Langkau ke kandungan utama

Dayakan ICAP

Glasswall Pelayan ICAP

  • Pelayan ICAP dalam OVA dikonfigurasikan dengan 31344 sebagai port terbuka dan MTLS pada port 31345. Ini kerana port lalai 1344 dan 11344 tidak termasuk dalam julat NodePort 30000 hingga 32767 dalam Kubernetes.
  • Pelayan ICAP dinyahdayakan secara lalai, tetapi anda boleh mengikuti langkah di bawah untuk mendayakannya.

Dayakan Pelayan ICAP

bash ~/enable_icap_server.sh

Dayakan mTLS

Secara lalai, mTLS tidak dikonfigurasikan, dan hanya port terbuka yang aktif. Untuk mendayakan mTLS pada pelayan ICAP, ikuti langkah di bawah.

  1. Cipta satu set sijil mTLS klien dan pelayan bersama-sama dengan sijil CA. Sijil pelayan akan digunakan dalam pelayan ICAP dan sijil klien akan digunakan dalam aplikasi klien seperti proksi atau firewall.

  2. SSH ke Mesin Maya Halo yang dicipta daripada OVA.

  3. Simpan rahsia Kubernetes cdrplatform-secrets ke dalam fail.

kubectl get secret cdrplatform-secrets -o yaml > cdrp-secrets.yaml
  1. Edit fail cdrp-secrets.yaml dan tambah 3 kunci, tls-cafile, tls-server-cert dan tls-server-key di bawah seksyen data.
apiVersion: v1
data:
 <existing secrets>
 <existing secrets>
 tls-cafile: <base64-encoded-tls-cafile>
 tls-server-cert: <base64-encoded-tls-server-cert>
 tls-server-key: <base64-encoded-tls-server-key>
kind: Secret
  1. Gunakan cdrp-secrets.yaml yang telah diedit.
kubectl apply -f cdrp-secrets.yaml
  1. Cipta acr-secret untuk mengesahkan ke container registry glasswallhub. token_ID dan token akan disediakan oleh Glasswall.
kubectl create secret docker-registry acr-secret -n cdrplatform \
 --docker-server="glasswallhub.azurecr.io" --docker-username="${token_ID}" --docker-password="${token}"
  1. Tarik Helm chart ICAP Server:
helm pull oci://glasswallhub.azurecr.io/helm/icap-server --version 1.5.2 --untar --untardir .
  1. Deploy semula ICAP Server dengan mTLS didayakan:
helm upgrade --install icap-server icap-server --atomic \
 --set service.type=NodePort \
 --set cloud_provider=local \
 --set image.tag="2.18.1-183506" \
 --set image.repository=glasswallhub.azurecr.io/icap-server \
 --set image.pullPolicy=IfNotPresent \
 --set secretsFromRef[3].DATABASE__ConnectionString.secretName="mongodb-cdrplatform-cdrp-user" \
 --set secretsFromRef[3].DATABASE__ConnectionString.key="connectionString.standard" \
 --set configuration.ENABLE_MTLS=yes \
 --set configuration.HALO__Version="2.18.1" \
 -f icap-server/values.yaml

Setelah arahan di atas berjaya, pelayan ICAP akan mendengar pada port mTLS 31345 (dalam OVA) bersama port terbuka (31344).

Apabila menyambung ke ICAP Server melalui sambungan selamat, URI Scheme yang dihantar dalam permintaan ICAP Client hendaklah icaps. Ini menunjukkan bahawa sambungan selamat dijangka. Contoh url Secure-ICAP:

icaps://gw-icap-server.net:31345/resp-cdr-service

Nyahdayakan ICAP Server

Untuk menyahdayakan pelayan ICAP, sila jalankan arahan di bawah:

bash ~/disable_icap_server.sh
Terakhir dikemas kini pada