Der CVE/PSIRT-Monitor und Fix Manager in WebSphere Automation kommunizieren mit der ibm.com -Site, um die neuesten CVE-Daten (Common Vulnerability And Exposure) und -Fixes herunterzuladen. Wenn Ihre Umgebung HTTP erfordert, um eine externe Website zu kontaktieren, konfigurieren Sie den CVE/PSIRT-Monitor und Fix-Manager mit Ihren Proxy-Einstellungen.
Informationen zu dieser Task
Sie benötigen Administratorzugriff auf den Red Hat®
OpenShift® -Namensbereich, in dem WebSphere Automation installiert ist.
Vorgehensweise
- Verwenden Sie die Java™ -Standardsystemeigenschaften, um die Proxy-Einstellungen zu konfigurieren und als Umgebungsvariable an den CVE/PSIRT-Monitor und Fix Manager zu übergeben. Beachten Sie das folgende Beispiel.
kind: WebSphereSecure
spec:
cveMonitor:
env:
- name: JVM_ARGS
value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port>
kind: WebSphereSecure
spec:
fixManager:
env:
- name: JVM_ARGS
value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port>
In diesen Beispielen ist <http://proxy-host> ein Proxy URL, der für die Erstellung von HTTPS Verbindungen außerhalb des Clusters verwendet wird, z. B. für die in Netzwerkanforderungen angegebenen externen Netzwerkanforderungen. URL muss entweder http oder https sein. Geben Sie URL für den Proxy an, der URL unterstützt. Die meisten Proxys melden beispielsweise einen Fehler, wenn sie für die Verwendung von HTTPS konfiguriert sind, aber nur HTTP unterstützen. Diese Fehlernachricht wird möglicherweise nicht an die Protokolle weitergegeben und kann stattdessen als Netzverbindungsfehler erscheinen. Wenn Sie einen Proxy verwenden, der für HTTPS-Verbindungen vom Cluster empfangsbereit ist, können Sie den Cluster so konfigurieren, dass er die Zertifizierungsstellen und Zertifikate akzeptiert, die der Proxy verwendet.
Hinweis: Wenn Sie den Proxy-Server in
JVM_ARGSkonfigurieren, wird die Umgebungsvariable
JVM_ARGS zweimal zum CVE-Monitor-Cronjob hinzugefügt. Dadurch wird die Proxy-Einstellung nicht wirksam. Weitere Informationen zur Proxy-Konfiguration in
JVM_ARGS und eine Ausweichlösung finden Sie unter
Proxy-Konfiguration wird nicht wirksam.
- Wenn Sie sensible Informationen (z. B. Proxy-Berechtigungsnachweise) übergeben müssen, können Sie einen separaten geheimen Schlüssel mit Proxy-Berechtigungsnachweisen erstellen und diese Variablen übergeben. So erstellen Sie den geheimen Schlüssel mit Proxy-Berechtigungsnachweisen:
oc create secret generic proxy-credentials --from-literal=user=<user> --from-literal=password=<password>
- Übergeben Sie die Berechtigungsnachweise an den CVE/PSIRT-Monitor. Beachten Sie das folgende Beispiel.
kind: WebSphereSecure
spec:
cveMonitor:
env:
- name: PROXY_USER
valueFrom:
secretKeyRef:
key: user
name: proxy-credentials
- name: PROXY_PASSWORD
valueFrom:
secretKeyRef:
key: password
name: proxy-credentials
- name: JVM_ARGS
value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port> -Dhttp.proxyUser=$(PROXY_USER) -Dhttp.proxyPassword=$(PROXY_PASSWORD)
kind: WebSphereSecure
spec:
fixManager:
env:
- name: PROXY_USER
valueFrom:
secretKeyRef:
key: user
name: proxy-credentials
- name: PROXY_PASSWORD
valueFrom:
secretKeyRef:
key: password
name: proxy-credentials
- name: JVM_ARGS
value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port> -Dhttp.proxyUser=$(PROXY_USER) -Dhttp.proxyPassword=$(PROXY_PASSWORD)
- Wenn Ihr HTTP Zertifikate für HTTPS umschreibt und benutzerdefinierte CA-Zertifikate verwendet, müssen Sie den CVE/PSIRT-Monitor und den Fix-Manager so konfigurieren, dass sie Ihren benutzerdefinierten CA-Zertifikaten vertrauen. Erstellen Sie den geheimen Schlüssel
wsa-custom-ca-cert mit den angepassten CA-Zertifikaten. Beachten Sie das folgende Beispiel.
oc create secret generic wsa-custom-ca-cert –from-file=ca.crt=/home/mycacerts.pem