เปิดใช้งาน ICAP
Glasswall ICAP Server
- ICAP Server ใน OVA ถูกกำหนดค่าให้ใช้พอร์ตเปิด 31344 และ MTLS บนพอร์ต 31345 ทั้งนี้เนื่องจากพอร์ตเริ่มต้น 1344 และ 11344 ไม่อยู่ในช่วง NodePort ตั้งแต่ 30000 ถึง 32767 ใน Kubernetes
- ICAP server ถูกปิดใช้งานไว้โดยค่าเริ่มต้น แต่คุณสามารถทำตามขั้นตอนด้านล่างเพื่อเปิดใช้งานได้
เปิดใช้งาน ICAP Server
bash ~/enable_icap_server.sh
เปิดใช้งาน mTLS
โดยค่าเริ่มต้น mTLS ยังไม่ได้รับการกำหนดค่า และมีเพียงพอร์ตเปิดเท่านั้นที่ทำงานอยู่ หากต้องการเปิดใช้งาน mTLS บน ICAP server ให้ทำตามขั้นตอนด้านล่าง
-
สร้างชุดใบรับรอง mTLS สำหรับไคลเอนต์และเซิร์ฟเวอร์ พร้อมด้วยใบรับรอง CA โดยใบรับรองเซิร์ฟเวอร์จะถูกใช้ใน ICAP server และใบรับรองไคลเอนต์จะถูกใช้ในแอปพลิเคชันไคลเอนต์ เช่น proxy หรือ firewall
-
SSH ไปยัง Halo Virtual Machine ที่สร้างจาก OVA
-
บันทึก Kubernetes secret
cdrplatform-secretsลงในไฟล์
kubectl get secret cdrplatform-secrets -o yaml > cdrp-secrets.yaml
- แก้ไขไฟล์
cdrp-secrets.yamlและเพิ่มคีย์ 3 รายการคือtls-cafile,tls-server-certและtls-server-keyภายใต้ส่วนdata.
apiVersion: v1
data:
<existing secrets>
<existing secrets>
tls-cafile: <base64-encoded-tls-cafile>
tls-server-cert: <base64-encoded-tls-server-cert>
tls-server-key: <base64-encoded-tls-server-key>
kind: Secret
- นำ
cdrp-secrets.yamlที่แก้ไขแล้วไปใช้.
kubectl apply -f cdrp-secrets.yaml
- สร้าง
acr-secretเพื่อยืนยันตัวตนกับ container registry ของ glasswallhub โดย Glasswall จะเป็นผู้ให้ token_ID และ token
kubectl create secret docker-registry acr-secret -n cdrplatform \
--docker-server="glasswallhub.azurecr.io" --docker-username="${token_ID}" --docker-password="${token}"
- ดึง Helm chart ของ ICAP Server:
helm pull oci://glasswallhub.azurecr.io/helm/icap-server --version 1.5.2 --untar --untardir .
- ปรับใช้ ICAP Server ใหม่โดยเปิดใช้งาน mTLS:
helm upgrade --install icap-server icap-server --atomic \
--set service.type=NodePort \
--set cloud_provider=local \
--set image.tag="2.18.1-183506" \
--set image.repository=glasswallhub.azurecr.io/icap-server \
--set image.pullPolicy=IfNotPresent \
--set secretsFromRef[3].DATABASE__ConnectionString.secretName="mongodb-cdrplatform-cdrp-user" \
--set secretsFromRef[3].DATABASE__ConnectionString.key="connectionString.standard" \
--set configuration.ENABLE_MTLS=yes \
--set configuration.HALO__Version="2.18.1" \
-f icap-server/values.yaml
เมื่อคำสั่งข้างต้นสำเร็จแล้ว ICAP server จะรับฟังบนพอร์ต mTLS 31345 (ใน OVA) ควบคู่กับพอร์ตแบบเปิด (31344)
เมื่อเชื่อมต่อกับ ICAP Server ผ่านการเชื่อมต่อแบบปลอดภัย URI Scheme ที่ส่งในคำขอของ ICAP Client ควรเป็น
icapsซึ่งระบุว่าคาดว่าจะใช้การเชื่อมต่อแบบปลอดภัย ตัวอย่าง Secure-ICAP url:
icaps://gw-icap-server.net:31345/resp-cdr-service
ปิดใช้งาน ICAP Server
หากต้องการปิดใช้งาน ICAP server โปรดรันคำสั่งด้านล่าง:
bash ~/disable_icap_server.sh