El supervisor y el gestor de arreglos de CVE/PSIRT en WebSphere Automation se comunican con el sitio de ibm.com para descargar los datos y arreglos de vulnerabilidad y exposición común (CVE) más recientes. Si su entorno requiere un proxy HTTP para contactar con un sitio externo, configure el monitor de CVE/PSIRT y el gestor de correcciones con la configuración de su proxy.
Acerca de esta tarea
Debe tener acceso de administrador al espacio de nombres de Red Hat®
OpenShift® donde está instalado WebSphere Automation.
Procedimiento
- Utilice las propiedades del sistema Java™ estándar para configurar los valores de proxy y pasarlos como una variable de entorno al supervisor CVE/PSIRT y al gestor de arreglos. Consulte el ejemplo siguiente.
kind: WebSphereSecure
spec:
cveMonitor:
env:
- name: JVM_ARGS
value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port>
kind: WebSphereSecure
spec:
fixManager:
env:
- name: JVM_ARGS
value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port>
En estos ejemplos, <http://proxy-host> es un proxy URL que se utiliza para crear conexiones HTTPS fuera del clúster, como los requisitos de red externa especificados en Requisitos de red. El esquema de URL debe ser http o https. Especifique una URL para el proxy que admita el esquema de URL. Por ejemplo, la mayoría de proxies notifican un error si están configurados para utilizar https, pero sólo dan soporte a http. Es posible que este mensaje de error no se propague a los registros y, en su lugar, puede parecer un error de conexión de red. Si utiliza un proxy que escucha las conexiones https del clúster, es posible que tenga que configurar el clúster para que acepte las entidades emisoras de certificados y los certificados que utiliza el proxy.
Nota: Al configurar el servidor proxy en
JVM_ARGS, la variable de entorno
JVM_ARGS se añade dos veces en el trabajo cron del supervisor CVE. Esto hace que el valor de proxy no entre en vigor. Para obtener más información sobre la configuración de proxy en
JVM_ARGS y una solución temporal, consulte
La configuración de proxy no entra en vigor.
- Si necesita pasar información confidencial (por ejemplo, credenciales de proxy), puede crear un secreto independiente con credenciales de proxy y pasarlas por separado. Para crear el secreto con credenciales de proxy:
oc create secret generic proxy-credentials --from-literal=user=<user> --from-literal=password=<password>
- Pase las credenciales al supervisor de CVE/PSIRT. Consulte el ejemplo siguiente.
kind: WebSphereSecure
spec:
cveMonitor:
env:
- name: PROXY_USER
valueFrom:
secretKeyRef:
key: user
name: proxy-credentials
- name: PROXY_PASSWORD
valueFrom:
secretKeyRef:
key: password
name: proxy-credentials
- name: JVM_ARGS
value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port> -Dhttp.proxyUser=$(PROXY_USER) -Dhttp.proxyPassword=$(PROXY_PASSWORD)
kind: WebSphereSecure
spec:
fixManager:
env:
- name: PROXY_USER
valueFrom:
secretKeyRef:
key: user
name: proxy-credentials
- name: PROXY_PASSWORD
valueFrom:
secretKeyRef:
key: password
name: proxy-credentials
- name: JVM_ARGS
value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port> -Dhttp.proxyUser=$(PROXY_USER) -Dhttp.proxyPassword=$(PROXY_PASSWORD)
- Si su proxy HTTP reescribe certificados para puntos finales HTTPS y utiliza certificados CA personalizados, debe configurar el monitor CVE/PSIRT y el gestor de correcciones para que confíe en sus certificados CA personalizados. Cree el secreto de
wsa-custom-ca-cert con los certificados de CA personalizados. Consulte el ejemplo siguiente.
oc create secret generic wsa-custom-ca-cert –from-file=ca.crt=/home/mycacerts.pem