如何在ALB Ingress中开启WAF防护_容器服务 Kubernetes 版 ACK(ACK)-阿里云帮助中心

Web应用防火墙WAF（Web Application Firewall）可以为网站或App提供一站式安全防护，防止数据泄密和恶意CC攻击，阻止木马上传和网页篡改，提供虚拟补丁。当ALB Ingress开启WAF防护后，ALB实例监听的端口流量将受到Web应用安全防护。本文介绍如何在ALB Ingress中开启WAF防护。

前提条件

已创建ACK托管集群、ACK专有集群或ACK Serverless集群，Kubernetes版本为1.18及以上版本。具体操作，请参见创建Kubernetes托管版集群、创建Kubernetes专有版集群、容器服务 Serverless 版使用快速入门。
已创建两个不同可用区的交换机，且与集群处于同一VPC。具体操作，请参见创建和管理交换机。
已为集群安装ALB Ingress Controller组件。具体操作，请参见管理ALB Ingress Controller组件。
说明
若需要在ACK专有集群中通过ALB Ingress访问服务，在部署服务前需要为ALB Ingress Controller授权。具体操作，请参见为ACK专有集群授予ALB Ingress Controller访问权限。
已通过kubectl工具连接集群。具体操作，请参见获取集群KubeConfig并通过kubectl工具连接集群。

创建ALB Ingress时开启WAF防护

创建AlbConfig需要指定edition版本类型为StandardWithWaf，YAML示例如下。更多信息，请参见通过ALB Ingress访问服务和通过AlbConfig配置ALB实例。

apiVersion: alibabacloud.com/v1
kind: AlbConfig
metadata:
  name: alb-demo
spec:
  config:
    name: alb-test
    addressType: Internet
    edition: StandardWithWaf # 开启WAF防护。
    zoneMappings:
    - vSwitchId: vsw-2zee5b2w0bgkau****** # AlbConfig的vSwitch，AlbConfig需要配置两个vSwitch。
    - vSwitchId: vsw-2zeajfktcyxs0r****** # AlbConfig的vSwitch。

为已有ALB Ingress开启WAF防护

将AlbConfig YAML文件中的edition版本类型修改为StandardWithWaf。更多信息，请参见通过AlbConfig配置ALB实例。