IBM Cloud Docs
配置來自連接器代理程式的請求路徑

配置來自連接器代理程式的請求路徑

本文件說明如何設定 Connector 代理外送要求的目標目的地。 您可以將代理程式設定為透過代理伺服器傳送其傳出要求,並且可以設定連接器代理將流量轉送到的Satellite隧道伺服器入口主機。

為您的Satellite連接器代理程式設定代理

您可以使用轉送代理程式為您的Satellite連接器代理程式建立隧道連線。

設定代理的方法有多種。 這些說明假定您有一個正確配置的代理,可以從執行連接器代理的電腦存取該代理。 以下說明已在執行Ubuntu 22.04連接器代理電腦上進行了測試,並且明確Squid代理程式在與連接器代理程式不同的電腦上執行。

HTTP_PROXYHTTPS_PROXY 環境變數用於將流量重定向到您的代理。 例如:

HTTP_PROXY=http://myUserName:myPassword@my.proxy.example.com:3128
HTTPS_PROXY=https://myUserName:myPassword@my.proxy.example.com:3129

設定這些環境變數供連接器代理程式使用取決於您的執行時間環境。

在容器平台上,將它們新增至您的 env.txt 檔案。

SATELLITE_CONNECTOR_ID=U2.....wZyI
SATELLITE_CONNECTOR_IAM_APIKEY=/agent-env-files/apikey
SATELLITE_CONNECTOR_TAGS=test
HTTP_PROXY=http://myUserName:myPassword@192.168.3.87:3128
HTTPS_PROXY=https://myUserName:myPassword@192.168.3.87:3129

在 Windows 上,將它們新增至您的 config.json 檔案。

{
  "SATELLITE_CONNECTOR_ID": "U2.....wZyI",
  "SATELLITE_CONNECTOR_IAM_APIKEY": "C:\\path\\to\\apikey",
  "SATELLITE_CONNECTOR_TAGS": "test",
  "PRETTY_LOG": true,
  "HTTP_PROXY": "http://myUserName:myPassword@192.168.3.87:3128",
  "HTTPS_PROXY": "https://myUserName:myPassword@192.168.3.87:3129"
}

如果您的連接器代理程式在容器平台上執行,請確保您的容器平台在運行時在從 icr.io 提取映像時也使用代理程式。 有關更多信息,請參閱 配置Docker守護程序以使用代理伺服器

為您的Satellite連接器代理程式設定隧道伺服器入口主機

您可以設定 Connector 代理程式要將流量轉送至的 Satellite Tunnel 伺服器輸入主機。 Connector 代理程式支援指定公共或私有的 Ingress 主機。 為了協助進行合規性管理,您可以設定單一網路目標以減少防火牆上允許的出站 IP 位址數量。 此外,透過指定內部 Ingress 主機,您可以確保連接器代理程式和隧道伺服器之間的流量保留在您的專用網路中,並且沒有流量使用公共 Internet。

指定內部主機

Internal Ingress hosts are regional with the format d-{nn}-ws.private.{mzr}.link.satellite.cloud.ibm.com (for example, a tunnel server private Ingress in us-south is d-01-ws.private.us-south.link.satellite.cloud.ibm.com). These hosts resolve to Cloud Service Endpoint (CSE) IP addresses which are IBM reserved addresses in the 166.9.x.x range. 透過使用這些位址連接代理程式,您可以確保所有到 Tunnel 伺服器的流量都會留在 IBM 的內部專用網路上。

按照步驟設定 Connector 代理程式使用內部 Ingress 主機。

  1. 檢閱執行 Connector 代理程式的 prereqs

  2. 如果 Connector 代理程式無法從您的本機網路直接連接到隧道伺服器的 CSE 端點 IP 位址,您可能需要建立一個中繼,透過它來傳送代理程式請求。 如需詳細資訊,請參閱 建立中繼

  3. Set the SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS parameter along with your other required 代理參數. 例如:

    在容器平台上的 env.txt 檔案中。

    SATELLITE_CONNECTOR_ID=U2.....wZyI
SATELLITE_CONNECTOR_IAM_APIKEY=/agent-env-files/api-key
SATELLITE_CONNECTOR_TAGS=test
SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS=d-01-ws.private.us-south.link.satellite.cloud.ibm.com

    在 Windows 上,在 config.json 檔案中。

    {
  "SATELLITE_CONNECTOR_ID": "U2.....wZyI",
  "SATELLITE_CONNECTOR_IAM_APIKEY": "C:\\path\\to\\apikey",
  "SATELLITE_CONNECTOR_TAGS": "test",
  "PRETTY_LOG": true,
  "SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS": "d-01-ws.private.us-south.link.satellite.cloud.ibm.com"
}

  4. Follow the steps to run your Connector agent 在您的容器平台上 or 在 Windows 上.

指定單一網路目標

您可以指定單一網路目標而不是多個目標,以減少防火牆允許的出站 IP 位址數量。 您可以將 SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS 參數設定為特定區域主機,將流量限制為僅使用單一區域中的隧道伺服器入口 IP 位址。

公共 Ingress 主機是區域性的,格式為 c-{nn}-ws.{mzr}.link.satellite.cloud.ibm.com (例如,us-south 中的隧道伺服器公共 Ingress 為 c-01-ws.us-south.link.satellite.cloud.ibm.com )。 若要使用 us-south 中的公共 Ingress,請包含以下參數:

  • 在容器平台上的 env.txt 檔案中。

    SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS=c-01-ws.us-south.link.satellite.cloud.ibm.com

  • 在 Windows 上,在 config.json 檔案中。

    "SATELLITE_CONNECTOR_DIRECT_LINK_INGRESS": "c-01-ws.us-south.link.satellite.cloud.ibm.com"

此設定將允許您將防火牆限制為僅允許美國南部 IP 位址( 169.46.88.106 ) 169.61.156.226如169.61.31.178要求 中所述。