Cisco 역방향 프록시 설치 프로그램 사용 설명서

Cisco 역방향 프록시 설치 프로그램 사용 설명서

내용물 숨다

1 위에view

2 필수 조건

3 보안

4 호스트 매핑 File 네트워크 번역을 위해

5 항구 관리

6 여러 포트가 있는 공통 도메인 사용

7 공통 포트와 여러 도메인 사용

8 Finesse, IdS 및 CUIC 서버에 대한 DNS 구성

9 문서 / 리소스

9.1 참고문헌

위에view

Cisco 리버스 프록시 설치 프로그램(이 문서에서는 RP 설치 프로그램이라고 함)은 Cisco Unified CCE 솔루션의 구성 요소입니다. 이 프로그램은 Unified CCE를 위한 즉시 사용 가능한 리버스 프록시 솔루션(Open Resty Nginx 기반)을 제공하며, 검증된 구성이 내장되어 있습니다. 이러한 구성은 Unified CCE를 배포할 때 일반적으로 사용되는 ADFS와 같은 외부 애플리케이션 및 다른 Unified CCE 구성 요소를 프록시하는 데 사용할 수 있습니다.

RP 설치 프로그램은 Unified CCE 솔루션에서 지원하는 다양한 배포 모델 전반에 걸쳐 여러 사용 시나리오에 대해 사전 테스트 및 부하 검증을 거쳤습니다.

RP 설치 프로그램은 인터넷을 통해 Unified CCE 솔루션에 액세스할 수 있도록 지원하며, 일반적으로 Finesse 에이전트 데스크톱에 VPN 없이 액세스할 수 있도록 설정하거나 인터넷에 직접 접속해야 하는 디지털 채널과 같은 고급 기능을 활성화하도록 설정됩니다.

RP 설치 프로그램은 고객이 제공하고 보안이 강화된 RHEL 9.4 운영 체제를 실행하는 호스트의 비무장지대(DMZ)에 배포하도록 설계되었습니다. 사전 구성된 프록싱 규칙을 통해 데이터 기반 구성을 사용하여 다음 구성 요소에 대한 프록싱이 가능합니다. files:

시스코 피네스
클라우드 연결
시스코 통합 인텔리전스 센터
라이브 데이터
시스코 아이덴티티 서비스
시스코 IM&P 서버
Microsoft ADFS 3.0 또는 5.0

주목
이 가이드에서 "업스트림 서버"라는 용어는 Finesse, CUIC, IdS 및 IM&P 서버와 같이 리버스 프록시를 통해 액세스하도록 구성된 모든 솔루션 구성 요소를 지칭하는 데 사용됩니다.

필수 조건

Finesse 데스크톱에 VPN 없이 액세스하도록 구성하려면 다음 단계를 따르세요.

리버스 프록시 설치 프로그램은 15.0(1) 이상이어야 합니다.
Finesse, IdS 및 Cisco Unified Intelligence Center는 12.6(2) ES4 이상이어야 합니다.
공동 설치 환경에서 LiveData와 Cisco Unified Intelligence Center는 12.6(2) 이상이어야 합니다.

Unified CCE 및 LiveData 독립 실행형 버전은 해당 버전에 대한 최신 ES를 포함하여 12.6(1) 이상이어야 합니다.
시스코 IM&P 서버
리버스 프록시를 호스팅하려면 인터넷 연결이 가능한 DMZ 영역이 있어야 합니다.

보안

RP 설치 프로그램은 개방형 프록시가 아닙니다. 모든 요청을 적절한 업스트림 서버로 전달하기 전에 인증합니다. 업스트림 서버는 요청을 처리하기 전에 로컬 인증도 적용합니다.

인증 외에도 몇 가지 추가적인 기능이 있습니다. 보안 솔루션을 보호하기 위해 사용 가능한 조치입니다. 보안에 대한 자세한 내용은 보안 장에서 확인할 수 있습니다.

보안 지침에 대한 자세한 내용은 리버스 프록시 배포를 위한 보안 지침을 참조하십시오.
Cisco Unified ICM/Contact Center Enterprise 보안 가이드.

인증에 대한 자세한 내용은 인증을 참조하세요.

호스트 매핑 File 네트워크 번역을 위해

역방향 프록시 배포는 매핑에 의존합니다. file 관리자가 외부에서 볼 수 있는 호스트 이름/포트 조합 목록과 Finesse, IdS 및 CUIC 서버에서 사용하는 실제 서버 이름 및 포트에 대한 매핑을 구성하기 위해 제공합니다. 이 매핑은 file 업스트림 서버에 구성된 구성은 인터넷을 통해 연결된 클라이언트가 인터넷에서 사용되는 필수 호스트 및 포트로 리디렉션될 수 있도록 하는 핵심 구성입니다. 매핑에 대한 자세한 내용은 네트워크 변환 데이터 채우기를 참조하세요.

메모
전용 기기를 사용하는 것이 좋습니다. web 매핑을 호스팅하기 위한 LAN 내의 서버 file이 목적을 위해 역방향 프록시 설치 프로그램을 사용하는 것보다 낫습니다.

역방향 프록시를 통해 들어오는 모든 요청에 대해 Finesse, IdS 및 CUIC 서버는 호스트 매핑을 확인합니다. fileLAN에서 사용되는 내부 호스트 이름과 포트를 인터넷에서 사용해야 하는 공개적으로 확인 가능한 호스트 이름과 포트로 변환합니다. 이 매핑 과정을 통해 변환이 이루어집니다. file, Proxy-config 맵이라고 함 file이는 리버스 프록시를 통해 연결된 클라이언트가 인터넷에서 사용되는 필수 호스트 및 포트로 리디렉션될 수 있도록 하는 핵심 구성입니다.

Proxy-config 맵 file Finesse, IdS 및 CUIC 서버에서 사용 가능한 CLI를 사용하여 구성할 수 있습니다. 매핑에 대한 자세한 내용은 file 형식 및 구성된 데이터에 대한 자세한 내용은 네트워크 변환 데이터 채우기 섹션을 참조하세요. 구성에 사용되는 CLI에 대한 자세한 내용은 file자세한 내용은 해당 항목의 유틸리티 시스템 리버스 프록시 구성 URI CLI를 참조하십시오. CLI를 사용하여 프록시 매핑 구성.

Proxy-config 맵 file Unified CCX 서버 및 Cisco Collaboration Platform 서버에서 사용 가능한 CLI를 사용하여 구성할 수 있습니다. 매핑에 대한 자세한 내용은 file 형식 및 구성된 데이터에 대한 자세한 내용은 Cisco Unified Contact Center Express 관리 및 운영 가이드의 네트워크 변환 데이터 채우기 섹션을 참조하십시오. 구성에 사용되는 CLI에 대한 자세한 내용은 file프록시 매핑 구성 방법을 참조하십시오. Cisco Unified Contact Center Express 관리 및 운영 가이드의 CLI 사용 섹션을 참조하십시오.
at https://www.cisco.com/c/en/us/support/customer-collaboration/unified-contact-center-express/products-maintenance-guides-list.html..

항구 관리

리버스 프록시 배포 시 주요 설계 요소 중 하나는 애플리케이션 접속에 사용되는 도메인과 포트입니다. 이러한 요소들은 상호 의존적이며 배포 설계 시 서로 영향을 미칩니다.

리버스 프록시는 들어오는 요청을 어떤 업스트림 서버로, 어떤 서버로 전달해야 하는지 판단할 수 있어야 합니다. 이는 애플리케이션에 액세스하는 데 사용되는 포트 또는 호스트 이름을 변경하여 확인할 수 있습니다. 기본적으로 호스트와 포트의 조합은 프록시가 트래픽을 구별하고 올바른 업스트림 구성 요소로 라우팅할 수 있도록 고유해야 하며, 프록시가 정상적으로 시작되기 위한 필수 조건입니다.

따라서 도메인 및 포트 액세스를 설계하는 데 사용할 수 있는 옵션은 다음과 같습니다.

공통 도메인을 사용하고 여러 포트를 이용하여 애플리케이션 접근을 구분하십시오.

공통 포트를 사용하고 여러 도메인을 이용하여 애플리케이션 액세스를 구분하십시오.

도메인과 포트 분포가 결정되면 다음 단계를 수행해야 합니다.

프록시 맵 구성은 필요한 포트와 도메인에 맞게 변경해야 합니다. CLI를 사용한 프록시 매핑 구성 방법을 참조하십시오.
역방향 프록시 설치 프로그램에서 해당 상위 구성 요소 환경 구성은 필요한 호스트 이름과 포트로 구성해야 합니다. 자세한 내용은 배포 환경 구성 설정을 참조하십시오.

여러 포트가 있는 공통 도메인 사용

다음 예ample는 이 액세스 패턴을 사용하여 여러 애플리케이션 서버를 구성하는 방법을 보여줍니다.

다음은 여러 포트를 사용할 때의 이점입니다.

각 애플리케이션에 적용 가능한 보다 세분화된 패킷 수준의 속도 제한을 진입점에서 적용하여 속도 제한을 제어할 수 있습니다. 도메인 수준 액세스는 속도 제한을 세분화할 수 없음을 의미합니다.

단일 도메인 애플리케이션은 하나의 SSL 인증서만으로 접속이 가능합니다. 이는 와일드카드 인증서가 필요한 다중 도메인 애플리케이션과 달리 비용 절감에 도움이 될 수 있습니다.

단점은 다음과 같습니다.tag여러 포트를 사용하는 경우:

CDN과 같은 특정 네트워크 환경에서는 사용자 지정 포트를 지원하지 않습니다.
보안 규칙을 자동으로 적용하는 보안 장치는 비표준 포트를 사용하는 사용자 지정 구성이 필요할 수 있습니다.

DMZ 방화벽에서 여러 포트를 열어야 합니다(표준 2k 배포의 경우 10~15개 포트 필요). 하지만 네트워크 보안 팀에서는 이러한 구성을 권장하지 않습니다.
포트 관리 측면에서 오버헤드가 증가합니다.
애플리케이션의 새 인스턴스를 배포하려면 방화벽/네트워크 설정을 변경해야 합니다.

메모
프록시 맵에 명시된 포트 이외의 포트는 차단되어야 하며, 리버스 프록시 호스트에서 접근할 수 없어야 합니다. 현재 프록시에는 네트워크 수준에서 해당 접근을 차단하는 규칙이 없으므로, 진입 지점에서 차단을 설정해야 합니다.

Cisco에서 제공하는 설치 프로그램은 유지 관리의 편의성을 위해 서로 다른 업스트림 서버 세트에 맞춰 여러 인스턴스를 실행할 수 있도록 지원합니다. 하지만 설치 프로그램의 여러 인스턴스를 실행하더라도 프록시의 각 인스턴스에서 동일한 포트를 사용할 수는 없습니다. 하나의 TCP 포트에는 하나의 프로세스만 바인딩할 수 있습니다.

프록시 설치 프로그램 구성에 대한 포트 관리 전략을 결정할 때 위의 두 가지 사항을 고려하십시오.

공통 포트와 여러 도메인 사용

다음 예amp이 그림은 이러한 액세스 패턴을 사용하여 여러 애플리케이션 서버를 구성하는 방법을 보여줍니다.

피네스A = FinesseA-ReverseProxyDomain.com:443
피네스B = FinesseB-ReverseProxyDomain.com:443
피네스1A = Finesse1A-ReverseProxyDomain.com:443
Finesse2B = Finesse2B-ReverseProxyDomain.com:443

단일 포트 구성은 위에 나열된 다중 포트 구성의 장단점을 반대로 적용합니다.

메모
단일 액세스 포트를 지원하려면 Unified Intelligence Center 및 LiveData 구성 요소가 12.6(2) 버전이어야 합니다.

Finesse, IdS 및 CUIC 서버에 대한 DNS 구성

인터넷 접속이 필요한 호스트에 해당하는 Finesse, IdS, CUIC, IM&P 및 타사 구성 요소 서버는 모두 인터넷에서 주소 지정이 가능해야 합니다. 이를 위해서는 인터넷에서 확인 가능한 호스트 이름과 관련 포트를 리버스 프록시의 공개 포트 및 해당 IP 주소에 매핑하여 트래픽이 해당 구성 요소 서버로 전달되도록 해야 합니다.

공개적으로 확인 가능한 호스트 이름과 해당 IP 주소의 DNS 등록은 요청이 리버스 프록시에 도달하기 전에 필수적입니다.

SSL 인증서
인터넷 클라이언트가 사용하는 각 고유 호스트 이름에 해당하는 호스트 이름에 대해 해당 인증서를 발급받아 리버스 프록시에 구성해야 합니다. 자체 서명 인증서도 지원되지만, 사용자가 인터넷에서 직접 접속하기 때문에 위험할 수 있습니다. 클라이언트는 CA에서 서명한 인증서를 사용하면 보안을 강화할 수 있습니다. 프록시 서버와 타사 기기 서버에는 CA 인증서를 발급받는 것이 가장 좋습니다.

문서 / 리소스

Cisco 역방향 프록시 설치 프로그램 [PDF 파일] 사용 설명서
역방향 프록시 설치 프로그램, 프록시 설치 프로그램, 설치 프로그램

참고문헌

사용자 설명서