プロキシー・サーバーを使用するための構成

WebSphere Automation の CVE/PSIRT モニターおよびフィックス・マネージャーは、 ibm.com サイトと通信して、最新の共通脆弱性および公開 (CVE) データおよびフィックスをダウンロードします。 外部サイトにアクセスHTTPが必要な環境の場合は、CVE/PSIRTモニターと修正マネージャーをプロキシ設定で構成してください。

1. 標準の Java™ システム・プロパティーを使用して、プロキシー設定を構成し、それらを環境変数として CVE/PSIRT モニターおよびフィックス・マネージャーに渡します。 以下の例を参照してください。

   kind: WebSphereSecure
   spec:
     cveMonitor:
       env:
         - name: JVM_ARGS
           value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port> 

   kind: WebSphereSecure
   spec:
     fixManager:
       env:
         - name: JVM_ARGS
           value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port>

   これらの例では、 <http://proxy-host>URL は、 ネットワーク要件で指定されている外部ネットワーク要件など、クラスタ外で HTTPS 接続を作成するために使用するプロキシです。 URLはhttpまたはhttpsでなければなりません。 URLをサポートするプロキシURLを指定します。 例えば、ほとんどのプロキシーは、https を使用するように構成されているが http のみをサポートしている場合、エラーを報告します。 この失敗メッセージはログに伝搬されない可能性があり、代わりにネットワーク接続の失敗として表示されることがあります。 クラスターからの https 接続を listen するプロキシーを使用する場合、プロキシーが使用する認証局および証明書を受け入れるようにクラスターを構成する必要が生じることがあります。

   注: JVM_ARGSでプロキシー・サーバーを構成すると、CVE Monitor クーロン・ジョブで JVM_ARGS 環境変数が 2 回追加されます。 これにより、プロキシー設定は有効になりません。 JVM_ARGS でのプロキシー構成と回避策について詳しくは、 プロキシー構成が有効にならないを参照してください。
   1. 機密情報(プロキシー資格情報など)を渡す必要がある場合は、プロキシー資格情報を使用して別個のシークレットを作成し、それらの別個の変数を渡すことができます。 プロキシー資格情報を使用して秘密の作成方法:

      oc create secret generic proxy-credentials --from-literal=user=<user> --from-literal=password=<password>

   2. 資格情報をCVE/PSIRTモニターに渡します。 以下の例を参照してください。

      kind: WebSphereSecure
      spec:
        cveMonitor:
          env:
            - name: PROXY_USER
              valueFrom:
                secretKeyRef:
                  key: user
                  name: proxy-credentials
            - name: PROXY_PASSWORD
              valueFrom:
                secretKeyRef:
                  key: password
                  name: proxy-credentials
            - name: JVM_ARGS
              value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port> -Dhttp.proxyUser=$(PROXY_USER) -Dhttp.proxyPassword=$(PROXY_PASSWORD)

      kind: WebSphereSecure
      spec:
        fixManager:
          env:
            - name: PROXY_USER
              valueFrom:
                secretKeyRef:
                  key: user
                  name: proxy-credentials
            - name: PROXY_PASSWORD
              valueFrom:
                secretKeyRef:
                  key: password
                  name: proxy-credentials
            - name: JVM_ARGS
              value: -Dhttps.proxyHost=<https://proxy-host> -Dhttps.proxyPort=<port> -Dhttp.proxyUser=$(PROXY_USER) -Dhttp.proxyPassword=$(PROXY_PASSWORD)

2. HTTP HTTPSの証明書を書き換え、カスタムCA証明書を使用している場合は、CVE/PSIRTモニターと修正マネージャーをカスタムCA証明書を信頼するように構成する必要があります。 カスタム CA 証明書を使用して wsa-custom-ca-cert 秘密を作成します。 以下の例を参照してください。

   oc create secret generic wsa-custom-ca-cert –from-file=ca.crt=/home/mycacerts.pem