自托管
NetRecon 可以完全自托管在您自己的基础设施上,让您完全掌控数据、安全和部署。
为什么选择自托管?
| 优势 | 描述 |
|---|---|
| 数据主权 | 所有扫描结果、配置和日志都保留在您的服务器上 |
| 合规性 | 满足要求本地数据存储的监管要求 |
| 网络隔离 | 在无需互联网依赖的隔离环境中运行 |
| 自定义集成 | 直接数据库访问,用于自定义报告和集成 |
| 成本控制 | 服务器基础设施无需按探针许可付费 |
架构
自托管 NetRecon 部署由多个在 Docker 容器中运行的微服务组成:
┌────────────────────────────────────────────────────────┐
│ Docker 主机 │
│ │
│ ┌─────────────�─┐ ┌──────────────┐ ┌──────────────┐│
│ │ API Gateway │ │ Vault Server │ │ License ││
│ │ :8000 │ │ :8001 │ │ Server :8002││
│ └──────────────┘ └──────────────┘ └──────────────┘│
│ │
│ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐│
│ │ Email │ │ Notification │ │ Update ││
│ │ Service :8003│ │ Service :8004│ │ Server :8005││
│ └──────────────┘ └──────────────┘ └──────────────┘│
│ │
│ ┌──────────────┐ ┌──────────────┐ ┌──────────�────┐│
│ │ Agent │ │ Warranty │ │ CMod ││
│ │ Registry:8006│ │ Service :8007│ │ Service:8008││
│ └──────────────┘ └──────────────┘ └──────────────┘│
│ │
│ ┌──────────────┐ ┌──────────────┐ │
│ │ IPAM │ │ PostgreSQL │ │
│ │ Service :8009│ │ :5432 │ │
│ └──────────────┘ └──────────────┘ │
│ │
│ ┌──────────────┐ ┌──────────────┐ │
│ │ Redis │ │ Nginx │ │
│ │ :6379 │ │ 反向代理 │ │
│ └──────────────┘ └──────────────┘ │
└────────────────────────────────────────────────────────┘
服务概览
| 服务 | 端口 | 用途 |
|---|---|---|
| API Gateway | 8000 | 中央 API 路由、认证 |
| Vault Server | 8001 | 密钥管理、凭据存储 |
| License Server | 8002 | 许可证验证和管理 |
| Email Service | 8003 | 邮件通知和告警 |
| Notification Service | 8004 | 推送通知、Webhook |
| Update Server | 8005 | 探针和代理更新分发 |
| Agent Registry | 8006 | 代理注册和管理 |
| Warranty Service | 8007 | 硬件保修跟踪 |
| CMod Service | 8008 | 网络设备配置管理 |
| IPAM Service | 8009 | IP 地址管理 |
部署选项
Docker Compose(推荐)
部署所有服务的最简单方式。适用于中小型部署。
请参阅 安装指南 获取逐步说明。
Kubernetes
适用于需要高可用性和水平扩展的大规模部署。每个服务都提供 Helm charts。
单一二进制文件
对于最小化部署,单一二进制文件打包了所有服务。适用于测试或非常小的环境。
系统要求
| 要求 | 最低配置 | 推荐配置 |
|---|---|---|
| 操作系统 | Ubuntu 22.04 / Debian 12 | Ubuntu 24.04 LTS |
| CPU | 2 核 | 4+ 核 |
| 内存 | 4 GB | 8 GB |
| 磁盘 | 40 GB | 100 GB SSD |
| Docker | v24.0+ | 最新稳定版 |
| Docker Compose | v2.20+ | 最新稳定版 |
网络
| 端口 | 协议 | 用途 |
|---|---|---|
| 443 | HTTPS | Web 仪表板和 API(通过反向代理) |
| 80 | HTTP | 重定向到 HTTPS |
| 5432 | TCP | PostgreSQL(内部,不对外暴露) |
| 6379 | TCP | Redis(内部,不对外暴露) |
仅需对外暴露 80 和 443 端口。所有内部服务端口仅在 Docker 网络内可访问。
数据存储
| 数据 | 存储方式 | 备份 |
|---|---|---|
| PostgreSQL 数据库 | Docker 卷 | 每日 pg_dump |
| 配置文件 | 绑定挂载 | 文件备份 |
| 上传文件 | Docker 卷 | 文件备份 |
| 日志 | Docker 卷 | 日志轮转 |
| TLS 证书 | 绑定挂载 | 安全备份 |
安全性
自托管部署包含所有安全功能:
- 所有外部通信的 TLS 加密
- 基于 JWT 的认证
- 基于角色的访问控制
- 审计日志
- Steel Shield 完整性验证(参见 Steel Shield)
常见问题
问:可以不使用 Docker 进行自托管吗�? 答:Docker Compose 是推荐且受支持的部署方式。直接在主机上运行服务是可行的,但不受官方支持。
问:探针如何连接到自托管服务器?
答:将探针配置为指向您服务器的 URL,而非默认的 Cloudflare Tunnel 端点。更新探针配置中的 server_url。
问:是否包含 Web 仪表板?
答:是的。API Gateway 在根 URL 上提供 Web 仪表板。通过您配置的域名访问(例如 https://netrecon.yourcompany.com)。
问:可以在隔离环境中运行吗? 答:可以。预先下载 Docker 镜像并将其传输到隔离服务器。许可证验证可以配置为离线模式。
如需更多帮助,请联系 [email protected]。