IBM Cloud Docs
Configurar o caminho da solicitação do seu agente Connector

Configurar o caminho da solicitação do seu agente Connector

Este documento mostra como configurar o destino de destino para solicitações de saída de seu agente Connector. Você pode configurar o agente para enviar suas solicitações de saída por meio de um servidor proxy e pode configurar o host de entrada do servidor Satellite Tunnel para o qual o Connector Agent encaminhará o tráfego.

Configuração de um proxy para seu Satellite Agente conector

Você pode usar um proxy de encaminhamento para estabelecer a conexão de túnel para seu Satellite Connector agent.

Há várias maneiras de configurar um proxy. Essas instruções pressupõem que você tenha um proxy configurado corretamente, acessível a partir da máquina que executa o agente Connector. As instruções a seguir foram testadas com a máquina do agente Connector executando Ubuntu 22.04 com um proxy Squid explícito executado em uma máquina diferente do agente Connector.

As variáveis de ambiente " HTTP_PROXY e " HTTPS_PROXY são usadas para redirecionar o tráfego para o seu proxy. Por exemplo:

HTTP_PROXY=http://myUserName:myPassword@my.proxy.example.com:3128
HTTPS_PROXY=https://myUserName:myPassword@my.proxy.example.com:3129

A definição dessas variáveis de ambiente a serem usadas pelo agente Connector depende de seu ambiente de tempo de execução.

Em uma plataforma de contêiner, adicione-os ao seu arquivo " env.txt.

SATELLITE_CONNECTOR_ID=U2.....wZyI
SATELLITE_CONNECTOR_IAM_APIKEY=/agent-env-files/apikey
SATELLITE_CONNECTOR_TAGS=test
HTTP_PROXY=http://myUserName:myPassword@192.168.3.87:3128
HTTPS_PROXY=https://myUserName:myPassword@192.168.3.87:3129

No Windows, adicione-os ao seu arquivo " config.json.

{
  "SATELLITE_CONNECTOR_ID": "U2.....wZyI",
  "SATELLITE_CONNECTOR_IAM_APIKEY": "C:\\path\\to\\apikey",
  "SATELLITE_CONNECTOR_TAGS": "test",
  "PRETTY_LOG": true,
  "HTTP_PROXY": "http://myUserName:myPassword@192.168.3.87:3128",
  "HTTPS_PROXY": "https://myUserName:myPassword@192.168.3.87:3129"
}

Se o seu agente Connector estiver sendo executado em uma plataforma de contêineres, certifique-se de que o tempo de execução da plataforma de contêineres também esteja usando o proxy ao extrair imagens de " icr.io. Para obter mais informações, consulte Configurar o daemon Docker para usar um servidor proxy.

Configuração de um host de entrada do servidor Tunnel para seu Satellite Agente conector

Você pode configurar o host de entrada do servidor do Satellite Tunnel para o qual o Connector Agent encaminhará o tráfego. O agente Connector suporta a especificação de hosts Ingress públicos ou privados. Para ajudar no gerenciamento da conformidade, você pode configurar um único destino de rede para reduzir o número de endereços IP de saída a serem permitidos no firewall. Além disso, ao especificar um host Ingress interno, você pode garantir que o tráfego entre o Connector Agent e o Tunnel Server permaneça em sua rede privada e que nenhum tráfego use a Internet pública.

Especificação de um host interno

Os hosts Ingress internos são regionais com o formato d-{nn}-ws.private.{mzr}.link.satellite.cloud.ibm.com (por exemplo, um Ingress privado de servidor de túnel em us-south é d-01-ws.private.us-south.link.satellite.cloud.ibm.com). Esses hosts são resolvidos para endereços IP do Cloud Service Endpoint (CSE) que são endereços IBM reservados no intervalo 166.9.x.x. Ao conectar o agente usando esses endereços, você pode garantir que todo o tráfego para o servidor do Tunnel permanecerá na rede privada interna da IBM.

Siga as etapas para configurar seu agente Connector para usar um host Ingress interno.

  1. Revise os pré-requisitos para executar um agente Connector.

  2. Se o Connector Agent não conseguir acessar os endereços IP do ponto de extremidade do CSE do servidor de túnel diretamente de sua rede local, talvez seja necessário criar um relé para enviar as solicitações do agente. Para obter mais informações, consulte criando um relé.

  3. Defina o parâmetro SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS junto com os outros parâmetros necessários do agente. Por exemplo:

    Em uma plataforma de contêiner, no seu arquivo " env.txt.

    SATELLITE_CONNECTOR_ID=U2.....wZyI
SATELLITE_CONNECTOR_IAM_APIKEY=/agent-env-files/api-key
SATELLITE_CONNECTOR_TAGS=test
SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS=d-01-ws.private.us-south.link.satellite.cloud.ibm.com

    No Windows, em seu arquivo ' config.json.

    {
  "SATELLITE_CONNECTOR_ID": "U2.....wZyI",
  "SATELLITE_CONNECTOR_IAM_APIKEY": "C:\\path\\to\\apikey",
  "SATELLITE_CONNECTOR_TAGS": "test",
  "PRETTY_LOG": true,
  "SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS": "d-01-ws.private.us-south.link.satellite.cloud.ibm.com"
}

  4. Siga as etapas para executar o agente do Connector na sua plataforma de contêineres ou no Windows.

Especificação de um único destino de rede

Você pode especificar um único destino de rede em vez de vários destinos para reduzir o número de endereços IP de saída a serem permitidos no firewall. Você pode limitar o tráfego para usar somente os endereços IP de entrada do servidor de túnel em uma única região, definindo o parâmetro " SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS como um host regional específico.

Os hosts de Ingress público são regionais com o formato " c-{nn}-ws.{mzr}.link.satellite.cloud.ibm.com (por exemplo, o Ingress público de um servidor de túnel em us-south é " c-01-ws.us-south.link.satellite.cloud.ibm.com). Para usar o Ingress público em us-south, inclua o seguinte parâmetro:

  • Em uma plataforma de contêiner, no seu arquivo " env.txt.

    SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS=c-01-ws.us-south.link.satellite.cloud.ibm.com

  • No Windows, em seu arquivo ' config.json.

    "SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS": "c-01-ws.us-south.link.satellite.cloud.ibm.com"

Essa configuração permitirá que você limite o firewall para permitir apenas os endereços IP do Sul dos EUA169.46.88.106, 169.61.31.178, 169.61.156.226), conforme descrito nos requisitos de rede.