本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 AWS Panorama Appliance 连接到您的网络
AWS Panorama Appliance 需要同时连接到 AWS 云端和您的本地 IP 摄像机网络。您可以将设备连接到允许同时访问两个网络的单个防火墙,或将设备的两个网络接口分别连接到不同的子网。无论哪种情况,您都必须保护设备的网络连接安全性,以防止未经授权访问您的摄像机视频流。
单个网络配置
设备有两个以太网端口。如果您通过单个路由器连接进出设备的所有流量,则可以使用第二个端口实现冗余,以防与第一个端口的物理连接中断。配置您的路由器,使设备只能连接到摄像机视频流和互联网,并阻止摄像机视频流以其他方式离开内部网络。
有关设备需要访问的端口和端点的详细信息,请参阅 配置服务访问权限 和 配置本地网络访问权限。
双重网络配置
为提高安全性,您可以将设备置于与摄像机网络不同的互联网连接网络中。受限摄像机网络和设备网络之间的防火墙仅允许设备访问视频流。如果出于安全考虑,您的摄像机网络之前采用了气隙系统,您可能更喜欢这种方法,而不是将摄像机网络连接到同时允许访问互联网的路由器上。
以下示例显示了设备在每个端口上连接到不同的子网。路由器将 eth0 接口置于连接到摄像机网络的子网上,并将 eth1 接口置于连接到互联网的子网上。
您可以在 AWS Panorama 控制台中确认每个端口的 IP 地址和 MAC 地址。
配置服务访问权限
在预置期间,您可以将设备配置为请求特定的 IP 地址。提前选择 IP 地址以简化防火墙配置,并确保设备在长时间离线时地址不会变化。
设备使用 AWS 服务协调软件更新和部署。配置防火墙以允许设备连接到这些端点。
互联网访问
-
AWS IoT(HTTPS 和 MQTT,端口 443、8443 和 8883) - AWS IoT Core以及设备管理端点。有关详细信息,请参阅 Amazon Web Services 一般参考 中的 AWS IoT Device Management 端点和限额。
-
AWS IoT凭证(HTTPS,端口 443) -
credentials.iot.<region>.amazonaws.com和子域。 -
Amazon Elastic 容器注册表(HTTPS、端口 443)-
api.ecr.<region>.amazonaws.com、dkr.ecr.<region>.amazonaws.com和子域。 -
Amazon CloudWatch(HTTPS、端口 443)-
monitoring.<region>.amazonaws.com。 -
Amazon CloudWatch Logs(HTTPS、端口 443)-
logs.<region>.amazonaws.com。 -
Amazon Simple Storage Service(HTTPS、端口 443)-
s3.<region>.amazonaws.com、s3-accesspoint.<region>.amazonaws.com和子域。
如果您的应用程序调用其他 AWS 服务,则设备还需要访问这些服务的端点。有关更多信息,请参阅服务端点和限额。
配置本地网络访问权限
设备需要在本地访问 RTSP 视频流,但不能通过互联网访问。配置防火墙,允许设备在内部通过 554 端口访问 RTSP 视频流,且不允许视频流向互联网或从互联网传入。
本地访问
-
实时流媒体协议(RTSP、端口 554)- 用于读取摄像机视频流。
-
网络时间协议(NTP、端口 123)- 用于设备的时钟保持同步。如果您没有在网络上运行 NTP 服务器,则设备也可以通过互联网连接到公共 NTP 服务器。
私有连接
如果您将 AWS Panorama Appliance 部署在私有 VPC 子网中,并通过 VPN 连接到 AWS,则无需访问互联网。您可以使用站点到站点 VPN 或 AWS Direct Connect在本地路由器和 AWS 之间创建 VPN 连接。在您的私有 VPC 子网中,您可以创建端点,让设备连接到 Amazon Simple Storage Service、AWS IoT 和其他服务。有关更多信息,请参阅 将设备连接到私有子网。
