IRIS-Cloud
本文档旨在帮助新用户在首次登录IRIS Cloud后,通过5个简单步骤快速完成基础网络环境搭建,实现员工远程VPN接入。阅读本文后,您将能够:
理解IRIS Cloud核心组件的配置逻辑
独立完成从网关部署到用户接入的全流程配置
验证虚拟网络的连通性并排查常见问题
为企业构建可用的远程办公网络环境
适用对象:企业组织管理员、IT运维工程师
预计完成时间:30-45分钟(含网关部署时间)
在开始配置之前,请确保您已满足以下条件:
已完成IRIS Cloud账户注册并登录
已登录控制台:https://controller.iris-cloud.cn
账户角色为组织管理员(Organization Admin,拥有完整配置权限的角色)
账户余额充足(建议预充100元易瑞斯币用于超额资源)
至少一台Linux服务器作为网关节点
推荐配置:4核CPU、8GB内存、50GB磁盘空间
支持系统:Ubuntu 22.04
必须具有公网IP地址或可通过NAT访问
确保服务器具有root权限
服务器能够正常访问互联网
防火墙已开放必要端口(UDP 4500、8472、TCP 10000、10002、9100、3200)
本地电脑可以正常访问控制台网页
关键术语解释:
网关节点(Gateway Node):部署在您服务器上的核心组件,负责接收VPN连接、转发网络流量、执行访问控制策略
虚拟网络(Virtual Network):在IRIS Cloud平台上创建的逻辑网络单元,包含子网配置、路由规则、VPN设置等
组织(Organization):企业或团队的管理单元,所有网络资源归属于组织
网关节点是IRIS Cloud的物理载体,您需要在自己的服务器上部署网关程序。
登录您的Linux服务器(通过SSH工具如PuTTY、Xshell等),执行以下命令检查环境:
# 检查系统版本 cat /etc/os-release
在服务器上执行以下命令:
# 从官网下载网关部署脚本 wget https://download.iris-cloud.cn/irisnode/V2.2.0/node-installer.sh # 添加执行权限 chmod +x node-installer.sh # 运行安装脚本(自动安装网关及相关依赖) ./node-installer.sh
安装成功后,执行以下命令获取API Token(平台用于识别和认证网关身份的密钥):
cat /opt/irisnode/etc/irisnode/switch/token
重要说明:
复制输出结果中root之前的数值(不包括"root:"字符串)
例如输出为 abc123def456:root,则复制 abc123def456
妥善保存此Token,后续添加网关时需要使用
回到IRIS Cloud控制台网页,将刚才部署的服务器注册为网关节点。
1.登录控制台:https://controller.iris-cloud.cn
2.在左侧导航栏找到并点击**"网关节点"**菜单
3.点击页面右上角的**"添加网关"**按钮
在弹出的表单中依次填写:
| 配置项 | 说明 | 示例值 |
| 网关名称 | 自定义标识(建议使用地理位置) | 上海总部网关 |
| 公网IP | 服务器的公网IP地址 | 123.45.67.89 |
| API Token | 第一步获取的Token值 | abc123def456 |
| SSH端口 | 服务器SSH端口(默认22) | 22 |
| SSH用户名 | 服务器登录用户名(通常为root) | root |
| SSH密码 | 服务器登录密码 | 您的密码 |
提交后,等待10-30秒,网关状态应从**"离线"变为"在线"**(绿色圆点标识)。
常见问题处理:
若网关显示**"异常"**:
检查API Token是否复制完整(无多余空格)
确认网关服务是否正常运行:docker ps | grep irisnode
检查SSH信息是否正确(尝试手动SSH登录测试)
虚拟网络是您网络资源的逻辑容器,需要绑定网关节点才能正常工作。
1.在左侧导航栏点击**"虚拟网络"**
2.点击右上角**"添加网络"**按钮
3.填写以下基本信息:
| 配置项 | 说明 | 推荐值 |
| 网络名称 | 便于识别的名称 | 研发部远程办公网 |
| 选择组织 | 选择您的组织 | 默认已自动选中 |
| 绑定网关 | 勾选第二步添加的网关 | 上海总部网关 |
添加网络后,点击网络名称进入详情页,点击**"修改网络"**进行高级配置:
子网配置:
网桥地址:192.168.100.0/24(用于Node间互联。)
VPN接入配置:
勾选"开启VPN"(必须开启此项才能让员工拨入)
VPN协议:选择 TCP或 UDP
VPN地址池:100.255.3.0/24为VPN用户预留的IP段,可自定义。
DNS服务器:8.8.8.8(公共DNS)或 114.114.114.114(国内DNS)可留空。
监听地址:0.0.0.0:3200,3200为自定义端口,需放通。
配置完成后,点击**"启用该网络"按钮(页面上方),网络状态变为"运行中"**。
重要提示:
未启用的网络无法被VPN用户连接,请务必确认网络状态为"运行中"(绿色标识)。
为员工创建VPN拨入账号,让他们可以远程接入虚拟网络。
1.点击控制台右上角的头像/用户名
2.在下拉菜单中选择**"个人中心"**
3.在个人中心页面点击**"添加VPN用户"**
在弹出的表单中填写:
| 字段 | 说明 | 示例 |
| 用户名 | VPN登录账号(建议使用员工工号) | zhangsan |
| 选择虚拟网络 | 选择第三步创建的网络 | 研发部远程办公网 |
| VPN密码 | 设置登录密码(8-20位) | Pass@1234 |
| 过期时间 | 账号有效期 | 2025-12-31 |
用户创建后,点击用户列表右侧的**"同步"**按钮,将账号信息推送到网关服务器。
说明:
同步操作将VPN配置写入网关,未同步的账号无法登录
修改用户密码或过期时间后也需重新同步
为员工提供VPN客户端,验证网络连通性。
1.访问客户端下载页面:https://www.iris-cloud.cn/download_12
2.根据员工电脑操作系统选择对应版本:
Windows:iris-client-windows-x64.exe
MacOS:iris-client-macos.dmg
Linux:iris-client-linux-amd64.deb
Android/iOS:移动端App
以Windows客户端为例:
1.双击下载的 .exe 文件,按提示完成安装
2.首次打开客户端,需要填写服务器地址:
请求地址:controller.iris-cloud.cn
公司/组织:Controller上创建的公司/组织
网络名称:Controller上创建的网络
3.点击"连接"后,输入第四步创建的VPN用户名和密码
成功连接后,客户端会显示:
连接状态:已连接(绿色图标)
分配的IP地址:192.168.10.xxx(在第三步设置的VPN地址池范围内)
加密状态:已加密
实时流量统计(上传/下载速度)
终端验证命令:
在员工电脑上打开命令行工具(Windows按 Win+R 输入 cmd),执行:
# Windows系统 ipconfig # 查找名为"IRIS Cloud"或"VPN"的网络适配器 # 确认IP地址在 100.255.3.0/24范围内 # 测试网关连通性 ping 100.255.3.1 # 预期结果:收到回复,延迟通常 < 50ms
完成以上五步配置后,您应获得以下成果:
网关层面:
控制台"网关节点"页面显示网关状态为**"在线"**(绿色圆点)
网关CPU、内存使用率正常(在监控页面查看)
网关日志无ERROR级别错误(在"日志管理"查看)
网络层面:
虚拟网络状态为**"运行中"**
网络拓扑图可见网关节点连接线(绿色实线)
VPN功能显示为**"已启用"**
用户层面:
VPN用户列表显示已创建的账号
用户状态为**"已同步"**
"接入设备"页面能看到已连接终端的IP、MAC地址、在线时长
客户端层面:
员工可使用VPN账号成功拨入
获得虚拟网络IP地址(100.255.3.x)
可以ping通网关地址(100.255.3.1)
可以访问虚拟网络内的其他资源(如内网服务器)
| 指标 | 预期值 | 说明 |
| VPN连接延迟 | < 50ms | 国内网关,客户端位于同城 |
| 拨入成功率 | > 95% | 网络稳定情况下 |
| 单用户带宽 | 10-100Mbps | 取决于网关服务器带宽 |
| 网关CPU占用 | < 30% | 10个并发用户 |
| 网关内存占用 | < 2GB | 基础配置 |
基础网络搭建完成后,建议进行以下高级配置:
应用场景:即使员工已接入VPN,也需要通过应用级认证才能访问敏感系统(如财务系统)。
配置路径:
1.控制台 → "应用策略" → "添加策略"
2.设置应用信息:
应用名称:财务系统
内网地址:192.168.10.50:8080
访问控制:仅允许特定用户组
3.启用多因素认证(MFA)
应用场景:防止单点故障,一个网关离线时自动切换到备用网关。
配置步骤:
1.在不同地区/机房部署第二个网关(参考第一步)
2.在虚拟网络中同时绑定两个网关
3.系统自动实现负载均衡和故障转移
应用场景:员工可通过域名访问内网系统,而非记忆IP地址。
配置示例:
将 erp.company.local 解析到 192.168.10.50
将 finance.company.local 解析到 192.168.10.51
配置路径:
控制台 → "DNS服务" → "添加解析记录"
推荐告警规则:
网关离线超过5分钟 → 短信/邮件通知管理员
网关CPU持续超过80% → 告警提示扩容
单用户流量超过10GB/天 → 异常流量告警
VPN用户登录失败超过3次 → 安全告警
配置路径:
控制台 → "告警管理" → "添加告警规则"
功能说明:通过Excel批量导入用户,支持设置分组、过期时间、带宽限制等。
模板下载:
控制台 → "VPN用户管理" → "批量导入" → 下载Excel模板
排查步骤:
1.检查服务器是否正常运行:systemctl status irisnode
2.检查Docker容器状态:docker ps | grep irisnode(应看到运行中的容器)
3.检查API Token是否正确复制(不包含冒号后面的"root")
4.测试SSH连接:ssh root@服务器IP(使用控制台填写的账号密码)
5.查看网关日志:docker logs irisnode-switch
排查清单:
虚拟网络是否已启用?(状态应为"运行中")
虚拟网络是否已开启VPN功能?(需勾选"开启VPN")
VPN用户是否已同步到网关?(列表状态应为"已同步")
客户端填写的服务器地址是否正确?(应为网关公网IP)
客户端选择的协议是否与虚拟网络一致?(L2TP/IPsec等)
防火墙是否开放VPN端口?(UDP 1194、500、4500,TCP 1723等)
可能原因:
1.路由未配置:检查虚拟网络的路由表,确保包含目标网段
2.防火墙拦截:检查内网服务器的防火墙规则,允许来自VPN网段的访问
3.子网冲突:VPN地址池与本地网络IP段冲突(如都是192.168.1.x)
解决方法:
修改VPN地址池为不冲突的网段(如改为10.0.0.x)
在虚拟网络中添加静态路由:控制台 → 虚拟网络详情 → "路由配置"
配置路径:
1.控制台 → "VPN用户管理" → 点击用户名进入详情
2.找到"QoS配置"(Quality of Service,服务质量控制)
3.设置上行/下行带宽限制(如上行5Mbps、下行10Mbps)
4.点击"保存并同步"
快速上手指南:https://www.iris-cloud.cn/help_21/34.html
网关部署详细文档:https://www.iris-cloud.cn/help_21/(查看"网关节点管理"章节)
虚拟网络配置指南:https://www.iris-cloud.cn/docs/virtual-network
VPN协议对比说明:https://www.iris-cloud.cn/docs/vpn-protocols
控制台登录:https://controller.iris-cloud.cn
用户中心:https://passport.iris-cloud.cn/App
客户端下载:https://www.iris-cloud.cn/download_12
零信任策略配置教程:https://www.iris-cloud.cn/docs/zero-trust
多网关高可用架构设计:https://www.iris-cloud.cn/docs/ha-architecture
私有DNS服务配置指南:https://www.iris-cloud.cn/docs/dns-service
监控告警完全手册:https://www.iris-cloud.cn/docs/monitoring
在线帮助中心:https://www.iris-cloud.cn/help_21/
提交工单:登录用户中心 → "工单与反馈"
视频教程(如有):https://www.iris-cloud.cn/videos
用户社区论坛:https://community.iris-cloud.cn
通过本文档的五步配置向导,您已经成功完成:
1. 部署了安全的网关节点:在自有服务器上建立VPN接入点
2. 构建了虚拟专用网络:为企业创建了逻辑隔离的安全网络环境
3. 实现了远程安全接入:员工可通过VPN访问内网资源
4. 建立了用户管理体系:可以为团队成员分配和管理访问权限
5. 验证了系统可用性:通过实际测试确保网络连通性
核心价值实现:
降低成本:无需购买昂贵的专线,利用互联网构建企业网络
提升安全:所有数据传输经过加密,防止中间人攻击
支持远程办公:员工在任何地点都能安全访问企业资源
可视化管理:通过控制台实时掌握网络状态和用户行为
快速扩展:新增分支机构或用户只需几分钟配置
下一步行动建议:
6.立即进行生产环境测试(邀请5-10名员工试用)
7.收集用户反馈并优化配置(连接速度、稳定性等)
8.制定运维规范文档(故障应急预案、日常巡检清单)
9.安排团队培训(确保多人掌握基础运维技能)
10.规划后续扩展方案(第二网关部署时间、新虚拟网络需求)
恭喜您!现在您已具备IRIS Cloud平台的基础运维能力,开始享受安全高效的企业网络服务吧!
文档版本:V1.0
最后更新:2025年
适用平台版本:IRIS Cloud V3.0.2及以上
