为 Shotgun 设置代理服务器

简介

代理服务器是在客户端与终端服务器之间充当中介的服务器。代理服务器可以用作 Shotgun 用户与 Shotgun 服务之间的隔离层,从而允许用户访问 Shotgun,同时限制对 Internet 其余部分的访问。

建议

尽管可以对您的 Shotgun 站点使用代理服务器,但我们强烈建议采用网关服务器的方法。

免责声明

本文档作为手册提供给我们的客户,以帮助他们设置代理服务器。尽管我们可以提供一些帮助,但代理服务器由客户负责安排,而不是由 Shotgun 实施。

此外,我们在本文档中提供了外部资源的链接,请在参考时做出自己的最佳判断。

词汇

代理。在客户端与终端服务器之间充当中介的服务器。有关代理的更多详细信息可在维基百科上找到(请参见 https://en.wikipedia.org/wiki/Proxy_server)。有不同种类的代理,具体取决于您的需求。

正向代理。向普通的一组客户端提供代理服务的代理。代理配置允许请求被允许或拒绝,从而允许对所需的一组客户端强制实施安全性。

内容过滤代理。根据不同的方法(最常用的是 URL 和 IP)对所使用的内容进行适当控制的代理。

IT。信息技术。

Shotgun Web 应用。指 Shotgun Web 应用程序,通过 Internet 浏览器提供。

快速入门

为什么要使用代理?

主要原因是安全性。您的工作室可能有严格的安全要求,以防止用户直接访问 Internet。在大多数情况下,使用代理隔离 Shotgun 访问会缓解您的安全专家的压力。

SGCS_-_Shotgun_Ecosystem___Proxy.png

有什么影响?

使用代理时,Shotgun Web 应用、SG Toolkit、RV 和 SG Desktop 应会正常运行。但是,Shotgun 是产品创新平台,有范围很广的 IP,这些 IP 可能是动态的,因此任何白名单方法都是一项挑战。

应该使用哪种代理?

这取决于您工作室的基础设施。有多种类型的代理,实际实施会有很大不同。根据您工作室的规模,您可能已将此类技术用于其他用途。建议咨询您的 IT 部门,因为他们可能已实施该解决方案的某些部分。有很多专业产品/技术,并且可能已在您的工作室中使用。

如果您希望实施自己的解决方案,可以设置 Web 代理服务器(请参见 https://en.wikipedia.org/wiki/Proxy_server#Web_proxy_servers)。要将 Internet 访问范围限制于 Shotgun,您可能要使用内容过滤代理(请参见 https://en.wikipedia.org/wiki/Proxy_server#Content-control_software),它允许 Shotgun 通信通过,但阻止其余部分。您还可能希望该代理作为正向代理(请参见 http://www.jscape.com/blog/bid/87783/Forward-Proxy-vs-Reverse-Proxy)。

下面提供了一些链接,可帮助您快速入门。

Web 代理 说明 代理示例
Apache Httpd (https://httpd.apache.org/) 可能是比较有名的 Web 服务器。 正向代理示例 (https://docs.trafficserver.apache.org/en/4.2.x/admin/forward-proxy.en.html)
Nginx (http://nginx.org/en/) 最常用的 Web 服务器。由于他们正在将大部分精力投入在 Nginx Plus(付费版本)上,此代理正在失去吸引力。 正向代理示例 (https://ef.gy/using-nginx-as-a-proxy-server)(http://plonexp.leocorn.com/leocornus/leocornus.buildout.cfgrepo/xps33)
Squid (http://www.squid-cache.org/) 常用的缓存代理,通常用于在大多数操作系统上实施 Web 访问限制。
在 Mac 上提供的用户界面。
HTTP 代理示例 (https://www.linode.com/docs/networking/squid/squid-http-proxy-centos-6-4)
Web 过滤示例 (https://www.howtoforge.com/web-filtering-on-squid-proxy)

代理备选方案

如我们之前所述,我们建议的方法是使用网关服务器

也可以在路由器或防火墙级别实施访问限制。这些选项对您可能更有吸引力,具体取决于您的专业知识。下列文章详细介绍了这些备选方案:

http://www.dslreports.com/faq/14018

配置

了解您的设置

在继续后续操作之前,您将需要了解您的站点是否启用了 Web 加速。经验法则是,如果您不在美国,则启用了 Web 加速。

对于 Web 加速服务,您有 2 个选择:

  1. 将该加速服务使用的所有 IP 地址范围添加到白名单中。请联系 Shotgun 支持部门以获取 IP 范围。
  2. 禁用加速服务。

对于 Web 加速服务,白名单是一项挑战。该服务使用范围很广的 IP,这些 IP 会随时间变化。但是,由于对于美国以外的客户,性能和可靠性已得到显著改进,因此我们建议使 Web 加速服务保持启用状态。

Shotgun 使用 AWS S3 存储您的内容。关于 Web 加速服务,您对 AWS S3 有 2 个选择:

  1. 将 AWS IP 添加到白名单中。有关详细信息,请参见 http://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html
  2. 使用 Shotgun S3 代理。此选项仅适用于在俄勒冈州区域存储媒体的客户。

S3 具有可变的 IP 方案,这意味着 IP 随时间变化。这使得添加白名单很困难。为了解决此问题,我们正在提供 S3 代理。即使很难实施,我们仍建议采用将 AWS IP 添加到白名单的方法。

SGCS_-_Shotgun_Ecosystem___S3_Proxy.png

代理服务器和防火墙配置

因为代理实施可能会不同,我们不会介绍细节。但是,配置为允许与 Shotgun 通信的代理应该:

  • 允许在以下 IP 的默认端口(80、443)上传输与您的 Shotgun 站点的 HTTP 和 HTTPS 通信:
    • mystudio.shotgunstudio.com(其中 mystudio 是您的 Shotgun 站点名称)
    • tank.shotgunstudio.com(用于 Tookit 更新)
    • 74.50.63.109(第一个 Shotgun 公用 IP)
    • 74.50.63.111(第二个 Shotgun 公用 IP)
    • Web 加速服务 IP 范围
    • AWS IP 范围
  • 允许在有/无身份认证的情况下转发通信;应支持两者。

同样,如果您的基础设施受防火墙保护,您将要允许在相同主机或 IP 上传输通信。

Shotgun Web 应用配置

禁用 Web 加速和激活 S3 代理必须由 Shotgun 完成。为此,请在 Shotgun 支持上开一个工单

该代理与 Shotgun 服务位于相同的地址。因此,无需在代理和防火墙级别进行其他配置。使用代理有一些影响。请参见使用 S3 代理是否有任何影响?

客户端工作站配置

要使用代理,必须对每个用户工作站进行配置。对于大型组织,通常是在设置用户系统时完成此过程。有两种主要方法来实现此目的。

操作系统配置

一些操作系统支持在操作系统级别进行配置。通过执行此操作,大多数应用程序将会默认使用代理。

操作系统 文档 备注
Mac OS X https://support.apple.com/kb/PH18553?locale=zh_CN 配置 Web 代理和安全 Web 代理
Windows   不受支持

浏览器配置

浏览器 文档 备注
Chrome https://support.google.com/chrome/answer/106010?hl=zh_hans 对于 Mac OS X,必须在操作系统级别更改
Firefox http://www.wikihow.com/Enter-Proxy-Settings-in-Firefox 配置 HTTP 代理和 SSL 代理
Safari https://support.apple.com/kb/PH19223?locale=en_US 对于 Mac OS X,必须在操作系统级别更改

配置 Toolkit 和 SG Desktop

SG Toolkit 和 SG Desktop 可以配置为使用代理。有关如何对其进行设置的详细信息,请参见以下 Zendesk 论坛:

https://support.shotgunsoftware.com/hc/zh-cn/articles/219040668#Advanced%20Installation%20Topics

配置 RV

也可以将 RV 配置为使用代理。您可以通过环境变量对此进行设置,此处的“代理配置”中进行了介绍:

http://www.tweaksoftware.com/static/documentation/rv/rv-6.2.7/html/rv_manual.html#Installation_Overview_Shotgun_Licensing_on_All_Platforms

这将会允许任何 Shotgun 集成功能发挥作用,包括从 Shotgun 启动 RV 中的版本、启动 RV 审片室以及 Shotgun 可识别的 RVLINKS。

常见问题解答

使用 S3 代理是否有任何影响?

有一些性能影响。S3 通信通过 Shotgun 服务器路由,而不是直接来自 S3。这意味着延迟增加及带宽减少。

是否有使用 S3 代理的任何备选方案?

没有简单的备选方案。您可以动态尝试配置防火墙/代理以允许当前 S3 IP 地址范围,但这可能是一项巨大的挑战(请参见 http://serverfault.com/questions/551275/how-can-i-whitelist-oubound-from-private-subnet-traffic-to-s3-on-the-nat-instanc)。

外部资源

关注

0 评论

登录写评论。