IKuznetsov: Новая страница: «Подключение ваших платформ '''Cloud''' '''Foundry''' к Ключ-АСТРОМ позволяет: * Получить полный дос...»

2025-12-04T20:33:48Z

Новая страница: «Подключение ваших платформ '''Cloud''' '''Foundry''' к Ключ-АСТРОМ позволяет: * Получить полный дос...»

Новая страница

Подключение ваших платформ '''Cloud''' '''Foundry''' к Ключ-АСТРОМ позволяет:

* Получить полный доступ к специальной странице обзора '''Cloud Foundry'''
* Получить автоматическое обнаружение ваших организаций '''Cloud Foundry'''
* Получить доступ к другим свойствам процесса '''Cloud Foundry''', таким как пространство, идентификатор пространства, приложение, идентификатор приложения и индекс экземпляра.

Чтобы подключить свою систему к Ключ-АСТРОМ, следуйте инструкциям ниже.

== Предустановка ==

* Ознакомьтесь со списком [[Поддержка технологий|поддерживаемых приложений и версий]].
* Diego включает в себя дополнение [[Развертывание релиза BOSH для комплексного мониторинга в Cloud Foundry|ЕдиныйАгент BOSH]].

== Начало установки ==

# Войдите в Ключ-АСТРоМ.
# В Ключ-АСТРОМ Расширения выберите АктивныйШлюз.
# Выберите '''Настроить'''.

Более подробную информацию смотрите в разделе [[Установка АктивногоШлюза]].

== Загрузка установщика ==
Способ загрузки установщика зависит от вашей конфигурации и потребностей. Вы можете загрузить установщик непосредственно на сервер, где планируете установить АктивныйШлюз, или загрузить установщик на другой компьютер, а затем перенести его на сервер.

# Выберите [[Направление трафика ЕдиногоАгента|Маршрутизация трафика ЕдиногоАгента]] в качестве [[цели АктивногоШлюза]].
# Выберите '''Загрузить установщик'''. Есть два варианта:
#* Загрузите через командную строку. Скопируйте и выполните команду <code>wget</code>.
#* Выберите ссылку для загрузки установщика АктивногоШлюза.

== Запуск установщика ==
Параметр установки (определяемый выбранным назначением АктивногоШлюза) автоматически задаётся для команды запуска установщика. Убедитесь, что вы используете команду, отображаемую в веб-интерфейсе Ключ-АСТРОМ, которая соответствует назначению АктивногоШлюза.

Скопируйте команду скрипта установки из шага '''Запуск установщика''' с правами '''root''' и вставьте ее в терминал.

=== Настроить установку ===
Вы можете добавить дополнительные параметры к команде установки, чтобы настроить её. Например, чтобы установить АктивныйШлюз в другую директорию, используйте параметр <code>INSTALL=<path></code>:
{| class="wikitable"
|[root@host]# /bin/bash astromkey-ActiveGate-Linux-x86-1.0.0.sh INSTALL=/hosted_app/astromkey
|}

=== Настройки установки по умолчанию ===
Параметры установки по умолчанию, включая каталоги по умолчанию, см. в разделе [[Параметры АктивногоШлюза|Параметры АктивногоШлюза по умолчанию для Linux]].

== Управление сертификатами ==
Если вы используете самоподписанные сертификаты для связи с внешними '''API''', вы можете либо добавить сертификат в хранилище доверенных сертификатов, либо отключить проверку сертификатов.

=== Добавление сертификата в хранилище доверенных сертификатов ===
1. Загрузите сертификат от вашего облачного провайдера.
В следующем примере мы извлекаем сертификат из файла <code>google.com</code> и сохраняем его локально как <code>dt_k8s_api.pem</code>. Команда одинакова для '''Windows''' и '''Linux''', если вы установили <code>openssl</code> Windows.
{| class="wikitable"
|<nowiki>echo Q | openssl s_client -connect google.com:443 | openssl x509 -outform PEM > dt_k8s_api.pem</nowiki>
|}
Для '''Kubernetes''' вы можете использовать следующую последовательность команд для получения сертификата:
{| class="wikitable"
|[root@host]# API_ENDPOINT_URL=$(kubectl config view --minify -o jsonpath='{.clusters[0].cluster.server}')

[root@host]# if $API_ENDPOINT_URL =~ (https?://.*):(\d*) ; then API_SERVER_PORT=$API_ENDPOINT_URL; else API_SERVER_PORT="$(echo $API_ENDPOINT_URL | sed -e "s/https:\/\///"):443"; fi

[root@host]# echo -e "${YLW} API server:${NC} ${API_SERVER_PORT}"

[root@host]# echo Q | openssl s_client -connect $API_SERVER_PORT 2>/dev/null | openssl x509 -outform PEM > dt_k8s_api.pem
|}
2. Добавьте сертификат в хранилище ключей.
Вы можете указать полный путь к файлу <code>pem</code> (включая пути к удалённым хранилищам) с помощью параметра <code>-file</code> или скопировать файл <code>pem</code> в АктивныйШлюз и указать только имя файла, как указано в примере.
{| class="wikitable"
|[root@host]# sudo /opt/astromkey/gateway/jre/bin/keytool -import -file dt_k8s_api.pem -alias dt_k8s_api -keystore /var/lib/astromkey/gateway/ssl/mytrusted.jks
|}
При импорте нескольких сертификатов убедитесь, что вы указали уникальный псевдоним для каждого из них. Если вы используете один и тот же псевдоним для каждого сертификата, все ранее использованные сертификаты будут перезаписаны.

Вы можете отобразить список псевдонимов и описание сертификата с помощью команды <code>keytool -list</code>.

Например:
{| class="wikitable"
|# sudo /opt/astromkey/gateway/jre/bin/keytool -list -keystore /var/lib/astromkey/gateway/ssl/mytrusted.jks

Enter keystore password:

Keystore type: JKS

Keystore provider: SUN

Your keystore contains 1 entry

dt_k8s_api, Apr 26, 2020,

trustedCertEntry,

Certificate fingerprint (SHA-256): 07:28:9A:F2:29:32:0D:64:F0:18:93:A1:CC:2E:49:21:E9:DA:40:82:9B:A8:71:B7:A4:2C:6D:8C:B3:90:31:31
|}
3. Добавьте в файл следующие записи <code>/var/lib/astromkey/gateway/config/custom.properties</code>.

Запись в файле <code>custom.properties</code> может выглядеть так:
{| class="wikitable"
|[collector]

trustedstore = mytrusted.jks

<nowiki>#</nowiki> the following entries are optional

trustedstore-password = changeit

trustedstore-type = JKS
|}
<u>Зашифрованный пароль</u>

Пароль будет удален и зашифрован при перезапуске службы АктивногоШлюза.

4. [[Запуск/остановка/перезапуск АктивногоШлюза|Перезапустите основную службу АктивногоШлюза]].

В качестве альтернативы вы можете добавить файл <code>truststore</code>, содержащий сертификат центра сертификации '''Kubernetes''', в качестве параметра установки. Подробнее см. в разделе [[Доверенные корневые сертификаты для АктивногоШлюза]].

=== Отключение проверки сертификата ===
Отключать проверку сертификатов не рекомендуется, поскольку это создаёт риски безопасности. Однако, если вы всё же хотите отключить проверку сертификатов для тестовых сред, необходимо выполнить следующие действия:

# Перейдите на страницу обзора '''Kubernetes''', найдите свой кластер и выберите '''… > Настройки''' в строке кластера, чтобы изменить его настройки.
# Отключить '''Требовать действительные сертификаты для связи с сервером API'''.
# Отключить '''проверку имени хоста в сертификате по URL-адресу API Kubernetes'''.
# Нажмите '''Сохранить''', чтобы сохранить изменения. Эти настройки переопределяют настройки в файле <code>custom.properties</code> АктивногоШлюза.

== Подключите свою систему к Ключ-АСТРОМ ==
{| class="wikitable"
|Мы рекомендуем использовать [https://docs.cloudfoundry.org/uaa/uaa-user-management.html#admin-read-only учетную запись администратора Cloud Foundry с доступом только для чтения], которая может просматривать практически все ресурсы '''API Cloud Controller''', но не может изменять их.
|}
{| class="wikitable"
|uaac user add ReadOnlyUser -p SecretPassword --emails something@example.com

uaac member add cloud_controller.admin_read_only ReadOnlyUser

uaac member add scim.read ReadOnlyUser
|}

Чтобы подключить вашу систему '''Cloud Foundry''' к Ключ-АСТРОМ

# В веб-интерфейсе Ключ-АСТРОМ перейдите в раздел '''Настройки > Облако и виртуализация > Cloud Foundry'''.
# Выберите '''Подключить новую систему'''.
# Введите целевой URL-адрес '''API Cloud Foundry''', конечную точку аутентификации, имя пользователя '''Cloud Foundry''' и пароль.
# <code>Необязательно</code> Выберите группу АктивныхШлюзов (дополнительную информацию о группах АктивногоШлюза см. в разделе [[Группы АктивныхШлюзов]]).
# <code>Необязательно</code> Проверьте соединение.
# Выберите '''Сохранить изменения'''.

Свяжите свои платформы Cloud Foundry с Ключ-АСТРОМ - История изменений

IKuznetsov: Новая страница: «Подключение ваших платформ '''Cloud''' '''Foundry''' к Ключ-АСТРОМ позволяет: * Получить полный дос...»