為企業內部提供一個集中管理的 Gateway 介面,通過此介面,企業管理員可輕鬆添加和管理外部伺服器的 Proxy 位址,從而建立內外網之間的安全連線架構。利用 Mavis,企業可確保合規性並保障數據安全。
使用情境:
Mavis 架設在公司內部,並在 AWS 上設定一台安裝了 Mavis Gateway 的 Ubuntu 機器作為 Gateway Server,使用者透過 Mavis 安全連線到 Gateway Server,就能直接存取同 VPC 的內部資源。
相關介紹請參考:Gateway Management 和 Tunnel 功能
一、環境準備:
1.Gateway server 設備硬體需求
伺服器 | CPU需求 | 記憶體需求 | 儲存空間需求 | 作業系統需求 |
Gateway server | 2 Core | 4 GB | 20 GB 以上(/) | Ubuntu 16.04, 18.04, 20.04, 22.04, 23.10, 24.04 ,帳號需要有 sudo 權限 |
2. 為 Gateway server 準備包含域名的 SSL 憑證,並配置對應的 DNS 子域名。
Mavis 伺服器與 Gateway 伺服器之間的連線是通過Https進行存取的,因此需要一個完整的域名及相應配置。
此範例域名為 aws-tunnel01.mavisdemo.com
子域名 | 紀錄類型 | 解析內容 | 說明 |
taws-tunnel01 | A | Gateway server IP 位址 | 用於 Mavis server與 Gateway server之間的連線 |
3 網路環境配置
Gateway server 需要具備對外存取 Internet 的能力,以下載並安裝必要的元件,同時支持與 Mavis server 之間的連線。
項次 | 來源 | 目的 | 通訊協定/埠號 | 規則 | 說明 |
1 | Gateway server IP 位址 | 0.0.0.0/0 (Internet) | ALL | 允許 | 允許 Proxy 伺服器平台存取 Internet,以下載並安裝必要的元件。 |
2 | Mavis server IP 位址 | Gateway server IP 位址 | https/443 | 允許 | 允許 Mavis server連接至 Gateway server。 |
二、建立閘道器管理
使用者的帳戶角色需為管理員,才能從「管理介面」進行設置。
1. 選擇 管理介面 2. 選擇 閘道器管理 3. 選擇 建立閘道器 |
4 閘道器區段名稱:輸入自定義名稱 |
9. 選擇 建立好的閘道器區段,點選下載後,將配置檔案上傳到伺服器(Gateway server) |
二、安裝 Gateway 服務
登入 Gateway 伺服器,切換至具有 sudo 權限的模式,並執行安裝服務的指令。
- 先確認是否已上傳 Gateway 配置檔案及憑證(並將 .crt 和 .key 檔案分別重新命名為 tls.crt 和 tls.key)
1. 登入到Gateway server 後,切換至具有 sudo 權限 2. 確認 Gateway 配置檔案存在 3. 確認 憑證存在,檔案的名稱必須分別為 tls.crt 和 tls.key |
- 執行安裝 Gateway 服務的指令(請將 PROXY_CONFIG 替換為您的 Proxy 配置檔案名稱)。
1. 輸入安裝指令: curl -sSL https://pentium-repo.s3.ap-northeast-1.amazonaws.com/mavis/latest/install.sh |INSTALL_PROXY_CLUSTER=true PROXY_CONFIG=gateway-aws-aws-tunnel01-config.yaml bash |
- 安裝成功後,系統將生成一組 Public Key。
- 將 Public Key 複製並貼上至 Gateway管理
1. 進入 閘道器管理 2. 選擇 閘道器區段 3. 選擇 編輯 |
4. 公鑰 :將剛剛建立好的公鑰複製貼上 5. 點選 存檔 |
三、通過 Gateway Server,連接至同VPC 內網的機器。。
- 複製 Gateway 區段資訊
1. 進入 閘道器管理 2. 選擇 閘道器區段,並點選複製圖示,複製 閘道器區段名稱 |
- 在裝置上添加 Gateway 區段標籤。
4. 進入 裝置 5. 勾選 要透過Gateway server 連線的裝置 6. 動作 選擇 ”添加標籤“ |
7. 添加標籤:輸入Gateway 區段 名稱 8. 點選 新增 |
- 連線(該裝置將通過 Gateway server 進行連線)
四、移除 Gateway server 服務及設定
- 請先登入 Gateway server,執行移除命令
sh /usr/local/bin/k3s-uninstall.sh |
- 移除閘道器管理設定
(若僅從管理介面中移除配置,並不會刪除實體 Gateway 伺服器或其內部的代理設定。需先完成上一步驟登入 Gateway server 執行移除)
1. 進入 閘道器管理 2. 選擇 閘道器區段 3. 選擇 刪除 |
- 移除該裝置上的 Gateway 區段標籤。
1. 進入 裝置 2. 選擇 裝置 3. 選擇 移除標籤 |
4. 移出標籤:選擇 Gateway 區段 5. 點選 移除 |