连接器部署
最近更新时间:2025年07月25日 09:54:43
专线部署要求
专线(又名连接器)是通过反连方案,单向连通腾讯云网关和您的内网资源、SaaS 资源等。业务系统无须暴露于互联网上,仅需出方向放通下述地址:
类型 | 详情 |
网络 | 出方向放通所需地址,请优先以域名模式进行放通。需放通地址如下: 专线管理服务地址:ch1.channel.gateway.tencentwsd.cn:30226 ——TCP (示例)专线反连服务地址:ch2-(租户ID).channel.gateway.tencentwsd.cn:(端口号) ——TCP 控制面上报数据地址(总控地址):scs.gateway.tencent.com:443 ——TCP WireGuard 通道服务地址:wg1.channel.gateway.tencentwsd.cn:13303 ——UDP |
建议操作系统 | CentOS7.6及以上,TencentOS 3.1及以上,Ubuntu 20及以上,Debian 11及以上。 CPU:2-4核,内存4-8G,硬盘100G以上。 |
出口带宽 | 不低于当前 iOA 带宽(10Mbps)。 |
专线数量 | 建议同一个资源部署2个专线,实现灾备。 |
部署区域 | 支持部署于 DMZ 区。 DMZ 区是指为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。 |
连接器部署适用的场景
场景1:针对同一个业务资源部署多个专线,实现高可用
在同一个专线分组中添加多条专线,并将这些专线连接器分别部署在不同机器上。当发起业务访问时,系统会随机使用相同专线分组中状态为已连通的专线连接器去建立连接。
![]()
场景2:业务资源分布在不同网络、地区、机房
![]()
场景3:连接器迁移
每个专线连接器都有唯一 ID 用于向 iOA SaaS 网关注册,因此每个连接器只能同时运行在一台机器上。如需迁移连接器,为了避免业务出现中断,建议在原连接器所属专线分组中新增专线,将新专线连接器部署在新机器上,再根据需要在原连接器机器上停用连接器进程服务,并在 iOA SaaS 控制台将旧连接器专线删除。
连接器安装部署示例
步骤1:添加专线分组
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择专线管理。
2. 在专线管理页面,单击专线组右侧的![]()
3. 在专线组管理窗口中,输入专线组名称,单击确定。
步骤2:添加专线连接器
1. 在专线管理页面,选择刚刚创建的分组,单击添加专线。
![]()
2. 在添加专线窗口中,输入专线名称,单击确定。
说明:
零信任网关:零信任安全网关是将网关部署于本地的接入解决方案。如需要就近接入或获取终端内网 IP 建议选购零信任网关。加购后,支持在 专线管理 配置并启用零信任网关。资源访问时将优先与零信任网关建联,如果零信任网关未开启或未连通,将切换走腾讯云网关。
是否透传 IP:开启后,访问源 IP 替换为 iOA 分配的虚拟 IP 。
步骤3:下载连接器
1. 在专线管理页面,选择目标专线,单击下载连接器。
![]()
2. 根据实际需求,单击 Windows 或 Linux,下载连接器。
![]()
3. 请将下载的专线连接器安装包上传至目标机器上进行安装。
步骤4:卸载当前已安装的连接器(如果机器上未安装过连接器,可跳到步骤5)
卸载 Windows 连接器
1. 找到旧的 Windows 连接器安装目录。
2. 将 connector.exe 拖入命令提示符中。
3. 输入参数 uninstall 后回车,执行卸载。
4. 如果遇到如下图报错:
使用管理员身份打开命令提示符,再次执行上述命令即可。
卸载 Linux 连接器
1. 输入如下命令,修改连接器自启动文件。
mv /etc/systemd/system/connector.service /etc/systemd/system/connector.service.bak
2. 输入如下命令,终止旧连接器进程。
ps -aux|grep connector。
kill -9 进程 id。
说明:
①处为进程 id。
步骤5:安装新的连接器
Windows 安装新连接器
1. 将压缩包拷贝到准备好的内网服务器上解压缩,双击运行 connector.exe。
说明:
此操作会自动设置连接器开机自启动。
2. 在任务管理器的服务页签,检查 connector 进程的运行状态为正在运行。
2. 在专线管理页面,选择目标专线,查看连接器连通状态。
![]()
Liunx 安装新连接器
1. 将压缩包拷贝到准备好的内网服务器上,依次执行如下命令:
tar -zxvf connector-xxxxxx.tar.gz//解压缩cd connector-xxxxxx//进入解压后的目录chmod +x connector//给连接器程序执行权限./connector//运行连接器。注:会自动设置连接器开机自启动
说明:
root 权限直接执行上面命令即可,非 root 权限,命令前面需添加 sudo。例如:sudo tar -zxvf connector-xxxxxx.tar。
![]()
2. 输入
ps -aux |grep connector 检测进程是否正常运行。
查看 SELinux 是否关闭
若部署连接器后查看进程未启动,服务启动异常,需要检查 SELinux 状态,部署连接器需要关闭 SELinux。
SELinux 对连接器的影响
SELinux 开启会影响 connector 服务向 systemd 注册。
ps 查看 connector 进程未启动。
systemctl status 查看服务启动报错。
SELinux 三种模式介绍
Enforcing:强制模式。代表 SELinux 在运行中,且已经开始限制 domain/type 之间的验证关系。
Permissive:宽容模式。代表 SELinux 在运行中,不过不会限制 domain/type 之间的验证关系,即使验证不正确,进程仍可以对文件进行操作。不过如果验证不正确会发出警告。
Disabled:关闭模式。SELinux 并没有实际运行。
查看 SELinux 状态
使用 getenforce 命令查看 SELinux 状态。
[root@localhost]# getenforceDisabled
关闭 SELinux
临时关闭(无需重启机器)
使用 setenforce 命令临时关闭 SELinux(不用重启机器即可生效,但是重启机器该命令会失效)。
setenforce 0 #转换为Permissive宽容模式
说明:
setenforce 无法设置 SELinux 为 Disabled 模式。
开启 SELinux:setenforce 1 #转换为 Enforcing 强制模式。
修改配置文件(需要重启机器生效)
vim /etc/selinux/config #修改/etc/selinux/config 文件SELINUX=disabled #将SELINUX=enforcing改为SELINUX=disabledreboot #重启机器