주요 콘텐츠로 건너뛰기

ICAP 활성화

Glasswall ICAP 서버

  • OVA의 ICAP Server는 개방 포트로 31344, 그리고 포트 31345에서 MTLS가 구성되어 있습니다. 이는 기본 포트인 1344 및 11344가 Kubernetes의 NodePort 범위인 30000~32767에 포함되지 않기 때문입니다.
  • ICAP 서버는 기본적으로 비활성화되어 있지만, 아래 단계를 따라 활성화할 수 있습니다.

ICAP 서버 활성화

bash ~/enable_icap_server.sh

mTLS 활성화

기본적으로 mTLS는 구성되어 있지 않으며, 개방 포트만 활성 상태입니다. ICAP 서버에서 mTLS를 활성화하려면 아래 단계를 따르세요.

  1. CA 인증서와 함께 클라이언트 및 서버 mTLS 인증서 세트를 생성합니다. 서버 인증서는 ICAP 서버에서 사용되며, 클라이언트 인증서는 프록시 또는 방화벽과 같은 클라이언트 애플리케이션에서 사용됩니다.

  2. OVA에서 생성된 Halo Virtual Machine에 SSH로 접속합니다.

  3. cdrplatform-secrets Kubernetes secret을 파일로 저장합니다.

kubectl get secret cdrplatform-secrets -o yaml > cdrp-secrets.yaml
  1. Edit the cdrp-secrets.yaml file and add 3 keys, tls-cafile, tls-server-cert and tls-server-key under the data section.
apiVersion: v1
data:
 <existing secrets>
 <existing secrets>
 tls-cafile: <base64-encoded-tls-cafile>
 tls-server-cert: <base64-encoded-tls-server-cert>
 tls-server-key: <base64-encoded-tls-server-key>
kind: Secret
  1. 편집한 cdrp-secrets.yaml을 적용합니다.
kubectl apply -f cdrp-secrets.yaml
  1. glasswallhub 컨테이너 레지스트리에 인증하기 위해 acr-secret을 생성합니다. token_ID 및 token은 Glasswall에서 제공합니다.
kubectl create secret docker-registry acr-secret -n cdrplatform \
 --docker-server="glasswallhub.azurecr.io" --docker-username="${token_ID}" --docker-password="${token}"
  1. ICAP Server Helm 차트를 가져옵니다:
helm pull oci://glasswallhub.azurecr.io/helm/icap-server --version 1.5.2 --untar --untardir .
  1. mTLS를 활성화하여 ICAP Server를 다시 배포합니다:
helm upgrade --install icap-server icap-server --atomic \
 --set service.type=NodePort \
 --set cloud_provider=local \
 --set image.tag="2.18.1-183506" \
 --set image.repository=glasswallhub.azurecr.io/icap-server \
 --set image.pullPolicy=IfNotPresent \
 --set secretsFromRef[3].DATABASE__ConnectionString.secretName="mongodb-cdrplatform-cdrp-user" \
 --set secretsFromRef[3].DATABASE__ConnectionString.key="connectionString.standard" \
 --set configuration.ENABLE_MTLS=yes \
 --set configuration.HALO__Version="2.18.1" \
 -f icap-server/values.yaml

위 명령이 성공하면 ICAP server는 개방형 포트(31344)와 함께 mTLS 포트 31345(OVA에서)에서 수신 대기합니다.

보안 연결을 통해 ICAP Server에 연결할 때 ICAP Client 요청에 제출되는 URI Scheme은 icaps여야 합니다. 이는 보안 연결이 필요함을 나타냅니다. Secure-ICAP URL 예시는 다음과 같습니다:

icaps://gw-icap-server.net:31345/resp-cdr-service

ICAP Server 비활성화

ICAP server를 비활성화하려면 아래 명령을 실행하세요:

bash ~/disable_icap_server.sh
마지막 업데이트: