随着aTrust零信任产品和idTrust统一身份认证系统的不断更新迭代,并逐渐承载客户的网络访问和业务应用,大家在日常的工作中也会经常遇到aTrust和idTrust的使用场景,如何高效快速的进行安全部署和功能应用上线呢?本着学习交流的心态,在此立贴记录,将逐步更新aTrust和idTrust新产品相关知识,从入门级安装部署,到基础功能业务配置,再到常见问题排错。欢迎大家发帖交流。
———————————————————第一章aTrust虚拟化云平台导入———————————————
零信任aTrust部署——aTrust虚拟化平台导入
一、aTrust部署环境确认
当前零信任aTrust系统支持虚拟化部署,支持如下的虚拟化平台进行部署:
1.某公司超融合平台(HCI V5.8.3及以上)
2.VMware5.0及以上,使用KVM虚拟化技术,支持qocw2格式导入的虚拟化环境
3.各种常见公有云平台(某公司,某公司等)
二、aTrust系统镜像与升级包准备
2.1镜像准备
请准备零信任aTrust的控制中心和代理网关的镜像包,可通过回复本帖获取当前最新百度云下载链接(后续视情况更新或关闭) 附:实际测试或实施还需准备最新版本的升级包。
2.2配置参数建议
当前虚拟化部署建议的配置参数如下,随着版本不断迭代更新,硬件配置要求也会有调整
配置项 | 控制中心(Sdpc) | 安全代理(Proxy) |
CPU | 8核 | 4核 |
内存 | 16G | 8G |
磁盘 | 120GB | 120GB |
网口数 | 4个 | 4个 |
三、aTrust零信任系统安装导入
3.1平台镜像部署--超融合
1)登录HCI管理平台,选择【新增】-【导入虚拟机】
2)选择本地aTrust的 ova 模板,点击开始导入
3)导入完成后,编辑虚拟机,设置虚拟机CPU和内存,并调整网卡
注:镜像模板虚拟机的CPU和内存请按需调整,默认可参考Sdpc控制中心为8核16G,proxy代理网关4核8G,网卡数量请按需添加,默认推荐添加4个。
3.2平台镜像部署--VMware
1)登录 VMware 管理平台,点击【创建/注册虚拟机】。按照向导步骤,逐步配置。进入步骤【选择OVF和VMDK文件】选择【OVG或OVA文件部署虚拟机】,点击【下一页】。
2)进入步骤【选择OVF和VMDK文件】,填写虚拟机名称,并将ova镜像上传,点击【下一页】
3)进入步骤【存储选择】,直接点击【下一页】
4)进入步骤【部署选项】,使用默认值即可,直接点击【下一页】
5)点击【完成】,完成虚拟机的创建
6)完成后,出现生成虚拟机的进度条,等待生成,生成完毕后将在虚拟机列表出现创建的虚拟机
7)虚拟机创建完成后,编辑设备CPU和内存信息,调整虚拟网卡,以便能够设备进行通信
3.3平台镜像部署--某公司
准备aTrust的qcow2的aTrust控制器和代理网关proxy的镜像,准备某公司(或其他公有云)的账号
1)开通对象存储COS
2)若有存储桶可选择已有的存储桶,无存储桶选择创建存储桶
3)创建完存储桶后,点击上传文件,将控制器和代理网关的虚拟机导入存储桶中
4)上传完成后,点击详情,获取到对应的对象URL,对象访问权限需要有公有读的权限
5)进入云服务器-镜像-自定义镜像中,选择对应的区域创建自定义镜像,点击导入镜像
6)导入镜像前准备这里选择Linux系统,勾选我已做好以上准备,点击下一步
7)镜像文件URL填写从存储桶中获取到到URL,操作系统选择Linux-64位-Other Linux。其他信息根据实际情况填写,最后点击开始导入即可。
注意:若该URL没有公有读权限,则会提示URL错误,导入方式若没有选择强制导入,则会导致镜像导入失败
8)导入完成后,等到系统导入后,提示成功即可使用
9)控制器和代理网关都需要导入,并创建自定义镜像,重复步骤1-8。
10)创建实例虚拟机。在云服务器-实例中点击新建,创建新的虚拟机。
11)在创建虚拟机的页面根据实际情况选择,控制器和代理网关的虚拟机要求为至少:CPU16核, 内存16G, 磁盘500G。镜像选择自定义镜像,然后选择自己创建的代理网关和控制器的镜像。
12)安全组入站规则需要放通4433(控制台)、443(https接入)端口,若端口修改,则更改为其他端口;出站规则需要方通到对应业务的IP和端口,也可以放通所有流量。
注:如有隧道应用还需放通441端口