混合云管理

最近更新时间:2026-07-03 11:16:01

我的收藏

概述

混合云管理功能支持将 WAF 防护能力部署到用户私有环境(自有 IDC 或私有云),在控制台统一下发配置、查看日志和监控防护状态。

适用场景

业务系统部署在自有 IDC,希望通过 WAF 对私有环境流量进行防护。
已采购云原生型 WAF 企业版及以上实例,希望将防护能力延伸至混合云/私有云环境。
需要在统一控制台上管理公有云和私有云两侧的 WAF 防护配置。

前提条件

已购买云原生型 WAF 企业版及以上实例(购买时默认赠送 1 个混合云防护节点)。
已通过 工单 申请购买额外混合云防护节点,使节点总数 ≥ 2(默认赠送 1 个 + 额外购买至少 1 个)。
私有环境中已准备好用于部署混合云检测节点的服务器资源(支持 Docker Swarm 或 K8s 部署底座)。
私有环境与腾讯云公有云之间网络可达(用于配置拉取和日志上报)。

操作步骤

步骤1:部署混合云防护节点

购买节点后,需要在私有环境中部署混合云检测节点。
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择服务设置 > 混合云管理
3. 在混合云管理页面,查看已购买的节点配额和节点列表。
4. 单击本地部署物料下载,获取对应节点的部署配置文件(Docker Compose 文件或 Helm Chart)。
5. 登录私有环境中的服务器,进入部署配置文件所在目录,执行部署命令。
Docker Swarm 部署示例
docker stack deploy -c waf-hybrid-compose.yml waf_hybrid
K8s 部署示例
helm install waf-hybrid waf-hybrid-chart/ -f values.yaml
6. 部署完成后,在私有环境中执行健康检查,确认各服务状态正常。
# 检查服务状态(Docker Swarm)
docker service ls

# 检查 Pod 状态(K8s)
kubectl get pods -n waf-hybrid
7. 返回 WAF 控制台混合云管理页面,确认节点状态显示为正常
说明:
部署过程中如遇到问题,请检查私有环境与公有云之间的网络连通性,并确认部署节点的资源规格满足最低要求。

步骤2:接入防护对象

混合云节点部署完成后,需要将防护域名接入混合云节点,具体操作步骤详见 混合云网关接入

步骤3:配置防护策略

防护对象接入后,需要配置防护策略。
1. 在左侧导航栏中,选择基础安全
2. 在基础安全页面顶部,选择已接入的目标混合云实例和域名。
3. 配置各类防护规则,包括:
Web 防护规则:SQL 注入、XSS、命令注入等攻击防护,具体操作步骤详见 规则引擎(新)
CC 防护规则:基于 IP、Session、Header 等维度的频率限制,具体操作步骤详见 设置 CC 防护规则
自定义规则:根据业务需求自定义匹配条件和处置动作,具体操作步骤详见 自定义策略
4. 配置完成后,策略将下发至混合云节点。
说明:
混合云节点的配置下发采用长轮询机制,策略变更后通常在 1~2 分钟内生效。

步骤 4:查看防护日志

混合云节点的防护日志会发送到腾讯云公有云,可以在控制台查看。
1. 在左侧导航栏中,选择攻击日志
2. 在攻击日志页面顶部,选择已接入的目标混合云实例和域名。
3. 查看混合云节点产生的攻击日志,支持按时间、域名、攻击类型等条件过滤,具体操作步骤详见 攻击日志
4. 如需将日志投递到指定的日志系统(CLS 或 CKafka),可在日志投递页面配置投递目标,具体操作步骤详见 日志投递