网关管理
网关
# 添加网关
- 在【资源】-【应用安全网关】-【网关管理】下,可管理多个应用安全网关,应用安全网关是一个集群的概念。 即多个网关Server组成一个网关集群。
- 通常认为,集群下的网关Server 功能是一致的,配置是相同的。 这些相同的配置可以在网关集群的高级配置中进行统一配置。
- 但是针对集群下的不同Server可能存在不同的监听服务端口,因此,在Server中我们设置了监听端口的配置项。
- 添加的网关默认开启了端口隐藏的能力。
# 添加网关Server
- 每个Server对应一个网关的实例,即部署的gateway实例连接的是Server。 多个Server 组建成一个网关集群。
- 网关Server都必须要设置监听的http端口和https端口。这两个端口监听了所有代理应用的访问,两个端口不能重复,也不能和服务器其他端口冲突。端口默认会被隐藏以增强资源访问的安全性。当应用配置证书时,该应用的访问则是网关的https端口,否则是http端口。
- 请按照页面引导完成网关Server的安装部署。更多指导请查看网关安装。
- 每一个网关实例部署时,配置参数中的gateway_id 不允许重复。 如在生产环境部署中,需要多个代理服务器,那么需要创建多个网关Server部署在不同的服务器中。
# 配置网关证书
- 在【资源】-【应用安全网关】-【证书管理】下,可管理https证书。
- 证书中需要上传私钥(.key格式)和证书(.crt格式)文件。
- 在应用安全网关中,如果选择了证书,则会将当前应用添加到网关Server监听的https端口中进行代理,否则是http端口。
# 为应用开启安全网关
进入资源-应用页面,选择需要开启应用安全网关的应用,进入应用详情页。在详情页左侧导航中找到【安全网关】,开启后,即可配置应用访问网关。
# 单网关代理配置
此场景中,原本用户直接访问应用,证书在应用上。 加入gateway后,用户访问的是gateway服务器监听的https端口,证书在gateway上配置,gateway通过反向代理访问应用服务器http地址。
- 应用访问地址: https://oa.abc.com
- 应用服务器地址: 192.168.10.20:8080,192.168.10.30:8080
- 选择对应的证书
- 选择安全网关,此网关下添加单个Server,部署在192.168.10.10 服务器,并对域名oa.abc.com 添加A记录指向网关部署服务器ip
# 网关集群代理配置
在此场景中,通常使用ELB或其他的四层代理服务器进行网关集群的负载均衡。
- 应用访问地址: https://oa.abc.com
- 应用服务器地址: 192.168.10.20:8080、 192.168.10.30:8080
- 选择对应的证书
- 选择安全网关,此网关下包含两个Server,分别部署在192.168.10.10 和 192.168.10.40 , 均设置了https端口为8443
- 应用访问的地址https://oa.abc.com 通过DNS配置,访问到ELB 443端口,必须是四层负载均衡。
- 访问到网关Server指定的https端口(可以非443端口)
- tls证书配置在网关上,网关会自动读取证书配置,并代理访问应用服务器。
更多配置请查看网关配置