本指南提供了 Wickr Enterprise 的文档。如果您使用的是 AWS Wickr,请参阅 AWS Wickr 管理指南或 AW S Wickr 用户指南。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
调用入口设置
Wickr 支持呼叫入口设置,允许客户端连接到集群中的任何呼叫节点,并将呼叫路由到正确的呼叫服务器。Wickr 支持四种调用入口类型:
-
LoadBalancer (默认)
-
LoadBalancer 将由云提供商配置(完全本地安装需要额外配置)。配置完成后,必须再次更新 KOTS 配置以提供负载均衡器的主机名或 IP 地址。 LoadBalancer
-
-
NodePort
-
在每个调用节点上公开一项 NodePort 服务,该服务将作为呼叫流量的入口点。必须提供解析到一个或多个节点的主机名或者一个或多个节点的 IP 地址。您可以为 UDP 和可选的 TCP 流量选择一个介于 30000-32767 之间的端口范围。
-
-
现有 NLB
-
将呼叫入口服务连接到现有 NLB。您需要为 UDP 提供目标组 ARN,也可以提供 TCP 流量。
-
-
没有服务
-
如果您不需要额外的 Kubernetes 服务来允许入口流量,请选择此选项。这通常与主机网络设置一起使用,将呼叫入口流量直接路由到您的呼叫节点。
-
注意事项
-
为了确保在不调用 ingress 的情况下与旧版客户端和联合网络向后兼容,启用调用 ingress 后,传统调用模式仍然可用(直接连接到调用服务器)。如果更改任何默认端口,请确保调用节点上没有任何端口冲突。
-
提供 UDP 流量的双栈 NLBs 必须有 IPv6 后端目标。有关更多信息,请参阅 Network Load Balancer 目标组。
-
如果您要求符合 STIG 标准,则必须禁用用于呼叫的主机网络选项。如果节点配置为双堆栈模式,但集群未配置为双堆栈模式,则可能会断开 IPv6连接(假设是 IPv4 集群)。
-
呼叫入口需要预定义的主机名或 IP 地址。扩展节点或提供自定义路由可能需要修改配置。
-
TCP 的默认呼叫入口端口为 8443,UDP 的默认呼叫入口端口为 16384。确保防火墙和安全组允许这些端口的流量,或者如果默认值被覆盖,则允许其他端口的流量。
参考架构
带负载均衡器的入口
此选项将单个负载均衡器作为所有呼叫流量的入口点。
-
对于呼叫入口类型,请选择 Loa d Balancer 或现有 NLB。有关现有 NLB 的更多信息,请参阅 Wickr Enterprise CD
K 示例中的 NLB 堆栈。 GitHub -
根据呼叫入口类型,执行以下任一操作:
-
对于现有 NLB,请提供 UDP 和 TCP 流量的目标组 ARNs 以及 NLB 的主机名。
-
对于 Load Balancer,请在 Kubernetes 配置主机名之后提供主机名。
或者,对于呼叫入口类型,您可以提供负载均衡器的 IP 地址或指向负载均衡器的自定义主机名。
-
-
(可选)要将消息和呼叫流量合并到单个 NLB 下,请在 “入口” 部分中选择 “现有 NLB”,并提供 HTTPS 目标组。
使用 ingress NodePort
如果禁用了主机网络并且您不想公开额外的负载均衡器,则此选项很有用。
注意
确保您的防火墙和安全组允许流量。 NodePorts
-
对于呼叫入口类型,请选择NodePort。
-
添加主叫节点的主机名或 IP 地址。
-
禁用呼叫主机网络。
直接进入 HostNetwork
此选项不会公开任何额外的 Kubernetes 服务,并允许呼叫入口流量直接通过调用节点的主机网络进行连接。如果需要 IPv6 连接,则首选这种方法。
-
在 “呼叫入口类型” 中,选择 “无服务”。
-
添加主叫节点的主机名或 IP 地址。
-
启用呼叫主机网络。
