了解基于证书的 HTTPS 连接以及相关的端口、存储、虚拟机和 DNS 要求的部署架构。

部署

在此部署模型中,所有与 PEG 的连接都保留在您控制的网络内。

架构


在此架构中,必须为 HTTPS 连接创建和管理证书

端口要求

下表列出了入口和出口 IP 地址的端口要求。

端口 协议 用途 入口私有 IP 入口公有 IP 出口到公网
22 TCP 管理员的 SSH 连接
443 TCP

入口

桌面传感器和业务分析师通过 HTTPS (TLS 1.2) 进行连接

出口

PEG 将脱敏数据发送到 Process Discovery

还用于从我们的存储库中下载 PEG 安装程序、更新等。

传感器直接连接到 Process Discovery 云以仅获取配置信息。 不会直接从传感器向 Process Discovery 云发送收集的数据。

80 TCP 用于从 HTTP 重定向到 HTTPS (443)

数据加密

数据在从 PEG 传输到 Cloud 环境时会被加密。 以下是为确保数据隐私和安全而制定的数据加密政策和实践:
  • 安全传输协议 (STP): PEG 系统对所有向云平台传输的数据采用 HTTPS,确保使用传输加密并防止数据泄露。
  • 传输层安全 (TLS) 加密: 从 PEG 传输到 Cloud 的数据使用 TLS 协议加密,该协议是安全网页通信的行业标准。
  • 机密性和完整性: HTTPS 提供的加密保护了从 PEG 发送数据的机密性和完整性,防止未经授权的披露和篡改。
  • 通过证书进行身份验证Cloud 平台的身份通过数字证书进行认证,作为 HTTPS 协议的一部分,这有助于防止黑客攻击和未经授权的数据访问。
  • 强大的加密算法: HTTPS 结合了强大的加密算法,包括高级加密标准 (AES) 和 Rivest–Shamir–Adleman (RSA),以创建用于数据交换的安全通道。

虚拟机大小要求

以下虚拟机大小受 PEG 安装支持:
  • Microsoft Azure: NC8as T4 v3
  • AWS: g4dn.4xlarge
  • Google Cloud Platform: N1-highmem-8,配有 1 个 nvidia-tesla-t4 GPU
注: 每个 PEG 虚拟机每个日历周可以处理 10 个传感器,每个传感器每天大约发送 8 小时的数据,每周发送 5 天。

存储要求

确保您的操作系统或根磁盘具有 2 TB 或更大的近线 SSD 存储空间。 使用您平台的存储加密机制对磁盘进行加密。

注: MiNIO 和 K-Lite 的标志和徽标是 MiNIO 和 K-Lite Codec Pack 的商标或注册商标,仅用于识别目的。

MiNIO 作为我们的内部非结构化数据存储,用于存储由 Process Discovery 传感器生成的所有图像:
  • 数据保护: MinIO 支持纠删码和位腐保护,以防止硬件故障和数据损坏。
  • 安全性: MinIO 提供强大的安全功能,例如传输中加密 (TLS) 和静态加密、身份和访问管理 (IAM)、支持存储桶策略和访问控制列表 (ACL)。

除了存储非结构化数据之外,一些文本文件(如过去列表阻止列表)也存储在 MiNIO 中。 然而,这些图像是通过 K-Lite 的网址访问的,而不是直接从 MiNIO 访问。 存储具有基于浏览器的访问权限,可以在调试过程中或需要额外检查任何已转发的原始图像时使用。

支持以下场景:
  • 可由 K-Lite 用于读取图像并在 UI 中显示的只读用户
  • 可用于需要额外权限任务的存储管理员用户

DNS 要求

您需要向 PEG 提供要使用的顶级域名(例如,example.com)。 基于此,PEG 将通知您必须创建的 DNS 子域记录。