Конфигурирование агентов для взаимодействия через прокси-сервер переадресации
Если правила брандмауэра не разрешают прозрачные исходящие соединения HTTPS с внешними хостами, можно сконфигурировать агенты мониторинга IBM® для отправки трафика на прокси-сервер переадресации. Измените переменную среды KDH_FORWARDPROXY, чтобы сконфигурировать агенты через прокси-сервер переадресации.
Прежде чем начать
Чтобы узнать, как определить IP-адрес центра данных Cloud APM, с которым соединяются ваши агенты, смотрите раздел IP-адреса Центра данных (Центр разработчиков APM). Затем уточните правила брандмауэра, разрешив отправку требований на эти IP-адреса с вашего прокси-сервера переадресации.
При помощи команды openssl можно проверить, есть ли у системы компьютера, где установлены ваши агенты, связь с серверами центра данных Cloud APM. Можно также использовать команду openssl, чтобы проверить, поддерживает ли ваша сеть комплекты шифров, которые используются Cloud APM. Если команда openssl покажет, что компьютеру соединиться не удалось, возможно, потребуется сконфигурировать прокси-сервер переадресации. Если результаты команды указывают, что получить сертификат сервер Cloud APM не удалось, вы должны вместе с вашей командой по работе в сети определить, почему необходимые комплекты шифров не поддерживаются. Список комплектов шифров, которые использует Cloud APM, смотрите в разделе Защищенная связь.
Выполните команду openssl, как показано в следующем примере:echo quit |
openssl s_client
-state -connect <имя-домена>:443
-tls1_2
-cipher
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384
где: имя-домена - имя домена
для вашей подписки на Cloud
APM (например, 8b68ba1b9.agents.na.apm.ibmserviceengage.com).
- Откройте файл конфигурации среды агента в текстовом редакторе:
/opt/ibm/apm/agent/config/global.environment
каталог_установки\TMAITM6_x64\Kкод_продуктаENV для 64-битных систем Windows и каталог_установки\TMAITM6\Kкод_продуктаENV для 32-битных систем Windows, где код_продукта - код продукта агента.Список кодов продуктов смотрите в разделе Использование команд агентов.
- Найдите переменную IRA_ASF_SERVER_URL. Значение задается в формате: https://имя-домена/ccm/asf/request. Часть значения, задающую имя домена, используйте в команде openssl.
В случае успешного соединения будут показаны сообщения, подобные следующему примеру:CONNECTED(00000003)
SSL_connect:до/инициализация соединения
SSL_connect:запись SSLv3 приветствие клиента A
SSL_connect:чтение SSLv3 приветствие сервера A
depth=2 C = US, O = IBM Service Engage,
CN =
ca_ec_384.ibmserviceengage.com
verify error:num=19:самоподписанный сертификат в цепи сертификатов
verify return:0
SSL_connect:чтение SSLv3 сервера сертификат A
SSL_connect:чтение SSLv3 Exchange ключа сервера A
SSL_connect:чтение SSLv3 сервера требование сертификата A
SSL_connect:чтение SSLv3 сервера закончено
A
SSL_connect:запись SSLv3 сертификата клиента A
SSL_connect:запись SSLv3 Exchange ключа клиента A
SSL_connect:запись SSLv3 обмен спецификации шифра A
SSL_connect:запись SSLv3 закончена A
SSL_connect:сброс данных SSLv3
SSL_connect:чтение SSLv3 закончено A
---
Цепочка сертификатов
0
s:/C=US/O=IBM Service Engage/OU=Application Performance
Management/CN=*.agents.na.apm.ibmserviceengage.com
i:/C=US/O=IBM Service
Engage/OU=Application Performance
Management/CN
=ca_ec_384.apm.ibmserviceengage.com
1 s:/C=US/O=IBM Service Engage/OU=Application
Performance
Management/CN=ca_ec_384.apm.ibmserviceengage.com
i:/C=US/O=IBM
Service Engage/CN=ca_ec_384.ibmserviceengage.com
2 s:/C=US/O=IBM Service
Engage/CN=ca_ec_384.ibmserviceengage.com
i:/C=US/O=IBM Service
Engage/CN=ca_ec_384.ibmserviceengage.com
---
Сертификат сервера
-----НАЧАЛО СЕРТИФИКАТА----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-----КОНЕЦ СЕРТИФИКАТА-----
subject=/C=US/O=IBM Service Engage/OU=Application Performance
Management/CN=*.agents.na.apm.ibmserviceengage.com
issuer=/C=US/O=IBM Service Engage/OU=Application Performance
Management/CN=ca_ec_384.apm.ibmserviceengage.com
---
Допустимые имена сертификаторов клиента
/C=US/O=IBM Service
Engage/CN=ca_ec_384.ibmserviceengage.com
/C=US/O=IBM Service Engage/OU=Application
Performance
Management/CN=ca_ec_384.apm.ibmserviceengage.com
/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert
Global Root CA/C=US/O=IBM Service
Engage/OU=Application Performance
Management/CN=*.agents.na.apm.ibmserviceengage.com
Временный ключ сервера: ECDH, prime256v1,
256 бит
---
При квитировании SSL прочитано 2659 байт и записано 261
байт
---
Новый, TLSv1/SSLv3, шифр:
ECDHE-ECDSA-AES128-GCM-SHA256
Открытый ключ сервера - 384 бит
Поддерживается защищенное пересогласование IS
Сжатие: Нет
Расширение: Нет
Сеанс-SSL:
Протокол : TLSv1.2
Шифр :
ECDHE-ECDSA-AES128-GCM-SHA256
ID-сеанса:
A18C31D0B45A1166357C917E1CFCD86A9FBEDB4A0EB768EF5390AC28C95CB7EF
ID-сеанса-ctx:
Главный-ключ:
252B8FE2731E51AC0B79A27C7BED33CA8B15AF4CFD015C98DBACA46EA01DC40B
9E6B56E62E0F332FF6B56266B5ADD7B0
Аргумент-ключа: Нет
Принципал Krb5:
Нет
Идентификатор PSK:Нет
Совет по идентификатору PSK:Нет
Время начала: 1510772474
Тайм-аут : 7200 (сек)
Проверить код возврата: 19 (самоподписанный сертификат в цепи
сертификатов)
---
ГОТОВО
SSL3 alert write:warning:close notify
Если у компьютера нет соединения с сервер Cloud
APM, то будут показаны сообщения, подобные следующему примеру:getaddrinfo: Неизвестное имя или
служба
connect:errno=2
Если компьютер не может получить сертификат сервера, поскольку комплекты шифров заблокированы где-то в сети, то будут показаны сообщения, подобные следующему примеру:SSL_connect:failed
---
нет доступных равноправных сертификатов
---
Не отправлено имен сертификаторов клиента
Об этой задаче
При использовании прокси-сервера переадресации агент вначале открывает соединение TCP с прокси-сервером. Агент отправляет прокси-серверу переадресации требование HTTP CONNECT и URL конечной точки назначения (сервер Cloud APM). После этого прокси-сервер переадресации устанавливает соединение TCP с конечной точкой назначения и открывает сеанс туннелирования HTTPS между агентом и сервер Cloud APM.
Агент мониторинга не поддерживает прокси-серверы аутентификации; это значит, что агент не поддерживает вход на прокси-сервер переадресации с использованием сконфигурированных ID пользователя и пароля прокси-сервера.
Процедура
-
Откройте файл конфигурации среды агента в текстовом редакторе:
Файл каталог_установки /config/global.environment, где каталог_установки - домашний каталог установки агентов. Файл global.environment конфигурирует все агенты в каталоге установки.
Настройки параметров в файлах .global.environment будут утеряны после обновления агента. Чтобы сохранить параметры, внесите изменения в файлы global.environment. Параметры в этом файле не перезаписываются при обновлении агента.
Файл каталог_установки \TMAITM6_x64\Kкод_продуктаENV для 64-битных агентов и каталог_установки \TMAITM6\Kкод_продуктаENV для 32-битных агентов, где код_продукта- это код продукта агента. Сконфигурируйте файл KpcENV для каждого агента.Список кодов продуктов смотрите в разделе Использование команд агентов.