Manual do proprietário do instalador do proxy reverso da Cisco

Sobreview

O Cisco Reverse Proxy Installer (referido como RP Installer neste documento) é um componente da solução Cisco Unified CCE. Ele oferece uma solução de proxy reverso pronta para uso (baseada no Open RESTy Nginx) para o Unified CCE, apresentando configurações integradas e testadas em produção. Essas configurações podem ser usadas para encaminhar outros componentes do Unified CCE e aplicativos externos, como o ADFS, que são comumente usados ​​na implementação do Unified CCE.

O instalador RP foi pré-testado e qualificado para suportar diversas cargas em diferentes cenários de uso nos modelos de implantação suportados pela solução Unified CCE.

O instalador RP facilita o acesso à solução Unified CCE pela internet e geralmente é configurado para fornecer acesso sem VPN ao Finesse Agent Desktop ou para habilitar funcionalidades avançadas, como canais digitais que exigem entrada direta na internet.

O instalador RP destina-se à implantação em uma Zona Desmilitarizada (DMZ) em um host reforçado fornecido pelo cliente, executando o sistema operacional RHEL 9.4. As regras de proxy pré-configuradas permitem o encaminhamento dos seguintes componentes por meio de configuração orientada a dados. files:

• Cisco Finesse
• Cloud Connect
• Centro de inteligência unificada da Cisco
• Dados ao vivo
• Serviço de identidade da Cisco
• Servidor Cisco IM&P
• Microsoft ADFS 3.0 ou 5.0

Atenção
Neste guia, o termo “servidores upstream” refere-se a todos os componentes da solução, como os servidores Finesse, CUIC, IdS e IM&P, que estão configurados para serem acessados ​​por meio de proxy reverso.

Pré-requisitos

Para configurar o acesso sem VPN à área de trabalho do Finesse:

• O instalador de proxy reverso deve ser 15.0(1) ou superior.
• Finesse, IdS e Cisco Unified Intelligence Center devem ser 12.6(2) ES4 ou superior.
• Em implantações co-residentes, o LiveData e o Cisco Unified Intelligence Center devem ser da versão 12.6(2) ou superior.
• O Unified CCE e o LiveData autônomo devem ser da versão 12.6 (1) ou superior, com o ES mais recente para as respectivas versões.
• Servidor Cisco IM&P
• É necessário que haja uma DMZ com conectividade à internet disponível para hospedar o proxy reverso.

Segurança

O Instalador RP não é um proxy aberto; ele autentica todas as solicitações antes de encaminhá-las ao servidor upstream apropriado. Os servidores upstream também aplicam autenticação local antes de processar as solicitações.

Além da autenticação, existem várias outras. segurança Medidas disponíveis para proteger a solução. Detalhes sobre segurança podem ser encontrados no capítulo Segurança.

Para obter informações sobre diretrizes de segurança, consulte as Diretrizes de Segurança para Implantação de Proxy Reverso em
Guia de segurança para Cisco Unified ICM/Contact Center Enterprise.

Para obter mais informações sobre autenticação, consulte Autenticação.

Mapeamento de Host File para tradução de rede

A implantação do proxy reverso depende de um mapeamento file fornecido pelo administrador para configurar a lista de combinações de nomes de host/portas visíveis externamente e seu mapeamento para os nomes e portas de servidor reais usados ​​pelos servidores Finesse, IdS e CUIC. Este mapeamento file A configuração nos servidores upstream é a configuração principal que permite que os clientes conectados à internet sejam redirecionados para os hosts e portas necessários usados ​​na internet. Para obter mais informações sobre mapeamento, consulte Preencher Dados de Tradução de Rede.

Observação
Recomenda-se a utilização de um dedicado web servidor dentro da LAN para hospedar o mapeamento file, em vez de usar o instalador do Proxy Reverso para essa finalidade.

Para todas as solicitações que chegam por meio do proxy reverso, os servidores Finesse, IdS e CUIC verificam o mapeamento do host file, para traduzir os nomes de host e portas internos usados ​​na LAN. Eles são traduzidos para os nomes de host e portas publicamente acessíveis que devem ser usados ​​na internet. Este mapeamento file, conhecido como mapa Proxy-config file, é a configuração fundamental que permite que os clientes conectados através do proxy reverso sejam redirecionados para os hosts e portas necessários utilizados na internet.

O mapa Proxy-config file pode ser configurado usando a CLI disponível nos servidores Finesse, IdS e CUIC. Para obter detalhes sobre o mapeamento file formato e os dados configurados, consulte a seção Preencher Dados de Tradução de Rede. Para obter detalhes sobre a CLI usada para configurar o file, consulte a CLI utils system reverse-proxy config-uri no tópico Configure o mapeamento de proxy usando a CLI.

O mapa Proxy-config file pode ser configurado usando a CLI disponível nos servidores Unified CCX e Cisco Collaboration Platform. Para obter detalhes sobre o mapeamento file Para obter detalhes sobre o formato e os dados configurados, consulte a seção "Preencher Dados de Tradução de Rede" no Guia de Administração e Operações do Cisco Unified Contact Center Express. Para obter detalhes sobre a CLI usada para configurar o file, consulte Configurar mapeamento de proxy por A seção "Usando a CLI" está disponível no Guia de Administração e Operações do Cisco Unified Contact Center Express.
at https://www.cisco.com/c/en/us/support/customer-collaboration/unified-contact-center-express/products-maintenance-guides-list.html..

Gestão Portuária

Um dos principais aspectos de design na implantação de um proxy reverso são o domínio e as portas usadas para acessar a aplicação. Esses aspectos são interdependentes e influenciam uns aos outros no design da implantação.

O proxy reverso deve ser capaz de determinar para qual servidor upstream uma solicitação de entrada pode ser encaminhada. Isso pode ser feito alterando a porta ou o nome do host usado para acessar o aplicativo. Essencialmente, a combinação de host e porta deve ser única para que o proxy diferencie e roteie o tráfego para o componente upstream correto, e isso é um requisito para que o proxy inicie corretamente.

Estas são, portanto, as opções disponíveis para projetar o domínio e o acesso à porta:

• Utilize um domínio comum e diferencie o acesso aos aplicativos usando várias portas.
• Utilize uma porta comum e diferencie o acesso aos aplicativos usando múltiplos domínios.

Depois que o domínio e a distribuição de portas forem determinados, as seguintes etapas precisam ser seguidas:

1. A configuração do mapeamento de proxy precisa ser alterada para corresponder à porta e ao domínio necessários. Consulte Configurar o mapeamento de proxy usando a CLI.
2. A configuração do ambiente do componente upstream correspondente no instalador do proxy reverso deve ser configurada com o nome do host e a porta necessários. Consulte Configurar as configurações do ambiente de implantação.

Usando um domínio comum com várias portas

O seguinte example ilustra como vários servidores de aplicativos podem ser configurados usando este padrão de acesso:

• FinesseA = ReverseProxyDomain.com:8445
• FinesseB = ReverseProxyDomain.com:8446
• Finesse1A = ReverseProxyDomain.com:8447
• Finesse2B = ReverseProxyDomain.com:8448

A seguir, apresentamos os benefícios de usar várias portas:

• Limites de taxa mais granulares, em nível de pacote, aplicáveis ​​a cada aplicação, podem ser definidos no ponto de entrada para controlar a taxa de transferência. O acesso em nível de domínio significa que os limites de taxa não podem ser granulares.
• Um domínio único requer apenas um certificado SSL para acessar o aplicativo. Isso pode ser um fator na redução de custos, ao contrário de um aplicativo com múltiplos domínios, que requer um certificado curinga.

As desvantagens são as seguintes:tages no uso de múltiplas portas:

• Algumas implementações de rede, como as CDNs, não suportam portas personalizadas.
• Dispositivos de segurança que aplicam regras de segurança automaticamente podem exigir configurações personalizadas com portas não padronizadas.
• É necessário abrir várias portas no firewall da DMZ (10 a 15 portas são necessárias para uma implementação padrão de 2k). Isso não é recomendado pelas equipes de segurança de rede.
• Há um aumento na sobrecarga relacionada à capacidade de gerenciamento das portas.
• A implantação de novas instâncias do aplicativo requer alterações no firewall/rede.

Observação
As portas que não estejam mencionadas no Mapa de Proxy devem ser bloqueadas e não devem estar disponíveis para acesso no host do proxy reverso. Esse bloqueio deve ser feito no ponto de entrada, pois o proxy atualmente não possui regras para bloquear esse acesso em nível de rede.

O instalador fornecido pela Cisco permite a execução de múltiplas instâncias, cada uma atendendo a um conjunto diferente de servidores upstream, o que facilita a manutenção. Múltiplas instâncias do instalador não permitem o uso das mesmas portas em diferentes instâncias do proxy. Apenas um processo pode se vincular à mesma porta TCP.

Considere os dois pontos acima ao decidir a estratégia de gerenciamento de portas em relação à configuração do instalador de proxy.

Usando uma porta comum e com vários domínios

O seguinte exampO gráfico ilustra como vários servidores de aplicativos podem ser configurados usando esse padrão de acesso.

• FinesseA = FinesseA-ReverseProxyDomain.com:443
• FinesseB = FinesseB-ReverseProxyDomain.com:443
• Finesse1A = Finesse1A-ReverseProxyDomain.com:443
• Finesse2B = Finesse2B-ReverseProxyDomain.com:443

A configuração de porta única inverte os prós e contras listados acima com a configuração de múltiplas portas.

Observação
O suporte a uma única porta de acesso requer que os componentes Unified Intelligence Center e LiveData estejam nas versões 12.6(2).

Configuração de DNS para servidores Finesse, IdS e CUIC

Cada servidor Finesse, IdS, CUIC, IM&P e componentes de terceiros correspondente a um host que precisa de acesso à Internet deve ser endereçável pela Internet. Isso exige que um nome de host e uma porta associada, que possam ser resolvidos pela Internet, sejam mapeados para a porta pública e o IP correspondente do proxy reverso, para que o tráfego seja direcionado aos respectivos servidores de componentes.

O registro DNS dos nomes de host publicamente acessíveis e dos endereços IP correspondentes é obrigatório antes que as solicitações cheguem ao proxy reverso.

Certificados SSL
Para os nomes de host configurados, correspondentes a cada nome de host exclusivo usado pelo cliente de internet, os respectivos certificados devem ser obtidos e configurados no proxy reverso. Embora certificados autoassinados sejam suportados, eles representam um risco, pois os usuários acessam diretamente da internet. Os clientes podem ter maior segurança usando certificados assinados por uma Autoridade Certificadora (CA). A melhor prática é obter certificados de CA para servidores proxy e servidores de gadgets de terceiros.

Documentos / Recursos

Instalador de proxy reverso da Cisco [pdf] Manual do Proprietário Instalador de proxy reverso, instalador de proxy, instalador

Referências

• Manual do usuário