IBM Cloud Docs
配置 Connector 代理的请求路径

配置 Connector 代理的请求路径

本文档介绍如何配置 Connector 代理发出请求的目标目的地。 您可以配置代理通过代理服务器发送外发请求,也可以配置连接代理将流量转发到的Satellite隧道服务器输入主机。

为您的Satellite配置代理连接器代理

您可以使用前向代理为Satellite建立隧道连接。连接器代理建立隧道连接。

设置代理的方法有很多种。 这些说明假定你有一个正确配置的代理,可以从运行 Connector 代理的机器上访问。 以下说明是在运行Ubuntu 22.04的 Connector 代理机器上进行的测试,在与 Connector 代理不同的机器上运行了一个显式Squid代理。

HTTP_PROXY 和 "HTTPS_PROXY 环境变量用于将流量重定向到代理。 例如:

HTTP_PROXY=http://myUserName:myPassword@my.proxy.example.com:3128
HTTPS_PROXY=https://myUserName:myPassword@my.proxy.example.com:3129

为 Connector 代理设置这些环境变量取决于运行环境。

在容器平台上,将它们添加到 "env.txt 文件中。

SATELLITE_CONNECTOR_ID=U2.....wZyI
SATELLITE_CONNECTOR_IAM_APIKEY=/agent-env-files/apikey
SATELLITE_CONNECTOR_TAGS=test
HTTP_PROXY=http://myUserName:myPassword@192.168.3.87:3128
HTTPS_PROXY=https://myUserName:myPassword@192.168.3.87:3129

在 Windows 系统中,将它们添加到 "config.json 文件中。

{
  "SATELLITE_CONNECTOR_ID": "U2.....wZyI",
  "SATELLITE_CONNECTOR_IAM_APIKEY": "C:\\path\\to\\apikey",
  "SATELLITE_CONNECTOR_TAGS": "test",
  "PRETTY_LOG": true,
  "HTTP_PROXY": "http://myUserName:myPassword@192.168.3.87:3128",
  "HTTPS_PROXY": "https://myUserName:myPassword@192.168.3.87:3129"
}

如果 Connector 代理在容器平台上运行,请确保在从 "icr.io 提取映像时,容器平台运行时也使用代理。 更多信息,请参阅 配置Docker守护进程以使用代理服务器

为Satellite配置隧道服务器入口主机连接器代理

您可以配置 Connector 代理将流量转发到的 Satellite 隧道服务器入口主机。 连接器代理支持指定公共或私有入口主机。 为帮助进行合规管理,您可以配置单一网络目标,以减少防火墙允许的出站 IP 地址数量。 此外,通过指定内部入口主机,可以确保 Connector 代理和隧道服务器之间的流量保持在专用网络内,而不会使用公共互联网。

指定内部主机

内部入口主机的区域格式为 d-{nn}-ws.private.{mzr}.link.satellite.cloud.ibm.com(例如,位于 us-south 的隧道服务器私有入口为 d-01-ws.private.us-south.link.satellite.cloud.ibm.com)。 这些主机解析到云服务端点 (CSE) IP 地址,这些地址是 IBM 保留地址,位于 166.9.x.x 范围内。 通过使用这些地址连接代理,可以确保通往隧道服务器的所有流量都保持在 IBM 的内部专用网络中。

请按照以下步骤配置 Connector 代理以使用内部 Ingress 主机。

  1. 查看运行 Connector 代理的 前提条件

  2. 如果 Connector 代理无法从本地网络直接到达隧道服务器的 CSE 端点 IP 地址,则可能需要创建一个中继站来发送代理请求。 有关详细信息,请参阅 创建中继

  3. 设置 SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS 参数和其他必要的 代理参数。 例如:

    在容器平台上,在 "env.txt 文件中。

    SATELLITE_CONNECTOR_ID=U2.....wZyI
SATELLITE_CONNECTOR_IAM_APIKEY=/agent-env-files/api-key
SATELLITE_CONNECTOR_TAGS=test
SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS=d-01-ws.private.us-south.link.satellite.cloud.ibm.com

    在 Windows 系统中,在 "config.json 文件中。

    {
  "SATELLITE_CONNECTOR_ID": "U2.....wZyI",
  "SATELLITE_CONNECTOR_IAM_APIKEY": "C:\\path\\to\\apikey",
  "SATELLITE_CONNECTOR_TAGS": "test",
  "PRETTY_LOG": true,
  "SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS": "d-01-ws.private.us-south.link.satellite.cloud.ibm.com"
}

  4. 按照步骤运行 Connector 代理 在您的容器平台上在 Windows 上.

指定单一网络目的地

您可以指定单个网络目的地而不是多个目的地,以减少防火墙允许的出站 IP 地址数量。 通过将 "SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS 参数设置为特定区域主机,可以限制流量只使用单个区域的隧道服务器入口 IP 地址。

公共入口主机的区域格式为 "c-{nn}-ws.{mzr}.link.satellite.cloud.ibm.com(例如,位于美国南部的隧道服务器公共入口为 "c-01-ws.us-south.link.satellite.cloud.ibm.com)。 要使用 us-south 的公共入口,请加入以下参数:

  • 在容器平台上,在 "env.txt 文件中。

    SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS=c-01-ws.us-south.link.satellite.cloud.ibm.com

  • 在 Windows 系统中,在 "config.json 文件中。

    "SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS": "c-01-ws.us-south.link.satellite.cloud.ibm.com"

通过此设置,您可以将防火墙限制为只允许美国南方 IP 地址169.46.88.106、169.61.31.178、169.61.156.226),如 网络要求 中所述。