数据连接与集成数据连接Direct connections, agents, and agent proxies代理代理运行时配置参考

注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

代理代理运行时配置参考

与代理工作器和直接连接运行时一起,您可以使用代理代理运行时为Foundry中的服务提供访问您的网络内无法通过互联网访问的系统的网络路径。代理代理允许Foundry中的应用程序像连接到互联网上的源一样运行,并且可以配置多个代理,以允许交替维护窗口,防止停机。请按照以下指南配置和管理代理代理。

配置代理代理

您必须设置代理以使用代理代理,但不需要其他配置。根据指派给特定时的选择,同一代理可以同时用作代理工作器和代理代理。

将代理代理运行时与数据连接源一起使用

在数据连接中创建新源时选择代理代理运行时选项。目前这仅在配置REST API源类型时可用。

代理代理安全控制

为了确保代理代理运行时仅能访问所需的资源,提供了一系列安全控制。

安全控制分为强制性,不能禁用,或非必填性,默认未启用。

以下是可用的安全控制配置:

安全控制是否必需?描述
源配置强制执行通过代理代理的流量将始终限制在配置为使用代理代理的源上的主机名和端口。
代理允许列表 (Foundry)非必填您可以选择配置存储在Foundry中的允许列表,并在发送到代理的流量上游强制执行。此控制只能由Foundry中的代理资源的所有者修改。
代理允许列表 (本地文件)非必填您可以选择配置存储在代理主机上的允许列表,该列表将在您的网络内运行的代理进程中强制执行。此控制只能通过SSH访问代理主机进行修改,并由代理软件强制执行。
代理主机防火墙非必填我们强烈建议配置主机级防火墙控制,以确保您的代理只能与您希望其能够访问的目标系统通信。此控制完全独立于Foundry,并提供了额外的安全层。

源配置强制执行

源上定义的URL中的主机名和端口限制了连接到代理代理时仅能访问该主机名和端口。尝试连接到任何其他主机名或端口将导致代理返回HTTP 403(未授权)响应代码。

通过限制连接仅限于源配置的内容,此控制可防止在导入和使用代码中的连接时进行未经授权的连接。

如果仅使用此安全控制,请确保能够将代理指派给特定源的任何用户也被信任能够连接到从代理主机可以访问的任何系统。

代理允许列表 (Foundry)

为了确保代理只能与有限的IP地址或CIDR块进行通信,可以在Foundry中配置允许列表,以限制特定代理的连接性,无论代理被指派到哪些源。

要配置此项,请导航到代理设置,然后在管理配置部分切换高级选项。在YAML文件中,添加一个agentProxyConfiguration块,与security块处于相同的缩进级别。

添加一个CIDR块列表,列出代理允许连接的端口。例如:

Copied!
1 2 3 4 5 6 7 agentProxyConfiguration: allowListedCidrs: - cidrBlock: '192.168.1.1/32' # 允许的CIDR块,表示一个单一的IP地址 port: 7000 # 起始端口 endPort: 9000 # 结束端口 - cidrBlock: '192.168.2.2/24' # 允许的CIDR块,表示一个子网 port: 443 # 端口号

该YAML配置文件定义了代理的允许CIDR列表。每个条目指定一个CIDR块和对应的端口范围(起始端口到结束端口)或单一端口号。

代理允许名单(本地文件)

用于Foundry中的代理允许名单的相同配置也可以在代理主机上通过文件设置,以防止Foundry中的用户编辑配置。

要实现这一点,请按照以下步骤操作:

  1. SSH进入代理的主机。
  2. 在代理安装的根文件夹所在的同一目录中创建一个名为agentProxyConfig的文件夹(与magritte-bootvisor-<version>同一文件夹)。
  3. 在新创建的agentProxyConfig文件夹中,创建一个名为agentProxyConfig.yml的文件。
  4. agentProxyConfig.yml文件和agentProxyConfig文件夹必须由root用户创建,并且文件权限必须设置为防止代理对该文件或文件夹进行写入。如果agentProxyConfig.yml文件存在且可写,或者其中一个父目录可由代理写入,代理将不会运行代理功能。
  5. 此文件的内容与代理设置界面中可用的配置相同。

例如:

Copied!
1 2 3 4 5 6 allowListedCidrs: - cidrBlock: '192.168.1.1/32' # 单个IP地址的CIDR表示法 port: 7000 # 起始端口 endPort: 9000 # 结束端口 - cidrBlock: '192.168.2.2/24' # 表示一个子网的CIDR表示法 port: 443 # 端口号

这段YAML代码定义了一个名为allowListedCidrs的列表,其中包含允许访问的CIDR块以及其对应的端口范围或单个端口。

代理主机防火墙

我们强烈建议在代理主机上配置防火墙,以监控和限制网络流量仅到严格必要的目的地。可用的防火墙和监控选项将取决于您运行代理的Linux发行版,以及您组织的安全最佳实践。