跨內網代理部署 TICS Agent

1 業務場景

普惠金融是行業熱門課題，近幾年央行政策支持中小微企業發展（特別是制造業），銀行也把該方向作為業務拓展重點。但小微企業的信用評估是一個難點，小微企業一般都沒有大額固定資產作授信抵押，銀行也缺少高質量的數據作為評價依據，小微企業的貸款普遍存在難度大、周期長、額度低等問題。

政府擁有小微企業多維度的數據，如納稅、社保、用水用電等，信用評估價值高，受限于政府網絡和數據安全管理要求，政府數據不能直接提供給銀行。那么，有沒有一種方式，在不共享數據的情況下，實現數據的分析應用，即數據可用不可見。

數據隱私計算技術，可用于滿足該場景需求，如華為云可信智能計算服務 TICS (Trusted Intelligent Computing Service)，提供跨組織數據安全共享方案，政府無須將數據提供給銀行，銀行基于 TICS 的安全計算環境，運行數據分析模型，獲取業務所需的分析結果。

2 方案架構

以政府和銀行小微企業數據共享場景為例，政府數據部署在華為云數據庫服務 RDS，銀行數據存儲在本地數據中心的 Mysql Server，通過邊緣節點 IEF Edge Node 接入。TICS 服務同時支持云、邊兩種數據接入方式，基于華為云邊緣服務 IEF 實現 TICS Agent 的遠程部署和持續更新。

TICS 可信聚合計算通過 TICS AGG 節點實現，AGG 提供基于 TEE 或 SGX 兩種硬件隱私計算環境，也支持半同態加密、差分隱私等軟件類的隱私計算能力，適用于聯邦數據分析（基于標準 SQL）與聯邦學習等業務場景。本方案架構設計參考下圖：

銀行本地數據中心接入公網，有 3 種方式，不同方式下 IEF Agent 的接入配置要求說明如下：

無網絡限制的透明代理（ NAT 網關）

透明代理的工作方式類似于 NAT 網關，銀行內網服務器的數據包默認全部發送給透明代理（作為網關），透明代理再將數據包轉發給外網訪問地址，內網應用感知不到代理的存在，故稱為透明代理。該方式邊緣節點的接入配置最簡單，只需完成 IEF Agent 的標準配置即可，參考鏈接 IEF 邊緣節點注冊與納管 。

帶網絡限制的透明代理（ NAT 網關）

該方式下，銀行對訪問公網有網絡限制，需要根據域名 / IP 地址和端口號，開通網絡權限。需要放通的網絡權限，參考 開通外網訪問權限。

帶網絡限制的普通代理

和透明代理不同，普通代理是一個獨立服務器，內網應用須配置代理訪問地址，確保訪問外網的數據包先發給代理，再由代理轉發外網目的地址。

本文介紹的最佳實踐配置，主要針對最復雜的第 3 種場景：帶網絡限制的普通代理，如 squid 上網代理（其他類型的代理配置類似）。普通代理工作在 TCP/IP 協議應用層，代理的配置在應用級別生效，而非操作系統級別，本地服務器中的不同應用程序，均須添加代理配置，這一點尤其要注意。

上圖名詞解釋：

TICS Service: 華為云 可信智能計算服務 管理節點，提供數據聯盟管理、用戶權限配置、代理管理等功能

TICS AGG: TICS Aggregation Node 可信計算聚合節點，多方數據的融合計算在該節點完成

TICS Agent: TICS 代理，提供數據接入管理、安全隱私規則配置、數據分析和聯邦學習任務運行等功能，是 TICS 服務業務操作的關鍵組件，每個 TICS 數據聯盟的參與方可擁有 1 個或多個 TICS Agent

SWR: 華為云 容器鏡像服務 Software Repository for Container，用于 IEF Agent 邊緣容器鏡像管理

IEF Service: 華為云 邊緣計算服務 Intelligent Edge Fabric 管理節點，負責邊緣節點創建、管理和邊緣容器應用同步操作等

Edge Node: 部署 IEF Agent 的邊緣節點，一般是一臺硬件服務器或虛擬機

IEF Agent: 部署在 Edge Node 上的邊緣節點管理軟件，負責與云端 IEF Service 進行通信，管理本地運行的邊緣容器實例如 TICS Agent，支持實例更新、狀態監控、日志管理等功能

CCE: 華為云 云容器引擎 Cloud Container Engine，云上托管的 Kubernetes 集群，在本案例中，用于政務 TICS Agent 代理的部署

CCE Node: CCE 節點即 Kubernetes 節點，是云端的一臺虛機或裸金屬服務器

POD: Kubernetes 集群運行計算任務的最小單位，本案例用于部署政府側的 TICS Agent，是 1 個或多個容器的集合，參考 POD 名詞解釋

RDS: 華為云 托管 Mysql 數據庫，本案例用于存儲政務共享數據

NAT: 網絡地址轉換網關 Network Address Translation，用于內外網通信轉接，內網訪問外網的網絡流量均重定向到 NAT 網關，再轉發給外網目的地址

3 前置條件

3.1 開通外網訪問權限

銀行本地邊緣節點，訪問公有云的 IEF 和 TICS 服務，須開通以下網絡端口：

以上網絡配置基于華為云北京四 Region，其他 Region IP 地址和域名均不同，須進行相應調整。

參考鏈接 獲取 IEF 云端服務 IP 地址

3.2 注冊華為云賬號

TICS 服務同一數據聯盟參與方可以進行數據共享，數據聯盟每個參與方都是華為云租戶，因此使用 TICS 服務必須先注冊華為云賬號。登錄 華為云官網 即可完成賬號注冊。

3.3 申請 TICS 服務公測

TICS 服務目前處于受邀公測階段，請登錄華為云 TICS 服務 ，點擊 “立即體驗” 按鈕，即可申請公測。公測申請提交后，華為云 TICS 服務管理人員將在約 1~2 天內完成審批。

3.4 加入 TICS 服務聯盟

任何華為云賬號均可發起創建 TICS 數據聯盟，公測階段資源有限，建議參與測試的用戶優先加入現有數據聯盟。用戶將華為云賬號提供給 TICS 服務管理員（可通過華為云銷售獲取聯系方式），由 TICS 服務管理員將賬號加入到數據聯盟。華為云賬號格式一般為 hwxxxxxxxx (hw 加 8 位數字)，登錄華為云賬號中心即可查看。

TICS 服務管理員將賬號添加到數據聯盟后，用戶將在 TICS 服務 “通知管理”模塊收到加入數據聯盟申請，選擇同意即可加入該數據聯盟。

3.5 準備華為云費用

銀行采用邊緣服務方式接入華為云，涉及一定的華為云費用。邊緣節點部署 IEF Agent 是免費的，在 IEF Agent 運行容器實例需要收費，收費標準參考鏈接 IEF 服務定價。TICS Agent 部署在邊緣節點上需要一個容器實例，費用為 1099 ￥/月/實例。

用戶可自行充值華為云賬號完成測試，也可聯系華為云銷售申請華為云測試券，覆蓋測試所需費用。

注：完成實名認證的企業賬號才能申請測試券，請登錄華為云官網 賬號中心>實名認證，參考 實名認證操作指南 完成認證。

3.6 準備 IEF 邊緣節點

邊緣節點是部署在銀行本地數據中心的服務器或虛擬機，支持 X86 和鯤鵬 ARM 架構，推薦配置如下：

操作系統：CentOS 7.6

硬件配置：cpu >= 8 core，內存 >= 16G

環境依賴：docker 18.06.3 版本

IEF 邊緣節點須具備外網訪問權限，和云端互動時，均由邊緣節點發起訪問，因此邊緣節點無需獨立公網 IP 地址。

更多邊緣節點規格要求，參考 配置邊緣節點環境 。

4 部署 IEF Agent

在邊緣節點上部署 IEF Agent，須先登錄華為云 IEF 服務控制臺 ，選擇功能模塊 邊緣資源>邊緣節點，點擊紅色按鈕 “注冊邊緣節點”，根據提示，下載邊緣節點安裝程序 edge-installer_1.0.0_x86_64.tar.gz 和配置文件 ief-node.tar.gz (ief-node 是節點名稱)，導入到邊緣節點服務器。

參考下面配置，在普通代理上網的環境下，完成 IEF Agent 部署和云端納管。

以 sudo 權限登錄邊緣節點

執行如下命令解壓軟件包到 /opt 文件夾

sudo tar -zxvf edge-installer_1.0.0_x86_64.tar.gz -C /opt

解壓配置文件到 /opt/IEF/Cert

sudo mkdir -p /opt/IEF/Cert sudo tar -zxvf 邊緣節點名稱.tar.gz -C /opt/IEF/Cert

配置 IEF Agent 外網訪問代理

vi /opt/IEF/Cert/user_config http_proxy=proxy_ip:proxy_port # proxy_ip 和 proxy_port 請修改為現網的代理 IP 地址和端口號，下同 https_proxy=proxy_ip:proxy_port

安裝 IEF Agent

cd /opt/edge_installer sudo ./installer -op=install

驗證邊緣節點是否納管成功

登錄華為云 IEF 服務控制臺 邊緣資源>邊緣節點，查看新建邊緣節點的運行狀態，“運行中”表示納管成功。

更多相關配置參考 IEF 邊緣節點注冊與納管。

5 部署 TICS Agent

TICS Agent 是部署在 邊緣節點上的一個容器實例，登錄華為云 TICS 服務控制臺，即可發起創建 TICS Agent，華為云 IEF 服務會負責將 TICS Agent 的容器鏡像（保存在 SWR 上）同步到邊緣節點，完成 TICS Agent 的部署操作。

參考下面配置，完成 TICS Agent 在邊緣節點上的部署：

配置 docker 外網訪問代理

從云端獲取 TICS Agent的容器鏡像將執行 docker pull 操作，須配置 docker 的訪問代理，否則將導致鏡像獲取失敗。

sudo mkdir -p /etc/systemd/system/docker.service.d vi /etc/systemd/system/docker.service.d/http-proxy.conf [Service] Environment="HTTP_PROXY=proxy_ip:proxy_port" # proxy_ip 和 proxy_port 請修改為現網的代理 IP 地址和端口號，下同 Environment="HTTPS_PROXY=proxy_ip:proxy_port" :wq # 保存文件 # 重啟 docker sudo systemctl daemon-reload sudo systemctl restart docker

獲取華為云賬號 AK/SK

訪問密鑰 AK/SK Access Key ID/Secret Access Key 包含訪問密鑰ID（AK）和秘密訪問密鑰（SK）兩部分，是華為云賬號的長期身份憑證，TICS Agent 代理部署須配置 AK/SK 信息，授予代理接入權限。AK/SK 登錄華為云官網 賬號中心>基本信息>管理我的憑證>訪問密鑰，點擊“新增訪問密鑰”，即可下載訪問密鑰，文件名為 credentials.csv。詳細操作指南參考 訪問密鑰 。

注：訪問密鑰生成后，只能下載一次，請妥善保管。

下載TICS Agent 配置

登錄華為云控制臺 TICS 服務，選擇 通知管理>下載代理配置，保存至本地，解壓后得到 3 個文件，在下一步創建 TICS Agent 代理中會用到

agent.p12 - 聯盟配置

tics_league_datacloud.json - 代理密鑰

truststore.jks - CA 證書

創建 TICS Agent

登錄華為云控制臺 TICS 服務，選擇 代理管理>部署代理，在部署代理頁面，依次完成以下操作：

導入聯盟配置 agent.p12

上傳文件 代理密鑰 tics_league_datacloud.json

上傳文件 CA 證書 truststore.jks

導入當前賬號 AK/SK credentials.csv

配置代理登錄密碼，該密碼請注意保存，后面和代理登錄賬號 admin 一起用于代理管理頁面的登錄

選擇 IEF 邊緣節點部署，納管節點選擇已創建好的 IEF 邊緣節點

主機路徑配置邊緣節點上數據保存路徑，如 /home/tics，須確保該路徑已創建且具備寫權限

點擊 “立即創建” 按鈕，完成代理創建操作

配置 TICS Agent 外網訪問代理

TICS Agent 通過 java sdk 與華為云 TICS AGG 進行通信，須配置 java 訪問外網的代理配置，確保與 AGG 通信正常。

以 sudo 權限登錄邊緣節點，執行以下命令：

docker ps # 查看 docker 容器實例 docker exec -ti xxxx /bin/bash # xxxx 對應 tics 容器實例 id vi /etc/hosts # 配置容器實例內部 TICS 服務域名解析 49.4.112.6 tics.cn-north-4.myhuaweicloud.com hostname # 獲取當前主機名，后面配置將用到 vi /opt/cloud/tics/tics-agent-console/bin/common.sh JAVA_OPTS="-Dhttps.proxyHost=proxy_ip -Dhttps.proxyPort=proxy_port -Dhttp.nonProxyHosts=當前主機名" # proxy_ip 和 proxy_port 請修改為現網的代理 IP 地址和端口號，下同 :wq # 重啟服務，使配置生效 su service sh stop.sh sh start.sh & vi /opt/cloud/tics/tics-agent-web/bin/common.sh JAVA_OPTS="-Dhttps.proxyHost=proxy_ip -Dhttps.proxyPort=proxy_port -Dhttp.nonProxyHosts=當前主機名" :wq # 重啟服務，使配置生效 su service sh stop.sh sh start.sh &

驗證 TICS Agent 是否部署成功

登錄華為云控制臺 TICS 服務，選擇 代理管理，點擊代理名進入代理管理頁面，點擊代理登錄地址 “前往代理Agent”，打開代理登錄界面，輸入步驟 4 中的代理用戶名 Admin 與代理登錄密碼，完成代理登錄。登錄代理頁面后，查看右上角的狀態符號，顯示為綠色，則表示代理通信正常，代理部署成功。

注：邊緣節點部署方式下，TICS Agent 代理登錄 IP 地址為內網 IP 地址，請確保測試使用的 PC 或筆記本，與 TICS Agent 內網網絡連通性。

EI企業智能 Kubernetes 可信智能計算服務 TICS 智能數據 智能邊緣平臺 IEF

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。