メイン コンテンツにスキップ

ICAP を有効化

Glasswall ICAP Server

  • OVA 内の ICAP Server は、開放ポートとして 31344、MTLS はポート 31345 で設定されています。これは、デフォルトの 1344 および 11344 ポートが、Kubernetes の 30000 ~ 32767 の NodePort 範囲に含まれないためです。
  • ICAP server はデフォルトで無効になっていますが、以下の手順に従って有効化できます。

ICAP Server を有効化

bash ~/enable_icap_server.sh

mTLS を有効化

デフォルトでは、mTLS は設定されておらず、開放ポートのみがアクティブです。ICAP server で mTLS を有効にするには、以下の手順に従ってください。

  1. CA 証明書とあわせて、クライアントおよびサーバー用の mTLS 証明書一式を作成します。サーバー証明書は ICAP server で使用され、クライアント証明書はプロキシやファイアウォールなどのクライアントアプリケーションで使用されます。

  2. OVA から作成した Halo Virtual Machine に SSH で接続します。

  3. cdrplatform-secrets Kubernetes secret をファイルに保存します。

kubectl get secret cdrplatform-secrets -o yaml > cdrp-secrets.yaml
  1. Edit the cdrp-secrets.yaml file and add 3 keys, tls-cafile, tls-server-cert and tls-server-key under the data section.
apiVersion: v1
data:
 <existing secrets>
 <existing secrets>
 tls-cafile: <base64-encoded-tls-cafile>
 tls-server-cert: <base64-encoded-tls-server-cert>
 tls-server-key: <base64-encoded-tls-server-key>
kind: Secret
  1. 編集した cdrp-secrets.yaml を適用します。
kubectl apply -f cdrp-secrets.yaml
  1. glasswallhub コンテナレジストリへの認証用に acr-secret を作成します。token_ID と token は Glasswall から提供されます。
kubectl create secret docker-registry acr-secret -n cdrplatform \
 --docker-server="glasswallhub.azurecr.io" --docker-username="${token_ID}" --docker-password="${token}"
  1. ICAP Server Helm chart をプルします。
helm pull oci://glasswallhub.azurecr.io/helm/icap-server --version 1.5.2 --untar --untardir .
  1. mTLS を有効にして ICAP Server を再デプロイします。
helm upgrade --install icap-server icap-server --atomic \
 --set service.type=NodePort \
 --set cloud_provider=local \
 --set image.tag="2.18.1-183506" \
 --set image.repository=glasswallhub.azurecr.io/icap-server \
 --set image.pullPolicy=IfNotPresent \
 --set secretsFromRef[3].DATABASE__ConnectionString.secretName="mongodb-cdrplatform-cdrp-user" \
 --set secretsFromRef[3].DATABASE__ConnectionString.key="connectionString.standard" \
 --set configuration.ENABLE_MTLS=yes \
 --set configuration.HALO__Version="2.18.1" \
 -f icap-server/values.yaml

上記のコマンドが正常に完了すると、ICAP server はオープンポート (31344) に加えて mTLS ポート 31345 (OVA 内) で待ち受けます。

セキュア接続を介して ICAP Server に接続する場合、ICAP Client リクエストで送信される URI Scheme は icaps である必要があります。これは、セキュア接続が期待されていることを示します。Secure-ICAP URL の例:

icaps://gw-icap-server.net:31345/resp-cdr-service

ICAP Server を無効にする

ICAP server を無効にするには、以下のコマンドを実行してください:

bash ~/disable_icap_server.sh
最終更新日: