在您的 IBM® Verify 租户上配置好 Verify Bridge 后,您必须在 Docker 上安装并配置 Verify Bridge。
关于此任务
Verify Bridge请按照以下步骤部署 IBM。如果您要升级 Docker 上的现有 Verify Bridge 安装,请参阅 Docker 上的《升级 Verify Bridge 》。
过程
- 从 IBM 容器注册表中拉取该镜像以查看许可证。
运行以下命令。
docker pull icr.io/isv-saas/verify-bridge:latest
docker run --rm icr.io/isv-saas/verify-bridge:latest license
注意: 您必须通过在文件 docker-compose.yml 中添加 [parameter - LICENSE_ACCEPT: "yes"] 来接受许可协议,才能部署 IBMVerify Bridge 。
- 创建一个文件 docker-compose.yml ,内容如下。
version: "3"
services:
verify-bridge:
image: icr.io/isv-saas/verify-bridge:latest
container_name: verify-bridge
environment:
TRACE: "false"
LICENSE_ACCEPT: "yes"
TENANT_URI: "<tenantURL>"
TENANT_PROXY: "<proxyURL>"
CLIENT_ID: "<clientID>"
OBF_CLIENT_SECRET: "<obfClientSecret>"
restart: always
注意: 添加 后 GOLANG_FIPS: "1" ,在容器中运行的 Verify Bridge 进程将以 FIPS 140-2 模式运行。 此环境变量是可选的。
TENANT_PROXY 是可选的环境值,允许通过代理服务器访问租户。 代理类型由 proxyURL 方案确定。 支持协议“http”、“https”和“socks5”。
在 “配置 ” IBM Verify 页面完成代理配置时,系统会生成 TENANT_URI、CLIENT_ID 和 CLIENT_SECRET。 配置后,可以加密 CLIENT_SECRET。
可以通过运行以下 docker 命令,从客户机私钥获取 OBF_CLIENT_SECRET 值:
docker run -e "LICENSE_ACCEPT=yes" --rm icr.io/isv-saas/verify-bridge:latest obfuscate"<clientSecret>"
例如,
docker run -e "LICENSE_ACCEPT=yes" --rm icr.io/isv-saas/verify-bridge:latest obfuscate "passw0rd"
Emulate Docker CLI using podman. Create /etc/containers/nodocker to quiet msg.
INFO: Found end user license acceptance.
ccxDMMPSE62AYi3o7y+cNCE+xCtTLOyEHZ5MCw4IUzA=
输出的最后一行包含 OBF_CLIENT_SECRET 的屏蔽私钥 (
<obfClientSecret>)。 对于向后兼容性,支持 CLIENT_SECRET 环境值。
租户 URI 必须包含完整的 URI 方案和域名,例如 https://tenant.verify.ibm.com。
完成配置后,将向您提供客户机标识和客户机密钥。 请参阅 “配置验证桥和身份来源 ”。
- 要在 Docker 上部署 Verify Bridge ,请运行以下命令。
docker-compose -f docker-compose.yml up -d
- 验证容器是否已正确启动。
输入以下命令并观察容器的状态。
docker ps -a
- 可选: 若要查看日志 Verify Bridge 并进行故障排除,请执行以下命令。
docker logs -f verify-bridge