Eingangseinstellungen aufrufen - Wickr Enterprise
ÜberlegungenReferenzarchitekturen

Dieses Handbuch enthält Dokumentation für Wickr Enterprise. Wenn Sie AWS Wickr verwenden, finden Sie weitere Informationen im AWS Wickr Administration Guide oder im AWS Wickr User Guide.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eingangseinstellungen aufrufen

Wickr unterstützt eine Einstellung für eingehende Anrufe, sodass ein Client eine Verbindung zu einem beliebigen aufrufenden Knoten innerhalb des Clusters herstellen und die Anrufroute an den richtigen aufrufenden Server weiterleiten kann. Wickr unterstützt vier Arten von eingehenden Anrufen:

  • LoadBalancer (Standard)

    • LoadBalancer Sie werden vom Cloud-Anbieter bereitgestellt (vollständige Installationen vor Ort erfordern eine zusätzliche Konfiguration). Nach der LoadBalancer Bereitstellung muss die KOTS-Konfiguration erneut aktualisiert werden, um den Hostnamen oder die IP-Adressen des Load Balancers bereitzustellen.

  • NodePort

    • Macht auf jedem aufrufenden Knoten einen NodePort Dienst verfügbar, der als Einstiegspunkt für den Anrufverkehr dient. Ein Hostname, der in einen oder mehrere Knoten aufgelöst wird, oder die IP-Adresse eines oder mehrerer Knoten muss angegeben werden. Sie können einen Portbereich von 30000-32767 für UDP- und optional TCP-Verkehr wählen.

  • Bestehender NLB

    • Hängt den Calling Ingress Service an einen vorhandenen NLB an. Sie müssen den Zielgruppen-ARN für UDP und optional TCP-Verkehr angeben.

  • Kein Dienst

    • Wählen Sie diese Option, wenn Sie keinen zusätzlichen Kubernetes-Dienst benötigen, um eingehenden Datenverkehr zuzulassen. Dies wird in der Regel zusammen mit der Host-Netzwerkeinstellung verwendet, um eingehenden Anrufverkehr direkt an Ihre aufrufenden Knoten weiterzuleiten.

Überlegungen

  • Um die Abwärtskompatibilität mit älteren Clients und Verbundnetzwerken ohne Call-Ingress zu gewährleisten, ist der alte Anrufmodus weiterhin verfügbar (direkte Verbindung zu den aufrufenden Servern), wenn Calling Ingress aktiviert ist. Wenn Sie Standardports ändern, stellen Sie sicher, dass es keine Portkollisionen auf den aufrufenden Knoten gibt.

  • Der NLBs Dual-Stack-Dienst für UDP-Verkehr muss IPv6 Backend-Ziele haben. Weitere Informationen finden Sie unter Network Load Balancer Balancer-Zielgruppen.

  • Wenn Sie STIG-Konformität benötigen, müssen Sie die Host-Netzwerkoption für Anrufe deaktivieren. Wenn die Knoten im Dual-Stack-Modus konfiguriert sind, der Cluster jedoch nicht, können Sie die IPv6 Konnektivität verlieren (vorausgesetzt, es handelt sich um einen IPv4 Cluster).

  • Für das Aufrufen von Ingress sind vordefinierte Hostnamen oder IP-Adressen erforderlich. Die Skalierung von Knoten oder die Bereitstellung von benutzerdefiniertem Routing kann eine Änderung der Konfiguration erfordern.

  • Die Standardports für eingehende Anrufe sind 8443 für TCP und 16384 für UDP. Stellen Sie sicher, dass Firewalls und Sicherheitsgruppen den Verkehr für diese Ports oder alternative Ports zulassen, falls die Standardwerte außer Kraft gesetzt werden.

Referenzarchitekturen

Eingang mit Load Balancer

Diese Option macht einen einzelnen Load Balancer als Einstiegspunkt für den gesamten Anrufverkehr verfügbar.

  1. Wählen Sie für Calling Ingress Type entweder Load Balancer oder Existing NLB aus. Weitere Informationen zu Existing NLB finden Sie im Wickr Enterprise CDK Sample unter zum NLB-Stack. GitHub

  2. Führen Sie je nach Typ des aufrufenden Eingangs einen der folgenden Schritte aus:

    • Geben Sie für Existing NLB die Zielgruppe ARNs für UDP- und TCP-Verkehr und den Hostnamen des NLB an.

    • Geben Sie für Load Balancer den Hostnamen an, nachdem er von Kubernetes bereitgestellt wurde.

    Alternativ können Sie für jeden Calling Ingress Type die IP-Adressen des Load Balancers oder einen benutzerdefinierten Hostnamen angeben, der auf den Load Balancer verweist.

  3. (Optional) Um Nachrichten- und Anrufverkehr unter einem einzigen NLB zu kombinieren, wählen Sie im Abschnitt Ingress die Option Existing NLB aus und geben Sie eine HTTPS-Zielgruppe an.

Eingang mit NodePort

Diese Option ist nützlich, wenn das Host-Netzwerk deaktiviert ist und Sie keinen zusätzlichen Load Balancer verfügbar machen möchten.

Anmerkung

Stellen Sie sicher, dass Ihre Firewalls und Sicherheitsgruppen Datenverkehr für die zulassen. NodePorts

  1. Wählen Sie für Calling Ingress Type die Option. NodePort

  2. Fügen Sie die Hostnamen oder IP-Adressen des aufrufenden Knotens hinzu.

  3. Deaktivieren Sie das Calling Host Network.

Direkter Zugang mit HostNetwork

Diese Option macht keinen zusätzlichen Kubernetes-Dienst verfügbar und ermöglicht es, eingehenden Datenverkehr aufzurufen, um eine direkte Verbindung über das Host-Netzwerk der aufrufenden Knoten herzustellen. Dieser Ansatz wird bevorzugt, wenn Konnektivität erforderlich ist. IPv6

  1. Wählen Sie für Calling Ingress Type die Option Kein Dienst aus.

  2. Fügen Sie die Hostnamen oder IP-Adressen des aufrufenden Knotens hinzu.

  3. Aktivieren Sie das Calling Host Network.