Chuyển đến nội dung chính

Bật ICAP

Glasswall Máy chủ ICAP

  • Máy chủ ICAP trong OVA được cấu hình với 31344 là cổng mở và MTLS trên cổng 31345. Điều này là do các cổng mặc định 1344 và 11344 không nằm trong phạm vi NodePort từ 30000 đến 32767 trong Kubernetes.
  • Máy chủ ICAP bị tắt theo mặc định, nhưng bạn có thể làm theo các bước bên dưới để bật nó.

Bật Máy chủ ICAP

bash ~/enable_icap_server.sh

Bật mTLS

Theo mặc định, mTLS chưa được cấu hình và chỉ có cổng mở đang hoạt động. Để bật mTLS trên máy chủ ICAP, hãy làm theo các bước bên dưới.

  1. Tạo một bộ chứng chỉ mTLS cho máy khách và máy chủ cùng với một chứng chỉ CA. Chứng chỉ máy chủ sẽ được sử dụng trong máy chủ ICAP và chứng chỉ máy khách sẽ được sử dụng trong một ứng dụng máy khách như proxy hoặc tường lửa.

  2. SSH vào Máy ảo Halo được tạo từ OVA.

  3. Lưu Kubernetes secret cdrplatform-secrets vào một tệp.

kubectl get secret cdrplatform-secrets -o yaml > cdrp-secrets.yaml
  1. Chỉnh sửa tệp cdrp-secrets.yaml và thêm 3 khóa là tls-cafile, tls-server-certtls-server-key trong phần data.
apiVersion: v1
data:
 <existing secrets>
 <existing secrets>
 tls-cafile: <base64-encoded-tls-cafile>
 tls-server-cert: <base64-encoded-tls-server-cert>
 tls-server-key: <base64-encoded-tls-server-key>
kind: Secret
  1. Áp dụng tệp cdrp-secrets.yaml đã chỉnh sửa.
kubectl apply -f cdrp-secrets.yaml
  1. Tạo acr-secret để xác thực với container registry glasswallhub. token_ID và token sẽ được Glasswall cung cấp.
kubectl create secret docker-registry acr-secret -n cdrplatform \
 --docker-server="glasswallhub.azurecr.io" --docker-username="${token_ID}" --docker-password="${token}"
  1. Kéo Helm chart của ICAP Server:
helm pull oci://glasswallhub.azurecr.io/helm/icap-server --version 1.5.2 --untar --untardir .
  1. Triển khai lại ICAP Server với mTLS được bật:
helm upgrade --install icap-server icap-server --atomic \
 --set service.type=NodePort \
 --set cloud_provider=local \
 --set image.tag="2.18.1-183506" \
 --set image.repository=glasswallhub.azurecr.io/icap-server \
 --set image.pullPolicy=IfNotPresent \
 --set secretsFromRef[3].DATABASE__ConnectionString.secretName="mongodb-cdrplatform-cdrp-user" \
 --set secretsFromRef[3].DATABASE__ConnectionString.key="connectionString.standard" \
 --set configuration.ENABLE_MTLS=yes \
 --set configuration.HALO__Version="2.18.1" \
 -f icap-server/values.yaml

Sau khi lệnh trên thực thi thành công, máy chủ ICAP sẽ lắng nghe trên cổng mTLS 31345 (trong OVA) cùng với cổng mở (31344).

Khi kết nối tới ICAP Server thông qua kết nối bảo mật, URI Scheme được gửi trong yêu cầu của ICAP Client phải là icaps. Điều này cho biết một kết nối bảo mật được mong đợi. Ví dụ về URL Secure-ICAP:

icaps://gw-icap-server.net:31345/resp-cdr-service

Tắt ICAP Server

Để tắt máy chủ ICAP, vui lòng chạy lệnh bên dưới:

bash ~/disable_icap_server.sh
Cập nhật lần cuối vào