Прокси может быть сконфигурирован в соответствии с требованиями вашего проекта. Мультиплексный прокси может использоваться либо в качестве обычного менеджера в вашем проекте (по умолчанию), либо в качестве удаленного менеджера, когда множеством проектов можно управлять одним прокси. Прокси также поддерживает резервированную и распределенную конфигурации проектов. В следующем разделе описывается, как настроить мультиплексный прокси при различных вариантах использования.
ВНИМАНИЕ
Связь с локальным хостом никогда не является зашифрованной!
Ниже описываются варианты размещения и необходимые конфигурационные файлы:
- Мультиплексный прокси для Linux
- Как установить соединение с пользовательскими менеджерами сервера «КАСКАД Цифра» через мультиплексный прокси
- Мультиплексный прокси и IPV6-адресов
Локальный клиент и прокси
Если WCCILproxy (мультиплексный прокси) размещается на том же хосте, что и WCCILdata (менеджер данных) и WCCILevent (менеджер событий), то для SSL не нужна дополнительная конфигурация, потому что значения по умолчанию генерируются из значений параметров конфигурационного файла [general] data и [general] event.
Конфигурация автономной системы
Прокси и сервер размещаются на одном и том же хосте. Клиент (на отдельном хосте) связывается с сервером через прокси.
- Клиент открывает соединение с прокси и отправляет сообщение, которое говорит прокси открыть соединение с менеджером данных.
- Прокси открывает соединение с менеджером данных и связывает это соединение с соединением с клиентом.
- Прокси будет отправлять менеджеру данных все сообщения, полученные из соединения с клиентом, а все сообщения, полученные из соединения с менеджером данных, – обратно клиенту.
Открытие соединения с менеджером событий осуществляется таким же образом.
ПРИМЕЧАНИЕ
Клиент может открыть столько соединений, сколько необходимо. Действующие соединения, не показанные на рисунке выше, тоже проходят через прокси. В конфигурации ReduLAN клиент открывает до 8 соединений:
- 2 соединения с данными и 2 действующих соединения с менеджером данных;
- 2 соединения с данными и 2 действующих соединения с менеджером событий.
Конфигурационные записи
Конфигурация сервера
Дополнительные параметры не требуются.
Конфигурация клиента
[general]
data=»Server[:<dataPort>]»
event=»Server[:<eventPort>]»
mxProxy=»Server Server[:<proxyPort>] cert»
ПРИМЕЧАНИЕ
Конфигурация <dataPort>, <eventPort> и <proxyPort> в конфигурационных записях data, event и mxProxy является необязательной. Если используются номера портов по умолчанию, то <dataPort>, <eventPort> и <proxyPort> являются не обязательными.
Удаленный мультиплексный прокси
Часто внутренняя электронная сеть компании считается защищенной, и шифрование связи не требуется, но также должен быть обеспечен и доступ из Интернета. Имеется множество путей, как организация может подвергнуть свои внешние службы воздействию ненадежной и большей по размеру сети, обычно Интернета. Базовый подход для данного сценария – просто установить прокси за сетевым экраном в DMZ.
ВНИМАНИЕ
Мультиплексный прокси – не обычный менеджер и не требует DP-идентификации. Следовательно, конфигурационные параметры «data =» и «event =» внутри секции [general] не нужны для удаленного прокси.
ПРИМЕЧАНИЕ
Для таких сценариев конфигурация по умолчанию не является возможной, прокси и клиент за пределами компании должны быть сконфигурированы вручную.
Удаленный мультиплексный прокси – Один сервер
SSL отключен на всех хостах, работающих во внутренней электронной сети ([general] mxProxy = “none”), только клиент в Интернете и прокси используют протокол SSL.
Конфигурационные записи
Конфигурация сервера
[general]
mxProxy=»none»
Конфигурация удаленного мультиплексного прокси
[proxy]
server=»Server:<dataPort>»
server=»Server:<eventPort>»
ПРИМЕЧАНИЕ
Номера портов в конфигурационных параметрах сервера являются обязательными, даже если для менеджера данных и менеджера событий используются номера портов по умолчанию.
Конфигурация клиента
ВНИМАНИЕ
Обратите внимание, что при использовании мобильного устройства или толстого клиента (Desktop UI) необходимо добавить в файл config.webclient необходимые записи, описанные ниже.
[general]
data=»Server[:<dataPort>]»
event=»Server[:<eventPort>]»
mxProxy=»Server Proxy[:<proxyPort>] cert»
ПРИМЕЧАНИЕ
Конфигурация <dataPort>, <eventPort> и <proxyPort> в конфигурационных записях data, event и mxProxy является необязательной. Если используются номера портов по умолчанию, то <dataPort>, <eventPort> и <proxyPort> являются не обязательными.
Удаленный мультиплексный прокси – Резервированный сервер
Конфигурация резервированной серверной пары
[general]
data=»Server1 1[:<dataPort>],Server1 2[:<dataPort>]$Server2 1[:<dataPort>],Server2 2[:<dataPort>]»
event=»Server1 1[:<eventPort>],Server1 2[:<eventPort>]$Server2 1[:<eventPort>],Server2 2[:<eventPort>]»
mxProxy=»none»
ПРИМЕЧАНИЕ
Конфигурация <dataPort> и <eventPort> в конфигурационных записях data и event является необязательной. Если используются номера портов по умолчанию, то <dataPort> и <eventPort> являются не обязательными.
ВНИМАНИЕ
Обратите внимание, что связь внутри доверенной сети не шифруется!
Конфигурация удаленного мультиплексного прокси
[proxy]
server=»Server1-1:<dataPort>»
server=»Server1-1:<eventPort>»
server=»Server1-2:<dataPort>»
server=»Server1-2:<eventPort>»
server=»Server2-1:<dataPort>»
server=»Server2-1:<eventPort>»
server=»Server2-2:<dataPort>»
server=»Server2-2:<eventPort>»
ПРИМЕЧАНИЕ
Номера портов в конфигурационных параметрах сервера являются обязательными, даже если для менеджера данных и менеджера событий используются номера портов по умолчанию.
Конфигурация клиента
[general]
data=»Server1 1[:<dataPort>],Server1 2[:<dataPort>]$Server2 1[:<dataPort>],Server2 2[:<dataPort>]»
event=»Server1 1[:<eventPort>],Server1 2[:<eventPort>]$Server2 1[:<eventPort>],Server2 2[:<eventPort>]»
mxProxy=»Server1-1 Proxy[:<proxyPort>] cert»
mxProxy=»Server1-2 Proxy[:<proxyPort>] cert»
mxProxy=»Server2-1 Proxy[:<proxyPort>] cert»
mxProxy=»Server2-2 Proxy[:<proxyPort>] cert»
ПРИМЕЧАНИЕ
Конфигурация <dataPort>, <eventPort> и <proxyPort> в конфигурационных записях data, event и mxProxy является необязательной. Если используются номера портов по умолчанию, то <dataPort>, <eventPort> и <proxyPort> являются не обязательными.
Удаленный мультиплексный прокси – резервированный сервер и прокси
ВНИМАНИЕ
Обратите внимание, что при использовании мобильного устройства или толстого клиента (Desktop UI) необходимо добавить в файл config.webclient необходимые записи, описанные ниже.
Конфигурация резервированной серверной пары
[general]
data=»Server1-1[:<dataPort>],Server1-2[:<dataPort>]$Server2-1[:<dataPort>],Server2-2[:<dataPort>]»
event=»Server1-1[:<eventPort>],Server1-2[:<eventPort>]$Server2-1[:<eventPort>],Server2-2[:<eventPort>]»
mxProxy=»none»
ПРИМЕЧАНИЕ
Конфигурация <dataPort> и <eventPort> в конфигурационных записях data и event является необязательной. Если используются номера портов по умолчанию, то <dataPort> и <eventPort> являются не обязательными.
ВНИМАНИЕ
Обратите внимание, что связь внутри доверенной сети не шифруется!
Конфигурация 1 удаленного мультиплексного прокси
[proxy]
server = «Server1-1:<dataPort>»
#server = «Server1-2:<dataPort>»
server = «Server2-1:<dataPort>»
#server = «Server2-2:<dataPort>»
server = «Server1-1:<eventPort>»
#server = «Server1-2:<eventPort>»
server = «Server2-1:<eventPort>»
#server = «Server2-2:<eventPort>»
Конфигурация 2 удаленного мультиплексного прокси
[proxy]
#server = «Server1-1:<dataPort>»
server = «Server1-2:<dataPort>»
#server = «Server2-1:<dataPort>»
server = «Server2-2:<dataPort>»
#server = «Server1-1:<eventPort>»
server = «Server1-2:<eventPort>»
#server = «Server2-1:<eventPort>»
server = «Server2-2:<eventPort>»
ПРИМЕЧАНИЕ
Номера портов в конфигурационных параметрах сервера являются обязательными, даже если для менеджера данных и менеджера событий используются номера портов по умолчанию.
Конфигурация клиента
ВНИМАНИЕ
Обратите внимание, что при использовании мобильного устройства или толстого клиента (Desktop UI) необходимо добавить в файл config.webclient необходимые записи, описанные ниже.
[general]
data=»Server1-1[:<dataPort>],Server1-2[:<dataPort>]$Server2-1[:<dataPort>],Server2-2[:<dataPort>]»
event=»Server1-1[:<eventPort>],Server1-2[:<eventPort>]$Server2-1[:<eventPort>],Server2-2[:<eventPort>]»
mxProxy=»Server1-1 Proxy-1[:<proxyPort>] cert»
mxProxy=»Server1-2 Proxy-2[:<proxyPort>] cert»
mxProxy=»Server2-1 Proxy-1[:<proxyPort>] cert»
mxProxy=»Server2-2 Proxy-2[:<proxyPort>] cert»
ПРИМЕЧАНИЕ
Конфигурация <dataPort>, <eventPort> и <proxyPort> в конфигурационных записях data, event и mxProxy является необязательной. Если используются номера портов по умолчанию, то <dataPort>, <eventPort> и <proxyPort> являются не обязательными.
Мультиплексный прокси в распределенной системе
Для настройки мультиплексного прокси в распределенной системе необходимо указать различные конфигурационные записи для различных систем.
Как установить соединение с пользовательскими менеджерами сервера «КАСКАД Цифра» через мультиплексный прокси
Мультиплексный прокси «КАСКАД Цифра» устанавливает соединение с разблокированными менеджерами серверов «КАСКАД Цифра». Некоторые менеджеры сервера «КАСКАД Цифра» (менеджер данных, менеджер событий, менеджер резервирования, менеджер разделённого режима) будут разблокированы по умолчанию.
WCCILproxy может установить соединение, так как ему известны порты сервера по умолчанию или он считывает измененную конфигурацию порта из конфигурационного файла. Поскольку WCCILproxy не знает, как клиент обращается к серверу, через имя хоста или через IP-адрес, WCCILProxy генерирует не только запись «[proxy] server = » для каждого сервера, но и для каждого имени хоста и каждого IP-адреса хоста.
Для хоста с 2 сетевыми интерфейсными картами WCCILproxy генерирует не менее 5 записей «[proxy]server = «, если настроена резервная сеть. Пример записи для IP-адреса каждой сетевой интерфейсной карты:
server = «192.168.1.1:<dataPort>»
server = «192.168.2.1:<dataPort>»
Пример записи для каждого имени хоста каждого IP-адреса (см. также соглашение об именовании резервированной локальной сети) представлен ниже.
Пример:
server = «speedy:<dataPort>»
server = «speedy_1:<dataPort>»
server = «speedy_2:<dataPort>»
Пользовательские менеджеры серверов «КАСКАД Цифра» должны быть разблокированы вручную для мультиплексного прокси, так как ему неизвестен номер порта по умолчанию или конфигурация сервера. Для доступа к пользовательским менеджерам серверов «КАСКАД Цифра» через мультиплексный прокси запись «[proxy]server =» должна быть создана вручную. В случае крупных предприятий, где проект настраивается с помощью шаблонов конфигурационных файлов или для системных интеграторов, создающих отраслевые пакеты, данный процесс подвержен ошибкам. Это связано с тем, что конфигурационные файлы должны быть адаптированы для каждого хоста.
Чтобы ускорить и облегчить работу над проектом, «КАСКАД Цифра» предлагает ключевое слово $host. Это ключевое слово генерирует необходимые записи для конкретного сервера («КАСКАД Цифра» System). Эта запись информирует WCCILproxy о том, что существует пользовательский сервер и что он должен создать для этого сервера те же значения по умолчанию, что и для менеджеров, разблокированных по умолчанию.
В следующем примере для хоста сервера «Speedy» с портом сервера 1234:
WCCILproxy генерирует записи
[proxy]
server = «$host:1234»
— запись для каждого IP-адреса каждой сетевой интерфейсной карты
Пример:
[proxy]
server = «192.168.1.1:1234»
server = «192.168.2.1:1234»
— запись для каждого хоста каждого IP-адреса
Пример:
[proxy]
server = «speedy:1234»
server = «speedy_1:1234»
server = «speedy_2:1234“
Рисунок: связь с пользовательским менеджером «КАСКАД Цифра» через мультиплексный прокси
Мультиплексный прокси для Linux
Когда мультиплексный прокси используется для ОС Linux, максимальное количество клиентов, одновременно подключенных через прокси, ограничено.
Максимальное число файловых дескрипторов для каждого процесса – 1024. Вы можете задать количество доступных файловых дескрипторов для процесса с помощью команды оболочки ulimit -n <number of file descriptors>. Эти ограничения всегда принимаются во внимание.
Количество файловых дескрипторов в мультиплексном прокси для одного клиентского соединения:
- 8, если клиенты используют одно сетевое подключение (для 1 соединения требуется 8 файловых дескрипторов)
- 16, если клиенты используют резервные сетевые подключения (для 1 соединения требуется 16 файловых дескрипторов)
В том случае, если используется живой надзор, данное число так же может меняться. Существует определенный резерв доступных файловых дескрипторов в мультиплексном прокси для других целей, таких как файлы журналов, стандартный ввод/вывод и т.д.
Ниже представлено несколько примеров типичных развитий событий:
| Пример 1 |
| Клиенты используют одиночные сетевые подключения |
| Активирован живой надзор |
| Количество доступных файловых дескрипторов для каждого процесса было установлено равным 4096 (с помощью команды ulimit -n) |
| Максимальное количество клиентов, одновременно подключенных через мультиплексный прокси, составляет 126. |
| Пример 2 |
| Клиенты используют резервные сетевые подключения |
| Активирован живой надзор |
| Количество доступных файловых дескрипторов для каждого процесса было установлено равным 4096 (с помощью команды ulimit -n) |
| Максимальное количество клиентов, подключенных через мультиплексный прокси одновременно, составляет 63. |
| Пример 3 |
| Клиенты используют одиночные сетевые подключения |
| Активирован живой надзор |
| Количество доступных файловых дескрипторов для каждого процесса было установлено равным 256 (с помощью команды ulimit -n) |
| Максимальное количество клиентов, подключенных через мультиплексный прокси одновременно, составляет 30. |
Мультиплексный прокси и IPV6-адресов
Если для записей «server» и «mxProxy» используется адрес типа IPv6, то необходимо использовать [ ] (квадратные скобки) :
[general]
mxProxy = «[::1] [::1]:5678 cert»
[proxy]
server = «[fe80::2c5c:5415:98f1:82f3]:1234»