将 AWS Panorama Appliance 连接到您的网络

AWS Panorama 设备需要同时连接到 AWS 云端和您的本地 IP 摄像机网络。您可以将设备连接到允许同时访问两个网络的单个防火墙，或将设备的两个网络接口分别连接到不同的子网。无论哪种情况，您都必须保护设备的网络连接安全性，以防止未经授权访问您的摄像机视频流。

单个网络配置

设备有两个以太网端口。如果您通过单个路由器连接进出设备的所有流量，则可以使用第二个端口实现冗余，以防与第一个端口的物理连接中断。配置您的路由器，使设备只能连接到摄像机视频流和互联网，并阻止摄像机视频流以其他方式离开内部网络。

有关设备需要访问的端口和端点的详细信息，请参阅 配置服务访问权限 和 配置本地网络访问权限。

双重网络配置

为提高安全性，您可以将设备置于与摄像机网络不同的互联网连接网络中。受限摄像机网络和设备网络之间的防火墙仅允许设备访问视频流。如果出于安全考虑，您的摄像机网络之前采用了气隙系统，您可能更喜欢这种方法，而不是将摄像机网络连接到同时允许访问互联网的路由器上。

以下示例显示了设备在每个端口上连接到不同的子网。路由器将 eth0 接口置于连接到摄像机网络的子网上，并将 eth1 接口置于连接到互联网的子网上。

您可以在 AWS Panorama 控制台中确认每个端口的 IP 地址和 MAC 地址。

配置服务访问权限

在预置期间，您可以将设备配置为请求特定的 IP 地址。提前选择 IP 地址以简化防火墙配置，并确保设备在长时间离线时地址不会变化。

该设备使用 AWS 服务来协调软件更新和部署。配置防火墙以允许设备连接到这些端点。

互联网访问

• AWS IoT （HTTPS 和 MQTT，端口 443、8443 和 8883）以及设备管理端点 AWS IoT Core 。有关详细信息，请参阅 Amazon Web Services 一般参考中的 AWS IoT Device Management 端点和限额。

• AWS IoT 凭证（HTTPS，端口 443）credentials.iot.<region>.amazonaws.com和子域名。

• Amazon Elastic 容器注册表（HTTPS、端口 443）- api.ecr.<region>.amazonaws.com、dkr.ecr.<region>.amazonaws.com 和子域。

• 亚马逊 CloudWatch （HTTPS，端口 443）—monitoring.<region>.amazonaws.com.

• 亚马逊 CloudWatch 日志（HTTPS，端口 443）— logs.<region>.amazonaws.com。

• Amazon Simple Storage Service（HTTPS、端口 443）- s3.<region>.amazonaws.com、s3-accesspoint.<region>.amazonaws.com 和子域。

如果您的应用程序调用其他 AWS 服务，则设备还需要访问这些服务的终端节点。有关更多信息，请参阅服务端点和限额。

配置本地网络访问权限

设备需要在本地访问 RTSP 视频流，但不能通过互联网访问。配置防火墙，允许设备在内部通过 554 端口访问 RTSP 视频流，且不允许视频流向互联网或从互联网传入。

本地访问

• 实时流媒体协议（RTSP、端口 554）- 用于读取摄像机视频流。

• 网络时间协议（NTP、端口 123）- 用于设备的时钟保持同步。如果您没有在网络上运行 NTP 服务器，则设备也可以通过互联网连接到公共 NTP 服务器。

私有连接

如果您将 AWS Panorama 设备部署在具有 VPN 连接的私有 VPC 子网中，则无需访问互联网 AWS。您可以使用 Site-to-Site VPN 或 AWS Direct Connect 在本地路由器和之间创建 VPN 连接 AWS。在您的私有 VPC 子网中，您可以创建终端节点，让设备连接到 Amazon 简单存储服务和其他服务。 AWS IoT有关更多信息，请参阅 将设备连接到私有子网。