Manuale di l'utente di l'installazione di Cisco Reverse Proxy

Manuale di l'utente di l'installazione di Cisco Reverse Proxy

Cuntenuti ammuccià

1 Overview

2 Prerequisites

3 Sicurezza

4 Mappatura di l'ospite File per a traduzzione di rete

5 Gestione portu

6 Usendu un duminiu cumunu cù parechji porti

7 Usendu un portu cumunu è cù parechji duminii

8 Configurazione DNS per i servitori Finesse, IdS è CUIC

9 Documenti / Risorse

9.1 Referenze

Overview

The Cisco Reverse Proxy Installer (referred to as RP Installer in this document) is a component of the Cisco Unified CCE solution. It offers a ready-made reverse proxy solution (based on Open Resty Nginx) for Unified CCE, featuring built-in, battle-tested configurations. These configurations can be used to proxy other Unified CCE components and external applications,such as ADFS, which are commonly used when deploying Unified CCE.

The RP Installer has been pre-tested and load-qualified for various usage scenarios across the deployment models supported by the Unified CCE solution.

The RP Installer facilitates access to the Unified CCE solution from the internet and is typically set up to provide VPN-less access to the Finesse Agent Desktop or enable advanced functionalities like digital channels that require direct internet ingress.

The RP Installer is intended to be deployed in a Demilitarized Zone (DMZ) on a customer-provided and hardened host running the RHEL 9.4 Operating System. The pre-configured proxying rules allow for the proxying of the following components through data-driven configuration files:

Cisco Finesse
Cloud Connect
Cisco Unified Intelligence Center
Dati in diretta
Cisco Identity Service
Cisco IM&P Server
Microsoft ADFS 3.0 or 5.0

Attenzione
The term “upstream servers” is used in this guide to refer to all the solution components such as Finesse, CUIC, IdS, and IM&P servers that are configured to be accessed through reverse-proxy

Prerequisites

To configure VPN-less access to the Finesse desktop:

Reverse Proxy Installer must be 15.0(1) or above
Finesse, IdS, and Cisco Unified Intelligence Center must be 12.6(2) ES4 or above.
In coresident deployments, LiveData and Cisco Unified Intelligence Center should be 12.6(2) or above
Unified CCE and LiveData standalone must be 12.6 (1) or above with the latest ES for the respective versions
Cisco IM&P Server
DMZ with internet connectivity must be available to host the reverse-proxy.

Sicurezza

L'installatore RP ùn hè micca un proxy apertu; autentica tutte e richieste prima di trasmetteli à u servitore upstream apprupriatu. I servitori upstream applicanu ancu l'autenticazione lucale prima di processà e richieste.

Beyond authentication, there are several additional sicurità measures available to protect the solution. Details about security can be found in the Security chapter.

For information about security guidelines, see the Security Guidelines for Reverse-Proxy Deployment in
Security Guide for Cisco Unified ICM/Contact Center Enterprise.

Per più infurmazione nantu à l'autentificazione, riferitevi à Autentificazione.

Mappatura di l'ospite File per a traduzzione di rete

A distribuzione di proxy inversu si basa nantu à una mappatura file furnitu da l'amministratore per cunfigurà a lista di cumminazzioni di nome d'ospite/portu visibili esternamente è a so mappatura à i nomi di i servitori è i porti attuali chì sò aduprati da i servitori Finesse, IdS è CUIC. Questa mappatura file chì hè cunfiguratu nantu à i servitori upstream hè a cunfigurazione chjave chì permette à i clienti cunnessi via Internet d'esse reindirizzati versu l'ospiti è i porti richiesti chì sò aduprati in Internet. Per più infurmazioni nantu à a mappatura, riferitevi à Pupulate Network Translation Data.

Nota
It is recommended to use a dedicated web servitore in a LAN per ospità a mappatura file, invece di utilizà l'installatore Reverse Proxy per questu scopu.

Per tutte e richieste chì passanu per u reverse-proxy, i servitori Finesse, IdS è CUIC verificanu a mappatura di l'ospite. file, to translate the internal host names and ports that are used on the LAN. They are translated to the publicly resolvable host names and ports that have to be used on the internet. This mapping file, chjamata mappa di cunfigurazione Proxy file, is the key configuration that allows the clients connected over the reverse proxy to be redirected to the required hosts and ports that are used on the internet.

A mappa di cunfigurazione di u proxy file pò esse cunfiguratu aduprendu CLI dispunibule nantu à i servitori Finesse, IdS è CUIC. Per i dettagli nantu à a mappatura file furmatu è i dati cunfigurati, riferitevi à a sezzione Pupulate Network Translation Data. Per i dettagli nantu à a CLI aduprata per cunfigurà u file, refer to the utils system reverse-proxy config-uri CLI in the topic Configure Proxy Mapping by Using CLI.

A mappa di cunfigurazione di u proxy file pò esse cunfiguratu aduprendu CLI dispunibule nantu à i servitori Unified CCX è i servitori Cisco Collaboration Platform. Per i dettagli nantu à a mappatura file U furmatu è i dati cunfigurati, riferitevi à a sezzione Populate Network Translation Data in a Guida di amministrazione è operazioni di Cisco Unified Contact Center Express. Per i dettagli nantu à a CLI aduprata per cunfigurà u file, refer to the Configure Proxy Mapping by Using CLI section in Cisco Unified Contact Center Express Administration and Operations Guide available
at https://www.cisco.com/c/en/us/support/customer-collaboration/unified-contact-center-express/products-maintenance-guides-list.html..

Gestione portu

Unu di i principali aspetti di cuncepimentu in u sviluppu di un proxy inversu hè u duminiu è i porti utilizati per accede à l'applicazione. Quessi aspetti sò interdipendenti è s'influenzanu l'unu l'altru durante a cuncepimentu di u sviluppu.

U proxy inversu deve esse capace di determinà à quale servitore upstream una dumanda entrante pò esse trasmessa, induve una dumanda entrante deve esse trasmessa. Questu pò esse realizatu cambiendu u portu o u nome di l'ospite utilizatu per accede à l'applicazione. Essenzialmente, a cumbinazione di host è portu deve esse unica per chì u proxy possi differenzià è indirizzà u trafficu versu u cumpunente upstream currettu, è hè un requisitu per chì u proxy si avvii ancu currettamente.

Queste sò dunque l'opzioni dispunibili per cuncepisce l'accessu à u duminiu è à u portu:

Use a common domain and differentiate application access using multiple ports.
Use a common port and differentiate application access using multiple domains

Una volta chì u duminiu è a distribuzione di i porti sò determinati, i seguenti passi devenu esse presi:

Proxy map configuration has to be changed to match the port and domain required. See Configure Proxy Mapping by Using CLI.
The respective upstream component environment configuration in the reverse proxy installer has to be configured with the required hostname and port, see Configure deployment environment configurations

Usendu un duminiu cumunu cù parechji porti

I seguenti example illustra cumu parechji servitori d'applicazione ponu esse cunfigurati cù stu mudellu d'accessu:

The following are the benefits of using multiple ports:

More granular packet level rate-limits applicable to each application can be applied at the ingress point to control rate-limits. Domain-level access means that the rate-limits can’t be granular.
A single-domain requires only a single SSL certificate to access the application. It could be a factor in reducing costs, unlike a multiple-domain application which requires a wildcard certificate.

I seguenti sò i svantaghjitages in using multiple ports:

Certain network deployments like CDNs don’t support custom ports.
Security devices that automatically apply security rules might require custom configurations with non-standard ports.
Multiple ports must be opened in the DMZ firewall (10–15 ports are required for a standard 2k deployment). This isn’t recommended by the network security teams.
There’s an increased overhead regarding the port manageability.
Deploying new instances of the application requires firewall/network changes.

Nota
Ports other than the ones mentioned in the Proxy Map must be blocked and shouldn’t be available for access on the reverse proxy host. This must be blocked at the ingress point as the proxy doesn’t currently have rules to block this access at network level.

The Cisco provided installer supports running multiple instances which cater to different sets of upstream servers, to aid in ease of maintenance. Multiple instances of the installer don’t allow to use the same ports across different instances of the proxy. Only one process can bind to the same TCP port.

Consider the above two points when deciding the port management strategy against proxy installer configuration.

Usendu un portu cumunu è cù parechji duminii

I seguenti example illustrates how multiple application servers can be configured using this access pattern.:

FinesseA = FinesseA-ReverseProxyDomain.com:443
FinesseB = FinesseB-ReverseProxyDomain.com:443
Finesse1A = Finesse1A-ReverseProxyDomain.com:443
Finesse2B = Finesse2B-ReverseProxyDomain.com:443

A cunfigurazione à portu unicu inverte i vantaghji è i svantaghji elencati sopra cù a cunfigurazione à porti multipli.

Nota
Supporting a single port of access requires Unified Intelligence Center and LiveData components to be on 12.6(2)versions.

Configurazione DNS per i servitori Finesse, IdS è CUIC

Ogni servitore di cumpunenti Finesse, IdS, CUIC, IM&P, è di terze parti chì currisponde à un host chì hà bisognu di accessu à Internet deve esse indirizzabile da Internet. Questu richiede un nome di host è un portu assuciatu chì hè risolubile da Internet per esse mappati à u portu publicu è l'IP currispundente di u reverse-proxy in modu chì u trafficu sia direttu à i rispettivi servitori di cumpunenti.

DNS registration of the publicly resolvable host names and the corresponding IP addresses is mandatory before the requests reach the reverse-proxy.

Certificati SSL
For the hostnames that are configured, corresponding to each unique hostname that is used by the internet client, the respective certificates must be acquired and configured on the reverse-proxy. Even though self signed certificates are supported, they are risky because the users access directly from the internet. The clients can be more secure by using CA-signed certificates. The best practice is to get CA certificates for proxy servers and third-party-gadget servers.

Documenti / Risorse

Installatore di proxy inversu Cisco [pdfManuale di u pruprietariu
Installatore di proxy inversu, Installatore di proxy, Installatore

Referenze

Manuale d'usu