Il monitoraggio CVE/PSIRT e il gestore correzioni in WebSphere Automation comunicano con il sito ibm.com per scaricare i dati e le correzioni CVE (common vulnerability and exposure) più recenti. Se il vostro ambiente richiede un proxy HTTP per contattare un sito esterno, configurate il CVE/PSIRT monitor and fix manager con le impostazioni del proxy.
Informazioni su questa attività
È necessario disporre dell'accesso di amministratore allo spazio dei nomi Red Hat®
OpenShift® in cui è installato WebSphere Automation .
Procedura
- Utilizzare le proprietà di sistema Java™ standard per configurare le impostazioni proxy e inoltrarle come una variabile di ambiente al controllo CVE/PSIRT e al gestore correzioni. Fare riferimento al seguente esempio.
kind: WebSphereSecure
spec:
cveMonitor:
env:
- name: JVM_ARGS
value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port>
kind: WebSphereSecure
spec:
fixManager:
env:
- name: JVM_ARGS
value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port>
In questi esempi, <http://proxy-host> è un proxy URL da usare per creare connessioni HTTPS esterne al cluster, come i requisiti di rete esterni specificati in Requisiti di rete. Lo schema dell' URL deve essere http o https. Specificare un URL per il proxy che supporta lo schema URL. Ad esempio, la maggior parte dei proxy riportano un errore se sono configurati per utilizzare https ma supportano solo http. Questo messaggio di errore potrebbe non essere trasmesso ai log e potrebbe essere un errore di connessione di rete. Se si utilizza un proxy che ascolta le connessioni https dal cluster, potrebbe essere necessario configurare il cluster per accettare le autorità di certificazione e i certificati utilizzati dal proxy.
Nota: nella configurazione del server proxy in
JVM_ARGS, la variabile di ambiente
JVM_ARGS viene aggiunta due volte nel lavoro cron CVE Monitor. Ciò fa sì che l'impostazione del proxy non abbia effetto. Per ulteriori informazioni sulla configurazione del proxy in
JVM_ARGS e una soluzione temporanea, consultare
La configurazione del proxy non ha effetto.
- Se è necessario passare le informazioni sensibili (come le credenziali proxy), è possibile creare un segreto separato con credenziali proxy e passare loro variabili separate. Per creare il segreto con le credenziali proxy:
oc create secret generic proxy-credentials --from-literal=user=<user> --from-literal=password=<password>
- Inoltrare le credenziali al monitoraggio CVE/PSIRT. Fare riferimento al seguente esempio.
kind: WebSphereSecure
spec:
cveMonitor:
env:
- name: PROXY_USER
valueFrom:
secretKeyRef:
key: user
name: proxy-credentials
- name: PROXY_PASSWORD
valueFrom:
secretKeyRef:
key: password
name: proxy-credentials
- name: JVM_ARGS
value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port> -Dhttp.proxyUser=$(PROXY_USER) -Dhttp.proxyPassword=$(PROXY_PASSWORD)
kind: WebSphereSecure
spec:
fixManager:
env:
- name: PROXY_USER
valueFrom:
secretKeyRef:
key: user
name: proxy-credentials
- name: PROXY_PASSWORD
valueFrom:
secretKeyRef:
key: password
name: proxy-credentials
- name: JVM_ARGS
value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port> -Dhttp.proxyUser=$(PROXY_USER) -Dhttp.proxyPassword=$(PROXY_PASSWORD)
- Se il proxy HTTP riscrive i certificati per gli endpoint HTTPS e utilizza certificati CA personalizzati, è necessario configurare il monitor CVE/PSIRT e il fix manager in modo che si fidino dei certificati CA personalizzati. Crea il segreto
wsa-custom-ca-cert con i certificati CA personalizzati. Fare riferimento al seguente esempio.
oc create secret generic wsa-custom-ca-cert –from-file=ca.crt=/home/mycacerts.pem