部署和网络要求
- Updated: 2024/07/11
了解基于证书的 HTTPS 连接以及相关的端口、存储、虚拟机和 DNS 要求的部署架构。
部署
在此部署模型中,所有与 PEG 的连接都保留在您控制的网络内。
架构
端口要求
下表列出了入口和出口 IP 地址的端口要求。
| 端口 | 协议 | 用途 | 入口私有 IP | 入口公有 IP | 出口到公网 |
|---|---|---|---|---|---|
| 22 | TCP | 管理员的 SSH 连接 | ✓ | ||
| 443 | TCP |
入口 桌面传感器和业务分析师通过 HTTPS (TLS 1.2) 进行连接 出口 PEG 将脱敏数据发送到 Process Discovery。 还用于从我们的存储库中下载 PEG 安装程序、更新等。 传感器直接连接到 Process Discovery 云以仅获取配置信息。 不会直接从传感器向 Process Discovery 云发送收集的数据。 |
✓ | ✓ | |
| 80 | TCP | 用于从 HTTP 重定向到 HTTPS (443) | ✓ |
数据加密
数据在从 PEG 传输到 Cloud 环境时会被加密。 以下是为确保数据隐私和安全而制定的数据加密政策和实践:
- 安全传输协议 (STP): PEG 系统对所有向云平台传输的数据采用 HTTPS,确保使用传输加密并防止数据泄露。
- 传输层安全 (TLS) 加密: 从 PEG 传输到 Cloud 的数据使用 TLS 协议加密,该协议是安全网页通信的行业标准。
- 机密性和完整性: HTTPS 提供的加密保护了从 PEG 发送数据的机密性和完整性,防止未经授权的披露和篡改。
- 通过证书进行身份验证: Cloud 平台的身份通过数字证书进行认证,作为 HTTPS 协议的一部分,这有助于防止黑客攻击和未经授权的数据访问。
- 强大的加密算法: HTTPS 结合了强大的加密算法,包括高级加密标准 (AES) 和 Rivest–Shamir–Adleman (RSA),以创建用于数据交换的安全通道。
虚拟机大小要求
以下虚拟机大小受 PEG 安装支持:- Microsoft Azure: NC8as T4 v3
- AWS: g4dn.4xlarge
- Google Cloud Platform: N1-highmem-8,配有 1 个 nvidia-tesla-t4 GPU
注: 每个 PEG 虚拟机每个日历周可以处理 10 个传感器,每个传感器每天大约发送 8 小时的数据,每周发送 5 天。
存储要求
确保您的操作系统或根磁盘具有 2 TB 或更大的近线 SSD 存储空间。 使用您平台的存储加密机制对磁盘进行加密。
注: MiNIO 和 K-Lite 的标志和徽标是 MiNIO 和 K-Lite Codec Pack 的商标或注册商标,仅用于识别目的。
MiNIO 作为我们的内部非结构化数据存储,用于存储由 Process Discovery 传感器生成的所有图像:
- 数据保护: MinIO 支持纠删码和位腐保护,以防止硬件故障和数据损坏。
- 安全性: MinIO 提供强大的安全功能,例如传输中加密 (TLS) 和静态加密、身份和访问管理 (IAM)、支持存储桶策略和访问控制列表 (ACL)。
除了存储非结构化数据之外,一些文本文件(如过去列表和阻止列表)也存储在 MiNIO 中。 然而,这些图像是通过 K-Lite 的网址访问的,而不是直接从 MiNIO 访问。 存储具有基于浏览器的访问权限,可以在调试过程中或需要额外检查任何已转发的原始图像时使用。
支持以下场景:
- 可由 K-Lite 用于读取图像并在 UI 中显示的只读用户
- 可用于需要额外权限任务的存储管理员用户
DNS 要求
您需要向 PEG 提供要使用的顶级域名(例如,example.com)。 基于此,PEG 将通知您必须创建的 DNS 子域记录。