

本指南提供了 Wickr Enterprise 的文档。如果您使用的是 AWS Wickr，请参阅 [AWS Wickr 管理指南](https://docs.aws.amazon.com/wickr/latest/adminguide/what-is-wickr.html)或 AW [S Wickr 用户](https://docs.aws.amazon.com/wickr/latest/userguide/what-is-wickr.html)指南。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 调用入口设置
<a name="calling-ingress-settings"></a>

Wickr 支持呼叫入口设置，允许客户端连接到集群中的任何呼叫节点，并将呼叫路由到正确的呼叫服务器。Wickr 支持四种调用入口类型：
+ LoadBalancer （默认）
  +  LoadBalancer 将由云提供商配置（完全本地安装需要额外配置）。配置完成后，必须再次更新 KOTS 配置以提供负载均衡器的主机名或 IP 地址。 LoadBalancer 
+ NodePort
  + 在每个调用节点上公开一项 NodePort 服务，该服务将作为呼叫流量的入口点。必须提供解析到一个或多个节点的主机名或者一个或多个节点的 IP 地址。您可以为 UDP 和可选的 TCP 流量选择一个介于 30000-32767 之间的端口范围。
+ 现有 NLB
  + 将呼叫入口服务连接到现有 NLB。您需要为 UDP 提供目标组 ARN，也可以提供 TCP 流量。
+ 没有服务
  + 如果您不需要额外的 Kubernetes 服务来允许入口流量，请选择此选项。这通常与主机网络设置一起使用，将呼叫入口流量直接路由到您的呼叫节点。

## 注意事项
<a name="calling-ingress-considerations"></a>
+ 为了确保在不调用 ingress 的情况下与旧版客户端和联合网络向后兼容，启用调用 ingress 后，传统调用模式仍然可用（直接连接到调用服务器）。如果更改任何默认端口，请确保调用节点上没有任何端口冲突。
+ 提供 UDP 流量的双栈 NLBs 必须有 IPv6 后端目标。有关更多信息，请参阅 [Network Load Balancer 目标组](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#target-group-ip-address-type)。
+ 如果您要求符合 STIG 标准，则必须禁用用于呼叫的主机网络选项。如果节点配置为双堆栈模式，但集群未配置为双堆栈模式，则可能会断开 IPv6连接（假设是 IPv4 集群）。
+ 呼叫入口需要预定义的主机名或 IP 地址。扩展节点或提供自定义路由可能需要修改配置。
+ TCP 的默认呼叫入口端口为 8443，UDP 的默认呼叫入口端口为 16384。确保防火墙和安全组允许这些端口的流量，或者如果默认值被覆盖，则允许其他端口的流量。

## 参考架构
<a name="calling-ingress-reference-architectures"></a>

**带负载均衡器的入口**

此选项将单个负载均衡器作为所有呼叫流量的入口点。

1. 对于**呼叫入口类型**，请选择 Loa **d Balancer** 或**现有 NLB**。有关**现有 NLB** 的更多信息，请参阅 [Wickr Enterprise CD](https://github.com/aws-samples/sample-packages-for-aws-wickr/tree/main/enterprise-infrastructure-examples/aws-cdk) K 示例中的 NLB 堆栈。 GitHub

1. 根据**呼叫入口类型**，执行以下任一操作：
   + 对于**现有 NLB**，请提供 UDP 和 TCP 流量的目标组 ARNs 以及 NLB 的主机名。
   + 对于 **Load Balancer**，请在 Kubernetes 配置主机名之后提供主机名。

   或者，对于**呼叫入口类型**，您可以提供负载均衡器的 IP 地址或指向负载均衡器的自定义主机名。

1. （可选）要将消息和呼叫流量合并到单个 NLB 下，请在 “**入口**” 部分中选择 “**现有 NLB**”，并提供 HTTPS 目标组。

**使用 ingress NodePort**

如果禁用了主机网络并且您不想公开额外的负载均衡器，则此选项很有用。

**注意**  
确保您的防火墙和安全组允许流量。 NodePorts

1. 对于**呼叫入口类型**，请选择**NodePort**。

1. 添加主叫节点的主机名或 IP 地址。

1. 禁用**呼叫主机网络**。

**直接进入 HostNetwork**

此选项不会公开任何额外的 Kubernetes 服务，并允许呼叫入口流量直接通过调用节点的主机网络进行连接。如果需要 IPv6 连接，则首选这种方法。

1. 在 “呼**叫入口类型**” 中，选择 “**无服务**”。

1. 添加主叫节点的主机名或 IP 地址。

1. 启用**呼叫主机网络**。