Lumaktaw sa pangunahing nilalaman

I-enable ang ICAP

Glasswall ICAP Server

  • Ang ICAP Server sa OVA ay naka-configure na may 31344 bilang bukas na port at MTLS sa port 31345. Ito ay dahil ang mga default na port na 1344 at 11344 ay hindi sakop ng NodePort range na 30000 hanggang 32767 sa Kubernetes.
  • Naka-disable ang ICAP server bilang default, ngunit maaari mong sundin ang mga hakbang sa ibaba upang i-enable ito.

I-enable ang ICAP Server

bash ~/enable_icap_server.sh

I-enable ang mTLS

Bilang default, hindi naka-configure ang mTLS, at ang bukas na port lamang ang aktibo. Para i-enable ang mTLS sa ICAP server, sundin ang mga hakbang sa ibaba.

  1. Gumawa ng hanay ng client at server mTLS certificates kasama ang isang CA certificate. Gagamitin ang mga server certificate sa ICAP server at gagamitin ang mga client certificate sa isang client application gaya ng proxy o firewall.

  2. Mag-SSH sa Halo Virtual Machine na ginawa mula sa OVA.

  3. I-save ang cdrplatform-secrets Kubernetes secret sa isang file.

kubectl get secret cdrplatform-secrets -o yaml > cdrp-secrets.yaml
  1. I-edit ang file na cdrp-secrets.yaml at magdagdag ng 3 key, tls-cafile, tls-server-cert at tls-server-key sa ilalim ng seksyong data.
apiVersion: v1
data:
 <existing secrets>
 <existing secrets>
 tls-cafile: <base64-encoded-tls-cafile>
 tls-server-cert: <base64-encoded-tls-server-cert>
 tls-server-key: <base64-encoded-tls-server-key>
kind: Secret
  1. I-apply ang na-edit na cdrp-secrets.yaml.
kubectl apply -f cdrp-secrets.yaml
  1. Gumawa ng acr-secret para mag-authenticate sa glasswallhub container registry. Ang token_ID at token ay ibibigay ng Glasswall.
kubectl create secret docker-registry acr-secret -n cdrplatform \
 --docker-server="glasswallhub.azurecr.io" --docker-username="${token_ID}" --docker-password="${token}"
  1. I-pull ang ICAP Server Helm chart:
helm pull oci://glasswallhub.azurecr.io/helm/icap-server --version 1.5.2 --untar --untardir .
  1. I-redeploy ang ICAP Server na naka-enable ang mTLS:
helm upgrade --install icap-server icap-server --atomic \
 --set service.type=NodePort \
 --set cloud_provider=local \
 --set image.tag="2.18.1-183506" \
 --set image.repository=glasswallhub.azurecr.io/icap-server \
 --set image.pullPolicy=IfNotPresent \
 --set secretsFromRef[3].DATABASE__ConnectionString.secretName="mongodb-cdrplatform-cdrp-user" \
 --set secretsFromRef[3].DATABASE__ConnectionString.key="connectionString.standard" \
 --set configuration.ENABLE_MTLS=yes \
 --set configuration.HALO__Version="2.18.1" \
 -f icap-server/values.yaml

Kapag matagumpay ang command sa itaas, ang ICAP server ay makikinig sa mTLS port 31345 (sa OVA) kasama ng bukas na port (31344).

Kapag kumokonekta sa ICAP Server sa pamamagitan ng secure na koneksyon, ang URI Scheme na isinumite sa ICAP Client request ay dapat na icaps. Ipinapahiwatig nito na inaasahan ang isang secure na koneksyon. Halimbawa ng Secure-ICAP url:

icaps://gw-icap-server.net:31345/resp-cdr-service

I-disable ang ICAP Server

Para i-disable ang ICAP server, pakipatbo ang command sa ibaba:

bash ~/disable_icap_server.sh
Huling na-update noong