Gateway 是什麼?為什麼需要 Gateway?
Gateway 是系統內的核心代理伺服器組件,負責中繼使用者的連線請求,並建立受控的安全連線。它能確保數據傳輸的安全性與合規性,同時提升連線效率與穩定性。
Gateway 的管理邏輯:
- 系統如何選擇 Gateway 的方式:當使用者連線至某資源時,系統根據資源是否標記 Gateway 區段的 Tag(例如:
gateway-office1
),執行以下邏輯:- 資源未標記 Tag:系統會隨機選擇一個可用的 Gateway 完成請求。這種情況適用於一般性需求,無特定代理伺服器要求。
- 資源已標記 Tag:系統會隨機選擇該區段內的一個可用 Gateway,確保連線高效且符合特定需求。
- 確保 Gateway 可用性:系統會定期同步每台 Gateway 的狀態(每 15 秒一次),並在發現異常時自動重試。如果某台 Gateway 無法使用,系統會記錄錯誤並顯示連線失敗。
- 執行連線:成功選擇 Gateway 後,系統建立連線並啟動會話記錄(Session Recording),記錄完整的操作歷程。若連線失敗,則僅產生審計日誌(Audit Log)。
連線失敗處理:
- 若無可用 Gateway 或代理無法連線至目標裝置,系統將記錄錯誤日誌,並顯示連線失敗。
- Session Recording 僅在連線成功後啟用,失敗則僅產生 Audit Log。
支援協議:
- 目前支援 RDP、VNC、SSH 和 SFTP,適應企業內外部多樣化的訪問需求。
什麼是 Tunnel 功能?
Tunnel 功能可確保所有連線通過系統預設的 Gateway,實現封閉網絡的安全訪問。提供數據流量加密與隔離,減少內網暴露風險。
什麼情境需要使用 Gateway Management 和 Tunnel 功能?
情境 1:未標記 Tag 的資源
某公司有一個內部檔案伺服器未標記任何 Gateway 區段,該資源對代理伺服器沒有特定需求。
- 當使用者嘗試連線時,系統會隨機從所有可用的 Gateway 中選擇一台進行代理,確保連線成功並受控。
- 這種情況適用於一般性資源,無需額外的代理規劃。
情境 2:根據雲環境區分的資源
公司有多個資源分佈在不同的雲服務供應商上,例如 AWS 和 GCP。為了提升連線效率,管理者將這些資源標記為不同的 Gateway 區段:
- **AWS 資源:**標記為
gateway-aws
區段; - **GCP 資源:**標記為
gateway-gcp
區段。
當使用者嘗試連線 AWS 或 GCP 資源時:
- 系統會依據標記的 Gateway 區段,在對應區段內隨機選擇一台 Gateway 完成連線。
- 例如,使用者連線到 AWS 資源時,系統只會選擇
gateway-aws
區段中的 Gateway,避免跨雲環境的代理,降低延遲並提升連線效率。
情境 3:滿足企業合規需求的內網連線
某企業為了滿足資安與合規性要求,決定啟用 Tunnel 功能,確保公司所有資源的存取均經過預設的內部 Gateway,避免內網直接暴露在公共網路上。
當 Tunnel 功能啟用後:
- 所有連線請求 都會先通過系統預設的內部 Gateway,即使資源未標記任何特定區段,依然強制通過內部代理。
- 系統自動為所有連線流量提供加密通道,實現端到端的數據保護,避免數據外洩或攔截風險。
- 即便是外部使用者(如第三方供應商)進行連線,連線路徑也會受到嚴格限制,並經由內部 Gateway 過濾與控制,確保資源存取的安全性。
這種模式適用於(v1.19.0 以上版本系統預設為此模式):
- 全域資源保護: 不區分內部與外部使用者,所有連線皆需經由內部 Gateway,確保統一的安全策略。
- 合規需求: 適用於對資安有高度要求的企業,如金融、醫療或政府機構,需遵循嚴格的內網隔離與審計規範。
- 內部隔離: 減少資源與公共網路的直接接觸,降低內網被攻擊的可能性。
FAQ
Q1:我該如何管理我的 Gateway?
A1:請於 Gateway 管理頁面進行操作
- 步驟 1:定義區段
請為每台 Gateway 命名區段,並下載相關設定檔至遠端 Gateway 進行安裝,例如gateway-office1
。 - 步驟 2:標記資源
在資源列表頁的「標籤」欄位,新增對應的 Gateway 區段名稱,例如gateway-office1
。 - 步驟 3:填寫公鑰
完成安裝後,記得回填公鑰至 Gateway 管理頁內的那台伺服器,以啟用安全連線。 - 步驟 4:測試連人
等待約 10 分鐘,確認 Gateway 狀態同步成功,並測試連線是否正常運作。
Q2:Tunnel 有什麼作用?
A2:Tunnel 開啟時,可確保所有連線皆先通過預設代理伺服器,並為連線提供加密與隔離,減少內網暴露風險。
Q3:Gateway 是否有自動同步與重試機制?
A3:系統每 15 秒會同步遠端 Gateway 的狀態,確保各代理伺服器的可用性。且當同步失敗時,會自動進行多次重試,提升可靠性。
Q4: 找不到可用的 Gateway,該如何處理?
A4: 請確認 Gateway 是否正確安裝並在系統中同步。如果仍有問題,請檢查 Proxy 的連線設定與網絡狀態。
Q5: 是否可以指定多個 Gateway 嗎?
A5: 可以。同一區段內可以有多個 Gateway,系統會隨機選擇可用的 Gateway 進行連線,確保穩定性。
Q6: 什麼時候需要標記 Gateway?
A6: 標記 Gateway 的情境通常如下:
- 資源放置於特定區域:
- 當需要針對某個區域內的資源(如 AWS 或 GCP 的伺服器)指定代理伺服器時,可以在資源上新增對應的 Gateway Tag,例如
gateway-aws
或gateway-gcp
。
- 當需要針對某個區域內的資源(如 AWS 或 GCP 的伺服器)指定代理伺服器時,可以在資源上新增對應的 Gateway Tag,例如
- 提升連線效率:
- 當資源數量龐大且分散於多個區域,標記 Gateway 可讓系統在對應區域內隨機選擇一台可用的 Gateway,優化連線速度和穩定性。
- 滿足業務需求:
- 如果某些資源需要通過特定 Gateway 處理,例如內網伺服器或敏感數據資源,標記 Gateway 可確保符合業務要求。
- 避免資源混用:
- 當企業有多個 Gateway 並希望區分不同部門或業務使用的資源,標記區段能幫助達成分離與管理。