SFTP Server 端口
Version 26.2.9636
Version 26.2.9636
SFTP Server 端口
每个 SFTP Server 端口都定义了一个唯一的客户端配置文件,可用于向知行之桥 SFTP Server 进行身份验证。
核心功能
- 内置基于 SSH 的安全文件服务器,支持多用户访问
- 灵活的认证方式,包括密码、公钥以及 Windows/AD 集成(Windows/AD 集成仅在 .NET 版中可用)
- 独立的虚拟用户目录,支持自定义文件夹结构和附加路径
- 高级安全特性,包括登录尝试锁定和 IP 限制
- 支持临时文件扩展名以及操作完成后的文件自动移动
概述
知行之桥的 SFTP 服务器主要在应用程序的个人设置页面中配置。一旦配置了 SFTP 服务器,就应该为每个有权访问该服务器的用户创建一个 SFTP Server 端口。SFTP Server 端口定义用户的凭据(用户名、密码和/或公钥),并在服务器上提供唯一的主目录。
每个用户的主目录包含一个 发送 文件夹,客户端可以在其中下载文件,和一个 接收 文件夹,客户端可以在其中上传文件。这些文件夹可以在 SFTP Server 端口配置界面的“高级设置”选项卡重命名。SFTP 客户端没有被授予访问 SFTP 服务器根目录的权限,这意味着 SFTP 客户端在连接后应始终使用 cd 命令进入 “Send” (下载)或 “Receive” (上传)目录。
SFTP 服务器还支持 Windows/AD 认证;更多详细信息,请参考 Windows 身份认证。
视频资源
观看此短视频,了解如何配置 SFTP 服务器的概述。
个人设置
在与单个 SFTP Server 端口建立连接之前,必须在个人设置的 SFTP 服务器中配置。在 系统设置 页面打开 SFTP Server 选项卡
服务器配置
服务器实施设置
- 端口 SFTP 服务器将侦听输入连接的端口。
- 服务器证书 标识服务器的证书。
- 证书密码 访问服务器证书所需要的密码。
- 登录提示 连接到服务器时呈现给 SFTP 客户端的提示。
- 根目录 服务器的根目录。将在根目录下为各个客户端配置文件(即为每个配置的 SFTP Server 端口)创建子文件夹。每个客户端配置文件都包括一个发送文件夹(客户端可以从服务器下载文件)和一个接收文件夹(客户端可以将文件上传到服务器)。
- 允许文件过滤 一种全局模式,用于确定哪些文件将被 SFTP 服务器接受。可以在逗号分隔的列表中指定多个模式(例如,*.x12,*.edi),可以指定负模式来排除某些文件模式(例如 -*.txt)。
- Windows 身份验证 选中此选项可使用 Windows 身份验证而不是 SFTP 服务器端口配置来对用户进行身份验证。 仅在知行之桥的 .NET 版本 中可用。 有关详细信息,请参阅 Windows 身份验证。
- 安全组 用于授予服务器访问权限的 Windows 组的名称。 这可以是本地计算机或域上的组。 仅当选中 使用 Windows 身份验证 时才适用。
账户锁定
与锁定服务器访问相关的可选设置。
- 失败次数 尝试登陆失败指定次数后,账户将被锁定。
- 锁定时间 账户锁定时间(单位:分钟)。
- 检测周期 在指定时间内登陆失败次数超过限制后,账户将被锁定(单位:分钟)。
受信任的 IP 地址
此选项卡上的 可信 IP 地址 部分提供以下功能:
- 添加 输入新的 IP 地址范围。
- 编辑 修改选定的 IP 地址范围。
- 删除 从列表中删除选定的 IP 地址范围。
以下限制适用于此功能:
localhost不能被修改或从列表中删除。- 任何超出定义范围的 IP 地址都将被拒绝。
- 支持IP范围。 例如,“100.10.100.1-15”条目表示允许100.10.100.1至100.10.100.15之间的IP地址访问。
- 支持 无类别域间路由(CIDR) 表示法。 例如,“100.10.100.0/24”条目表示允许100.10.100.0至100.10.100.255之间的IP地址访问。
- 支持通配符模式。 例如,条目
100.10.100.*表示允许以100.10.100开头的 IP 地址。 任何超出该范围的 IP 地址都将被拒绝。
注意:为了让客户端能够访问服务器,需要有清晰的网络路径。在云环境中,可能需要在三个地方进行更改:
- 云控制台中的网络规则。
- 托管应用程序的机器上的防火墙规则。例如,在使用 Amazon AMI 时,可以使用 简单防火墙 (UFW) 来允许所需端口上的流量。Linux 环境中的常见策略是将流量从低于 1024 的端口转发到高于 1024 的非标准端口,同时将应用程序配置为使用非标准端口。这可以避免与非 root 用户绑定到低于 1024 的端口相关的权限问题。
- 安全选项卡的网络访问部分。
高级设置
- 空闲超时 超过指定时间(单位:秒)用户无活动被视为超时。
日志
管理日志的创建和存储的设置。
- 日志级别 端口生成的日志的详细程度。 当请求支持时,请将其设置为 Debug。
- 日志循环周期 创建新日志文件之前等待的天数。
- 日志删除周期 删除旧日志文件之前等待的天数。
特殊设置
特殊设置 适用于特定用例。
- 其他设置 允许在以分号分隔的列表中配置隐藏的端口设置,例如
setting1=value1;setting2=value2。 正常的端口用例和功能不需要使用这些设置。
端口配置
配置 SFTP 服务器配置文件设置后,请在 工作流 页面上为每个交易伙伴创建并配置单独的 SFTP Server 端口。
设置选项卡
设置
- 端口 Id 端口的静态、唯一标识符。
- 端口类型 显示端口类型及其用途的描述。
- 端口描述 一个可选字段,用于提供端口及其在流中的角色的自由格式描述。
用户配置
向本地 SFTP 服务器进行身份验证的凭据。
- 用户 登录到本地 SFTP 服务器的用户名凭据。
- 身份验证模式 用于 SFTP 服务器的身份验证类型。以下字段根据身份验证模式而有所不同。
- 密码 登录 SFTP 服务器的密码凭据。
- 客户端密钥 公钥证书对应于客户端将在公钥身份验证期间使用的私有证书。
权限
与客户端上传下载文件相关的文件夹读写权限的设置。
- Send 文件夹权限 客户端是否应具有 Send 目录的读/写权限。从这个目录下载文件。
- Receive 文件夹权限 客户端是否应该拥有 Receive 目录的读/写权限。文件上传到这个的目录。
高级选项卡
本地文件夹
与客户端上传下载文件相关的文件夹的设置。
- Send 文件夹 客户端可以下载位于 “Send” 文件夹中的文件。
- Receive 文件夹 客户端上传的文件应该放在 Receive 文件夹中。文件将保留在 Receive 文件夹中,或者传递到工作流中下一个连接的端口。
其他路径
SFTP Server 端口允许公开除输入和输出文件夹之外的路径。 要配置其他路径,请按照下列步骤操作:
- 用路径来指定需要暴漏的路径。此处值为对于个人设置根目录的相对路径。
- 为此路径指定相应的读和写权限。
- 如果需要更多路径,点击新增并重复以上步骤。
例如,如果根目录为
/var/opt/arc/sftpserver,并且路径指定为MyAdditionalPath。那么,它将会映射到磁盘上/var/opt/arc/sftpserver/MyAdditionalPath的位置。
高级设置
设置不包括在以前的类别中。
- 允许文件过滤 一种全局模式,用于确定哪些文件可以上传到该用户的目录中。当需要为每个用户指定过滤器时,覆盖 SFTP 个人设置页面中相同名称的设置。可以在逗号分隔的列表中指定多个模式(例如,*.x12,*.edi),可以指定负模式来排除某些文件模式(例如 -*.txt)。
- 发送后移动文件 客户端下载“发送”文件夹中的文件后,是否应将其移动到“已发送”文件夹。
- 临时接收扩展 具有匹配扩展名的文件不会记录在接收表中,并且在重命名文件之前不会触发接收后事件。使用逗号分隔扩展名列表。
- 超时 在引发超时错误之前,服务器等待连接响应的持续时间。(秒)
- 保存 Subfolder 选中此项可将 Subfolder 消息头添加到收到的消息中。 它表示相对于本地文件夹或其他路径的路径。
- 本地文件名格式 用于为端口输出的消息分配文件名的方案。 可以在文件名中动态使用宏来包含标识符和时间戳等信息。 有关详细信息,请参阅宏。
消息
消息设置 确定端口如何搜索消息并在处理后管理它们。 可以将消息保存到你的 已发送 文件夹,或者可以根据 已发送 文件夹方案将它们保存,如下所述。
- 保存至 Sent 文件夹 选中此选项可将端口处理的文件复制到端口的已发送文件夹中。
- 已发送文件夹方案 端口根据选定的时间间隔对已发送文件夹中的文件进行分组。例如,选项每周(Weekly)指示端口每周创建一个新的子文件夹,并将本周发送的所有文件存储在该文件夹中。空白设置告诉端口将所有文件直接保存在“Sent”文件夹中。对于处理许多事务的端口,使用子文件夹可以帮助保持文件有序并提高性能。
日志
- 日志级别 端口生成的日志的详细程度。 当端口请求支持时,请将其设置为 调试。
- 日志子文件夹方案:指示端口根据所选的时间间隔对日志(Logs)文件夹中的文件进行分组。每周(Weekly)选项(默认设置)指示端口每周创建一个新子文件夹,并将该周的所有日志存储在其中。如果此设置留空,则端口将所有日志直接保存在日志文件夹中。对于处理大量事务的端口,使用子文件夹有助于保持日志井然有序并提高性能。
- 保留消息副本 选中此项可使已处理文件的日志条目包含文件本身的副本。 如果禁用此功能,端口可能无法从事务页面下载文件的副本。
特殊设置
特殊设置 适用于特定用例。
- 其他设置 允许在以分号分隔的列表中配置隐藏的端口设置,例如
setting1=value1;setting2=value2。 正常的端口用例和功能不需要使用这些设置。
通知选项卡
与配置通知相关的设置。
在执行服务级别协议 (SLA) 之前,需要设置电子邮件通知以接收通知。默认情况下,知行之桥使用 通知 选项卡上的全局设置。要为此端口使用其他设置,请启用覆盖全局设置。
默认情况下,错误通知处于启用状态,这意味着每当出现错误时都会发送电子邮件。要关闭错误通知,请取消选中启用复选框。
输入主题(必填),然后(可选)输入以逗号分隔的收件人电子邮件列表。
SLA 选项卡
与配置服务级别协议 (SLA) 相关的设置。
SLA 允许配置预期流程中端口发送或接收的数据量,并设置预期达到该数据量的时间范围。当 SLA 未达到时,知行之桥会发送电子邮件警告用户,并将 SLA 标记为_存在风险_,这意味着如果 SLA 未能尽快达到,则会被标记为_已违反_。这让用户有机会介入并确定 SLA 未达到的原因,并采取适当的措施。如果在风险时间段结束时仍未达到 SLA,则会将 SLA 标记为_已违反_,并再次通知用户。
要定义 SLA,请启用预期数据量,然后点击设置选项卡。
- 如果端口具有单独的发送和接收操作,请使用单选按钮指定 SLA 适用的方向。
- 在窗口的预计至少部分中:
- 设置预计处理的最小事务数量(交易量)
- 使用每个字段指定时间范围
- 指示 SLA 生效的时间。如果选择开始于,请填写日期和时间字段。
- 勾选希望 SLA 生效的星期几对应的复选框。如有必要,请使用下拉菜单选择每天。
- 在窗口的将状态设置为“有风险”部分中,指定应将 SLA 标记为有风险的时间。
- 默认情况下,只有在违反 SLA 的情况下才会发送通知。要更改此设置,请勾选发送“有风险”通知。
以下示例显示了为端口配置的 SLA,该端口预计在周一至周五每天接收 1000 个文件。如果尚未收到 1000 个文件,则会在时间段结束前 1 小时发送风险通知。
注意:如果有必要,可以关闭 SLA 通知。这在维护窗口期间非常有用。点击导航栏上的设置,然后跳转到通知 > 通用通知。点击平板和铅笔图标进行编辑,并取消勾选 SLA 通知设置。
建立一个连接
每个已配置的 SFTP Server 端口代表一个贸易伙伴的连接参数。贸易伙伴应使用个人设置页面中的服务器设置(端口、服务器证书等)和专用 SFTP Server 端口中的身份验证设置(用户、密码)连接到 SFTP 服务器。
每个贸易伙伴都有一对单独的发送和接收目录,它们是根目录的子文件夹。合作伙伴应该从发送文件夹下载文件,并将文件上传到接收文件夹。不允许客户端从根目录上传或下载文件。
Windows 身份认证
当在个人设置 SFTP Server 选项卡中启用了 Windows 身份验证时,不需要单个 SFTP Server 端口来授予对 SFTP 服务器的登录访问权限。相反,应被授予服务器访问权限的 Windows 安全组 是在 SFTP 服务器配置文件中指定的。
使用 Windows 身份验证时,根目录 配置文件设置支持 %User% 和 %Domain% 宏,以便为安全组中的不同用户建立不同的根目录。使用 Windows 身份验证时,允许用户上传/下载根目录中的文件(请注意,使用 SFTP Server 端口进行身份验证时,情况并非如此)。
一旦文件上传到用户特定的文件夹,就可以使用文件端口将它们输入到 知行之桥 工作流中。
宏
在文件命名策略中使用宏可以提高组织效率和对数据的上下文理解。 通过将宏合并到文件名中,可以动态地包含相关信息,例如标识符、时间戳和消息头信息,从而为每个文件提供有价值的上下文。 这有助于确保文件名反映对组织重要的详细信息。
知行之桥 支持这些宏,它们都使用以下语法:%Macro%。
| 宏 | 描述 |
|---|---|
| ConnectorID | 替换为端口的 ConnectorID。 |
| Ext | 替换为端口当前正在处理的文件的文件扩展名。 |
| Filename | 替换为端口当前正在处理的文件的文件名(包括扩展名)。 |
| FilenameNoExt | 替换为端口当前正在处理的文件的文件名(不带扩展名)。 |
| MessageId | 计算端口输出的消息的 MessageId。 |
| RegexFilename:pattern | 将正则表达式模式应用于端口当前正在处理的文件的文件名。 |
| Header:headername | 替换为端口正在处理的当前消息的目标消息头 (headername) 的值。 |
| LongDate | 以常规格式计算系统的当前日期时间(例如,2024 年 1 月 24 日星期三)。 |
| ShortDate | 以 yyyy-MM-dd 格式计算系统的当前日期时间(例如 2024-01-24)。 |
| DateFormat:format | 以指定格式(format)计算系统的当前日期时间。 有关可用的日期时间格式,请参阅示例日期格式 |
| Vault:vaultitem | 计算指定保管库项目的值。 |
示例
某些宏(例如 %Ext% 和 %ShortDate%)不需要参数,但其他宏则需要。 所有带有参数的宏都使用以下语法:%Macro:argument%
以下是带有参数的宏的一些示例:
- %Header:headername%:其中
headername是消息上消息头的名称。 - %Header:mycustomheader% 解析为输入消息上设置的
mycustomheader消息头的值。 - %Header:ponum% 解析为输入消息上设置的
ponum消息头的值。 - %RegexFilename:pattern%:其中“pattern”是正则表达式模式。 例如,
%RegexFilename:^([\w][A-Za-z]+)%匹配并解析为文件名中的第一个单词,并且不区分大小写(test_file.xml解析为test) 。 - %Vault:vaultitem%:其中
vaultitem是 vault 中项目的名称。 例如,%Vault:companyname%解析为存储在保管库中的companyname项的值。 - %DateFormat:format%:其中
format是可接受的日期格式(有关详细信息,请参阅示例日期格式)。 例如,%DateFormat:yyyy-MM-dd-HH-mm-ss-fff%解析为文件上的日期和时间戳。
还可以创建更复杂的宏,如以下示例所示:
- 将多个宏组合在一个文件名中:
%DateFormat:yyyy-MM-dd-HH-mm-ss-fff%%EXT% - 包括宏之外的文本:
MyFile_%DateFormat:yyyy-MM-dd-HH-mm-ss-fff% - 在宏中包含文本:
%DateFormat:'DateProcessed-'yyyy-MM-dd_'TimeProcessed-'HH-mm-ss%
常见错误
错误:
“Could not bind server socket: Permission denied.”
原因
当尝试连接到 SFTP 服务器并且托管知行之桥的进程没有足够的权限在指定端口上建立侦听器时,会出现此错误。注意,在某些情况下(比如 linux 环境和 Amazon AMI 中运行的托管实例),低于1024的端口是禁止访问的。
解决方案
选择其他端口,或将托管知行之桥的进程身份更改为具有绑定到该端口权限的进程身份。
如在 Amazon 云中使用 Ubuntu 操作系统,建议使用 简单防火墙 (UFW) 来管理端口权限问题。例如,在知行之桥中设置 SFTP 服务器以在端口 2022 上运行,并使用 UFW 在操作系统级别将端口 22 转发到 2022,如下所示:
ufw allow 22/tcp
ufw allow 2022/tcp
echo "
*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2022
COMMIT" >> /etc/ufw/before.rules
如果环境使用不同的 Linux 操作系统,我们建议绑定到限制范围以上的端口(例如,对于 SFTP 流量,绑定到 8022),并使用 iptables 将所需端口上的传入请求路由到允许的端口:
iptables -t nat -I PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 8022