专线部署要求
专线(又名连接器)是通过反连方案,单向连通腾讯云网关和您的内网资源、SaaS 资源等。业务系统无须暴露于互联网上,仅需出方向放通下述地址:
类型 | 详情 |
网络 | 出方向放通所需地址,请优先以域名模式进行放通。需放通地址如下: 专线管理服务地址:ch1.channel.gateway.tencentwsd.cn:30226 ——TCP (示例)专线反连服务地址:ch2-(租户ID).channel.gateway.tencentwsd.cn:(端口号) ——TCP 控制面上报数据地址(总控地址):scs.gateway.tencent.com:443 ——TCP WireGuard 通道服务地址:wg1.channel.gateway.tencentwsd.cn:13303 ——UDP |
建议操作系统 | Centos7.6 CPU:2-4核,内存4-8G,硬盘100G以上。 |
出口宽带 | 不低于当前 iOA 带宽(10Mbps)。 |
专线数量 | 建议同一个资源部署2个专线,实现灾备。 |
部署区域 | 支持部署于 DMZ 区。 DMZ 区是指为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。 |
连接器部署适用的场景
场景1:针对同一个业务资源部署多个专线,实现高可用
在同一个专线分组中添加多条专线,并将这些专线连接器分别部署在不同机器上。当发起业务访问时,系统会随机使用相同专线分组中状态为已连通的专线连接器去建立连接。
场景2:业务资源分布在不同网络、地区、机房
场景3:连接器迁移
每个专线连接器都有唯一 ID 用于向 iOA SaaS 网关注册,因此每个连接器只能同时运行在一台机器上。如需迁移连接器,为了避免业务出现中断,建议在原连接器所属专线分组中新增专线,将新专线连接器部署在新机器上,再根据需要在原连接器机器上停用连接器进程服务,并在 iOA SaaS 控制台将旧连接器专线删除。
连接器安装部署示例
步骤1:添加专线分组
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择专线管理。
2. 在专线管理页面,单击专线组右侧的
。3. 在专线组管理窗口中,输入专线组名称,单击确定。
步骤2:添加专线连接器
1. 在专线管理页面,选择刚刚创建的分组,单击添加专线。
2. 在添加专线窗口中,输入专线名称,单击确定。
步骤3:下载连接器
1. 在专线管理页面,选择目标专线,单击下载连接器。
2. 根据实际需求,单击 Windows 或 Linux,下载连接器。
3. 请将下载的专线连接器安装包上传至目标机器上进行安装。
步骤4:卸载当前已安装的连接器(如果机器上未安装过连接器,可跳到步骤5)
卸载 Windows 连接器
1. 找到旧的 Windows 连接器安装目录。
2. 将 connector.exe 拖入命令提示符中。
3. 输入参数 uninstall 后回车,执行卸载。
4. 如果遇到如下图报错:
使用管理员身份打开命令提示符,再次执行上述命令即可。
卸载 Linux 连接器
1. 输入如下命令,修改连接器自启动文件。
mv /etc/systemd/system/connector.service /etc/systemd/system/connector.service.bak
2. 输入如下命令,终止旧连接器进程。
ps -aux|grep connector。
kill -9 进程 id。
说明:
①处为进程 id。
步骤5:安装新的连接器
Windows 安装新连接器
1. 将压缩包拷贝到准备好的内网服务器上解压缩,双击运行 connector.exe。
说明:
此操作会自动设置连接器开机自启动。
2. 在任务管理器的服务页签,检查 connector 进程的运行状态为正在运行。
2. 在专线管理页面,选择目标专线,查看连接器连通状态。
Liunx 安装新连接器
1. 将压缩包拷贝到准备好的内网服务器上,依次执行如下命令:
tar -zxvf connector-xxxxxx.tar.gz//解压缩cd connector-xxxxxx//进入解压后的目录chmod +x connector//给连接器程序执行权限./connector//运行连接器。注:会自动设置连接器开机自启动
说明:
root 权限直接执行上面命令即可,非 root 权限,命令前面需添加 sudo。例如:sudo tar -zxvf connector-xxxxxx.tar。
2. 输入
ps -aux |grep connector
检测进程是否正常运行。