Zugriff auf Edge Services über die WAN-Schnittstelle

  • Updated on Aug 1, 2023
  • 5 minute(s) read
Prev Next

In diesem Abschnitt wird die Funktion Service Listener erklärt. Außerdem erfahren Sie, wie Sie über die iNode-WAN-Schnittstelle Zugriff auf Edge Services bereitstellen, indem Sie auf der iNode-Ebene für einen Dienst/Dienste Service Listener erstellen. Sie können pro Dienst einen Service Listener erstellen und konfigurieren, sowohl für einen bestehenden Dienst, als auch für einen Dienst, den Sie zu einem späteren Zeitpunkt erstellen.

Voraussetzungen

Stellen Sie, bevor Sie beginnen, sicher, dass die folgenden Bedingungen erfüllt sind:

  • Richtlinie der Organisation: Stellen Sie sicher, dass Ihre Organisation die Funktion für Service Listener aktiviert hat. Wenden Sie sich an den View Support, um diese Funktion zu aktivieren.
  • Berechtigungen des Benutzers: Service Listener können von Benutzern mit den Rollen SERVICE-ADMIN, NODE-ADMIN, SUPPORT, SUPERADMIN und ADMIN erstellt werden.
  • iNode-Version: Die Funktion Service Listener wird von der iNode-Version 2641.0.3 unterstützt. Diese Funktion wird von älteren iNode-Versionen nicht unterstützt. Bitte führen Sie ein Upgrade auf die iNode-Version 2641.0.3 durch, um diese Funktion zu nutzen.
  • Netzwerkkonfiguration: Stellen Sie sicher, dass in der Konfiguration Edge iNode > Netzwerk hinzufügen in dem Feld Standardziel WAN festgelegt ist, um die Funktionalität von Service Listeners zu gewährleisten.WAN hinzufügen
  • Konfiguration der Firewall in dem Netzwerk des iNode: Stellen Sie sicher, dass Sie die erforderliche Firewall in dem Netzwerk des iNode konfigurieren, um einen Zugriff auf die iNode-WAN-Schnittstelle bereitzustellen.
  • Konfiguration der Firewall für den GCP Edge iNode: Stellen Sie Folgendes sicher:
    • Konfigurieren Sie die Firewall für den GCP Edge iNode.
    • Stellen Sie in dem Netzwerk der Edge-Instanz Netzwerk-Tags bereit. Nutzen Sie diese Tags bei der Konfiguration der Firewall, um Zugriff auf die Instanz zu gewähren. Dieser Schritt ist wichtig, um zu gewährleisten, dass über das Internet auf die Dienste zugegriffen werden kann.

Bitte sehen Sie sich am Ende dieses Abschnitts das Anwendungsfall-Beispiel an.

Einen Service Listener erstellen

Befolgen Sie diese Schritte, um einen Service Listener zu erstellen:

  1. Wählen Sie auf der Seite iNodes > Alle iNodes den Namen des Virtual Edge iNode aus. Daraufhin erscheint die iNode-Detailseite.
  2. Wählen Sie auf der iNode-Detailseite die Registerkarte Service Listeners aus.servicelistenerTab
  3. Wählen Sie auf der rechten Seite das Plus-Symbol (+) aus. Daraufhin erscheint die Seite Listener hinzufügen.Service Listener erstellen
  4. Wählen Sie den Dienst aus und geben Sie einen Namen für diesen Dienst ein. In dem Feld Dienstauswahl ist der Dienst angezeigt, für den der Listener konfiguriert wird. Stellen Sie sicher, dass Sie für den Namen des Dienstes den Namen des bereitgestellten Edge Service eingeben. Bei dem Namen des Dienstes ist Groß- und Kleinschreibung zu beachten. Der Service Listener nutzt diese Auswahl, um den Dienst auszuwählen, für den der externe Zugriff gewährt werden soll.
    • Falls es einen Dienst gibt, wird der Zugriff unverzüglich gewährt.
    • Sie können zuerst den Service Listener und anschließend den Dienst mit dem konfigurierten Namen (Bezeichner) erstellen. Der Zugriff wird gewährt, sobald der Dienst erstellt ist.
  5. Legen Sie die Konfiguration des/der Ports fest:
    • Der Wert des iNode Ports kann für alle Dienste eines bestimmten iNodes nur einmal genutzt werden. Der gültige Portbereich liegt zwischen 1024 und 32767.
    • Port bezeichnet den Port, über den der Edge Service innerhalb des iNodes überwacht.
    • Protokoll legt fest, welches Protokoll für den WAN-Zugriff zugelassen ist. Die zulässigen Werte sind TCP und UDP.
  6. Legen Sie in dem Feld Zugriffserlaubnis die Liste aus IP-Adressen in der CIDR-Notation (maximal 5) fest, denen Zugriff auf den Edge Service gewährt werden soll. Falls keine IP-Adressen festgelegt werden, wird standardmäßig allen Zugriff gewährt. Konfigurieren Sie den Zugriff, um den externen Zugriff einzuschränken.
  7. Klicken Sie, sobald Sie fertig sind, auf Speichern.

Service Listener aktualisieren

Sie können eine bestehende Konfiguration der Service Listener für die Listener-Ports bearbeiten und aktualisieren und basierend auf den Aktualisierungen Zugriff gewähren.

Befolgen Sie diese Schritte, um eine Konfiguration der Service Listener zu aktualisieren:

  1. Wählen Sie in der Registerkarte Service Listeners das Symbol Bearbeiten (drei vertikale Punkte > Stiftsymbol) aus, um die Konfiguration der Service Listener zu aktualisieren.servicelistenerTab
  2. Bearbeiten und aktualisieren Sie auf der Seite Listener bearbeiten den Namen des Listeners, die Ports und gegebenenfalls die Zugriffserlaubnis.Service Listener bearbeiten
  3. Klicken Sie, sobald Sie fertig sind, auf Aktualisieren.

Status eines Service Listener anzeigen

Befolgen Sie diese Schritte, um sich den Status eines Service Listener anzeigen zu lassen:

  1. Erweitern Sie in der Registerkarte Service Listeners den Namen Ihres Listeners, um sich den Konfigurationsstatus des Listener-Ports anzeigen zu lassen.Status eines Service Listener anzeigen
  2. Wählen Sie das Symbol Status anzeigen (drei vertikale Punkte > Stiftsymbol) aus, um sich die Seite Status anzeigen zu lassen.
    Die Funktion „Status eines Service Listener anzeigen“ ist für die Rolle „ORG ADMIN“ nicht verfügbar.
    Statusseite eines Service Listener
  3. Aktivieren Sie unter Netzwerk > Sicherheit den Hit Counter der Sicherheitsrichtlinie, um die Werte des Hit Counters zu erhalten.
    Aktivieren Sie unter  Netzwerk > Sicherheit den Hit Counter der Sicherheitsrichtlinie für das TAN- und das WAN-Netzwerk, um die richtigen Werte des Hit Counters zu erhalten.
    Debug Counter eines Service Listener

Service Listener entfernen

Wählen Sie in der Registerkarte Service Listeners Listener entfernen aus, um einen Service Listener zu entfernen. Sobald der Listener entfernt ist, wird der externe Zugriff auf den Dienst aufgehoben.

Anwendungsfall-Beispiel einer Konfiguration eines Service Listener

In diesem Abschnitt wird ein Anwendungsfall-Beispiel einer Erstellung und Konfiguration eines Service Listener in einem iNode auf der Google Cloud Platform (GCP) beschrieben.

In diesem Beispiel wird eine Edge-Service-Anwendung namens Edgeservice in einem Netzwerk auf dem Port 8080 für Verbindungen ausgeführt. Das Ziel besteht darin, über die iNode-WAN-Schnittstelle auf dem Port 8080 über das Internet auf diesen Dienst zuzugreifen. Die WAN-Schnittstelle hat die global freigegebene IP-Adresse.

Konfiguration eines Service Listener auf der Google Cloud Platform

Bei der Erstellung/Bearbeitung einer Instanz Netzwerk-Tags hinzufügen

  1. Befolgen Sie die in Launching Virtual Edge iNodes (GCP) beschriebenen Schritte, um das iNode zu erstellen. In der Beispielabbildung ist ein iNode namens demo-gcpnode abgebildet.Instanz 1 auf der GCP erstellen
  2. Fügen Sie in dem Textfeld Netzwerk → Netzwerk-Tags das gewünschte Netzwerk-Tag hinzu. Bitte beachten Sie, dass in der Beispielabbildung in der Option Firewall das hinzugefügte Tag serviceaccess und HTTP-/HTTPS-Traffic aktiviert sind.Netzwerk-Tag der GCP-Instanz erstellen
  3. Sobald das iNode erstellt ist, werden in den Konfigurationsdetails die der iNode-Instanz hinzugefügten Netzwerk-Tags angezeigt. In der Beispielabbildung sind folgende Netzwerk-Tags abgebildet: http-server, https-server und das benutzerdefinierte Netzwerk-Tag serviceaccess.Details mit Netzwerk-Tag der GCP-Instanz

Der GCP-iNode-Instanz mithilfe von Netzwerk-Tags Firewall-Regeln zuweisen

  1. Wählen Sie in dem Menü „Navigation“ die Option VPC-Netzwerk und wählen Sie die Option Firewall aus.Konfiguration der Firewall
  2. Füllen Sie die folgenden Felder aus:
    1. Geben Sie für die Firewall-Regel einen Namen und eine Beschreibung ein.
    2. Legen Sie die gewünschte Priorität und die Aktion (erlauben/ablehnen) fest.
    3. Geben Sie in dem Feld Ziel den Netzwerk-Tag der GCP-Instanz ein, beispielsweise serviceaccess.
    4. Legen Sie in dem Bereich „Quelle (IPv4)“ die Liste aus IP-Adressen fest, denen Zugriff auf den Edge Service gewährt werden soll. Abhängig von der vorherigen Konfiguration kann ebenfalls eine Liste mit abgelehnten IP-Adressen festgelegt werden. Bitte sehen Sie sich das Dokument „GCP-Hilfe“ an, um weitere Informationen zu erhalten.
    5. Konfigurieren Sie die Ports, über die ein Zugriff gewährt werden soll.Netzwerkdetails der GCP-Instanz

Die neue, konfigurierte Firewall-Regel muss mit den GCP-Standardregeln für eine Instanz in dem Abschnitt „Netzwerkdetails“ der iNode-Instanz aufgelistet werden.

Konfiguration im Secure Edge Portal

In der Beispielabbildung ist der neue Service Listener Edgeservice abgebildet.

Service Listener erstellen

Nachdem der Listener Edgeservice konfiguriert ist, wird von den in dem Feld Zugriffserlaubnis aufgelisteten IP-Adressen mithilfe über den Port 8080 der öffentlichen IP-Adresse (der GCP-Instanz) darauf zugegriffen.

Die öffentliche IP-Adresse der GCP-Instanz ist eine temporäre IP-Adresse. Daher kann es bei der öffentlichen IP-Adresse derselben Instanz zu einer Änderung kommen, falls sie gestoppt und erneut gestartet wird.