UNMS - 可选安装步骤

概览

本文介绍了 UNMS 安装过程的其他功能。它包括有关如何更改端口以便通过 GUI 访问的说明; 如何设置与设备通信的端口;如何在代理之后工作。具体内容请参阅下面的目录以获取列表。


目录


  1. 安装先决条件
  2. 管理通过 HTTPS 访问的 SSL 证书
  3. 更改 HTTP 和 HTTPS 端口
  4. 更改设备通知端口
  5. 在反向代理之后运行 UNMS
  6. 更改 UNMS 容器的 IP 地址
  7. 更改 NetFlow 监听端口
  8. 设置 worker 数量
  9. 限制访问 GUI/API
  10. 云服务
  11. UNMS 数据
  12. 设备延迟和中断统计
  13. 相关文章

安装先决条件


回到顶部

在 Ubuntu 或 Debian 系统上运行以下命令,确保安装了所有必需的工具:

sudo apt-get update
sudo apt-get install curl sudo bash 

管理通过 HTTPS 访问的 SSL 证书


回到顶部

注意:如果您希望 UNMS 使用默认的 LetsEncrypt 证书,请不要使用任何这些属性。

默认情况下,UNMS 使用 Let's Encrypt 自动为其域名创建和管理 SSL 证书。证书保存在 /home/unms/data/cert/live 

如果需要使用自己的证书,可以使用以下安装脚本参数
--ssl-cert-dir <DIRECTORY>:这是证书所在目录的路径。
--ssl-cert <FILENAME>:这是证书的文件名。
--ssl-cert-key <FILENAME>:这是证书密钥的文件名。
某些旧证书具有单独的证书颁发机构密钥。您可以使用此可选属性来设置它
--ssl-cert-ca <FILENAME>:这是证书颁发机构密钥的文件名。
确保 UNMS 对证书目录和所有文件具有读取权限。请记住,只要这些文件夹是子文件夹,您就可以将每个文件放在自定义文件夹中 --ssl-cert-dir

curl -fsSL https://unms.com/install > /tmp/unms_inst.sh && sudo bash /tmp/unms_inst.sh --http-port 8080 --https-port 8443 --ssl-cert-dir /etc/certificates --ssl-cert fullchain.pem --ssl-cert-key privkey.pem

更改 HTTP 和 HTTPS 端口


回到顶部

注意:如果您想通过 Let's Encrypt 加密使用自动 SSL 证书管理,请注意 UNMS 必须通过 HTTP 80  端口从 internet 访问。

使用安装脚本参数 --http-port <NUMBER> 并将 --https-port <NUMBER> UNMS 服务器配置为侦听非标准端口。默认值为 80(HTTP)和 443(HTTPS)。

curl -fsSL https://unms.com/install > /tmp/unms_inst.sh && sudo bash /tmp/unms_inst.sh --http-port 8080 --https-port 8443

更改设备通知端口


回到顶部

用户提示: 通知端口是设备用于连接 UNMS 的端口。

请注意,如果您想通过 Let's Encrypt 使用自动SSL证书管理,则必须通过 HTTP 端口 80 从 Internet 访问 UNMS。当您需要在专用网络外部公开端口但不希望公开 UNMS GUI 时,使用单独的通知端口非常有用。使用安装脚本参数 --ws-port <NUMBER> 将 UNMS WebSocket 服务器配置为使用单独的端口与您的设备进行通信。

curl -fsSL https://unms.com/install > /tmp/unms_inst.sh && sudo bash /tmp/unms_inst.sh --ws-port 8444

在反向代理服务器后面运行 UNMS


回到顶部

使用安装脚本的参数 --public-https-port <NUMBER> 和 --public-ws-port <NUMBER> 如果您打算运行背后的反向代理服务器 UNMS。--public-https-port  仅当代理在与 UNMS 不同的端口上侦听 HTTPS 时,才需要进行此设置  --public-ws-port 只有在使用 --ws-port (如上节所述)将通知端口与 HTTPS 端口分开时,才需要进行此设置  

curl -fsSL https://unms.com/install> /tmp/unms_inst.sh&& sudo bash /tmp/unms_inst.sh --public-https-port 443 --http-port 8080 --https-port 8443

请注意,这将负责在反向代理上管理SSL证书,并通过 Let's Encrypt 禁用自动证书管理。反向代理仍必须使用 HTTPS 与 UNMS 进行通信,可选择使用自定义 SSL 证书。不支持 UNMS 与反向代理之间的仅 HTTP 通信。该 UNMS -反向代理 的文章显示工作 Nginx 的和 Apache 的反向代理配置。


更改 UNMS 容器的 IP 地址


回到顶部

用户提示: 如果您在网络中使用私网地址范围 172.xxx,您可能更愿意更改 UNMS docker 容器的默认地址,以避免任何可能的冲突。 

--subnet <CIDR> 如果遇到 IP 地址冲突,请使用安装脚本参数更改 UNMS 容器的子网。应该足够指定 / 27 子网,然后将其分成两半。Docker 使用一半用于内部连接,另一半用于外部连接。 

curl -fsSL https://unms.com/install> /tmp/unms_inst.sh&& sudo bash /tmp/unms_inst.sh --subnet 172.45.0.1/24

您可能还希望更改 Docker 创建的 docker0 桥的 IP 地址。有关更多信息,请参阅 docker用户指南。请注意,这可能会影响系统上运行的 UNMS 以外的容器。


更改 NetFlow 侦听端口(0.13.0+)


回到顶部

为了更改 NetFlow 的侦听端口,请使用  --netflow-port PORT 自定义安装属性。

curl -fsSL https://unms.com/install > /tmp/unms_inst.sh && sudo bash /tmp/unms_inst.sh --netflow-port 2205

设定 workers 数值(0.13.0+)


回到顶部

注意: 请不要设置比 CPU 中的内核更多的 workers。确保每个 worker 至少有 0.5Gb 的内存。

自版本 0.13.0 起,UNMS 支持多核处理器。可以设置应该使用多少并行进程与具有 install 参数的设备进行通信  --workers COUNT。COUNT 的值可以是 1 到 8 之间的数字 auto 。该 auto 标签意味着 UNMS 将决定多少工人依赖于 CPU 内核和可用内存的数量来使用。 

curl -fsSL https://unms.com/install > /tmp/unms_inst.sh && sudo bash /tmp/unms_inst.sh --workers auto

限制访问 GUI / API(0.14.0+)


回到顶部

注意: 这仅限制对 GUI / API 的访问。所有设备仍然可以从任何 IP 地址连接到 UNMS 服务器,此白名单根本不会影响该连接。

您可以创建允许访问 UNMS GUI 和 API 的 IP 地址白名单。使用此标记时,将无法从白名单中未定义的任何地址访问 UNMS GUI。

curl -fsSL https://unms.com/install > /tmp/unms_inst.sh && sudo bash /tmp/unms_inst.sh --ip-whitelist "193.86.83.186,ff::ff/25"

云服务


回到顶部

注意: 有关 DigitalOcean 的详细教程,请参阅:UNMS - 云安装指南

我们建议使用最新版本的 Ubuntu 16.04.1 LTS(Xenial Xerus)或 Amazon AMI。以下是合适的云服务示例:

  • AWS,EC2实例,t2.small(2 GB RAM),Ubuntu 16.04.1 LTS(Xenial Xerus)
  • DigitalOcean,基本液滴(2 GB RAM),Ubuntu 16.04.1 LTS(Xenial Xerus)

UNMS 数据


回到顶部

默认情况下,安装脚本确保应用程序设置和数据 (日志、站点图像、加密密钥等) 存储在 docker 容器 (/home/unms/data) 之外。这将使您能够备份该数据,更重要的是,这将使您能够在不丢失任何数据的情况下执行任何未来的 UNMS 升级。


设备延迟和中断统计


回到顶部

默认情况下,如果任何设备报告为脱机,则连接到 UNMS 的所有设备都将 ping UNMS 主机以检查延迟。这导致生成中断统计信息。必须允许 Ping 到 UNMS 主机才能使此功能正常工作。


相关文章


回到顶部

UNMS - 安装手册