功能介绍
在您使用零信任网络访问您的企业内部系统之前,您需要通过安装连接器,实现企业员工要访问的内部应用系统资源和零信任服务边缘节点的网络连通。连接器是使用反向连接技术,将您的内网应用资源和天翼云零信任网关进行网络连通,避免业务系统暴露于互联网上。远程零信任办公服务通过连接器可实现统一连通企业多云、混合云、云上VPC、本地机房等跨数据中心网络,有效解决企业数字化转型过程中遇到的混合部署模式下统一接入难题,实现企业内网的统一和可信延伸。
使用说明
目前连接器支持Docker,Debian,Red Hat,Windows四种安装方式,其中Debian适用于Ubuntu的系统,Red Hat适用于Centos系统环境,Windows只适用于64位的Windows 10及以上、Windows Server2016及以上64位操作系统。
注意1、您需要在您所需访问的内部网络中准备服务器用于安装连接器,可选择云上服务器(云主机)、虚拟机或是物理服务器等进行部署安装。该服务器需要由客户自行购买,购买零信任服务仅提供产品能力,不提供服务器。
2、根据不同套餐版本对连接器集群数量或是部署的连接器实例数量进行限制,详细请参考零信任服务版本差异对比。
操作步骤
- 登录边缘安全加速控制台,在首页产品能力选择零信任进入工作台。
- 在左侧导航栏选择AOne零信任-网络-连接器管理。
- 根据主导览进行切换管理“连接器集群”或“连接器实例”。
连接器集群
连接器集群是指企业可以使用其所创建的连接器集群安装命令到多台服务器部署多台连接器,组成连接器集群,进行集群化管理,连接器集群下安装的所有连接器实例,均使用连接器集群上的配置。
连接器集群列表字段说明:
字段 说明 备注 连接器集群 您创建连接器集群时填写的集群名称。 连接器实例总数 连接器集群下关联的连接器实例的总数。 连接器集群状态 展示连接器集群下的连接器实例整体状态,禁止连接或未连接的连接器都为异常状态,将有如下四种状态:
连接器未安装:连接器集群下无关联连接器实例(未进行安装或安装不成功),则该集群不可用。
连接器部分异常:存在禁止连接或未连接的连接器实例,以及存在正常连通的连接器实例,则该集群存在风险。
连接器全部异常:全都是禁止连接或未连接的连接器实例,则该集群不可用。
连接器正常运行:全都是正常运行的连接器。
关联应用 您配置的该连接器集群关联的应用名称,在您从零信任客户端访问这部分应用时,将优先走该连接器集群下的连接器进行中转代理访问到应用源站,若该连接器集群下无正在运行的连接器,则这部分应用将会走默认连接器集群进行回源访问。 时间 更新时间:您对该连接器集群配置的修改时间。
创建时间:您创建连接器集群的时间。
操作 基础配置:展示创建连接器集群时填写的基础信息、安装命令。
关联应用:可快速进行连接器集群与应用的关联。
删除:删除对应连接器集群,则无法使用其命令进行安装,此外若存在连接器实例,点击删除则会同步删除连接器实例,对应连接器实例将无法上报连接。
创建和安装连接器
点击“创建连接器集群”按钮,进行创建和配置连接器集群基本信息,我们推荐每个网络、数据中心只创建一个连接器集群进行使用,创建后您可以使用该安装命令在该网络范围内安装多次,实现连接器多活架构,达到高可用效果。
注意第一个创建的连接器集群将作为默认连接器集群使用,若您在新增应用的时候未选择对应的关联连接器集群,系统会自动选择默认的连接器集群作为该应用的关联连接器集群,则您的应用将走默认连接器进行代理转发回源。
填写基础信息
填写连接器集群基础信息,以便后续进行统一管理连接器实例。
字段说明:
| 字段 | 是否必填 | 字段说明 |
|---|---|---|
| 连接器集群名称 | 是 | 给您的连接器集群命名,方便您区分对应的网络数据中心。 |
| 描述 | 否 | 给您的连接器集群进行描述,方便您对连接器集群进行区分和记忆。 |
| 升级方案 | 是 | 可选自动升级或手动升级: 自动升级将在工作日按照设定的升级时间段进行自动升级(同集群内多台机器将进行错开升级,保障服务); 手动升级则由您人工触发升级。 升级过程中若存在异常将自动进行回退,整体升级时间在1分钟左右,若连接器集群仅单连接器,则升级可能存在短暂业务影响,请及时关注。创建连接器集群时配置的升级策略将作为连接器安装实例的初始配置,在您安装完连接器后,您可对安装的连接器实例单独配置升级策略。 |
| 升级时间 | 是 | 若选择自动升级,则需要选择连接器自动升级时间,若新版本发布后将在自动升级时间点内进行后台推送升级,建议您设置在业务低峰期。 |
| 自定义DNS服务器 | 否 | 支持设置连接器解析域名的DNS服务器地址,至多填写3个,若填写多个会进行轮询解析,请确保连接器所在服务器和DNS服务器网络连通,若未填写,则使用部署连接器所在的服务器上的DNS服务器地址。 |
连接器安装
输入基础信息后下一步将自动生成连接器ID和连接器安装命令,请将连接器安装命令复制在服务器终端进行一键安装,安装后平台将展示连接器实例状态。
注意对于业务访问量大的应用,建议部署连接器多活模式,您可以将该命令安装到多台不同的服务器实现多活模式,需保证部署的多台连接器均能连通所需访问的应用地址,零信任中心将根据等价路由算法,将访问请求负载均衡到两台连接器,实现高可用。
连接器安装选型指导
注意连接器所安装部署的虚拟机或服务器需由客户自行购买提供,可根据推荐参数规格进行配置。
连接器所安装部署的虚拟机或者服务器的配置要求:
- 虚拟机或服务器配置:
- CPU:2-4核
- 内存:4-8 GB
- 磁盘:40 GB
- 操作系统:Ubuntu、CentOS 7.x 版本,其中Windows只适用于64位的Windows 10及以上、Windows Server2016及以上64位操作系统,Red Hat类型目前在部分Centos 8.x,Centos 9.x的系统存在不兼容情况,若选择Red Hat类型,请在Centos 7.9以下版本安装。
- 网络配置:可以访问公网,如果存在防火墙且出方向流量存在限制,则需进行放行,允许连接器可以访问公网的TCP 443端口、UDP 53端口和UDP xxx端口,具体端口号请在生成连接器后的页面获取。其中出方向流量指连接器需对外进行连通,安装连接器后并不会产生公网端口暴露。
- 为保障访问连接高可用,建议您一个连接器集群安装并启动至少2个服务器或虚拟机。目前连接器支持Docker、Debian、Red Hat、Windows四种安装方式,其中Debian适用于Ubuntu的系统,Red Hat适用于Centos系统环境,并且只提供X86架构的安装镜像,Windows只适用于64位的Windows 10及以上、Windows Server2016及以上64位操作,系统若有其他需求,可联系我们。
Docker环境安装指导
零信任连接器当前支持多种部署方式,若您选择Docker方式,且所需部署的服务器没有Docker环境,可以按照如下方式部署Docker环境:
#step 1: 安装必要的一些系统工具
sudo yum install -y yum-utils device-mapper-persistent-data lvm2
#step 2:添加软件源信息,请选择合适的docker镜像源,以下命令行请补充替换docker源地址后使用
sudo yum-config-manager --add-repo docker源地址
#step 3 以下命令行请补充替换docker源地址后使用
sudo sed -i 's+download.docker.com+docker源地址/docker-ce+' /etc/yum.repos.d/docker-ce.repo
#step 4: 更新并安装Docker-CE
sudo yum makecache fast
sudo yum -y install docker-ce
#step 5: 开启Docker服务
sudo service docker start
#step 6: 开启Docker服务开机自启动
sudo systemctl enable docker
配置关联应用
配置关联应用主要是将企业的连接器集群与应用进行关联,保障多数据中心场景下的不同应用可以回到对应的数据中心,例如北京、内蒙机房分别部署连接器,则位于内蒙网络的应用资源,需将其关联到内蒙连接器集群上。
注意为保证访问正常,不允许两个存在相同IP地址的应用关联到不同的连接器集群上,请勿将相同IP地址或不同域名相同解析IP的应用使用不同的连接器回源访问。
关联应用
关联应用是将选择对应的应用与当前连接器集群进行相关联。
若存在应用关联冲突,即相同应用地址((相同指完全匹配,例如IP(x.x.x.x)、IPS(x.x.x.x/x)、IPR(x.x.x.x-x.x.x.x)、域名(test.ctyun.cn)完全匹配))关联不同连接器集群,则需要选择一个统一的连接器集群。
批量关联连接器集群
关联连接器集群是选择已关联当前连接器集群的应用进行重新变更该应用关联其他的连接器,并支持批量操作。
连接器实例
可切换到连接器实例,查看连接器实例列表。
使用连接器集群对应的安装命令,安装后将上报连接器实例信息到控制台进行展示和管理。
连接器对应的具体字段:
注意旧版本连接器不支持上报隧道最新在线时间,若您的连接器实例运行时长、最新在线时间、首次上报时间字段值为空,该功能需连接器版本号大于1.17.0及以上,若需要查看这部分字段,请更新连接器实例为最新版。
字段 说明 备注 连接器实例 安装的连接器实例所在服务器的主机名,若为docker安装类型,部分情况下为容器内主机名。 所属集群 连接器实例关联的集群,即通过对应连接器集群命令进行安装则关联对应集群。 连通状态 中心连通:表示连接器和零信任控制中心的GRPC长连接的连通状态,该状态有在线、离线2种,在线表示长连接正常,离线表示长连接掉线,长连接掉线并不影响连接器内网隧道访问,只影响连接器接收配置通道的可用性。
隧道状态:
隧道状态表示连接器访问内网的隧道可用性状态,若隧道状态异常,则该连接器无法进行正常内网访问。隧道状态有如下三种情况:未连接、禁止连接、正在运行。
未连接:表示连接器实例已经离线,可优先检查连接器实例网络连通状态、服务状态。
禁止连接:若您点击“禁止连接”,则该连接器实例即使在线也无法进行上报连通。
正在运行:表示连接器正常运行,连接状态正常。
运行时长:统计连接器隧道在线时长。为隧道为正在运行状态后的最新在线时间减去隧道首次上报时间。
最新在线时间:记录隧道正常运行后的心跳上报,隧道状态为正在运行的连接器会定期上报心跳,此时平台会更新连接器最新在线时间。
首次上报时间:记录隧道从异常变成正常状态后的第一次心跳上报时间,作为连接器此次隧道正常运行的首次上报时间。
安装时间:记录该连接器的安装时间,连接器安装后会进行首次心跳上报作为首次上报时间,若出现安装时间和首次上报时间相间隔过长,说明连接器隧道曾经异常过。
实例地址 展示连接器公网地址对应的运营商和地理位置。
公网IP:展示连接器所在服务器和零信任中心连接的公网地址IP。
带宽(上行/下行) 根据连接器实例上报的带宽指标,统计实时带宽使用情况。 CPU/内存 根据连接器实例所在机器上报的CPU、内存性能指标,展示实时CPU,内存使用情况。 类型 连接器实例所安装的版本类型,主要有:docker、windows、redhat、debian等。 版本号 展示当前连接器实例的版本号,包含安装类型,例如:docker-1.8.1-26d99de。 版本升级策略 展示当前连接器实例对应的版本升级策略,可选择手动升级或者自动升级,可点击后方按钮,修改当前连接器实例对应的版本升级策略。 操作 禁止连接:该连接器实例即使在线也无法进行上报连通。
允许连接:若为禁止连接状态,则可以点击允许连接恢复上报。
重启:支持连接器实例级别的重启,仅支持在连接器正在运行时支持进行重启按钮,重启可能影响服务,请谨慎操作。
删除:删除实例前需要确保已将机器的连接器实例进行卸载删除。
版本升级策略
可自定义选择对应实例的后续更新版本时的版本升级策略。
注意每次版本发布后将进行系统公告通知,可根据实例情况进行选择升级策略,为保证您可以尽快使用到最新的版本特性,建议您选择自动升级方式,系统将在每次新版本发布后,按批次灰度公测升级。
自动升级
若实例选择“自动升级”则需要指定时间,在新版本发布后根据您的指定时间进行安排升级。
手动升级
若实例选择“手动升级”则在存在新版本时,需要进行手动点击获取新版本命令或通过平台一键进行下发升级。
存在新版本则可点击【待升级】进行选择升级方式:
- 立即升级:则触发连接器实例进行升级,无需人工在实例机器上进行操作,建议采用“立即升级”方式,出现异常则会进行自动回退,整体升级时间1分钟左右。
- 命令安装:按照提供的命令步骤进行机器上执行。
连接器状态设置
为避免资源占用,AOne零信任服务将定期对不需要使用连接器的企业进行连接器状态禁用处理,当您的连接器管理页面提示连接器状态为禁用时,请到企业服务进行启用,执行连接器状态禁用主要包括以下场景:连接器集群创建后长时间未激活,企业的全部连接器集群下连接器实例长期状态异常、企业的全部连接器集群长期未存在运行正常的连接器实例,企业零信任服务订购已过期,企业主动将企业服务状态设置为禁用等情况。
若需启用连接器,请选择菜单栏设置->企业服务状态,查看连接器状态,若连接器状态为开关置灰色的情况,点击编辑按钮,将连接器状态改为启用并保存。若企业是因为套餐过期等订购场景导致的连接器状态为禁用的情况,请先完成套餐订购和服务有效后,先将企业服务状态置为启用,然后再点击连接器状态为启用。
