Dépannage d' DataPower

Modifier en ligne

Guide de dépannage pour résoudre les problèmes courants de connectivité et de configuration d' DataPower avec Instana.

Résolution des échecs de négociation avec DataPower

L'agent d' Instana s ne parvient pas à se connecter à DataPower en raison d'une handshake_failure erreur signalée dans les journaux de l'agent. Par conséquent, DataPower n'est pas surveillé dans l'interface utilisateur d' Instana.

Cause première

Une erreur de handshake se produit lorsqu'il y a une incompatibilité entre la suite de chiffrement ou la version d' TLS entre l'agent Instana JVM et DataPower. Par exemple, si DataPower est configuré pour ne proposer que des algorithmes de chiffrement basés sur RSA (tels que AES256-GCM-SHA384), alors que l'agent JVM a TLS_RSA_* désactivé par défaut, aucun algorithme commun n'est disponible pour mener à bien la négociation de connexion.

Diagnostic

Pour vérifier le problème :

  1. Vérifiez quelles suites de chiffrement propose DataPower :

    openssl s_client -connect <datapower-host>:<port> -tls1_2 2>&1 | grep "Cipher is"

  2. Vérifiez les algorithmes désactivés dans le fichier « JVM » (le chemin d'accès dépend du type d'installation de l'agent) :

    Agent :

    cat agent-install-dir/jvm/conf/security/java.security | grep "jdk.tls.disabledAlgorithms"

Solution 1 (solution de contournement) : modifier les paramètres de sécurité d' JVM

Modifiez le fichier de sécurité « JVM » :

agent-install-dir/jvm/conf/security/java.security

Avant :

jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, DTLSv1.0, RC4, DES, \
    MD5withRSA, DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, \
    ECDH, TLS_RSA_*, \
    include jdk.disabled.namedCurves

Après :

jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, DTLSv1.0, RC4, DES, \
    MD5withRSA, DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, \
    ECDH, \
    include jdk.disabled.namedCurves

Redémarrez l'agent d' Instana.

Solution 2 (solution permanente) : Configurer DataPower avec ECDHE

Configurez le profil de l'interface de gestion SSL de l' DataPower XML afin de prendre en charge les suites de chiffrement ECDHE compatibles à la fois avec DataPower et l'agent Instana JVM. Parmi les suites de chiffrement courantes, on trouve :

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

Pour obtenir des instructions détaillées sur la configuration des profils d' SSL s dans DataPower,, consultez la documentation disponible à l'adresse IBM DataPower.