Mar a shuidhicheas tu Hailbytes VPN airson an àrainneachd AWS agad
Ro-ràdh
San artaigil seo, thèid sinn thairis air mar a stèidhicheas tu HailBytes VPN air an lìonra agad, VPN sìmplidh agus tèarainte agus balla-teine airson do lìonra. Gheibhear tuilleadh fiosrachaidh agus mion-chomharrachadh sònraichte anns na sgrìobhainnean leasaiche againn ceangailte an seo.
Ullachadh
1. Riatanasan Goireas:
- Tha sinn a’ moladh tòiseachadh le 1 vCPU agus 1 GB de RAM mus tèid an sgèile suas.
- Airson cleachdadh stèidhichte air Omnibus air frithealaichean le nas lugha na 1 GB de chuimhne, bu chòir dhut suaip a thionndadh air gus an kernel Linux a sheachnadh bho bhith a’ marbhadh pròiseasan Firezone ris nach robh dùil.
- Bu chòir 1 vCPU a bhith gu leòr gus ceangal 1 Gbps a shàthadh airson an VPN.
2. Cruthaich clàr DNS: Feumaidh Firezone ainm àrainn ceart airson cleachdadh cinneasachaidh, me firezone.company.com. Bidh feum air clàr DNS iomchaidh mar A, CNAME, no AAAA a chruthachadh.
3. Stèidhich SSL: Bidh feum agad air teisteanas SSL dligheach gus Firezone a chleachdadh ann an comas cinneasachaidh. Tha Firezone a’ toirt taic do ACME airson solarachadh fèin-ghluasadach de theisteanasan SSL airson ionadan stèidhichte air Docker agus Omnibus.
4. Puirt balla-teine fosgailte: Bidh Firezone a’ cleachdadh puirt 51820 / udp agus 443 / tcp airson trafaic HTTPS agus WireGuard fa leth. Faodaidh tu na puirt sin atharrachadh nas fhaide air adhart san fhaidhle rèiteachaidh.
Cleachdadh air Docker (air a mholadh)
1. Ro-ghoireasan:
- Dèan cinnteach gu bheil thu air àrd-ùrlar le taic le dreach docker-compose 2 no nas àirde air a chuir a-steach.
- Dèan cinnteach gu bheil cur air adhart port air a chomasachadh air a’ bhalla-teine. Feumaidh bun-stèidh na puirt a leanas a bhith fosgailte:
o 80 / tcp (roghainneil): A’ toirt seachad teisteanasan SSL gu fèin-ghluasadach
o 443 / tcp: Faigh cothrom air UI lìn
o 51820/udp: port èisteachd trafaic VPN
2. Stàlaich Roghainn an Fhrithealaiche I: Stàladh fèin-ghluasadach (air a mholadh)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Cuiridh e beagan cheistean ort a thaobh an rèiteachadh tùsail mus luchdaich thu sìos faidhle docker-compose.yml sampall. Bidh thu airson a rèiteachadh leis na freagairtean agad, agus stiùireadh a chlò-bhualadh airson faighinn chun eadar-aghaidh cleachdaiche lìn.
- Seòladh bunaiteach Firezone: $HOME/.firezone.
2. Stàlaich frithealaiche Roghainn II: Stàladh làimhe
- Luchdaich sìos an teamplaid docker compose gu eòlaire obrach ionadail
- Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
- macOS no Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Cruthaich dìomhaireachdan a tha a dhìth: ruith docker - rm firezone / firezone bin / gen-env > .env
- Atharraich na caochladairean DEFAULT_ADMIN_EMAIL agus EXTERNAL_URL. Atharraich dìomhaireachdan eile mar a dh’ fheumar.
- Imrich an stòr-dàta: dèan docker run -rm firezone bin / imrich
- Cruthaich cunntas rianachd: dèan docker run -rm firezone bin/create-or-reset-admin
- Thoir na seirbheisean suas: docker compose up -d
- Bu chòir dhut a bhith comasach air faighinn chun Firezome UI tron caochladair EXTERNAL_URL a tha air a mhìneachadh gu h-àrd.
3. Dèan comas air bròg (roghainneil):
- Dèan cinnteach gu bheil Docker air a chomasachadh aig àm tòiseachaidh: sudo systemctl comas docker
- Bu chòir ath-thòiseachadh a bhith aig seirbheisean Firezone: an-còmhnaidh no ath-thòiseachadh: roghainn mura deach stad a chuir air a shònrachadh anns an fhaidhle docker-compose.yml.
4. Dèan comas air seòladh poblach IPv6 (roghainneil):
- Cuir na leanas ri /etc/docker/daemon.json gus IPv6 NAT a chomasachadh agus cuir air adhart IPv6 airson soithichean Docker.
- Dèan comas air fiosan router air bròg airson an eadar-aghaidh egress bunaiteach agad: egress =` IP route show default 0.0.0.0/0 | grep -oP'(?<=dev).*' | gearradh -f1 -d'' | tr -d '\n'` sudo bash -c "echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf"
- Dèan ath-thòiseachadh agus deuchainn le bhith a’ ping gu Google bhon taobh a-staigh inneal docker: ruith docker -rm -t busybox ping6 -c 4 google.com
- Cha bhith feum air riaghailtean iptables sam bith a chuir ris gus IPv6 SNAT / masquerading a chomasachadh airson trafaic tunail. Bidh Firezone a’ làimhseachadh seo.
5. Stàlaich luchd-cleachdaidh aplacaidean
Faodaidh tu a-nis luchd-cleachdaidh a chuir ris an lìonra agad agus stiùireadh a rèiteachadh gus seisean VPN a stèidheachadh.
Suidheachadh post
Meal do naidheachd, tha thu air an rèiteachadh a chrìochnachadh! Is dòcha gum bi thu airson sùil a thoirt air na sgrìobhainnean leasaiche againn airson rèiteachadh a bharrachd, beachdachadh tèarainteachd, agus feartan adhartach: https://www.firezone.dev/docs/