简介

本地代理是为实现腾讯轻联与用户内网服务集成互通而创新设计的代理系统，主要应用场景为用户内网服务不提供公网访问，而又希望通过腾讯轻联（公有云部署）来完成与内网服务的集成。
本地代理由 Server 和 Agent 构成：

• Server 部署在腾讯轻联系统内网，用户无需关注。

• Agent 部署在用户内网，允许根据地域或服务划分部署多个 Agent，通过本地代理转发来实现腾讯轻联与用户内网服务的数据交互。

生成公私钥

新建本地代理时，当“公钥配置”选择手动配置时，才需要手动完成下列配置步骤。如果选择系统生成则忽略下列配置。

步骤1：检查 OpenSSL 版本

执行以下命令，检查系统是否已安装 OpenSSL：

openssl version

执行命令如果能正常输出 OpenSSL 版本信息，说明系统已安装 OpenSSL，则可跳过下文步骤2：OpenSSL，否则请参考下文步骤安装 OpenSSL。

步骤2：安装 OpenSSL

MAC、Linux、Windows 系统安装 OpenSSL 方式不同，详细安装步骤如下：
MAC系统：
执行以下命令安装 OpenSSL：

brew install openssl

Linux 系统：
执行以下命令安装 OpenSSL：
Centos

yum install openssl

Ubuntu

sudo apt-get install openssl
sudo apt-get install libssl-dev

Windows 系统：

1. 下载OpenSSL安装包，选择不同的安装包下载。例如64位系统，则选择如图所示的安装包下载（选择 Light 的 EXE 版本即可）。
   

2. 双击安装包，安装 OpenSSL。注意记录 OpenSSL 的安装目录（例如安装目录为
   C:\Program Files\OpenSSL-Win64，后续 OpenSSL 配置环境变量时需要用到）。

3. 配置环境变量， 以 Win10 系统为例：

4. 按Win+R键 ，在弹出的“运行”窗口中输入 sysdm.cpl，并按Enter键，打开“系统属性”窗口。
   

5. 选择高级>环境变量进入环境变量页面。
   

6. 双击Path进入编辑环境变量页面。
   

7. 单击新建，在左侧变量中输入 OpenSSL 安装目录的 bin 目录（bin 目录 = 安装目录 + bin，例如安装目录为
   C:\Program Files\OpenSSL-Win64，则 bin 目录为
   C:\Program Files\OpenSSL-Win64\bin）。
   

8. 单击确定完成环境变量配置。

9. 安装验证

10. 按Win+R键 ，在弹出的“运行”窗口中输入 cmd，并按Enter键，打开“系统属性”窗口。

11. 执行 openssl version 命令，如果出现 OpenSSL 版本信息，则说明 OpenSSL 安装成功，否则仔细核对 OpenSSL 安装步骤。
    

步骤3：生成及更新公私钥

1. 执行以下命令生成私钥。
   

   javascripttypescripthtmlcssshellpythongolangjavacc++c#phprubyswiftkotlinscalarustdartelixirhaskellluaperlrsql

   openssl genrsa -out private.pem 1024

!请将生成的私钥放置在
ipaas-private-cloud-agent/configs/secret
目录下。

2. 执行以下命令，以上述私钥为基础生成公钥。当前目录下生成的 public.pem 即为公钥。
   

   javascripttypescripthtmlcssshellpythongolangjavacc++c#phprubyswiftkotlinscalarustdartelixirhaskellluaperlrsql

   openssl rsa -in private.pem -RSAPublicKey_out -out public.pem

3. 生成新的私钥时，需替换ipaas-private-cloud-agent/configs/secret目录下的 private.pem 文件。

配置启动 Agent

步骤1：下载 Agent

1. 登录腾讯轻联控制台，选择高级工具>本地代理。
   

2. 单击新建，当“公钥配置”选择手动配置时，请参见生成公私钥按步骤上传公钥。

3. 配置 Agent IP 访问控制白名单（可选）和内网服务，单击保存并确认。

4. 在安全网关列表中或创建步骤第二步，单击下载 Agent 按钮完成 Agent下载。
   

• Agent 解压后目录结构如下：

• bin 目录中包含 Agent 的可执行程序，按照不同的操作系统放在子目录 Linux、Windows、Mac 下。

• configs 目录中包含 Agent 运行过程中所必须的配置，configs 目录介绍：

• client 中存放 Agent tls 通信所必须的密钥等配置，与 Server 对应，此目录下文件不可删除，不可修改。

• secret 目录下存放 Agent 连接 Server 时的私钥，私钥如何生成请参见生成公私钥。

• config.yaml 文件中包含 Agent 运行过程中必须依赖的配置。

• logger_config.yaml 文件中包含 Agent 运行过程中的日志配置，可修改日志级别及日志备份策略。

• log 中存放 Agent 运行过程中产生的日志。

• scripts 目录存放 Agent 启动/停止脚本（start.sh/stop.sh）。

步骤2：Agent 日志配置（可选）

修改 Agent 文件夹
ipaas-private-cloud-agent/configs
目录下的 logger_config.yaml 文件，可以按需修改网关日志级别和日志备份策略等，logger_config.yaml 中各参数含义在文件中已做详细说明，本文不再介绍。

步骤3：启用 Agent

打开终端（Windows 系统需用管理员身份打开），通过 cd 命令进入 Agent 文件夹
ipaas-private-cloud-agent
所在路径。并根据不同操作系统执行下方对应命令。
最后终端会提示
Do you want to run as a background daemon [Y/N]？
如果填“N”，当在终端和 agent.zlog 日志文件中都看到“tunnel create successful”字样时，表示 Agent 已成功启用；如果填“Y”，当在 agent.zlog 日志文件中看到“tunnel create successful”字样时，表示 Agent 已成功启用。（agent.zlog 文件在
./ipaas-private-cloud-agent/log
目录下）。

Mac 系统
执行以下命令启用 Agent：

sudo sh ./ipaas-private-cloud-agent/scripts/mac/start.sh

Linux 系统
执行以下命令启用 Agent：

sudo sh ./ipaas-private-cloud-agent/scripts/linux/start.sh

Windows 系统
用管理员身份打开终端，并执行以下命令启用 Agent：

.\ipaas-private-cloud-agent\scripts\windows\start.bat

禁用 Agent 命令

各操作系统执行禁用 Agent 命令如下：
Mac系统
执行以下命令可禁用 Agent：

sudo sh ./ipaas-private-cloud-agent/scripts/mac/stop.sh

Linux系统
执行以下命令可禁用 Agent：

sudo sh ./ipaas-private-cloud-agent/scripts/linux/stop.sh

Windows系统
用管理员身份打开终端，并执行以下命令可禁用 Agent：

.\ipaas-private-cloud-agent\scripts\windows\stop.bat

常见问题

执行 Agent 启动命令后显示“permission denied”？

没有文件执行权限。如果是 Mac 系统，需先执行
chmod 777 INSTALL_HOME/scripts/mac/start.sh
（其中 INSTALL_HOME 代表 Agent 文件夹所在路径）。

执行 Agent 启动命令后显示“authHandShake failed”？

需要用下载的 private.pem 私钥，去替换
INSTALL_HOME/configs/secret
中的私钥（其中 INSTALL_HOME 代表 Agent 文件夹所在路径）。

Mac 系统执行 Agent 启动命令后，提示无法打开 Agent 文件夹，因为无法验证开发者？

需执行
sudo spctl --master-disable
进行验证。

执行 Agent 启动命令后显示“ip:xxx not in whitelist”？

需要在新建安全网关时，将网络出口 IP 白名单配置进去。