具页面,准备进行迁移。

    • 如果您的实例不满足迁移要求,WAF将弹出错误提示框。您可以根据提示内容,执行对应操作。如果您有迁移相关的任何问题,请加入钉群(钉群号:34657699),联系产品技术专家进行咨询。

  3. 如果存在透明接入的域名,将域名绑定到对应云产品(ECS、CLB(TCP)、CLB(HTTP/HTTPS))。

    迁移前后绑定关系:ECS对应ECS类型CLB(TCP)对应四层SLB类型CLB(HTTP/HTTPS)对应七层SLB类型image.png

  4. 迁移工具页面,选择一键全量迁移规则迁移手动分批迁移后,单击立即开始

    重要

    选择规则迁移后,您需选择要迁移的防护规则。支持多选。

    您只能在迁移工具页面选择要迁移的防护规则,请您根据业务情况仔细评估后,再单击立即开始

    image.png

  5. 在确认迁移的提示对话框,单击确定

    重要

    单击确定后,实例将开始自动迁移,并进入迁移窗口期。自动迁移预计需要15分钟,请您保持当前页面的打开状态,不要刷新页面。

  6. WAF自动迁移结束后,在WAF 3.0版本实例创建成功对话框,单击确认

    • 切换到WAF 3.0控制台,确认自动迁移的配置项已迁移完成。自动迁移的配置项信息,请参见迁移流程

    • 切换到WAF 2.0控制台,在迁移工具页面,查看域名迁移状态。

      一键全量迁移

      所有域名的迁移状态显示为已迁移,表示该域名的相关配置已自动迁移到WAF 3.0。image.png

      说明

      如果迁移不成功,实例将自动回滚到WAF 2.0。您可以在回滚完成对话框,查看迁移失败原因。

      规则迁移、手动分批迁移

      域名对应的迁移状态为未迁移,表示该域名存在部分配置未自动迁移到WAF 3.0,您还需要进行手动迁移。image.png

  7. 手动迁移。仅规则迁移手动分批迁移需要进行该操作。

    规则迁移

    • 迁移域名转发配置

      • 迁移单个域名:定位到目标域名,单击操作列的迁移到3.0版本

      • 批量迁移多个域名:选中要迁移的域名,单击域名列表下的批量迁移到3.0版本

        迁移成功后,域名的迁移状态显示为已迁移image

    • 配置防护模板生效对象

      1. 在左侧导航栏,单击切到3.0版本

      2. 在WAF 3.0控制台,为自动迁移的防护模板配置生效对象。将防护对象关联到对应防护模板。

        在左侧导航栏,选择防护配置 > 防护规则定位到目标防护规则后,单击操作列的编辑,在生效对象区域,将防护对象移入已选择对象框。

        说明

        如果防护模板类型为BOT管理-场景化在左侧导航栏,选择防护配置 > 场景防护 > BOT管理定位到目标防护规则后,单击image.png图标,在生效范围配置向导页,将防护对象移入已选择对象框。

    手动分批迁移

    • 迁移域名转发配置

      • 迁移单个域名:定位到目标域名,单击操作列的迁移到3.0版本

      • 批量迁移多个域名:选中要迁移的域名,单击域名列表下的批量迁移到3.0版本

        迁移成功后,域名的迁移状态显示为已迁移image

    • 创建防护模板及防护规则

      切换到WAF 3.0控制台,参考WAF 2.0实例的防护策略,创建防护模板及防护规则。具体操作,请参见防护配置

    • 配置防护模板生效对象

      1. 在左侧导航栏,单击切到3.0版本

      2. 在WAF 3.0控制台,为自动迁移的防护模板配置生效对象。将防护对象关联到对应防护模板。

        在左侧导航栏,选择防护配置 > 防护规则定位到目标防护规则后,单击操作列的编辑,在生效对象区域,将防护对象移入已选择对象框。

        说明

        如果防护模板类型为BOT管理-场景化在左侧导航栏,选择防护配置 > 场景防护 > BOT管理定位到目标防护规则后,单击image.png图标,在生效范围配置向导页,将防护对象移入已选择对象框。

  8. 切换到WAF 3.0控制台,验证迁移后的配置和实际业务是否正常。

    如果迁移后的配置或实际业务存在不正常情况,可单击目标域名操作列的回滚到2.0版本,或选中多个域名,单击域名列表下的批量回滚到2.0版本,将实例及其配置回退到WAF 2.0进行验证。

    说明

    一键全量迁移的域名配置被回滚到2.0后,也可在迁移工具页面,单击目标域名操作列的迁移到3.0版本。此时,系统将只迁移该域名的转发配置。迁移完成后,您需要为该域名配置相应的防护策略。

  9. 单击确认迁移完成

    迁移完成后,WAF 2.0实例会被释放,您可以在WAF 3.0控制台进行安全防护。

    重要

    迁移完成后,请及时确认迁移完成。如果迁移窗口期15天到期后,您仍未单击确认迁移完成,实例及其配置会回滚到WAF 2.0,自动创建的WAF 3.0实例会被释放,窗口期内的防护配置也会被删除。如果仍需迁移,需要重新开始。

后续操作

完成迁移后,您需要进行如下操作,才能正常使用WAF 3.0。

  • 配置OpenAPI

    WAF 3.0启用新的OpenAPI,需要重新配置。更多信息,请参见API概览

  • 配置RAM权限

    针对OpenAPI接口级别的权限管理需要重新配置。更多信息,请参见授权信息

  • 配置Terraform

    Terraform需要重新配置。更多信息,请参见Terraform Registry(域名)Terraform Registry(实例)

  • 配置资源组

    资源组暂不支持迁移,需要重新配置。具体操作,请参见添加域名

  • 配置云监控与告警

    WAF 3.0启用新的事件和指标监控项,需要重新配置。具体操作,请参见配置云监控通知

  • 配置日志服务

    您需要重新配置日志服务的如下信息:

  • 为迁移后的实例开启自动续费

    如果迁移前WAF 2.0实例已开启自动续费,迁移完成后,您需要为迁移后的WAF 3.0实例开启自动续费。否则,实例到期后15天会被释放。具体操作,请参见自动续费

  • 商品code变更引发的操作

    完成迁移后,WAF对应的商品code会发生变化。如果您的实例因此需要进行商务变更,请联系您的商务经理。

常见问题

有透明接入引流的实例能不能迁移?

可以。WAF支持自助将透明接入七层SLB类型四层SLB类型ECS类型)的流量迁移到WAF 3.0。透明接入ALB类型)的流量暂不支持自助迁移。您可以先关闭ALB类型的引流、删除域名接入配置后,再进行迁移。具体操作可参考如下步骤:

  1. 访问网站接入页面,在服务器列表页签,单击实例端口操作列的关闭引流image

  2. 域名列表页签,单击域名操作列的删除image

  3. 迁移实例。具体操作,请参见迁移操作

  4. 将迁移后的实例接入WAF 3.0。具体操作,请参见云产品接入

独享版实例能不能迁移?

不能。WAF 3.0不支持独享版。

迁移过程中,会不会产生费用?

不会。迁移完成后,包年包月实例会在下一次续费时产生费用,按量付费实例会在下一次出账时产生费用。关于费用变化情况和产生费用的时间的详细信息,请参见费用变化

WAF 2.0按量付费版能不能迁移为WAF 3.0包年包月版

不能。WAF 2.0按量付费实例只能迁移为WAF 3.0按量付费实例。如果您希望将计费模式转换为包年包月,您可以在迁移完成后,关闭按量付费实例,再重新购买包年包月实例。

WAF 2.0企业版能不能迁移成WAF 3.0高级版?

不能。

WAF 2.0高级版能不能迁移成WAF 3.0企业版?

不能。包年包月实例仅支持同版本迁移,WAF 2.0高级版只能迁移为WAF 3.0高级版。如果您希望使用企业版,您可以在迁移完成后,将高级版升级为企业版。具体操作,请参见升级

迁移窗口内,能不能在WAF 2.0上新添加一个域名,再继续进行迁移?

不能。迁移窗口期内,网站接入会被置灰,不支持新添加域名、删除或修改已接入域名的所有转发配置。如果您在迁移窗口期内,需要在WAF 2.0上新添加一个域名,您需要先放弃迁移,再添加域名。完成后,重新进行迁移。

说明

放弃迁移后,系统会删除WAF 3.0实例及其配置,并退出迁移流程。

相关文档

  • 本页导读 (1)
文档反馈