跳到主要内容

配置消息VPN

要创建消息 VPN,请输入以下 CONFIG 命令:

solace(configure)# create message-vpn <vpn-name>

要编辑现有消息 VPN 的属性,请输入以下 CONFIG 命令:

solace(configure)# message-vpn <vpn-name>

其中:

<vpn-name> 是要创建或编辑的消息 VPN 的名称。消息 VPN 名称必须在事件代理上所有创建的消息 VPN 中唯一。消息 VPN 名称可以包含任何字符,除了星号(*)或问号(?)。

此命令的 no 版本,no message-vpn <vpn-name>,从事件代理中删除指定的消息 VPN(但是,名为 default 的消息 VPN 不能被删除)。在删除消息 VPN 之前:

  • 必须通过 shutdown VPN CONFIG 命令禁用它。

  • 不能有其他配置对象引用它。

  • 当创建消息 VPN 时,它不会自动启用。有关信息,请参见停止/启动消息 VPN。

  • 可以配置的消息 VPN 的最大数量取决于使用的 Solace PubSub+ 事件代理类型。例如,您可以在软件事件代理上配置的消息 VPN 数量与您可以在设备上配置的数量不同。此外,配备高性能 NAB 和 ADB 的 Solace PubSub+ 3560 可能支持更多消息 VPN。

您可以为配置的消息 VPN 执行以下任务:

  • 配置接受的客户端认证方案
  • 配置桥接服务器证书验证
  • 指定管理消息VPN
  • 配置最大连接数
  • 配置消息 VPN 事件生成
  • 配置复制
  • 配置消息总线上方的 SEMP
  • 配置服务
  • 配置消息 VPN 覆盖
  • 启用订阅导出
  • 配置消息 VPN 别名
  • 配置转发代理
  • 停止/启动消息 VPN

配置接受的客户端认证方案

有关如何为给定的消息 VPN 配置客户端认证方案的详细信息,请参阅配置客户端认证。

配置桥接服务器证书验证

有关使用传输层安全性(TLS)/安全套接层(SSL)认证时,配置消息 VPN 桥接服务器证书验证操作的详细信息,请参阅配置服务器证书验证设置。

指定管理消息VPN

系统级 syslog 事件(与消息 VPN 范围事件相对)总是在被指定为事件代理的管理消息 VPN 的消息 VPN 中发布。Solace PubSub+ 事件代理只能有一个启用的消息 VPN 被配置为管理消息 VPN。(如果没有配置管理消息 VPN,则系统级 syslog 事件不会在事件代理上发布。)

要指定一个消息 VPN 作为用于发布消息总线系统级 syslog 请求和事件的管理消息 VPN,请输入以下 CONFIG 命令:

solace(configure)# management-message-vpn <vpn-name>

其中:

<vpn-name> 是要被指定为管理消息 VPN 的消息 VPN 名称。

此命令的 no 版本,no management-message-vpn,删除消息 VPN 的管理配置。

  • 消息 VPN 级事件(包括客户端和订阅事件)总是在事件发生的消息 VPN 的消息总线上发布。
  • Config-Sync 设施不会自动在复制桥上传播此设置。因此,如果您在使用复制站点的事件代理,您必须在每个伙伴事件代理上手动指定管理消息 VPN。

在管理消息 VPN 上启用日志事件锚点

要在管理消息 VPN 上开启或关闭系统级 syslog 事件发布到消息总线上,请输入以下全局 CONFIG 级别命令:

solace(configure)# logging event

CLI 现在移动到 Logging Event CONFIG 级别,从这里您可以执行以下操作:

  • 要启用在管理消息 VPN 上系统级 syslog 事件发布到消息总线上,请输入以下 CONFIG 命令:
solace(configure/logging/event)# publish-system
  • 要禁用在管理消息 VPN 上系统级 syslog 事件发布到消息总线上,请输入以下 CONFIG 命令:
solace(configure/logging/event)# no publish-system
  • 要配置自定义标识标签作为系统级 syslog 事件的前缀,请输入 system-tag Logging Event CONFIG 命令:
solace(configure/logging/event)# system-tag <tag-string>

其中:

<tag-string> 是自定义标识标签,不包含空格、星号(*)、问号(?)或单引号(')和双引号(")。它可以包含多达32个字母数字字符,并且必须在所有系统级标识标签中是唯一的。默认为空,即没有自定义标识标签。

该命令的否定版本 no system-tag 会从系统级syslog事件中删除自定义标识标签,并将标签字符串设置回默认值。

显示管理消息VPN日志事件

要查看当前管理消息VPN上系统级发布到消息总线上的syslog事件的配置,请进入用户执行命令。

solace> show logging event

配置最大连接数

要配置允许同时连接到给定消息VPN的所有支持服务的最大客户端数量,请进入以下配置命令:

solace(configure/message-vpn)# max-connections <value>

其中:

<value> 是指定消息VPN允许的最大客户端连接总数的整数值。这个最大值包括所有支持服务的客户端连接。有效范围是从0到Solace PubSub+事件代理类型可以支持的最大客户端总数。

该命令的否定版本 no max-connections 会将允许同时连接到给定消息VPN的最大客户端连接数重置回默认值,即事件代理可以支持的所有服务的最大客户端连接总数。

  • 要查看Solace PubSub+事件代理可以支持的最大客户端连接总数,请进入 show service 用户执行命令。
  • 客户端连接的最大数量也可以在客户端配置文件基础上进行限制,参见配置每个用户名的最大连接数。
  • 如果您正在使用复制功能,并且每个复制站点使用的Solace PubSub+事件代理类型不匹配,则必须确保一个复制站点上所有消息VPN的组合最大客户端连接数不超过其配对复制站点上所有消息VPN的组合最大客户端连接数。例如,如果复制站点A使用Solace PubSub+ 3560,而其配对站点B使用最大支持6000个客户端的Solace PubSub+3530。如果站点A的Solace PubSub+ 3560使用超过6000个客户端连接,那么站点B的Solace PubSub+ 3530可能会收到超出其处理能力的配置更新。因此,当为使用不匹配事件代理的复制站点启用Config-Sync进行复制时,复制消息VPN的配置 max-connections 值和每个事件代理在复制站点使用的客户端配置文件的 max-connections-per-client-username 值不得超过事件代理支持范围最低的事件代理的最大值。

配置最大订阅数

您可以为消息VPN配置最大数量的唯一本地订阅(跨主备VRID)的限制。

此限制仅适用于唯一订阅。例如,两个客户端订阅主题 "a/b" 只会对这个限制计数为一个。另外请注意,此限制不受远程订阅的影响。因此,如果其中一些是远程订阅,唯一订阅的总数可能会超过允许的最大订阅数,如下例所示:

solace1> show message-vpn default
消息 VPN:                         default
配置状态:                        启用
本地状态:                        上
总本地唯一订阅数:    6
总远程唯一订阅数:   5
总唯一订阅数:          11
最大订阅数:               10

要配置可以添加到指定消息VPN的最大本地客户端订阅数(跨主备VRID),请进入以下VPN配置命令:

solace(configure/message-vpn)# max-subscriptions <value>

其中:

<value> 是指定本地客户端订阅的最大数量的整数值。有效范围是 04294967295。默认值为 5000000

该命令的否定版本 no max-subscriptions 会将可以添加到指定消息VPN的最大本地客户端订阅数重置回默认值。

配置消息VPN事件生成

要配置引发消息VPN相关事件的条件,并控制是否将某些类型的事件发布到消息总线上,请进入以下配置命令:

solace(configure/message-vpn)# event

CLI现在位于消息VPN事件配置级别,您可以使用CLI配置给定消息VPN的事件生成的高低阈值,并启用消息VPN的事件发布到消息总线上。更多信息,请参见配置事件和阈值。

配置复制

默认情况下,消息VPN不启用复制功能。要使用复制功能,必须首先在系统级别设置复制配对和接口,然后可以在消息VPN级别配置复制设置。

有关如何为复制配置Solace PubSub+的信息,请参见配置复制。有关特定于VPN的复制参数的信息,请参见配置VPN级复制设置。

配置SEMP通过消息总线

可以为消息VPN启用旧版Solace元素管理协议(SEMP)请求通过消息总线功能,以便客户端可以访问该消息VPN的事件代理管理命令的有限子集。

有关如何使用事件代理SEMP请求通过消息总线服务的信息,请参见配置SEMP v1通过消息总线服务。

配置服务

您可以为消息VPN配置以下类型的服务:

  • 配置SMF服务
  • 配置MQTT服务
  • 配置AMQP服务
  • 配置REST服务
  • 配置Web传输服务

配置SMF服务

要配置给定消息VPN的Solace消息格式(SMF)服务设置,请进入以下配置命令:

solace(configure)# message-vpn <vpn-name>
solace(configure/message-vpn)# service
solace(configure/message-vpn/service)# smf

CLI现在位于SMF服务的配置模式,您可以从这里配置给定消息VPN的以下SMF服务参数:

  • 配置最大SMF连接数
  • 启用SMF服务上的纯文本
  • 启用SMF服务上的TLS/SSL

配置最大SMF连接数

要配置可以同时连接到给定消息VPN的SMF客户端的最大数量,请进入以下配置命令:

solace(configure/message-vpn/service/smf)# max-connections <value>

其中:

<value> 是允许的最大SMF客户端并发连接数。有效范围取决于使用的Solace PubSub+事件代理类型(例如,Solace PubSub+ 3530或3560)。

该命令的否定版本 no max-connections 会将值重置为事件代理支持的最高值。

要查看给定事件代理可以支持的最大Web客户端连接总数,请进入 show service 用户执行命令。

启用SMF服务上的纯文本

  • 要为消息VPN启用SMF服务上的纯文本,请进入以下配置命令:
solace(configure/message-vpn/service/smf)# plain-text
solace(...re/message-vpn/service/smf/plain-text)# no shutdown

默认情况下,消息VPN上的SMF服务上的纯文本是启用的。

  • 要为消息VPN禁用SMF服务上的纯文本,请进入以下配置命令:
solace(configure/message-vpn/service/smf)# plain-text
solace(...re/message-vpn/service/smf/plain-text)# shutdown

启用SMF服务上的TLS/SSL

  • 要为消息VPN启用SMF服务上的TLS/SSL,请进入以下配置命令:
solace(configure/message-vpn/service/smf)# ssl
solace(configure/message-vpn/service/smf/ssl)# no shutdown

默认情况下,消息VPN上的SMF服务上的TLS/SSL是启用的。

  • 要为消息VPN禁用SMF服务上的TLS/SSL,请进入以下命令:
solace(configure/message-vpn/service/smf)# ssl
solace(configure/message-vpn/service/smf/ssl)# shutdown

配置MQTT服务

要配置给定消息VPN的消息队列遥测传输(MQTT)服务设置,请进入以下配置命令:

solace(configure)# message-vpn <vpn-name>
solace(configure/message-vpn)# service
solace(configure/message-vpn/service)# mqtt

CLI现在位于您可以配置MQTT服务参数的配置模式。有关信息,请参见管理MQTT服务。

配置AMQP服务

要配置给定消息VPN的高级消息队列协议(AMQP)服务设置,请进入以下配置命令:

solace(configure)# message-vpn <vpn-name>
solace(configure/message-vpn)# service
solace(configure/message-vpn/service)# amqp

CLI现在位于您可以配置AMQP服务参数的配置模式。有关信息,请参见管理VPN上的AMQP服务。

配置REST服务

要配置给定消息VPN的REST服务设置,请进入以下配置命令:

solace(configure)# message-vpn <vpn-name>
solace(configure/message-vpn)# service
solace(configure/message-vpn/service)# rest

CLI现在位于REST服务的配置模式,您可以从这里配置REST服务参数。有关信息,请参见管理REST服务。

配置Web传输服务

您可以为给定消息VPN配置以下Web传输服务参数:

  • 配置最大Web客户端连接数

  • 启用Web传输服务上的纯文本

  • 启用Web传输服务上的SSL

  • 配置何时从Web客户端请求客户端证书

配置最大Web客户端连接数

要配置可以同时连接到给定消息VPN的Web客户端的最大数量,请进入以下配置命令:

solace(configure)# message-vpn <vpn-name>
solace(configure/message-vpn)# service
solace(configure/message-vpn/service)# web-transport
solace(configure/message-vpn/service/web-transport)# max-connections <value>

其中:

<value> 是允许的最大Web客户端并发连接数。有效范围取决于使用的Solace PubSub+事件代理类型。

该命令的否定版本 no max-connections 会将值重置为事件代理支持的最高值。

要查看给定事件代理可以支持的最大Web客户端连接总数,请进入 show service 用户执行命令。

启用Web传输服务上的纯文本

  • 要为消息VPN启用Web传输服务上的纯文本,请进入以下配置命令:
solace(configure)# message-vpn <vpn-name>
solace(configure/message-vpn)# service
solace(configure/message-vpn/service)# web-transport
solace(...ure/message-vpn/service/web-transport)# plain-text
solace(...-vpn/service/web-transport/plain-text)# no shutdown

默认情况下,消息VPN上的Web传输服务上的纯文本是启用的。

  • 要为消息VPN禁用Web传输服务上的纯文本,请进入以下命令:
solace(configure)# message-vpn <vpn-name>
solace(configure/message-vpn)# service
solace(configure/message-vpn/service)# web-transport
solace(...ure/message-vpn/service/web-transport# plain-text
solace(...-vpn/service/web-transport/plain-text)# shutdown

启用Web传输服务上的SSL

  • 要为消息VPN启用Web服务上的TLS/SSL,请进入以下配置命令:
solace(configure)# message-vpn <vpn-name>
solace(configure/message-vpn)# service
solace(configure/message-vpn/service)# web-transport
solace(...ure/message-vpn/service/web-transport)# ssl
solace(...message-vpn/service/web-transport/ssl)# no shutdown

默认情况下,消息VPN上的Web传输服务上的TLS/SSL是启用的。

  • 要为消息VPN禁用Web传输服务上的TLS/SSL,请进入以下命令:
solace(configure)# message-vpn <vpn-name>
solace(configure/message-vpn)# service
solace(configure/message-vpn/service)# web-transport
solace(...ure/message-vpn/service/web-transport)# ssl
solace(...message-vpn/service/web-transport/ssl)# shutdown

配置何时从Web客户端请求客户端证书

默认情况下,如果给定消息VPN中启用了客户端证书认证,PubSub+事件代理将从通过TLS端口连接的Web客户端请求客户端证书。由于许多流行的Web浏览器处理客户端证书请求的能力较差,这可能导致运行在Web浏览器中的客户端无法通过WebSockets安全(WSS)协议连接。如果您有使用WSS的Web客户端连接,并且同一消息VPN中的其他客户端需要使用客户端证书进行身份验证,您可能希望阻止代理从传入的Web客户端请求客户端证书。

要配置代理从通过TLS端口连接的传入Web客户端请求客户端证书的时间,请进入以下配置命令:

solace(configure)# message-vpn <vpn-name>
solace(configure/message-vpn)# service
solace(configure/message-vpn/service)# web-transport
solace(...ure/message-vpn/service/web-transport)# authentication
solace(.../service/web-transport/authentication)# client-certificate
solace(...ort/authentication/client-certificate)# request-client-certificate {always | never | when-enabled-in-message-vpn}

其中:

always 配置代理无论是否在消息VPN中启用客户端证书认证,始终请求客户端证书。有关信息,请参见启用/禁用客户端证书认证。

never 配置代理无论是否在消息VPN中启用客户端证书认证,永不请求客户端证书。如果您不希望代理从WebSocket安全客户端请求客户端证书,但仍希望对其他类型的客户端(例如桥接)使用客户端证书认证,此设置很有用。

when-enabled-in-message-vpn 配置代理仅在消息VPN中启用客户端证书认证时才请求客户端证书。这是默认设置。

命令的否定版本 no request-client-certificate 会将值重置为默认值。

配置消息VPN覆盖

如果您使用证书吊销检查来认证尝试连接到Solace PubSub+设备的客户端,那么您可以为特定消息VPN设置覆盖。要配置证书吊销检查,请参见配置证书颁发机构。

要配置消息VPN覆盖,请进入以下命令:

solace(configure)# message-vpn <name>
solace(configure/message-vpn)# authentication user-class client
solace(...message-vpn/authentication/user-class)# client-certificate
solace(...ication/user-class/client-certificate)# revocation-check-mode [allow-all | allow-unknown | allow-valid]

其中:

allow-all(默认)—忽略客户端证书吊销检查结果。吊销检查仍然进行—所有尝试使用证书进行身份验证的客户端都进行吊销检查—结果被忽略。

allow-unknown—即使无法确定其证书的吊销状态,也认证客户端。请注意,可能导致证书的吊销状态未知的条件有很多,参见证书吊销检查。

allow-valid—如果吊销检查返回明确的肯定响应,则认证客户端。只有那些对吊销检查返回有效响应的证书的客户端才会被认证。

如果默认的 allow-all 不改变;即使所有吊销检查参数都正确配置,也会忽略吊销检查。必须改变默认的 allow-all 模式才能成功启用吊销检查。

启用订阅导出

默认情况下,消息VPN中的导出策略设置为不将订阅导出到网络中的其他Solace PubSub+事件代理。要使消息从其他事件代理接收,必须将消息VPN中的订阅导出策略设置为导出订阅。这会导致本地添加到消息VPN的订阅被导出到网络中的其他物理事件代理。

要在每个消息VPN的基础上启用将订阅导出到网络中的其他事件代理,请进入以下配置命令:

solace(configure/message-vpn)# export-policy export-subscriptions

该命令的否定版本 no export-subscriptions 会禁用将订阅导出到网络中的其他事件代理的消息VPN。

为网络中的所有事件代理设置相同的订阅导出策略。

配置消息VPN别名

您可以配置一个消息VPN作为另一个消息VPN的别名。这样做的目的是帮助您在不需要更改现有应用程序代码的情况下(或至少不需要所有应用程序实例同时更改)将多个消息VPN合并为一个消息VPN。

消息VPN别名是一个受控可用性(CA)功能,应在Solace支持的监督下使用。

当消息VPN被配置为另一个消息VPN的别名时,例如,消息VPN blue 被配置为消息VPN red 的别名,适用以下规则:

  • blue 启用时,redblue 没有影响。
  • blue 被禁用,并且它是 red 的别名时:
    • 终止所有现有连接到 blue 的连接。
    • 关闭所有 blue 的每个消息VPN端口。
    • 所有新的客户端连接到 blue 被视为连接到 red 而不是 blue,并遵守 red 的所有配置设置。
    • 所有新的桥接和路由连接到 blue 被视为 blue 已关闭。
    • 连接客户端的所有统计数据、事件和行为发生在 red 中而不是 blue 中。

消息VPN别名仅支持SMF客户端连接。

在将消息VPN设置为别名之前,您必须确保别名消息VPN已添加了所有适当的配置(客户端用户名、客户端配置文件、认证设置、桥接等)。

要配置消息VPN作为另一个消息VPN的别名,请进入以下命令:

solace(configure)# message-vpn <name>
solace(configure/message-vpn)# alias <other-vpn-name>

其中:

<other-vpn-name> 是此消息VPN作为别名的另一个消息VPN的名称。

配置转发代理

根据您的部署,您可能需要Solace事件代理与端点服务器(例如外部网站)之间的通信通过转发代理进行。如果事件代理位于防火墙后面,并且REST交付点(RDP)出站流量需要连接到代理服务器以穿透防火墙,这种情况经常发生。

在这种情况下,您可以在事件代理上创建一个转发代理配置对象,以将流量定向到代理服务器,然后再转发到端点服务器。

要为消息VPN创建一个转发代理,请进入以下命令:

solace(configure)# message-vpn <name>
solace(configure/message-vpn)# create proxy <proxy-name>

要启用已配置的转发代理,请进入以下命令:

solace(configure/message-vpn/proxy)# no shutdown

其中:

<proxy-name> 指定转发代理配置对象的名称。此名称用于其他代理对象(例如RDP)的配置中引用转发代理。

仅在高可用性(HA)部署中同步转发代理配置对象,而不是灾难恢复(DR)部署,因为不同的站点可能需要不同的代理配置。代理引用(例如RDP中的引用)同时在HA和复制同步,因此一旦每个站点上设置了适当的代理,每个引用对象就不需要在复制站点上进行特殊处理。

您可以为转发代理配置以下参数:

  • 配置转发代理认证方案
  • 配置转发代理IP地址或主机名
  • 配置转发代理端口
  • 配置转发代理类型

配置转发代理认证方案

要配置事件代理将用于建立与代理服务器连接的认证方案,请进入以下命令:

solace(configure/message-vpn/proxy)# authentication
solace(configure/message-vpn/proxy/authentication)# auth-scheme {none | basic}

其中:

none 指定在不使用认证方案的情况下登录。有关更多信息,请参见无认证。

basic 指定使用用户名和密码组合登录。有关更多信息,请参见基本认证。

无认证

如果没有配置认证方案,事件代理在连接到代理服务器时不会使用认证方案。这对于匿名连接或代理服务器不需要认证的情况很有用。

基本认证

如果您配置了基本认证方案,事件代理将使用用户名和密码组合对代理服务器进行身份验证。

要配置基本认证方案的设置,请进入以下命令:

solace(configure/message-vpn/proxy)# authentication
solace(configure/message-vpn/proxy/authentication)# basic
solace(configure/message-vpn/proxy/authentication/basic)# username <value>
solace(configure/message-vpn/proxy/authentication/basic)# password <value>

其中:

username <value> 是用于身份验证的客户端用户名。

password <value> 是与指定用户名一起使用的密码。

配置转发代理IP地址或主机名

要配置代理服务器的IP地址或主机名,请进入以下命令:

solace(configure/message-vpn/proxy)# host <value>

其中:

<value> 指定事件代理将连接到的IP地址或DNS名称。它可以包含多达253个字符。

该命令的否定版本 no host 会移除任何配置的值。

配置转发代理端口

要配置连接到代理服务器的端口,请进入以下命令:

solace(configure/message-vpn/proxy)# port <value>

其中:

<value> 指定端口号。有效值范围是0到65535。默认值为0。

该命令的否定版本 no port 会将值重置为默认值。

配置转发代理类型

要配置转发代理类型,请进入以下命令:

solace(configure/message-vpn/proxy)# proxy-type {direct | http}

其中:

direct 指定直接连接到端点服务器,换句话说,不使用代理。如果您配置此代理类型,唯一其他有效的配置是代理是否启用。当一个复制站点可能需要代理,另一个可能不需要时,这很有用,因此对于第二个站点,您会将代理类型设置为direct。这是默认设置。

http 指定从事件代理到代理服务器的连接是HTTP。您可以为使用转发代理(例如RDP)的事件代理对象启用TLS/SSL,以便客户端可以使用TLS/SSL通过单个TCP连接与事件代理交换数据,而不是通过TCP的HTTP。有关更多信息,请参见TLS / SSL服务配置。

该命令的否定版本 no proxy-type 会将值重置为默认值。

停止/启动消息VPN

Solace PubSub+事件代理上的消息VPN默认情况下是禁用的(即,不运行)。

shutdown VPN配置命令将断开所有连接到指定消息VPN的客户端,并拒绝任何新的连接请求到该消息VPN,直到通过 no shutdown VPN配置命令再次启用。

  • 要停止给定的消息VPN,请进入以下配置命令:
solace(configure/message-vpn)# shutdown
  • 要启动给定的消息VPN,请进入以下配置命令:
solace(configure/message-vpn)# no shutdown