要连接到无法通过因特网 (例如,防火墙后) 访问的数据库,必须在本地数据源与 IBM Cloud之间设置安全通信路径。 将 Satellite 连接器, Satellite 位置或 Secure Gateway 实例用于安全通信路径。
设置 Satellite 连接器: Satellite 连接器替代 Secure Gateway。 Satellite 连接器使用基于轻量级 Docker的通信,该通信可创建从本地环境,云环境或边缘环境到 IBM Cloud的安全且可审计的通信。 基础结构仅需要容器主机,例如 Docker。 更多信息,请参阅Satellite连接器概述。
设置 Satellite 位置: Satellite 位置与 IBM Cloud 提供与 Satellite 连接器相同的安全通信,但缺省情况下,添加了高可用性访问权以及从 IBM Cloud 到内部部署位置的通信能力。 它支持本地受管云服务,例如受管 OpenShift 和受管数据库,由 IBM Cloud PaaS SRE 资源远程支持。 Satellite 位置需要在基础结构中至少有三个 x86 主机用于 HA 控制平面。 Satellite 位置是 Satellite 连接器功能的超集。 如果只需要客户机数据通信,请设置 Satellite 连接器。
配置 Secure Gateway: Secure Gateway 是 IBM Cloud以前用于内部部署或第三方云环境之间通信的解决方案。 Secure Gateway现已被 IBM Cloud弃用。 对于新连接,请改为设置 Satellite 连接器。
设置 Satellite 连接器
要设置 Satellite 连接器,请在 IBM Cloud 帐户中创建连接器。 接下来,配置代理程序以在本地本地 Docker 主机平台中运行。 最后,为 Cloud Pak for Data as a Service 用于从 IBM Cloud访问数据源的数据源创建端点。
Satellite 连接器的需求
- 所需许可权
- 您必须对 IAM 访问策略中的 Satellite 服务具有管理员访问权,才能在 IBM Cloud中执行步骤。
- 必需的主机系统
- 在您自己的基础结构中至少有一个 x86 Docker 主机用于运行连接器容器。 参见最低要求。
设置 Satellite 连接器
这些步骤会自动添加与您在 Cloud Pak for Data as a Service中创建的连接对应的 Satellite 连接器用户端点。
从下列其中一个位置访问 IBM Cloud 中的 " 创建连接器 " 页面:
- 登录IBM Cloud 中的Connectors页面。
- 在 Cloud Pak for Data as a Service中:
- 转至项目页面。 单击“资产”选项卡。
- 单击 新建资产> 连接到数据源。
- 选择 Cloud Pak for Data as a Service 连接器。
- 在创建连接页面,向下滚动到专用连接部分,然后单击IBM Cloud Satellite磁贴。
- 单击 配置 Satellite ,然后登录到 IBM Cloud。
- 单击 创建连接器。
按照创建连接器的步骤操作。
在本地 Docker 主机环境中设置连接器代理程序容器。 为了实现高可用性,请使用部署在不同 Docker 主机上的每个连接器的三个代理程序。 最好对每个代理程序使用单独的基础结构和网络连接。 按照运行连接器代理的步骤操作。
代理程序将显示在连接器的 活动代理程序 列表中。在 Cloud Pak for Data as a Service中,返回到 创建连接 页面。 在 专用连接 部分中,单击 重新装入,然后选择您创建的 Satellite 连接器。
单击 测试连接 以验证您是否可以使用 Satellite 连接器从 Cloud Pak for Data as a Service 连接到数据源。
保存连接。 将自动创建与连接对应的 Satellite 连接器端点。
在IBM Cloud 的Satellite连接器仪表板中,您创建的每个连接都会在Satellite连接器中添加一个用户端点。 自动添加的用户端点的名称将类似于 ep-<XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX>。 要查看哪个端点对应于您在 Cloud Pak for Data as a Service中创建的连接,请检查端点详细信息中的目标 FQDN 或 IP 和目标端口值。
设置 Satellite 位置
使用IBM Cloud Satellite的Satellite位置功能安全地连接到您为IBM Cloud帐户配置的Satellite位置。
Satellite 位置的需求
- 所需许可权
- 您必须是 IBM Cloud 帐户中的管理员才能执行 IBM Cloud中的任务。
- 必需的主机系统
- 您在自己的基础架构中至少需要三台计算机或虚拟机才能充当 Satellite 主机。 确认主机系统要求。 ( Cloud Pak for Data as a Service中的连接不需要针对其他功能 (例如, Red Hat OpenShift 集群和 Kubernetes ) 的 IBM Cloud 文档指示信息。)
设置 Satellite 位置
在 IBM Cloud中配置 Satellite 位置。
任务 1: 创建 Satellite 位置
Satellite 位置是基础架构提供者 (例如本地数据中心或云) 中环境的表示。 要连接到 Cloud Pak for Data as a Service中的数据源,您需要三台计算机或虚拟机。 要创建 Satellite 位置:
从下列其中一个位置访问 IBM Cloud 中的 创建 Satellite 位置 设置页面:
- 登录IBM Cloud,然后选择创建位置。
- 在 Cloud Pak for Data as a Service中:
- 转至项目页面。 单击“资产”选项卡。
- 单击 新建资产> 连接到数据源。
- 选择连接器。
- 在创建连接页面,向下滚动到专用连接部分,然后单击IBM Cloud Satellite磁贴。
- 单击 配置 Satellite ,然后登录到 IBM Cloud。
- 单击 创建位置。
这些指示信息遵循 内部部署和边缘 模板。 根据您的基础架构,您可以选择其他模板。 请参阅IBM Cloud文档中的模板说明和 "了解Satellite位置和主机"中的信息。
单击 编辑 以修改 Satellite 位置信息:
名称: 您可以使用此字段来区分不同的网络,例如
my US East network或我的Japan network。标记 和 描述 字段是可选的。
管理自: 选择最接近主机物理驻留位置的 IBM Cloud 区域。
资源组: 缺省情况下设置为
default。专区: IBM 会自动将控制平面实例分布在同一 IBM Cloud 多专区都市中的三个专区中。 例如,如果从美国东部区域的 wdc 大城市管理位置,那么 Satellite 位置控制平面实例将分布在 us-east-1, us-east-2和 us-east-3 区域中。 此区域传播可确保您的控制平面可用,即使一个区域变为不可用也是如此。
Red Hat CoreOS:请勿选择此选项。 将其保留为 "已清除" 或 " 否"。
对象存储:单击编辑输入您要用于备份Satellite位置控制平面数据的现有IBM Cloud Object Storage桶的准确名称。 否则,将在您账户中的Object Storage实例中自动创建一个新的存储桶。
查看订单详细信息,然后单击 创建位置。
位置控制平面将部署到您选择的 IBM Cloud 区域中的其中一个区域。 控制平面已准备就绪,可供您将主机连接到该控制平面。
任务 2: 将主机连接到 Satellite 位置
将三个符合主机要求的主机连接到Satellite位置。
Satellite 位置主机的重要注意事项
- Satellite 主机是专用服务器,无法与其他应用程序共享。 无法使用 SSH 登录到主机。 将更改 root 用户密码。
- 对于 Cloud Pak for Data as a Service 连接,您只需要三个主机。
- 不需要工作程序节点。 Cloud Pak for Data as a Service 连接仅需要控制平面主机。
- Cloud Pak for Data as a Service 连接不需要 Red Hat OpenShift Container Platform (OCP)。
- Cloud Pak for Data as a Service 连接不需要容器 Linux CoreOS Linux 。
- 主机使用 TLS 1.3 协议连接到 IBM Cloud 。
要将主机连接到 Satellite 位置:
从 "Satellite位置 "仪表板,单击您所在位置的名称。
单击 连接主机 以生成并下载脚本。
在要连接到 Satellite 位置的所有主机上运行该脚本。
保存连接脚本,以防将来将更多主机连接到该位置。 连接脚本中的令牌是 API 密钥,必须将其作为敏感信息进行处理和保护。 请参阅 维护 Satellite 位置。
任务 3: 将主机分配给控制平面
要分配主机:
从 "Satellite位置 "仪表板,单击您所在位置的名称。
单击每个主机的溢出菜单(
),然后选择 "分配"。 为每个区域分配一个主机。
任务 4: 创建使用 Satellite 位置保护的连接
要创建安全连接,请执行以下操作:
在 Cloud Pak for Data as a Service中,转至项目页面。 单击“资产”选项卡。
单击 新建资产> 连接到数据源。
选择连接器。
在 创建连接 表单中,完成连接详细信息。 必须从连接到 Satellite 位置的每个主机提供数据源的主机名或 IP 地址和端口。
单击 重新装入,然后选择您创建的 Satellite 位置。
在 "IBM Cloud中的 "Satellite位置仪表板中,您创建的每个连接都会创建一个链接端点,在 "Satellite位置创建 "目的地类型""Location"和 "创建者""Connectivity"。 自动添加的用户端点的名称将类似于 ep-<XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX>。 要查看哪个端点对应于您在 Cloud Pak for Data as a Service中创建的连接,请检查端点详细信息中的目标 FQDN 或 IP 和目标端口值。
维护 Satellite 位置
- 主机连接脚本将在创建日期起一年后到期。 要确保主机不存在认证问题,请每年至少下载一次主机连接脚本的新副本。
- 保存连接脚本,以防将来将更多主机连接到该位置。 如果生成新的主机连接脚本,那么它将拆离所有现有主机。
- 可以通过将主机从 Satellite 位置拆离并在基础结构提供程序中重新装入操作系统来回收主机。
配置 Secure Gateway
IBM Cloud Secure Gateway 服务提供远程客户机来创建与未外部化到因特网的数据库的安全连接。 您可以在一个服务区域中供应 Secure Gateway 服务,并在其他区域中供应的服务实例中使用该服务。 创建 Secure Gateway 服务实例后,请添加一个 Secure Gateway。
要配置安全网关:
- 从创建连接屏幕配置安全网关:
- 单击 IBM Cloud Secure Gateway 磁贴。
- 单击 创建 Secure Gateway的新实例。
或者,从 Cloud Pak for Data as a Service的主菜单中,选择 服务> 服务目录 ,然后选择 Secure Gateway。
- 选择区域和定价计划。
- 在 配置资源下,输入服务名称和可选标记。
- 单击创建。
- 在服务实例页面上,查找 Secure Gateway 服务并单击其名称。
- 遵循指示信息添加网关添加网关。 要维护连接的安全性,请确保将 Secure Gateway 配置为需要安全性令牌。 确保您复制了网关标识和安全令牌。
- 在新网关中的 客户机 选项卡上,单击 连接客户机 以打开 " 连接客户机 " 窗格。
- 选择适用于您操作系统的客户机下载。
- 遵循 安装客户机的指示信息。
- 根据您指定的资源认证协议,可能需要上载证书。 首次建立连接时会创建目标。
- 在 Cloud Pak for Data as a Service中,转至项目页面。 单击“资产”选项卡。 在 专用连接 部分中,单击 重新装入,然后选择您创建的 Secure Gateway。
了解更多信息
父主题: 向项目添加数据