OpenZiti/zrok项目Linux自托管部署指南

于 2025-06-12 09:08:45 发布
阅读量288 收藏 4
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00761/article/details/148602044
版权

OpenZiti/zrok项目Linux自托管部署指南

zrok Geo-scale, next-generation peer-to-peer sharing platform built on top of OpenZiti. zrok 项目地址: https://gitcode.com/gh_mirrors/zr/zrok

前言

OpenZiti/zrok是一个基于零信任网络架构的开源项目,它提供了一种安全、高效的方式来共享网络资源。本文将详细介绍如何在Linux系统上自托管部署zrok服务,帮助技术团队构建自己的零信任共享平台。

准备工作

在开始部署前,请确保您已具备以下条件:

  1. 一台具有公网IP的Linux服务器
  2. 配置好的通配符DNS记录(如*.zrok.example.com)
  3. 服务器防火墙已开放必要的端口

OpenZiti基础架构部署

zrok依赖于OpenZiti(又称Ziti)提供安全的网络传输层。我们需要先部署Ziti控制器和路由器。

1. 部署Ziti控制器

  1. 安装Ziti控制器软件包
  2. 配置控制器启动文件(/opt/openziti/etc/controller/bootstrap.env):
    • 设置服务器FQDN
    • 配置管理员密码
  3. 开放防火墙对应端口
  4. 启动控制器服务并验证状态

2. 部署Ziti路由器

  1. 使用Ziti CLI创建路由器: 
    ziti edge create edge-router "router1" -o /tmp/router1.jwt
  2. 安装Ziti路由器软件包
  3. 配置路由器启动文件(/opt/openziti/etc/router/bootstrap.env):
    • 设置控制器和路由器地址
    • 使用上一步生成的JWT令牌
  4. 开放防火墙对应端口
  5. 启动路由器服务并验证状态

3. 验证网络状态

使用以下命令确认路由器已上线:

ziti edge list edge-routers

zrok安装与配置

1. 安装zrok软件包

Debian/Ubuntu系统:

sudo apt install zrok

其他Linux发行版可手动安装对应平台的二进制文件。

2. 控制器配置

创建控制器配置文件etc/ctrl.yml,包含以下关键部分:

v: 4
admin:
  secrets:
    - 随机生成的管理令牌
endpoint:
  host: 0.0.0.0
  port: 18080
store:
  path: zrok.db
  type: sqlite3
ziti:
  api_endpoint: "https://127.0.0.1:1280"
  username: admin
  password: "控制器密码"

重要说明:

  • admin.secrets需使用随机生成的令牌
  • ziti.password应与Ziti控制器密码一致
  • 如需TLS,可配置cert_path和key_path

3. 环境变量设置

为使用自托管服务,需设置API端点:

export ZROK_API_ENDPOINT=http://127.0.0.1:18080

系统初始化

1. 引导OpenZiti网络

执行引导命令:

zrok admin bootstrap etc/ctrl.yml

此过程将:

  • 初始化数据库
  • 创建必要的Ziti身份
  • 配置所有必需的Ziti策略

注意输出的警告信息,提示需要创建公共前端。

2. 启动zrok控制器

zrok controller etc/ctrl.yml

3. 创建公共前端

zrok admin create frontend <前端ID> public http://{token}.zrok.example.com:8080

前端ID可在引导日志或通过ziti edge list identities命令获取。

前端服务配置

1. 前端配置文件

创建etc/http-frontend.yml:

v: 3
host_match: zrok.example.com
address: 0.0.0.0:8080

2. 启动公共前端服务

zrok access public etc/http-frontend.yml

用户管理

1. 创建管理员账户

zrok admin create account <邮箱> <密码>

2. 邀请其他用户

zrok invite

被邀请用户可通过访问http://<控制器地址>/register/<令牌>完成注册。

3. 激活用户环境

用户需设置API端点并激活环境:

export ZROK_API_ENDPOINT=https://zrok.example.com
zrok enable <账户令牌>

验证部署

使用以下命令验证环境状态:

zrok status --secrets

高级配置建议

  1. TLS配置:建议在前端使用反向代理(如Nginx、Caddy)处理TLS终止
  2. 监控:可配置Prometheus和Grafana监控系统指标
  3. 高可用:考虑部署多个前端实例实现负载均衡
  4. 备份:定期备份zrok.db数据库文件

常见问题排查

  1. 服务无法启动:检查端口是否被占用,防火墙设置是否正确
  2. 前端无法连接:验证DNS解析和主机名匹配配置
  3. 身份验证失败:确认Ziti控制器密码和zrok配置一致
  4. 数据库问题:检查数据库文件权限和完整性

通过以上步骤,您已成功在Linux系统上部署了自托管的zrok服务。这套系统将为您的组织提供安全、可控的资源共享能力,同时保持零信任网络的安全特性。

zrok Geo-scale, next-generation peer-to-peer sharing platform built on top of OpenZiti. zrok 项目地址: https://gitcode.com/gh_mirrors/zr/zrok

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Supabase 自托管部署实践
weixin_38255219的博客
06-28 2722
Supabase 是一个开源的后端即服务(BaaS)平台,提供了一系列工具和服务,帮助开发者快速构建和部署应用程序。实时数据同步和协作应用Supabase 提供了实时功能,可以让开发者轻松实现数据同步和实时更新,这对于需要协作和同步功能的应用程序非常有用。例如:聊天应用:用户之间的消息可以实时同步。协作编辑器:多个用户可以同时编辑文档,并实时看到对方的修改。实时仪表盘:数据变化可以即时反映在用户界面上。2. Web 和移动应用的后端。
微信云托管一键式部署java后端项目
.鼬神的博客
07-03 1882
微信云托管是指将微信公众号、小程序等应用的服务器托管在微信的云服务平台上,由微信提供的一种云计算服务。这种服务可以帮助开发者将应用部署在微信的云端,享受微信提供的稳定性强、安全性高的服务器资源,同时能够通过微信官方提供的管理工具进行管理和监控。:微信提供的服务器资源,支持开发者部署和运行自己的应用程序,如公众号后台逻辑、小程序服务端等。
OpenZiti:下一代零信任开源网络解决方案
gitblog_01271的博客
10-18 1784
OpenZiti:下一代零信任开源网络解决方案 ziti The parent project for OpenZiti. Here you will find the executables for a fully zero trust, application embedded, programmable netwo...
探索未来网络的开放新境界 - OpenZiti
gitblog_00006的博客
05-13 1544
探索未来网络的开放新境界 - OpenZiti 项目地址:https://gitcode.com/gh_mirrors/zi/ziti OpenZiti 是一款创新型的开放式网络架构,旨在为你的应用提供安全、灵活和可扩展的网络基础。这个项目涵盖了一系列组件,将传统的网络安全提升到了一个全新的水平。 项目简介 OpenZiti 提供了一个可插拔的网络网格,内建智能路由功能,边缘组件则作为零信任网络...
开源项目安装与配置指南zrok
gitblog_01024的博客
04-08 494
开源项目安装与配置指南zrok zrok Geo-scale, next-generation peer-to-peer sharing platform built on top of OpenZiti. 项目地址: http...
探索未来网络安全的开放之旅:OpenZiti
gitblog_00375的博客
08-09 931
探索未来网络安全的开放之旅:OpenZiti zitiThe parent project for OpenZiti. Here you will find the executables for a fully zero trust, application embedded, programmable network @OpenZiti项目地址:https://gitcode.com/gh_...
探索未来共享的边界——Zrok,零信任网络上的P2P分享平台
gitblog_00056的博客
05-14 1309
探索未来共享的边界——Zrok,零信任网络上的P2P分享平台 zrokGeo-scale, next-generation peer-to-peer sharing platform built on top of OpenZiti.项目地址:https://gitcode.com/gh_mirrors/zr/zrok Zrok 是一款基于OpenZiti构建的下一代点对点资源分享平台。这个创...
Gartner发布2024年零信任网络技术成熟度曲线:20项零信任相关的前沿和趋势性技术
lurenjia404的博客
07-23 2528
大多数组织都制定了零信任信息安全策略,而网络是零信任实施领域的顶级技术。此技术成熟度曲线可以帮助安全和风险管理领导者确定合适的技术,以将零信任原则嵌入其网络中。
强大的自托管照片库Immich本地快速部署与远程管理图片解决方案
等风来
12-16 2332
本篇文章介绍如何在本地搭建lmmich图片管理软件,并结合cpolar内网穿透实现公网远程访问到局域网内的lmmich,实现随时随地上传照片到媒体库。Immich是一个自托管的照片和视频备份解决方案,允许用户在私有服务器上存储、管理和分享他们的媒体文件。这个项目旨在提供一个类似于Google照片或iCloud照片库的体验,但是用户可以完全控制自己的数据。通过自托管,用户不需要依赖第三方云服务提供商来存储私人照片和视频,这增加了隐私保护和数据所有权。
Spring Boot项目微信云托管入门部署
m0_56069948的博客
03-10 1179
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 微信云托管本身是一个服务器,里面的软件都已经配置好了,直接使用即可,适用于一些简单部署项目。直接把项目直接上传到服务器即可。无需各种繁琐的软件配置和打包,微信云托管统统给你搞定。而且系统会根据使用量计费,对于一些使用量比较少的系统,也是很划算的。本文从一个 Spring B
Linux虚拟机环境下的Web项目全程部署指南
【压缩包子文件的文件名称列表】中提到的“Linux(虚拟机)安装到部署项目过程.doc”指向一个文档,该文档可能详细记录了从Linux虚拟机的安装到Web项目部署的全过程。文档可能包括了具体的命令、配置文件示例、截图...
OpenZipit-开源
08-03
Zipit Z2 是一款手持式 Linux 设备。 OpenZipit 项目的目标是基于 OpenEmbedded 构建系统为 Z2 构建一个完全开源的内核和用户空间。
pritunl-zero:零信任系统
03-11
pritunl-zero:零信任系统 是一种零信任系统,可在不使用VPN的情况下从不受信任的网络提供对内部服务的安全的经过身份验证的访问。 文档和更多信息可以在上找到 从源头上跑 # Install Go sudo yum -y install git curl -L https://golang.org/dl/go1.15.6.linux-amd64.tar.gz | sudo tar -C /usr/local -xz tee -a ~ /.bashrc << EOF export GOPATH=\$HOME/go export PATH=/usr/local/go/bin:\$PATH EOF source ~ /.bashrc # Install MongoDB sudo tee /etc/yum.repos.d/mongodb-org-4.2.repo << EOF [mong
ziti-sdk-js:基于 JavaScript 的 SDK,用于通过 Ziti 网络交付基于浏览器的安全 Web 应用程序
08-04
ziti-sdk-js 基于 JavaScript 的 SDK,用于通过交付基于浏览器的安全 Web 应用程序 在了解 通过 NPM 安装 通过 jsDelivr CDN 安装 通过 unpkg CDN 安装 配置 执照 动机 待定 特征 待定 通过 NPM 安装 如果你想在你的构建中嵌入ziti-sdk-js ,它可以通过npm 获得。 只需运行以下命令: npm i @openziti/ziti-sdk-js 然后你可以使用ziti-sdk-js作为常规模块: const ziti = require ( '@openziti/ziti-sdk-js' ) ; 通过 jsDelivr CDN 安装 如果您想直接从jsDelivr CDN使用ziti-sdk-js ,只需将其包含在您的 html 中: 对于latest版本: < script src =" ht
开源项目 Ziti 安装与使用指南
gitblog_01108的博客
08-09 1518
开源项目 Ziti 安装与使用指南 zitiThe parent project for OpenZiti. Here you will find the executables for a fully zero trust, application embedded, programmable network @OpenZiti项目地址:https://gitcode.com/gh_mirro...
二十项零信任相关的前沿和趋势性技术-Zerotrust Packet Routing And OpenZiti
nick_zlg的专栏
01-15 1091
二十项零信任相关的前沿和趋势性技术-Zerotrust Packet Routing And OpenZiti
探索下一代分享平台:Zrok —— 基于零信任网络的资源共享新纪元
gitblog_00573的博客
09-03 747
探索下一代分享平台:Zrok —— 基于零信任网络的资源共享新纪元 zrokGeo-scale, next-generation peer-to-peer sharing platform built on top of OpenZiti.项目地址:https://gitcode.com/gh_mirrors/zr/zrok 随着网络安全和隐私保护日益成为焦点,Zrok 正如一颗璀璨新星崛起,...
Ziti 开源项目教程
gitblog_00188的博客
08-09 809
Ziti 开源项目教程 zitiThe parent project for OpenZiti. Here you will find the executables for a fully zero trust, application embedded, programmable network @OpenZiti项目地址:https://gitcode.com/gh_mirrors/zi/...
OpenZiti/zrok 入门指南:构建安全的互联网共享边界
最新发布
gitblog_00266的博客
06-12 398
OpenZiti/zrok 入门指南:构建安全的互联网共享边界 zrok Geo-scale, next-generation peer-to-peer sharing platform built on top of OpenZiti. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

羿舟芹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值