Benutzerhandbuch für das Cisco Reverse Proxy-Installationsprogramm

Cisco Reverse Proxy Installer Owner’s Manual

Benutzerhandbuch für das Cisco Reverse Proxy-Installationsprogramm

Überview

Der Cisco Reverse Proxy Installer (in diesem Dokument als RP Installer bezeichnet) ist eine Komponente der Cisco Unified CCE-Lösung. Er bietet eine sofort einsatzbereite Reverse-Proxy-Lösung (basierend auf Open Resty Nginx) für Unified CCE mit integrierten, praxiserprobten Konfigurationen. Diese Konfigurationen können verwendet werden, um andere Unified CCE-Komponenten und externe Anwendungen wie ADFS, die häufig bei der Bereitstellung von Unified CCE eingesetzt werden, als Proxy bereitzustellen.

Der RP Installer wurde für verschiedene Nutzungsszenarien in den von der Unified CCE-Lösung unterstützten Bereitstellungsmodellen vorab getestet und lastqualifiziert.

Der RP Installer ermöglicht den Zugriff auf die Unified CCE-Lösung aus dem Internet und ist typischerweise so eingerichtet, dass er einen VPN-losen Zugriff auf den Finesse Agent Desktop bietet oder erweiterte Funktionen wie digitale Kanäle ermöglicht, die einen direkten Internetzugang erfordern.

Der RP-Installer ist für den Einsatz in einer demilitarisierten Zone (DMZ) auf einem vom Kunden bereitgestellten und gehärteten Host mit dem Betriebssystem RHEL 9.4 vorgesehen. Die vorkonfigurierten Proxy-Regeln ermöglichen das Proxying der folgenden Komponenten durch datengesteuerte Konfiguration. files:

  • Cisco Finesse
  • Cloud Connect
  • Cisco Unified Intelligence Center
  • Live-Daten
  • Cisco Identity Service
  • Cisco IM&P-Server
  • Microsoft ADFS 3.0 oder 5.0

Achtung-Symbol Aufmerksamkeit
Der Begriff „Upstream-Server“ wird in diesem Leitfaden verwendet, um alle Lösungskomponenten wie Finesse-, CUIC-, IdS- und IM&P-Server zu bezeichnen, die für den Zugriff über einen Reverse-Proxy konfiguriert sind.

Voraussetzungen

So konfigurieren Sie den VPN-losen Zugriff auf den Finesse-Desktop:

  • Der Reverse-Proxy-Installer muss Version 15.0(1) oder höher sein.
  • Finesse, IdS und Cisco Unified Intelligence Center müssen Version 12.6(2) ES4 oder höher sein.
  • Bei gemeinsamen Installationen sollten LiveData und Cisco Unified Intelligence Center mindestens Version 12.6(2) aufweisen.
  • Unified CCE und LiveData Standalone müssen Version 12.6 (1) oder höher mit dem neuesten ES für die jeweiligen Versionen sein.
  • Cisco IM&P-Server
  • Für den Betrieb des Reverse-Proxys muss eine DMZ mit Internetanbindung verfügbar sein.

Sicherheit

Das RP-Installationsprogramm ist kein offener Proxy. Es authentifiziert alle Anfragen, bevor es sie an den entsprechenden Upstream-Server weiterleitet. Die Upstream-Server erzwingen außerdem eine lokale Authentifizierung, bevor sie die Anfragen verarbeiten.

Neben der Authentifizierung gibt es noch einige weitere Sicherheitsmaßnahmen. Sicherheit Es stehen Maßnahmen zum Schutz der Lösung zur Verfügung. Einzelheiten zur Sicherheit finden Sie im Kapitel „Sicherheit“.

Informationen zu Sicherheitsrichtlinien finden Sie in den Sicherheitsrichtlinien für den Einsatz von Reverse-Proxys in
Sicherheitsleitfaden für Cisco Unified ICM/Contact Center Enterprise.

Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung.

Host-Zuordnung File für Netzwerkübersetzung

Die Bereitstellung eines Reverse-Proxys basiert auf einer Zuordnung file Der Administrator kann die Liste der extern sichtbaren Hostnamen/Port-Kombinationen und deren Zuordnung zu den tatsächlichen Servernamen und Ports konfigurieren, die von den Finesse-, IdS- und CUIC-Servern verwendet werden. Diese Zuordnung file Die auf den Upstream-Servern konfigurierte Schlüsselkonfiguration ermöglicht die Umleitung der über das Internet verbundenen Clients zu den benötigten Hosts und Ports im Internet. Weitere Informationen zur Zuordnung finden Sie unter „Netzwerkübersetzungsdaten füllen“.

Bleistiftsymbol Notiz
Es wird empfohlen, einen dedizierten web Server im LAN zum Hosten der Zuordnung file, anstatt zu diesem Zweck das Reverse-Proxy-Installationsprogramm zu verwenden.

Für alle Anfragen, die über den Reverse-Proxy eingehen, überprüfen die Finesse-, IdS- und CUIC-Server die Host-Zuordnung fileDie internen Hostnamen und Ports, die im LAN verwendet werden, werden in die öffentlich auflösbaren Hostnamen und Ports übersetzt, die im Internet verwendet werden müssen. Diese Zuordnung file, bezeichnet als Proxy-Konfigurationskarte file, ist die Schlüsselkonfiguration, die es ermöglicht, dass die über den Reverse-Proxy verbundenen Clients zu den erforderlichen Hosts und Ports im Internet umgeleitet werden.

Die Proxy-Konfigurationskarte file kann über die CLI konfiguriert werden, die auf Finesse-, IdS- und CUIC-Servern verfügbar ist. Details zur Zuordnung file Format und die konfigurierten Daten finden Sie im Abschnitt „Netzwerkübersetzungsdaten füllen“. Details zur CLI zur Konfiguration des fileSiehe dazu die CLI-Befehle `utils system reverse-proxy config-uri` im entsprechenden Thema. Konfigurieren Sie die Proxy-Zuordnung über die Befehlszeilenschnittstelle (CLI)..

Die Proxy-Konfigurationskarte file kann über die CLI konfiguriert werden, die auf Unified CCX-Servern und Cisco Collaboration Platform-Servern verfügbar ist. Details zur Zuordnung file Format und die konfigurierten Daten finden Sie im Abschnitt „Netzwerkübersetzungsdaten füllen“ im Cisco Unified Contact Center Express Administrations- und Betriebshandbuch. Details zur CLI zur Konfiguration des fileSiehe die Konfiguration der Proxy-Zuordnung durch Verwendung des CLI-Abschnitts im Cisco Unified Contact Center Express Administration and Operations Guide verfügbar
at https://www.cisco.com/c/en/us/support/customer-collaboration/unified-contact-center-express/products-maintenance-guides-list.html..

Hafenmanagement

Einer der wichtigsten Designaspekte bei der Bereitstellung eines Reverse-Proxys sind die Domäne und die Ports, die für den Zugriff auf die Anwendung verwendet werden. Diese Aspekte sind voneinander abhängig und beeinflussen sich gegenseitig bei der Planung der Bereitstellung.

Der Reverse-Proxy muss bestimmen können, an welchen Upstream-Server eine eingehende Anfrage weitergeleitet werden kann. Dies kann durch Ändern des Ports oder des Hostnamens für den Zugriff auf die Anwendung erreicht werden. Die Kombination aus Host und Port muss eindeutig sein, damit der Proxy den Datenverkehr unterscheiden und an die richtige Upstream-Komponente weiterleiten kann. Dies ist Voraussetzung für den korrekten Start des Proxys.

Folgende Möglichkeiten stehen Ihnen also zur Gestaltung des Domänen- und Portzugriffs zur Verfügung:

  • Verwenden Sie eine gemeinsame Domäne und differenzieren Sie den Anwendungszugriff über mehrere Ports.
  • Verwenden Sie einen gemeinsamen Port und differenzieren Sie den Anwendungszugriff über mehrere Domänen.

Sobald die Domäne und die Portverteilung festgelegt sind, müssen die folgenden Schritte ausgeführt werden:

  1. Die Proxy-Zuordnung muss an den benötigten Port und die Domäne angepasst werden. Siehe Konfigurieren der Proxy-Zuordnung über die Befehlszeilenschnittstelle (CLI).
  2. Die entsprechende Upstream-Komponentenumgebungskonfiguration im Reverse-Proxy-Installationsprogramm muss mit dem erforderlichen Hostnamen und Port konfiguriert werden; siehe Konfigurieren von Bereitstellungsumgebungskonfigurationen.

Verwenden einer gemeinsamen Domäne mit mehreren Ports

Das folgende BeispielampDie folgende Abbildung veranschaulicht, wie mehrere Anwendungsserver mit diesem Zugriffsmuster konfiguriert werden können:

Die Vorteile der Verwendung mehrerer Ports sind folgende:

  • Um die Ratenbegrenzungen zu steuern, können am Eingangspunkt feinere Paketratenbegrenzungen für jede Anwendung festgelegt werden. Bei Zugriffen auf Domänenebene ist eine solche Feinabstimmung der Ratenbegrenzungen nicht möglich.
  • Eine Anwendung mit nur einer Domain benötigt lediglich ein einziges SSL-Zertifikat für den Zugriff. Dies kann, im Gegensatz zu einer Anwendung mit mehreren Domains, die ein Wildcard-Zertifikat erfordert, zu Kosteneinsparungen führen.

Die folgenden sind die Nachteiletages bei der Verwendung mehrerer Ports:

  • Bestimmte Netzwerkbereitstellungen wie CDNs unterstützen keine benutzerdefinierten Ports.
  • Sicherheitsgeräte, die Sicherheitsregeln automatisch anwenden, erfordern möglicherweise benutzerdefinierte Konfigurationen mit nicht standardmäßigen Ports.
  • Im DMZ-Firewall müssen mehrere Ports geöffnet werden (für eine Standard-2k-Bereitstellung sind 10–15 Ports erforderlich). Dies wird von den Netzwerksicherheitsteams nicht empfohlen.
  • Der Aufwand für die Hafenverwaltung ist erhöht.
  • Für die Bereitstellung neuer Instanzen der Anwendung sind Änderungen an der Firewall/am Netzwerk erforderlich.

Bleistiftsymbol Notiz
Alle anderen als die in der Proxy-Übersicht aufgeführten Ports müssen blockiert werden und dürfen auf dem Reverse-Proxy-Host nicht erreichbar sein. Diese Blockierung muss am Eingangspunkt erfolgen, da der Proxy derzeit keine Regeln zur Blockierung dieses Zugriffs auf Netzwerkebene besitzt.

Der von Cisco bereitgestellte Installer unterstützt die Ausführung mehrerer Instanzen, die jeweils unterschiedliche Upstream-Server bedienen und so die Wartung vereinfachen. Mehrere Installer-Instanzen erlauben jedoch nicht die Verwendung derselben Ports durch verschiedene Proxy-Instanzen. Nur ein Prozess kann an denselben TCP-Port binden.

Berücksichtigen Sie die beiden oben genannten Punkte bei der Entscheidung zwischen Portverwaltungsstrategie und Proxy-Installer-Konfiguration.

Verwenden eines gemeinsamen Ports und mit mehreren Domänen

Das folgende Beispielample veranschaulicht, wie mehrere Anwendungsserver mithilfe dieses Zugriffsmusters konfiguriert werden können.

Bei der Einzelport-Konfiguration sind die oben aufgeführten Vor- und Nachteile der Mehrfachport-Konfiguration umgekehrt.

Bleistiftsymbol Notiz
Die Unterstützung eines einzigen Zugriffspunkts erfordert, dass die Komponenten Unified Intelligence Center und LiveData in der Version 12.6(2) vorliegen.

DNS-Konfiguration für Finesse-, IdS- und CUIC-Server

Jeder Finesse-, IdS-, CUIC-, IM&P- und Drittanbieter-Komponentenserver, der einem Host mit Internetzugang entspricht, muss vom Internet aus erreichbar sein. Dies erfordert, dass ein Hostname und ein zugehöriger Port, der vom Internet aus auflösbar ist, dem öffentlichen Port und der entsprechenden IP des Reverse-Proxys zugeordnet werden, damit der Datenverkehr an die jeweiligen Komponentenserver weitergeleitet wird.

Die DNS-Registrierung der öffentlich auflösbaren Hostnamen und der entsprechenden IP-Adressen ist zwingend erforderlich, bevor die Anfragen den Reverse-Proxy erreichen.

SSL-Zertifikate
Für die konfigurierten Hostnamen, die jeweils einem eindeutigen Hostnamen eines Internetclients entsprechen, müssen die entsprechenden Zertifikate erworben und auf dem Reverse-Proxy konfiguriert werden. Obwohl selbstsignierte Zertifikate unterstützt werden, bergen sie ein Risiko, da die Benutzer direkt aus dem Internet zugreifen. Clients können durch die Verwendung von CA-signierten Zertifikaten besser geschützt werden. Es empfiehlt sich, CA-Zertifikate für Proxy-Server und Server von Drittanbietern zu verwenden.
Cisco-Logo

Dokumente / Ressourcen

PDF thumbnailReverse-Proxy-Installationsprogramm
Owner's Manual · Reverse Proxy Installer, Proxy Installer, Installer

Verweise

Published: June 19, 2025

Eine Frage stellen

Use this section to ask about setup, compatibility, troubleshooting, or anything missing from this manual.

Eine Frage stellen

Ask about setup, compatibility, troubleshooting, or anything missing from this manual. Name and email are optional.

CISCO M5 Update Patch Secure Network Analytics Instruction Manual
1. Juni 2026
CISCO Validated Profile Healthcare SD Access Vertical User Guide
26. Mai 2026
Benutzerhandbuch für das CISCO 6851 IP-Telefon
25. Mai 2026
CISCO Partner Self Service User Guide
15. Mai 2026