Руководство пользователя установщика обратного прокси-сервера Cisco

Содержание скрывать
1 Надview
2 Предпосылки
3 Безопасность
4 Картографирование хостов File для сетевого перевода
5 Управление портом
6 Использование общего домена с несколькими портами
7 Использование общего порта и нескольких доменов
8 Конфигурация DNS для серверов Finesse, IdS и CUIC
9 Документы/Ресурсы
9.1 Ссылки

Надview

Установщик обратного прокси-сервера Cisco (далее в документе — установщик RP) — компонент решения Cisco Unified CCE. Он предлагает готовое решение обратного прокси-сервера (на основе OpenResty Nginx) для Unified CCE со встроенными, проверенными на практике конфигурациями. Эти конфигурации можно использовать для проксирования других компонентов Unified CCE и внешних приложений, таких как ADFS, которые обычно используются при развертывании Unified CCE.

Установщик RP был предварительно протестирован и проверен на нагрузку для различных сценариев использования в моделях развертывания, поддерживаемых решением Unified CCE.

Установщик RP упрощает доступ к решению Unified CCE из Интернета и обычно настраивается для предоставления доступа без VPN к Finesse Agent Desktop или включения расширенных функций, таких как цифровые каналы, требующие прямого доступа к Интернету.

Установщик RP предназначен для развертывания в демилитаризованной зоне (DMZ) на предоставленном заказчиком защищённом хосте под управлением операционной системы RHEL 9.4. Предварительно настроенные правила проксирования позволяют проксировать следующие компоненты с помощью конфигурации, управляемой данными: files:

  • Cisco Утонченность
  • Cloud Connect
  • Единый интеллектуальный центр Cisco
  • Текущие данные
  • Служба идентификации Cisco
  • Сервер Cisco IM&P
  • Microsoft ADFS 3.0 или 5.0

Значок внимания Внимание
Термин «серверы верхнего уровня» используется в этом руководстве для обозначения всех компонентов решения, таких как серверы Finesse, CUIC, IdS и IM&P, настроенные для доступа через обратный прокси-сервер.

Предпосылки

Чтобы настроить доступ к рабочему столу Finesse без VPN:

  • Установщик обратного прокси-сервера должен быть версии 15.0(1) или выше.
  • Finesse, IdS и Cisco Unified Intelligence Center должны быть версии 12.6(2) ES4 или выше.
  • При совместном развертывании LiveData и Cisco Unified Intelligence Center должны быть версии 12.6(2) или выше.
  • Унифицированные CCE и автономные LiveData должны быть версии 12.6 (1) или выше с последней версией ES для соответствующих версий.
  • Сервер Cisco IM&P
  • Для размещения обратного прокси-сервера должна быть доступна DMZ с подключением к Интернету.

Безопасность

RP Installer не является открытым прокси; он аутентифицирует все запросы перед их пересылкой на соответствующий сервер upstream. Серверы upstream также обеспечивают локальную аутентификацию перед обработкой запросов.

Помимо аутентификации, есть несколько дополнительных безопасность Доступные меры защиты решения. Подробную информацию о безопасности можно найти в главе «Безопасность».

Информацию о правилах безопасности см. в разделе «Правила безопасности при развертывании обратного прокси-сервера» в
Руководство по безопасности для Cisco Unified ICM/Contact Center Enterprise.

Более подробную информацию об аутентификации см. в разделе Аутентификация.

Картографирование хостов File для сетевого перевода

Развертывание обратного прокси-сервера основано на сопоставлении file предоставленный администратором для настройки списка комбинаций имени хоста/порта, видимых извне, и их сопоставления с фактическими именами серверов и портами, которые используются серверами Finesse, IdS и CUIC. Это сопоставление file который настраивается на серверах восходящего потока, является ключевой конфигурацией, которая позволяет перенаправлять клиентов, подключенных через Интернет, на требуемые хосты и порты, которые используются в Интернете. Для получения дополнительной информации о сопоставлении см. Заполнение данных сетевой трансляции.

Значок карандаша Примечание
Рекомендуется использовать специальный web сервер в локальной сети для размещения картографирования file, а не использовать для этой цели установщик обратного прокси-сервера.

Для всех запросов, проходящих через обратный прокси-сервер, серверы Finesse, IdS и CUIC проверяют сопоставление хостов. fileдля преобразования внутренних имён хостов и портов, используемых в локальной сети. Они преобразуются в публично разрешимые имена хостов и порты, которые должны использоваться в Интернете. Это сопоставление file, называемая картой конфигурации прокси-сервера file— это ключевая конфигурация, которая позволяет перенаправлять клиентов, подключенных через обратный прокси-сервер, на требуемые хосты и порты, которые используются в Интернете.

Карта конфигурации прокси file можно настроить с помощью CLI, доступного на серверах Finesse, IdS и CUIC. Для получения подробной информации о сопоставлении file Формат и настроенные данные см. в разделе Заполнение данных сетевого перевода. Для получения подробной информации о CLI, используемом для настройки file, обратитесь к разделу "utils system reverse-proxy config-uri CLI" в теме Настройка сопоставления прокси-серверов с помощью CLI.

Карта конфигурации прокси file можно настроить с помощью CLI, доступного на серверах Unified CCX и серверах Cisco Collaboration Platform. Подробнее о сопоставлении file Формат и настроенные данные см. в разделе «Заполнение данных сетевого перевода» в руководстве по администрированию и эксплуатации Cisco Unified Contact Center Express. Подробную информацию о CLI, используемом для настройки file, см. раздел «Настройка сопоставления прокси-серверов» Доступен раздел «Использование интерфейса командной строки» в руководстве по администрированию и эксплуатации Cisco Unified Contact Center Express.
at https://www.cisco.com/c/en/us/support/customer-collaboration/unified-contact-center-express/products-maintenance-guides-list.html..

Управление портом

Одним из основных аспектов проектирования при развертывании обратного прокси являются домен и порты, используемые для доступа к приложению. Эти аспекты взаимозависимы и влияют друг на друга при проектировании развертывания.

Обратный прокси-сервер должен иметь возможность определять, на какой сервер верхнего уровня можно перенаправить входящий запрос, куда следует перенаправить входящий запрос. Этого можно добиться, изменив порт или имя хоста, используемые для доступа к приложению. По сути, комбинация хоста и порта должна быть уникальной, чтобы прокси-сервер мог различать и направлять трафик на правильный компонент верхнего уровня, и это является требованием для корректного запуска прокси-сервера.

Таким образом, для проектирования доступа к домену и порту доступны следующие варианты:

  • Используйте общий домен и разграничьте доступ приложений с помощью нескольких портов.
  • Используйте общий порт и разграничьте доступ приложений с использованием нескольких доменов.

После определения распределения доменов и портов необходимо выполнить следующие шаги:

  1. Необходимо изменить конфигурацию сопоставления прокси-серверов в соответствии с требуемыми портом и доменом. См. раздел Настройка сопоставления прокси-серверов с помощью CLI.
  2. Соответствующая конфигурация среды компонента восходящего потока в установщике обратного прокси-сервера должна быть настроена с требуемым именем хоста и портом, см. раздел Настройка конфигураций среды развертывания.

Использование общего домена с несколькими портами

Следующий примерample иллюстрирует, как можно настроить несколько серверов приложений с использованием этого шаблона доступа:

Ниже перечислены преимущества использования нескольких портов:

  • Более детальные ограничения скорости на уровне пакетов, применимые к каждому приложению, можно применять на входе для управления ограничениями скорости. Доступ на уровне домена означает, что ограничения скорости не могут быть детальными.
  • Для доступа к приложению с одним доменом требуется только один SSL-сертификат. Это может способствовать снижению затрат, в отличие от многодоменного приложения, для которого требуется wildcard-сертификат.

Ниже приведены недостатки.tagпри использовании нескольких портов:

  • Некоторые сетевые развертывания, такие как CDN, не поддерживают пользовательские порты.
  • Устройства безопасности, которые автоматически применяют правила безопасности, могут потребовать специальных конфигураций с нестандартными портами.
  • В брандмауэре DMZ необходимо открыть несколько портов (для стандартного развертывания 2k требуется 10–15 портов). Специалисты по сетевой безопасности не рекомендуют делать это.
  • Повышаются накладные расходы, связанные с управлением портом.
  • Развертывание новых экземпляров приложения требует изменения настроек брандмауэра/сети.

Значок карандаша Примечание
Порты, не указанные в карте прокси-серверов, должны быть заблокированы и не должны быть доступны для доступа на хосте обратного прокси-сервера. Это необходимо сделать в точке входа, поскольку в настоящее время у прокси-сервера нет правил, блокирующих такой доступ на сетевом уровне.

Предоставленный Cisco установщик поддерживает запуск нескольких экземпляров, обслуживающих различные наборы серверов верхнего уровня, что упрощает обслуживание. Несколько экземпляров установщика не позволяют использовать одни и те же порты на разных экземплярах прокси-сервера. Только один процесс может быть привязан к одному TCP-порту.

При выборе стратегии управления портами в зависимости от конфигурации установщика прокси-сервера учитывайте два вышеуказанных момента.

Использование общего порта и нескольких доменов

Следующий примерample иллюстрирует, как можно настроить несколько серверов приложений с использованием этого шаблона доступа.

Конфигурация с одним портом меняет перечисленные выше плюсы и минусы конфигурации с несколькими портами.

Значок карандаша Примечание
Для поддержки одного порта доступа требуются компоненты Unified Intelligence Center и LiveData версии 12.6(2).

Конфигурация DNS для серверов Finesse, IdS и CUIC

Каждый сервер Finesse, IdS, CUIC, IM&P и сторонних компонентов, соответствующий хосту, которому требуется доступ в Интернет, должен быть адресуемым из Интернета. Это требует имени хоста и связанного порта, который разрешается из Интернета, для сопоставления с публичным портом и соответствующим IP обратного прокси-сервера, чтобы трафик направлялся на соответствующие серверы компонентов.

Регистрация DNS публично разрешимых имен хостов и соответствующих IP-адресов обязательна, прежде чем запросы достигнут обратного прокси-сервера.

SSL-сертификаты
Для настроенных имён хостов, соответствующих каждому уникальному имени хоста, используемому интернет-клиентом, необходимо получить и настроить соответствующие сертификаты на обратном прокси-сервере. Несмотря на поддержку самоподписанных сертификатов, их использование сопряжено с риском, поскольку пользователи получают доступ напрямую из интернета. Клиенты могут быть более защищены, используя сертификаты, подписанные центром сертификации (CA). Рекомендуется получать сертификаты CA для прокси-серверов и серверов сторонних устройств.
Логотип Cisco

Документы/Ресурсы

Установщик обратного прокси-сервера Cisco [pdf] Руководство пользователя
Установщик обратного прокси, Установщик прокси, Установщик

Ссылки

Оставьте комментарий

Ваш адрес электронной почты не будет опубликован. Обязательные поля отмечены *