运维实战华为云waf怎么设置结合云监控实现告警联动

1.

概述：为什么要把华为云WAF和云监控结合

- 目的：实现入侵/CC/异常流量自动告警并联动防护策略调整。
- 背景：传统仅靠WAF被动拦截，缺少统一告警与自动化处置流程。
- 关键收益：缩短响应时间、降低误报人工介入、保证业务可用性。
- 适用场景：电商秒杀、游戏登录高并发、API 网关异常。
- 关联组件：WAF（Web应用防火墙）、CES/云监控、SMN（消息通知）、FunctionGraph（函数）或调用WAF API。
- 要点提示：先保证WAF日志上报（LTS/OBS），再建立云监控指标采集与告警策略。

2.

WAF 基础配置步骤（准备工作）

- 步骤1：在华为云控制台开启WAF服务并创建实例，记录实例ID与区域。
- 步骤2：在WAF中添加域名 example.com，设置回源为后端ECS私有IP组：10.0.1.11/10.0.1.12/10.0.1.13。
- 步骤3：启用访问日志上报到LTS（日志服务），确保日志保留 7-30 天以利排查。
- 步骤4：配置基础策略：启用 Bot 管控、CC 防护、风险请求自动拦截规则集（含速率阈值）。
- 步骤5：测试规则生效：使用ab或wrk做压力验证，记录被拦截与通过请求数。
- 配置示例（WAF控制台可见）：WAF实例ID：waf-abc1234，域名ID：dom-5678。

3.

云监控（CES）指标与告警规则设计

- 关键指标：waf.total_requests（总请求数/s）、waf.block_requests（被拦截数/s）、waf.cc_rate（CC命中率）、backend.response_time（后端平均响应时间）。
- 告警维度：短期突发（1分钟）、中期趋势（5分钟）、长期异常（1小时）。
- 建议阈值示例：1分钟内总请求 > 1000r/s 触发预警；block_rate > 10% 触发紧急告警；后端平均响应时间 > 1.5s 触发告警。
- 告警级别：Warning（人工介入）、Critical（自动化联动）。
- 通知通道：SMN（短信/邮件）、Webhook、FunctionGraph（自动执行脚本）。
- 采集周期建议：采样间隔 1 分钟；告警触发条件配置连续 N 次满足（例如 3 次）以减少误报。

4.

告警联动实现方案（SMN + FunctionGraph + API）

- 步骤A：在云监控中创建告警策略，设置触发动作为调用SMN主题并推送至FunctionGraph的HTTP触发器。
- 步骤B：FunctionGraph 函数内容：接收告警JSON，解析指标与域名，调用WAF API调整策略（如提升CC防护阈值或临时加入IP白名单/黑名单）。
- 步骤C：WAF API 示例（curl 调用，需先获取IAM Token）：
curl -X POST "https://waf.myhuaweicloud.com/v1/waf/instances/waf-abc1234/policy/adjust" -H "X-Auth-Token: ${TOKEN}" -d '{"domain":"example.com","action":"enable_strict_cc","threshold":800}'
- 步骤D：回滚机制：告警结束后由 FunctionGraph 调用WAF API 将策略恢复到基线配置。
- 步骤E：日志与审计：所有变更写入LTS并在SMN中保存告警ID，便于后续审计和误杀回溯。

5.

真实案例：电商秒杀期间的WAF+云监控联动（含服务器配置数据）

- 场景简介：某电商爆品上线秒杀，流量在 11:00-11:05 峰值短时达到 4.2k r/s。
- 后端服务器组配置：4 台ECS，规格 4 vCPU / 8 GB RAM，私有网 IP：10.0.1.11~10.0.1.14，Nginx worker_processes 4。
- WAF 初始策略：CC 阈值 1000 r/s，Bot 识别默认策略，LTS 保存 30 天日志。
- 触发过程：云监控在 11:01 检测到 1 分钟总请求 4200 r/s（>1000），并且 block_rate 升至 18%（>10%），触发 Critical 告警并调用 FunctionGraph。
- 联动结果：FunctionGraph 自动将域名example.com的CC阈值调整到 800 r/s 并启用严格校验，30s 内请求降至稳定 900 r/s，误杀率 <0.5%，系统正常承载。

（表格：服务器与阈值数据演示）

项目	Baseline	秒杀峰值	触发阈值
总请求（r/s）	200	4200	1000（预警）/2000（Critical）
被拦截率	2%	18%	10%
后端平均响应	0.18s	1.8s	1.5s
ECS 配置	4 vCPU / 8GB *4台	4 vCPU / 8GB *4台	N/A

6.

常见问题与优化建议

- 问题1：误杀正常用户导致投诉。建议：采用分级策略（警告→限速→封禁）并结合验证码/JS挑战减低误杀。
- 问题2：告警抖动频繁。建议：在告警策略中使用连续次数阈值（如连续3次）、并扩大统计窗口（5分钟）以稳定触发。
- 问题3：联动脚本失败。建议：在FunctionGraph中实现幂等性、重试机制与变更回滚。
- 优化1：基于 LTS 日志做异常流量画像，定期调整规则白名单与黑名单。
- 优化2：在WAF前后结合CDN+WAF+DDoS防护，分层过滤大流量以降低 ECS 与 WAF 负载。