

本指南提供 Wickr Enterprise 的文件。如果您使用的是 AWS Wickr，請參閱 [AWS Wickr 管理指南](https://docs.aws.amazon.com/wickr/latest/adminguide/what-is-wickr.html)或 [AWS Wickr 使用者指南](https://docs.aws.amazon.com/wickr/latest/userguide/what-is-wickr.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 呼叫輸入設定
<a name="calling-ingress-settings"></a>

Wickr 支援呼叫輸入設定，允許用戶端連線到叢集內的任何呼叫節點，並讓呼叫路由到正確的呼叫伺服器。Wickr 支援四種呼叫輸入類型：
+ LoadBalancer （預設）
  + LoadBalancer 將由雲端提供者佈建 （完全內部部署安裝需要額外的組態）。佈建 LoadBalancer 之後，必須再次更新 KOTS 組態，以提供負載平衡器的主機名稱或 IP 地址。
+ NodePort
  + 在每個呼叫節點上公開 NodePort 服務，做為呼叫流量的進入點。必須提供解析為一或多個節點的主機名稱或一或多個節點的 IP 地址。對於 UDP 和選用的 TCP 流量，您可以選擇從 30000-32767 的連接埠範圍。
+ 現有的 NLB
  + 將呼叫輸入服務連接到現有的 NLB。您需要為 UDP 和選用的 TCP 流量提供目標群組 ARN。
+ 無服務
  + 如果您不需要額外的 Kubernetes 服務來允許輸入流量，請選取此選項。這通常會與主機網路設定搭配使用，以將呼叫傳入流量直接路由至呼叫節點。

## 考量事項
<a name="calling-ingress-considerations"></a>
+ 為確保啟用呼叫輸入時，舊版呼叫模式仍可使用 （直接連線至呼叫伺服器），以確保與較舊的用戶端和聯合網路回溯相容性，而無需呼叫輸入。如果變更任何預設連接埠，請確保您在呼叫節點上沒有任何連接埠衝突。
+ 提供 UDP 流量的雙堆疊 NLBs 必須具有 IPv6 後端目標。如需詳細資訊，請參閱 [Network Load Balancer 目標群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#target-group-ip-address-type)。
+ 如果您需要 STIG 合規，則必須停用用於呼叫的主機網路選項。如果節點是在雙堆疊模式中設定，但叢集不是，您可能會失去 IPv6 連線 （假設是 IPv4 叢集）。
+ 呼叫輸入需要預先定義的主機名稱或 IP 地址。擴展節點或提供自訂路由可能需要修改組態。
+ 預設呼叫輸入連接埠的 TCP 為 8443，UDP 為 16384。確定防火牆和安全群組允許這些連接埠的流量，如果覆寫預設值，則為替代連接埠。

## 參考架構
<a name="calling-ingress-reference-architectures"></a>

**使用負載平衡器傳入**

此選項公開單一負載平衡器做為所有呼叫流量的進入點。

1. 針對**呼叫輸入類型**，選擇**Load Balancer**或**現有的 NLB**。如需**現有 NLB** 的詳細資訊，請參閱 GitHub 上 [Wickr Enterprise CDK 範例中](https://github.com/aws-samples/sample-packages-for-aws-wickr/tree/main/enterprise-infrastructure-examples/aws-cdk)的 NLB 堆疊。

1. 根據**呼叫輸入類型**，執行下列其中一項操作：
   + 針對**現有的 NLB**，提供 UDP 和 TCP 流量的目標群組 ARNs，以及 NLB 的主機名稱。
   + 對於**Load Balancer**，請在 Kubernetes 佈建主機名稱之後提供主機名稱。

   或者，對於**呼叫輸入類型**，您可以提供負載平衡器的 IP 地址或指向負載平衡器的自訂主機名稱。

1. （選用） 若要在單一 NLB 下合併簡訊和通話流量，請在**輸入**區段中選擇**現有 NLB**，並提供 HTTPS 目標群組。

**使用 NodePort 傳入**

如果主機聯網已停用，而且您不想公開額外的負載平衡器，此選項很有用。

**注意**  
確保您的防火牆和安全群組允許 NodePorts的流量。

1. 針對**呼叫輸入類型**，選擇 **NodePort**。

1. 新增呼叫節點主機名稱或 IP 地址。

1. 停用**呼叫主機網路**。

**使用 HostNetwork 直接輸入**

此選項不會公開任何其他 Kubernetes 服務，並允許呼叫輸入流量直接透過呼叫節點的主機網路進行連線。如果需要 IPv6 連線，則偏好此方法。

1. 針對**呼叫輸入類型**，選取**無服務**。

1. 新增呼叫節點主機名稱或 IP 地址。

1. 啟用**呼叫主機網路**。