View a markdown version of this page

Paramètres d'entrée des appels - Wickr Enterprise
ConsidérationsArchitectures de référence

Ce guide fournit de la documentation pour Wickr Enterprise. Si vous utilisez AWS Wickr, consultez le guide d'administration d'AWS Wickr ou le guide de l'utilisateur d'AWS Wickr.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Paramètres d'entrée des appels

Wickr prend en charge un paramètre d'entrée d'appel, permettant à un client de se connecter à n'importe quel nœud appelant au sein du cluster et d'avoir l'itinéraire des appels vers le bon serveur d'appel. Wickr prend en charge quatre types d'entrée d'appels :

  • LoadBalancer (par défaut)

    • Ils LoadBalancer seront fournis par le fournisseur de cloud (les installations entièrement sur site nécessiteront une configuration supplémentaire). Une fois le LoadBalancer provisionnement effectué, la configuration KOTS doit être à nouveau mise à jour pour fournir le nom d'hôte ou les adresses IP de l'équilibreur de charge.

  • NodePort

    • Expose un NodePort service sur chaque nœud appelant qui servira de point d'entrée pour le trafic d'appels. Un nom d'hôte renvoyant à un ou plusieurs nœuds ou l'adresse IP d'un ou de plusieurs nœuds doivent être fournis. Vous pouvez choisir une plage de ports comprise entre 30000 et 32767 pour le trafic UDP et éventuellement TCP.

  • NLB existant

    • Rattache le service d'entrée des appels à un NLB existant. Vous devrez fournir l'ARN du groupe cible pour le trafic UDP et éventuellement pour le trafic TCP.

  • Aucun service

    • Sélectionnez cette option si vous n'avez pas besoin d'un service Kubernetes supplémentaire pour autoriser le trafic entrant. Cela sera généralement utilisé avec le paramètre du réseau hôte pour acheminer le trafic entrant directement vers vos nœuds d'appel.

Considérations

  • Pour garantir la rétrocompatibilité avec les anciens clients et les réseaux fédérés sans entrée d'appels, lorsque l'entrée d'appels est activée, l'ancien mode d'appel est toujours disponible (connexion directe aux serveurs d'appel). Si vous modifiez un port par défaut, assurez-vous qu'il n'y a aucune collision de ports sur les nœuds appelants.

  • Le trafic NLBs UDP à double pile doit avoir des cibles principales IPv6 . Pour plus d'informations, consultez la section Network Load Balancer Target Groups.

  • Si vous souhaitez être conforme aux normes STIG, vous devez désactiver l'option réseau hôte pour les appels. Si les nœuds sont configurés en mode double pile, mais pas le cluster, vous risquez de perdre la IPv6 connectivité (en supposant qu'il s'agit d'un IPv4 cluster).

  • L'entrée des appels nécessite des noms d'hôtes ou des adresses IP prédéfinis. La mise à l'échelle des nœuds ou la fourniture d'un routage personnalisé peuvent nécessiter une modification de la configuration.

  • Les ports d'entrée des appels par défaut sont 8443 pour TCP et 16384 pour UDP. Assurez-vous que les pare-feux et les groupes de sécurité autorisent le trafic vers ces ports, ou vers d'autres ports si les valeurs par défaut sont remplacées.

Architectures de référence

Entrée avec équilibreur de charge

Cette option expose un équilibreur de charge unique comme point d'entrée pour tout le trafic d'appels.

  1. Pour le type d'entrée d'appel, choisissez Load Balancer ou Existing NLB. Pour plus d'informations sur le NLB existant, reportez-vous à la pile NLB dans l'exemple de Wickr Enterprise CDK sur. GitHub

  2. Procédez de l'une des manières suivantes, en fonction du type d'entrée d'appel :

    • Pour le NLB existant, indiquez le groupe cible ARNs pour le trafic UDP et TCP ainsi que le nom d'hôte du NLB.

    • Pour Load Balancer, fournissez le nom d'hôte une fois qu'il a été provisionné par Kubernetes.

    Sinon, pour l'un ou l'autre type d'entrée d'appel, vous pouvez fournir les adresses IP de l'équilibreur de charge ou un nom d'hôte personnalisé pointant vers l'équilibreur de charge.

  3. (Facultatif) Pour combiner le trafic de messagerie et le trafic d'appels dans un seul NLB, choisissez Existing NLB dans la section Ingress et indiquez un groupe cible HTTPS.

Ingress avec NodePort

Cette option est utile si le réseau hôte est désactivé et que vous ne souhaitez pas exposer un équilibreur de charge supplémentaire.

Note

Assurez-vous que vos pare-feux et groupes de sécurité autorisent le trafic pour le NodePorts.

  1. Pour Type d'entrée d'appel, choisissez NodePort.

  2. Ajoutez les noms d'hôte ou les adresses IP du nœud appelant.

  3. Désactivez le réseau hôte d'appel.

Entrée directe avec HostNetwork

Cette option n'expose aucun service Kubernetes supplémentaire et permet au trafic entrant des appels de se connecter directement via le réseau hôte des nœuds appelants. Cette approche est préférable si IPv6 la connectivité est requise.

  1. Pour le type d'entrée d'appel, sélectionnez Aucun service.

  2. Ajoutez les noms d'hôte ou les adresses IP du nœud appelant.

  3. Activez le réseau hôte d'appel.