功能介绍
在您访问您的企业内部系统之前,您需要通过安装连接器,实现企业员工要访问的内部应用系统资源和AOne边缘节点的网络连通。连接器是使用反向连接技术,将您的内网应用资源和天翼云零信任安全网关进行网络连通,避免业务系统暴露于互联网上。远程零信任办公服务通过连接器可实现统一连通企业多云、混合云、云上VPC、本地机房等跨数据中心网络,有效解决企业数字化转型过程中遇到的混合部署模式下统一接入难题,实现企业内网的统一和可信延伸。
使用说明
- 您需要在您所需访问的内部网络中准备服务器用于安装连接器,可选择云上服务器(云主机)、虚拟机或是物理服务器等进行部署安装,该服务器需要由客户自行购买。
- 使用该能力需要购买零信任服务或网络服务,针对远程办公或互联互通不同场景进行选择配置。
操作步骤
- 登录边缘安全加速平台控制台,在首页产品能力选择零信任进入工作台。
- 在左侧导航栏选择AOne零信任-网络-连接器管理。
- 根据主导览进行切换管理“连接器集群”或“连接器实例”。
连接器集群
企业可以使用其所创建的连接器集群安装命令到多台服务器部署多台连接器,组成连接器集群,进行集群化管理。连接器集群下安装的所有连接器实例,均使用连接器集群上的配置。
- 远程办公:即员工访问企业内网,基于零信任安全架构、身份管理来实现。员工无需到传统办公场所,而是通过网络在异地完成工作任务。通过购买“零信任服务”来提供远程办公产品服务能力。
- 办公组网:即办公场地/服务器进行网络互连互通,为了满足企业或办公场所的网络需求,将各种网络设备(如路由器、交换机、无线接入点等)进行合理配置和连接,构建一个稳定、高效、安全的计算机网络系统,以实现办公设备之间的互联互通、资源共享等。通过购买“网络服务-办公组网”来提供办公组网能力。
说明同一个连接器集群,可以同时支持远程办公和办公组网场景。
连接器集群列表字段说明:
字段 说明 备注 连接器集群 您创建连接器集群时填写的集群名称。 区域 您的连接器集群接入位置。 使用场景 您创建连接器集群时所选的场景:远程办公、办公组网。 连接器实例总数 连接器集群下关联的连接器实例的总数。 连接器集群状态 展示连接器集群下的连接器实例整体状态,禁止连接或未连接的连接器都为异常状态,将有如下四种状态:
连接器未安装:连接器集群下无关联连接器实例(未进行安装或安装不成功),则该集群不可用。
连接器部分异常:存在禁止连接或未连接的连接器实例,以及存在正常连通的连接器实例,则该集群存在风险。
连接器全部异常:全都是禁止连接或未连接的连接器实例,则该集群不可用。
连接器正常运行:全都是正常运行的连接器。
关联应用 您配置的该连接器集群关联的应用名称,在您从零信任客户端访问这部分应用时,将优先走该连接器集群下的连接器进行中转代理访问到应用源站,若该连接器集群下无正在运行的连接器,则这部分应用将会走默认连接器集群进行回源访问。 时间 更新时间:您对该连接器集群配置的修改时间。
创建时间:您创建连接器集群的时间。
操作 基础配置:展示创建连接器集群时填写的基础信息、安装命令。
关联应用:可快速进行连接器集群与应用的关联。
删除:删除对应连接器集群,则无法使用其命令进行安装,此外若存在连接器实例,点击删除则会同步删除连接器实例,对应连接器实例将无法上报连接。
创建连接器集群
点击“创建连接器集群”按钮,进行创建和配置连接器集群基本信息,我们推荐每个网络、数据中心只创建一个连接器集群进行使用,创建后您可以使用该安装命令在该网络范围内安装多次,实现连接器多活架构,达到高可用效果。连接器集群通过基础信息、安装命令、关联应用三个维度来实现连接器集群配置管理。
注意第一个创建的连接器集群将作为默认连接器集群使用,若您在新增应用的时候未选择对应的关联连接器集群,系统会自动选择默认的连接器集群作为该应用的关联连接器集群,则您的应用将走默认连接器进行代理转发回源。
基础信息配置
填写连接器集群基础信息,以便后续进行统一管理连接器实例,目前新增连接器集群时需定义其使用场景,根据不同场景配置会存在一定的差异。
远程办公场景下的新增连接器集群界面:
办公组网场景下的新增连接器集群界面:
字段说明:
| 字段 | 场景 | 是否必填 | 字段说明 |
|---|---|---|---|
| 连接器集群名称 | 远程办公/办公组网 | 是 | 给您的连接器集群命名,方便您区分对应的网络数据中心。 |
| 描述 | 远程办公/办公组网 | 否 | 给您的连接器集群进行描述,方便您对连接器集群进行区分和记忆。 |
| 使用场景 | 远程办公/办公组网 | 是 | 支持单选或者多选远程办公、办公组网。 |
| 部署模式 | 办公组网 | 是 | **使用场景仅办公组网时,出现部署模式配置。**支持配置为: POP模式:在全球或区域范围内设置多个 POP 点,企业分支机构先连接到就近的 POP 点,POP 点之间通过专线骨干网互联,然后再通过 POP 点连接到企业总部、数据中心或云资源等。适用于分支众多、有跨省或跨国业务的中大型企业,尤其是对网络性能、安全和管理效率要求较高,需要频繁访问云资源或与多个分支机构进行数据交互的企业。 直连模式:远程办公地点或分支机构直接通过AOne加密方式通过互联网直接连接到企业总部网络,没有中间的 POP 点作为中转,是一种点到点的直接连接方式。适合规模较小、分支机构或远程办公点数量较少,网络需求相对简单,主要是实现与企业总部的直接通信和资源共享,对网络成本较为敏感的企业或组织。 混合模式:连接器集群同时与POP模式和直连模式的其他连接器配为组网。 注意:若您希望该连接器集群同时作为远程办公、办公组网共同使用时,部署模式仅支持POP模式。 |
| 计费区域/接入区域 | 远程办公/办公组网 | 是 | 根据您的订购区域,下拉可选连接器集群部署位置,我们将为您选择已订购区域内的最佳接入点。零信任套餐默认可选中国内地。 |
| 带宽上限 | 办公组网 | 是 | 使用场景包含办公组网时,出现带宽上限配置。 POP模式/混合模式:您可以根据实际需求对连接器集群进行限制,累积所有集群最大不超过区域订购带宽。 直连模式:支持配置1-5000Mbps的带宽限制。 |
| 直连UDP端口 | 办公组网 | 是 | 部署模式为直连模式时,支持配置直连UDP端口,默认50000。 |
| 自定义DNS服务器 | 远程办公/办公组网 | 否 | 支持设置连接器解析域名的DNS服务器地址,至多填写3个,若填写多个会进行轮询解析,请确保连接器所在服务器和DNS服务器网络连通,若未填写,则使用部署连接器所在的服务器上的DNS服务器地址。 |
| 升级方案 | 远程办公/办公组网 | 是 | 可选自动升级或手动升级: 自动升级将在工作日按照设定的升级时间段进行自动升级(同集群内多台机器将进行错开升级,保障服务); 手动升级则由您人工触发升级。 升级过程中若存在异常将自动进行回退,整体升级时间在1分钟左右,若连接器集群仅单连接器,则升级可能存在短暂业务影响,请及时关注。创建连接器集群时配置的升级策略将作为连接器安装实例的初始配置,在您安装完连接器后,您可对安装的连接器实例单独配置升级策略。 |
| 升级时间 | 远程办公/办公组网 | 是 | 若选择自动升级,则需要选择连接器自动升级时间,若新版本发布后将在自动升级时间点内进行后台推送升级,建议您设置在业务低峰期。 |
连接器命令安装
连接器集群安装界面将自动生成连接器ID和连接器安装命令。请将连接器安装命令复制在服务器终端进行一键安装,安装后将上报连接器实例信息,平台的连接器实例可进行展示其状态。
连接器安装支持的系统架构、连接器安装的服务器选型指导要求详情见连接器安装。
配置关联应用
配置关联应用主要是将企业的连接器集群与应用进行关联,保障多数据中心场景下的不同应用可以回到对应的数据中心。例如北京、内蒙机房分别部署连接器,则位于内蒙网络的应用资源,需将其关联到内蒙连接器集群上。
注意为保证访问正常,不允许两个存在相同IP地址的应用关联到不同的连接器集群上,请勿将相同IP地址或不同域名相同解析IP的应用使用不同的连接器回源访问。
若存在应用关联冲突,即相同应用地址((相同指完全匹配,例如IP(x.x.x.x)、IPS(x.x.x.x/x)、IPR(x.x.x.x-x.x.x.x)、域名(test.ctyun.cn)完全匹配))关联不同连接器集群,则需要选择一个统一的连接器集群。
批量关联连接器集群
关联连接器集群是选择已关联当前连接器集群的应用进行重新变更该应用关联其他的连接器,并支持批量操作。
连接器实例
企业将连接器安装部署到企业服务器上后,连接器实例将进行上报相关信息,可通过切换到连接器实例来查看和管理连接器实例。
连接器对应的具体字段:
注意旧版本连接器不支持上报隧道最新在线时间,若您的连接器实例运行时长、最新在线时间、首次上报时间字段值为空,该功能需连接器版本号大于1.17.0及以上,若需要查看这部分字段,请更新连接器实例为最新版。
字段 说明 备注 连接器实例 安装的连接器实例所在服务器的主机名,若为docker安装类型,部分情况下为容器内主机名。 所属集群 连接器实例关联的集群,即通过对应连接器集群命令进行安装则关联对应集群。 连通状态
中心连通:表示连接器和零信任控制中心的GRPC长连接的连通状态,该状态有在线、离线2种,在线表示长连接正常,离线表示长连接掉线,长连接掉线并不影响连接器内网隧道访问,只影响连接器接收配置通道的可用性。
隧道状态:隧道状态表示连接器访问内网的隧道可用性状态,若隧道状态异常,则该连接器无法进行正常内网访问。隧道状态有如下三种情况:未连接、禁止连接、正在运行。未连接:表示连接器实例已经离线,可优先检查连接器实例网络连通状态、服务状态。禁止连接:若您点击“禁止连接”,则该连接器实例即使在线也无法进行上报连通。正在运行:表示连接器正常运行,连接状态正常。
运行时长:统计连接器隧道在线时长。为隧道为正在运行状态后的最新在线时间减去隧道首次上报时间。
最新在线时间:记录隧道正常运行后的心跳上报,隧道状态为正在运行的连接器会定期上报心跳,此时平台会更新连接器最新在线时间。
首次上报时间:记录隧道从异常变成正常状态后的第一次心跳上报时间,作为连接器此次隧道正常运行的首次上报时间。
安装时间:记录该连接器的安装时间,连接器安装后会进行首次心跳上报作为首次上报时间,若出现安装时间和首次上报时间相间隔过长,说明连接器隧道曾经异常过。
实例地址 展示连接器公网地址对应的运营商和地理位置。
公网IP:展示连接器所在服务器和零信任中心连接的公网地址IP。
监控指标
带宽(上行/下行):根据连接器实例上报的带宽指标,统计实时带宽使用情况。
CPU/内存:根据连接器实例所在机器上报的CPU、内存性能指标,展示实时CPU,内存使用情况。
带宽上限
连接器实例带宽受到集群带宽限。
连接器实例初始化时,远程办公场景下带宽不限制。场景包含办公组网,带宽受到集群带宽最大值限制。
类型 连接器实例所安装的版本类型,主要有:docker、windows、redhat、debian等。 架构 连接器实例所在系统架构:x86、arm。 版本号 展示当前连接器实例的版本号,包含安装类型,例如:docker-1.8.1-26d99de。 版本升级策略 展示当前连接器实例对应的版本升级策略,可选择手动升级或者自动升级,可点击后方按钮,修改当前连接器实例对应的版本升级策略。 操作
禁止连接:该连接器实例即使在线也无法进行上报连通。
允许连接:若为禁止连接状态,则可以点击允许连接恢复上报。
重启:支持连接器实例级别的重启,仅支持在连接器正在运行时支持进行重启按钮,重启可能影响服务,请谨慎操作。
删除:删除实例前需要确保已将机器的连接器实例进行卸载删除。
版本升级策略
可自定义选择对应实例的后续更新版本时的版本升级策略。
注意每次版本发布后将进行系统公告通知,可根据实例情况进行选择升级策略,为保证您可以尽快使用到最新的版本特性,建议您选择自动升级方式,系统将在每次新版本发布后,按批次灰度公测升级。
自动升级
若实例选择“自动升级”则需要指定时间,在新版本发布后根据您的指定时间进行安排升级。
手动升级
若实例选择“手动升级”则在存在新版本时,需要进行手动点击获取新版本命令或通过平台一键进行下发升级。
存在新版本则可点击【待升级】进行选择升级方式:
- 立即升级:则触发连接器实例进行升级,无需人工在实例机器上进行操作,建议采用“立即升级”方式,出现异常则会进行自动回退,整体升级时间1分钟左右。
- 命令安装:按照提供的命令步骤进行机器上执行。
连接器状态
为避免资源占用,AOne零信任服务-远程办公将定期对不需要使用连接器的企业进行连接器状态禁用处理,当您的连接器管理页面提示连接器状态为禁用时,请到企业服务进行启用,执行连接器状态禁用主要包括以下场景:
- 连接器集群创建后长时间未激活
- 企业的全部连接器集群下连接器实例长期状态异常
- 企业的全部连接器集群长期未存在运行正常的连接器实例
- 企业零信任服务订购已过期,企业主动将企业服务状态设置为禁用等情况。
若需启用连接器,请选择菜单栏设置->企业服务状态,查看连接器状态,若连接器状态为开关置灰色的情况,点击编辑按钮,将连接器状态改为启用并保存。若企业是因为套餐过期等订购场景导致的连接器状态为禁用的情况,请先完成套餐订购和服务有效后,先将企业服务状态置为启用,然后再点击连接器状态为启用。
