Tác giả: Troy Barker và John Hunneman
Ngày xuất bản: 30 tháng 4 năm 2025
Danh mục: AWS Wickr, Public Sector, Security, Identity, & Compliance, Technical How-to
Khách hàng hoạt động trong môi trường edge khắc nghiệt phải đối mặt với những thách thức độc đáo khi triển khai giải pháp cộng tác mạnh mẽ và bảo mật. Việc có các ứng dụng được container hóa được điều phối bởi Kubernetes đang trở thành tiêu chuẩn cho nhiều doanh nghiệp luôn kết nối, nhưng loại triển khai này là một nhiệm vụ đặc biệt thách thức đối với các khách hàng hoạt động tại edge với chuyên môn kỹ thuật hạn chế và kết nối internet hạn chế, không đáng tin cậy hoặc không có.
Wickr Enterprise là nền tảng cộng tác an toàn có thể triển khai tại chỗ bằng Kubernetes. Với các tổ chức quy mô lớn đã sử dụng Kubernetes, Wickr có thể tích hợp trực tiếp vào cụm hiện tại. Tuy nhiên, ở các môi trường Edge, giải pháp triển khai càng đơn giản càng được ưu tiên.
Phần mềm Wickr Enterprise được cài đặt bằng một công cụ gọi là Replicated KOTS. Một tính năng mới được phát hành có tên Embedded Cluster cung cấp khả năng cài đặt cả k0s Kubernetes cluster và phần mềm Wickr từ một binary duy nhất, không cần bất kỳ phụ thuộc internet nào. Khả năng này là một tùy chọn được tối ưu hóa cho các khách hàng hoạt động trong môi trường edge, cho họ khả năng triển khai giải pháp truyền thông mạnh mẽ một cách nhanh chóng mà không cần phải là chuyên gia Kubernetes.
Tổng quan Giải pháp
Hướng dẫn triển khai dưới đây được xây dựng nhằm giúp bạn nhanh chóng bắt đầu với Wickr Enterprise cho mục đích kiểm thử tính năng. Lưu ý rằng đây không phải thiết kế để triển khai sản xuất. Để triển khai sản xuất chúng tôi khuyến nghị sử dụng một cụm Kubernetes chuyên dụng.
Sơ đồ sau minh họa kiến trúc tổng thể của giải pháp. Các thành phần chính bao gồm: Kho lưu trữ Replicated, gói cài đặt air-gapped (biệt lập khỏi Internet), mạng air-gapped và máy chủ hoặc máy ảo (VM) nơi cụm nhúng (embedded cluster) sẽ được cài đặt.
Hình 1. Kiến trúc Wickr Enterprise Embedded Cluster
Dưới đây là cái nhìn tổng quan ở mức cao về quy trình triển khai. Quy trình triển khai này tập trung vào việc cài đặt trên một máy chủ biên hoặc máy ảo (VM) chạy trong môi trường hoàn toàn biệt lập (air-gapped) tức không có kết nối internet.
Quy trình triển khai gồm các bước sau:
- Tải xuống gói cài đặt từ cổng khách hàng Replicated.
- Chuyển gói cài đặt sang máy chủ hoặc VM.
- Cài đặt phần mềm trên máy chủ hoặc VM.
- Cấu hình các ứng dụng client Wickr để kết nối với máy chủ Wickr Enterprise đã được triển khai.
Điều kiện tiên quyết
Trước khi triển khai, hãy đảm bảo bạn đã chuẩn bị đầy đủ các điều kiện sau
- Giấy phép sử dụng Wickr Enterprise. Nếu bạn cần dùng thử, vui lòng liên hệ qua email: wickr-sales@amazon.com.
- Một máy ảo (VM) hoặc máy chủ vật lý đáp ứng tối thiểu các yêu cầu phần cứng sau:
- 8 lõi CPU
- 12 GB RAM
- 100 GB dung lượng lưu trữ trên phân vùng đĩa gốc
- Đáp ứng các điều kiện cài đặt Embedded Cluster.
- SELinux phải được thiết lập ở chế độ permissive
- Mạng cục bộ (LAN) có ít nhất một thiết bị máy tính hoặc thiết bị di động để cài đặt ứng dụng khách Wickr thử nghiệm và khả năng kết nối SSH vào máy chủ hoặc máy ảo từ máy quản lý
- Kết nối internet từ máy quản lý để tải gói Embedded Cluster
Hướng dẫn cài đặt
Đại diện từ phía Wickr sẽ cung cấp cho bạn quyền truy cập vào Replicated Customer Portal, nơi chứa các thông tin chi tiết về quá trình cài đặt và chứa tệp giấy phép (license) của Wickr Enterprise dành riêng cho bạn
- Sau khi có quyền truy cập vào Replicated Customer Portal, hãy chọn tùy chọn Embedded Cluster, như minh họa trong ảnh chụp màn hình bên dưới.
Hình 2. Tùy chọn Embedded Cluster trong Cổng khách hàng Replicated
- Hãy bật tùy chọn “Install in air gap environment” (Cài đặt trong môi trường biệt lập), như minh họa trong hình sau. Tùy chọn này cho phép bạn thực hiện một quy trình cài đặt hoàn toàn không cần kết nối internet. Toàn bộ phần mềm Wickr sẽ được đóng gói thành một tệp nén tarball duy nhất, thay vì tải về từ một container registry trên internet.
Hình 3. Các bước triển khai Embedded Cluster mà người dùng sẽ thực hiện
- Từ máy quản lý cục bộ, bạn thực hiện các bước sau để tải về các tài nguyên cài đặt (installation assets):
curl -f "https://replicated.app/embedded/wickr-enterprise-ha/stable/2025.3.12?airgap=true" -H "Authorization: <redacted>" -o wickr-enterprise-ha-stable.tgz- Di chuyển tarball đến máy ảo hoặc máy đích. Với quyền truy cập SSH vào máy đích, bạn có thể sử dụng lệnh sau, thay thế và bằng các giá trị của bạn:userhost
scp wickr-enterprise-ha-stable.tgz user@host:~- Từ máy chủ đích, bạn có thể trích xuất tarball:
tar -xvzf wickr-enterprise-ha-stable.tgz
wickr-enterprise-ha
license.yaml
wickr-enterprise-ha.airgapSau khi giải nén, bạn sẽ thấy tệp nhị phân của cụm wickr-enterprise-ha , tệp giấy phép Wickr license.yaml , và tệp gói airgap chứa toàn bộ các thành phần phần mềm của Wickr. wickr-enterprise-halicense.yamlairgap
- Cài đặt bằng lệnh sau. Nếu máy của bạn có nhiều giao diện mạng, bạn cần chỉ định giao diện dự định để liên kết cụm k0s với cờ –network-interface <network-interface-name> . Để biết danh sách đầy đủ các cờ cài đặt, hãy tham khảo Embedded Cluster Install Command Options:
sudo ./wickr-enterprise-ha install --license license.yaml --airgap-bundle wickr-enterprise-ha.airgapSau khi chỉ định mật khẩu quản trị, quá trình cài đặt sẽ bắt đầu. Quá trình cài đặt sẽ tự động cài đặt một registry cục bộ (local registry) và điền vào đó các tệp manifest và image của Wickr Enterprise từ gói airgap:
sudo ./wickr-enterprise-ha install --license license.yaml --airgap-bundle wickr-enterprise-ha.airgap
? Set the Admin Console password (minimum 6 characters): *********
? Confirm the Admin Console password: *********
✔ Host files materialized!
✔ Host preflights succeeded!
✔ Node installation finished!
✔ Storage is ready!
✔ Embedded Cluster Operator is ready!
✔ Registry is ready!
✔ Application images are ready!
✔ Admin Console is ready!
Visit the Admin Console to configure and install wickr-enterprise-ha: http://192.168.50.56:30000- Tiếp tục truy cập vào bảng điều khiển quản trị bằng mật khẩu đã tạo ở trên và địa chỉ IP cùng cổng mà trình cài đặt hiển thị, sau đó chọn “Start” như minh họa trong hình ảnh sau.
Hình 4. Giao diện trang chính của bảng điều khiển quản trị Replicated
- Cho phép trình duyệt của bạn tin tưởng chứng chỉ tự ký ban đầu.
- Để tải lên chứng chỉ của riêng bạn nhằm bảo mật bảng điều khiển quản trị, chọn Upload your own. Để sử dụng chứng chỉ tự ký mặc định, chọn Self-signed, như được minh họa trong ảnh chụp màn hình sau.
Hình 5. Cấu hình chứng chỉ bảng điều khiển quản trị Replicated
- Để đăng nhập vào bảng điều khiển quản trị, hãy nhập mật khẩu bạn đã thiết lập trước đó để đặt các tham số cho quá trình cài đặt Wickr Enterprise. Chọn Log in, như được hiển thị trong ảnh minh họa sau đây.
Hình 6. Màn hình đăng nhập bảng điều khiển quản trị Replicated
- Màn hình tiếp theo hiển thị các thông tin để kết nối các nút khác vào cụm, nhưng đối với triển khai đơn giản này, bạn triển khai với cụm một nút bằng cách chọn Continue, như được minh họa trong ảnh chụp màn hình sau.
Hình 7. Tổng quan nút k0s
- Trước khi điền các trường cấu hình, bạn cần xác định xem mình sẽ sử dụng chứng chỉ công khai hay chứng chỉ tự ký cho máy chủ Wickr Enterprise. Chứng chỉ công khai thì đơn giản, nhưng nếu sử dụng chứng chỉ tự ký, bạn sẽ cần tạo nó theo cách sau từ một máy có quyền truy cập terminal và công cụ openssl (đã thử nghiệm với phiên bản 3.4.1). Dưới đây là một lệnh ví dụ cho kiểu cài đặt dựa trên hostname:
export YOUR_DOMAIN=example.domain
openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=DNS:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"Nếu máy chủ Wickr của bạn sẽ sử dụng hostname dựa trên địa chỉ IP, thì lệnh tạo chứng chỉ cần được điều chỉnh một chút:
export YOUR_DOMAIN=<ip_addr>
openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=IP:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"Các gợi ý thiết lập cho một triển khai đơn giản như sau:
Hostname – Tên miền hoặc địa chỉ IP tương ứng với tên miền đầy đủ (FQDN) hoặc địa chỉ IP được chỉ định trong chứng chỉ
Enable Global Federation – Tắt
Username Format – Username
Certificate Type – Tải lên chứng chỉ và chọn khóa riêng (private key), chứng chỉ máy chủ (server certificate), và chứng chỉ chuỗi đầy đủ (fullchain certificate). Chứng chỉ chuỗi đầy đủ (fullchain certificate) phải là sự kết hợp/chuỗi nối tiếp của chứng chỉ máy chủ và chứng chỉ CA. Nếu bạn đã sử dụng lệnh tạo chứng chỉ tự ký ở bước trước, bạn có thể sử dụng chứng chỉ đó cho các trường: certificate, certificate chain, và pinned certificate.
Set a pinned certificate – Tùy chọn này phải được chọn nếu bạn sử dụng chứng chỉ tự ký. Hệ thống sẽ hiển thị trường để tải lên chứng chỉ CA đã ký chứng chỉ máy chủ của bạn.
Database – Internal
Amazon Storage Service (Amazon S3) storage location – Internal
Internal S3 server count – 1
Internal S3 volume count – 1
Internal S3 volume size – 10 GB
Require Calling Nodes – Tắt
Enable TCP Proxy – Tắt
Automatically discover server public IP addresses – Tắt
Use host primary IP address for Calling traffic – Bật
Storage Class name for internal PVC storage – Để trống để sử dụng mặc định
Tùy chọn nâng cao – chỉ kích hoạt các tùy chọn sau: Configure Ingress Controller and Enable Low Resource Mode:
Khi chọn Configure Ingress Controller, một khối cấu hình Ingress sẽ được hiển thị. Trong khối này, chọn tùy chọn Single Node Embedded Cluster và nhập địa chỉ IP của máy chủ vào trường tương ứng. Lưu ý: Nếu hostname của máy chủ là một địa chỉ IP, hãy chọn thêm Use wildcard hostname. Khối Service Annotations có thể để trống.
Sau khi điền đầy đủ tất cả các trường, chọn Save config. Khi các bước kiểm tra ban đầu (preflight checks) hoàn tất, chọn Deploy để cài đặt Wickr Enterprise.
Bạn có thể theo dõi tiến trình triển khai từ bảng điều khiển quản trị web được sao chép, nhưng tùy chọn bạn cũng có thể theo dõi tiến trình bằng cách sử dụng các lệnh Kubernetes từ thiết bị đầu cuối. Từ một thiết bị đầu cuối trên máy chủ trong thư mục nơi wickr-enterprise-ha có nhị phân, hãy chạy lệnh sau để có quyền truy cập vào cụm Kubernetes:
sudo ./wickr-enterprise-ha shellLệnh này sẽ xuất vị trí của cấu hình Kubernetes cụm nhúng k0s, cũng như thêm công cụ vào đường dẫn hệ thống: kubectl
export KUBECONFIG="/var/lib/embedded-cluster/k0s/pki/admin.conf"
export PATH="$PATH:/var/lib/embedded-cluster/bin"Bây giờ, bạn có thể chạy các lệnh kubectl để thao tác với cụm. Để xem trạng thái của các pod của Wickr Enterprise, hãy chạy:
kubectl -n kotsadm get pods
NAME READY STATUS RESTARTS AGE
admin-api-5449f65dd9-jz58l 1/1 Running 0 6m35s
directory-7f8f788c7c-h4nwn 1/1 Running 0 6m34s
enterprise-init-24zlr 0/1 Completed 0 6m34s
expirer-f78dbf768-2fbqg 1/1 Running 0 6m33s
fileproxy-c6d5457d4-ftxd7 1/1 Running 0 6m33s
ingress-nginx-controller-76697dcf96-2sx86 1/1 Running 0 6m36s
kotsadm-5db7d8b45f-rjk7p 1/1 Running 0 3h53m
kotsadm-rqlite-0 1/1 Running 0 3h56m
kurl-proxy-kotsadm-57dc6ff496-467db 1/1 Running 1 (3h56m ago) 3h56m
minio-operator-6dc76dccd7-6v969 1/1 Running 0 6m31s
minio-operator-6dc76dccd7-9nfjf 1/1 Running 0 6m31s
mysql-primary-0 1/1 Running 0 6m36s
mysql-secondary-0 1/1 Running 0 6m36s
oidc-767b45fc54-nx44f 1/1 Running 0 6m32s
opensearch-cluster-master-0 1/1 Running 0 6m32s
orville-fhqjk 1/1 Running 0 6m30s
orville-redis-dcd9d4bb9-b9q76 1/1 Running 0 6m30s
push-device-85b6d77957-bdt77 1/1 Running 0 6m30s
rabbitmq-0 1/1 Running 0 6m29s
react-b6cdc6b9-msctk 1/1 Running 0 6m29s
receipts-6949dc7746-nnzns 1/1 Running 0 6m29s
redis-node-0 2/2 Running 0 6m28s
replicated-7ccb79c77c-8xhbx 0/1 ImagePullBackOff 0 6m34s
schema-w47zm 0/1 Completed 0 6m28s
server-api-6944c8c468-q7q9l 1/1 Running 0 6m28s
switchboard-0 1/1 Running 3 (5m10s ago) 6m27s
wickr-s3-ss-0-0 2/2 Running 0 5m55sKhi tất cả các pod được hiển thị là Running, bảng điều khiển quản trị sẽ hiển thị dòng chữ “Currently deployed version” (Phiên bản đã triển khai hiện tại) màu xanh lá và trạng thái Ready (Sẵn sàng) cũng bằng màu xanh lá, như được minh họa trong ảnh chụp màn hình sau.
Hình 8. Máy chủ Wickr Enterprise trong trạng thái triển khai thành công
Hiện tại bạn đã có một máy chủ Wickr Enterprise đang hoạt động. Bạn có thể truy cập vào bảng điều khiển quản trị của Wickr Enterprise bằng cách điều hướng đến https://hostname, và bạn sẽ thấy trang đăng nhập dành cho truy cập quản trị của Wickr Enterprise, như được minh họa trong ảnh chụp màn hình sau.
Hình 9. Bảng điều khiển quản trị Wickr Enterprise
Để cấu hình mạng và các ứng dụng khách Wickr, hãy làm theo hướng dẫn công khai trong Wickr Enterprise Administration Guide.
Kết luận
Trong bài viết này, chúng tôi đã trình bày cách Embedded Cluster có thể tăng tốc quá trình cài đặt Wickr Enterprise dựa trên Kubernetes bằng cách trừu tượng hóa các bước cài đặt và cấu hình cụm Kubernetes phức tạp.
Điều này giúp bạn nhanh chóng bắt đầu kiểm thử tính năng của Wickr Enterprise trong các triển khai biên (edge deploys) hoặc triển khai thử nghiệm (proof of concept).
Để biết thêm thông tin về cách Wickr Enterprise có thể hỗ trợ tổ chức của bạn, vui lòng liên hệ: wickr-sales@amazon.com.
TAGS: AWS Public Sector, Kubernetes, security, technical how-to, Wickr
Troy Barker
Troy là một kiến trúc sư giải pháp cấp cao chuyên về bảo mật tại AWS, nơi anh tập trung hỗ trợ các khách hàng thuộc khối chính phủ. Anh có hơn 16 năm kinh nghiệm trong việc thiết kế và tích hợp các giải pháp toàn diện về điện toán biên (edge) và đám mây cho khách hàng. Troy yêu thích việc giúp đỡ các khách hàng hoạt động trong những môi trường khắc nghiệt, chỉ cho họ cách tận dụng kiến trúc lai giữa điện toán biên và đám mây (edge/cloud hybrid) để giải quyết những thách thức khó khăn nhất.
John Hunneman
John là một kỹ sư phát triển hệ thống tại AWS Wickr, tập trung chủ yếu vào sản phẩm Wickr Enterprise. Anh có hơn 15 năm kinh nghiệm trong nhiều lĩnh vực công nghệ khác nhau, với chuyên môn sâu về cơ sở hạ tầng đám mây và khả năng mở rộng.
AWS Study Group 