Der CVE/PSIRT-Monitor und Fix Manager in WebSphere Automation kommunizieren mit der ibm.com -Site, um die neuesten CVE-Daten (Common Vulnerability And Exposure) und -Fixes herunterzuladen. Wenn Ihre Umgebung HTTP erfordert, um eine externe Website zu kontaktieren, konfigurieren Sie den CVE/PSIRT-Monitor und Fix-Manager mit Ihren Proxy-Einstellungen.
Informationen zu dieser Task
Sie benötigen Administratorzugriff auf den Red Hat®
OpenShift® -Namensbereich, in dem WebSphere Automation installiert ist.
Vorgehensweise
- Verwenden Sie die Java™ -Standardsystemeigenschaften, um die Proxy-Einstellungen zu konfigurieren und als Umgebungsvariable an den CVE/PSIRT-Monitor und Fix Manager zu übergeben. Beachten Sie das folgende Beispiel.
kind: WebSphereSecure
spec:
cveMonitor:
env:
- name: JVM_ARGS
value: -Dhttps.proxyHost=[proxy-host] -Dhttps.proxyPort=port
kind: WebSphereSecure
spec:
fixManager:
env:
- name: JVM_ARGS
value: -Dhttps.proxyHost=[proxy-host] -Dhttps.proxyPort=port
In diesen Beispielen ist der Netzwerk-Hostname des Proxy-Servers, [proxy-host] der für die Herstellung von HTTPS -Verbindungen außerhalb des Clusters verwendet werden soll, beispielsweise gemäß den unter „Netzwerkanforderungen“ angegebenen Anforderungen für das externe Netzwerk. -Dhttps.proxyHostGeben Sie für keine vollständige URL an; verwenden Sie nur den Hostnamen.
Hinweis: Wenn Sie den Proxy-Server in
JVM_ARGSkonfigurieren, wird die Umgebungsvariable
JVM_ARGS zweimal zum CVE-Monitor-Cronjob hinzugefügt. Dadurch wird die Proxy-Einstellung nicht wirksam. Weitere Informationen zur Proxy-Konfiguration in
JVM_ARGS und eine Ausweichlösung finden Sie unter
Proxy-Konfiguration wird nicht wirksam.
- Wenn Sie sensible Informationen (z. B. Proxy-Berechtigungsnachweise) übergeben müssen, können Sie einen separaten geheimen Schlüssel mit Proxy-Berechtigungsnachweisen erstellen und diese Variablen übergeben. So erstellen Sie den geheimen Schlüssel mit Proxy-Berechtigungsnachweisen:
oc create secret generic proxy-credentials --from-literal=user=<user> --from-literal=password=<password>
- Übergeben Sie die Berechtigungsnachweise an den CVE/PSIRT-Monitor. Beachten Sie das folgende Beispiel.
kind: WebSphereSecure
spec:
cveMonitor:
env:
- name: PROXY_USER
valueFrom:
secretKeyRef:
key: user
name: proxy-credentials
- name: PROXY_PASSWORD
valueFrom:
secretKeyRef:
key: password
name: proxy-credentials
- name: JVM_ARGS
value: -Dhttps.proxyHost=[proxy-host] -Dhttps.proxyPort=port -Dhttp.proxyUser=$(PROXY_USER) -Dhttp.proxyPassword=$(PROXY_PASSWORD)
kind: WebSphereSecure
spec:
fixManager:
env:
- name: PROXY_USER
valueFrom:
secretKeyRef:
key: user
name: proxy-credentials
- name: PROXY_PASSWORD
valueFrom:
secretKeyRef:
key: password
name: proxy-credentials
- name: JVM_ARGS
value: -Dhttps.proxyHost=[proxy-host] -Dhttps.proxyPort=port -Dhttp.proxyUser=$(PROXY_USER) -Dhttp.proxyPassword=$(PROXY_PASSWORD)
- Wenn Ihr HTTP Zertifikate für HTTPS umschreibt und benutzerdefinierte CA-Zertifikate verwendet, müssen Sie den CVE/PSIRT-Monitor und den Fix-Manager so konfigurieren, dass sie Ihren benutzerdefinierten CA-Zertifikaten vertrauen. Erstellen Sie den geheimen Schlüssel
wsa-custom-ca-cert mit den angepassten CA-Zertifikaten. Beachten Sie das folgende Beispiel.
oc create secret generic wsa-custom-ca-cert –from-file=ca.crt=/home/mycacerts.pem