Свяжите свои платформы Cloud Foundry с Ключ-АСТРОМ

Материал из Документация Ключ-АСТРОМ
Версия от 20:33, 4 декабря 2025; IKuznetsov (обсуждение | вклад) (Новая страница: «Подключение ваших платформ '''Cloud''' '''Foundry''' к Ключ-АСТРОМ позволяет: * Получить полный дос...»)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)

Подключение ваших платформ Cloud Foundry к Ключ-АСТРОМ позволяет:

  • Получить полный доступ к специальной странице обзора Cloud Foundry
  • Получить автоматическое обнаружение ваших организаций Cloud Foundry
  • Получить доступ к другим свойствам процесса Cloud Foundry, таким как пространство, идентификатор пространства, приложение, идентификатор приложения и индекс экземпляра.

Чтобы подключить свою систему к Ключ-АСТРОМ, следуйте инструкциям ниже.

Предустановка

Начало установки

  1. Войдите в Ключ-АСТРоМ.
  2. В Ключ-АСТРОМ Расширения выберите АктивныйШлюз.
  3. Выберите Настроить.

Более подробную информацию смотрите в разделе Установка АктивногоШлюза.

Загрузка установщика

Способ загрузки установщика зависит от вашей конфигурации и потребностей. Вы можете загрузить установщик непосредственно на сервер, где планируете установить АктивныйШлюз, или загрузить установщик на другой компьютер, а затем перенести его на сервер.

  1. Выберите Маршрутизация трафика ЕдиногоАгента в качестве цели АктивногоШлюза.
  2. Выберите Загрузить установщик. Есть два варианта:
    • Загрузите через командную строку. Скопируйте и выполните команду wget.
    • Выберите ссылку для загрузки установщика АктивногоШлюза.

Запуск установщика

Параметр установки (определяемый выбранным назначением АктивногоШлюза) автоматически задаётся для команды запуска установщика. Убедитесь, что вы используете команду, отображаемую в веб-интерфейсе Ключ-АСТРОМ, которая соответствует назначению АктивногоШлюза.

Скопируйте команду скрипта установки из шага Запуск установщика с правами root и вставьте ее в терминал.

Настроить установку

Вы можете добавить дополнительные параметры к команде установки, чтобы настроить её. Например, чтобы установить АктивныйШлюз в другую директорию, используйте параметр INSTALL=<path>:

[root@host]# /bin/bash astromkey-ActiveGate-Linux-x86-1.0.0.sh INSTALL=/hosted_app/astromkey

Настройки установки по умолчанию

Параметры установки по умолчанию, включая каталоги по умолчанию, см. в разделе Параметры АктивногоШлюза по умолчанию для Linux.

Управление сертификатами

Если вы используете самоподписанные сертификаты для связи с внешними API, вы можете либо добавить сертификат в хранилище доверенных сертификатов, либо отключить проверку сертификатов.

Добавление сертификата в хранилище доверенных сертификатов

1. Загрузите сертификат от вашего облачного провайдера. В следующем примере мы извлекаем сертификат из файла google.com и сохраняем его локально как dt_k8s_api.pem. Команда одинакова для Windows и Linux, если вы установили openssl Windows.

echo Q | openssl s_client -connect google.com:443 | openssl x509 -outform PEM > dt_k8s_api.pem

Для Kubernetes вы можете использовать следующую последовательность команд для получения сертификата:

[root@host]# API_ENDPOINT_URL=$(kubectl config view --minify -o jsonpath='{.clusters[0].cluster.server}')

[root@host]# if $API_ENDPOINT_URL =~ (https?://.*):(\d*) ; then API_SERVER_PORT=$API_ENDPOINT_URL; else API_SERVER_PORT="$(echo $API_ENDPOINT_URL | sed -e "s/https:\/\///"):443"; fi

[root@host]# echo -e "${YLW} API server:${NC} ${API_SERVER_PORT}"


[root@host]# echo Q | openssl s_client -connect $API_SERVER_PORT 2>/dev/null | openssl x509 -outform PEM > dt_k8s_api.pem

2. Добавьте сертификат в хранилище ключей. Вы можете указать полный путь к файлу pem (включая пути к удалённым хранилищам) с помощью параметра -file или скопировать файл pem в АктивныйШлюз и указать только имя файла, как указано в примере.

[root@host]# sudo /opt/astromkey/gateway/jre/bin/keytool -import -file dt_k8s_api.pem -alias dt_k8s_api -keystore /var/lib/astromkey/gateway/ssl/mytrusted.jks

При импорте нескольких сертификатов убедитесь, что вы указали уникальный псевдоним для каждого из них. Если вы используете один и тот же псевдоним для каждого сертификата, все ранее использованные сертификаты будут перезаписаны.

Вы можете отобразить список псевдонимов и описание сертификата с помощью команды keytool -list.

Например:

# sudo /opt/astromkey/gateway/jre/bin/keytool -list -keystore /var/lib/astromkey/gateway/ssl/mytrusted.jks

Enter keystore password:

Keystore type: JKS

Keystore provider: SUN

Your keystore contains 1 entry

dt_k8s_api, Apr 26, 2020,

trustedCertEntry,

Certificate fingerprint (SHA-256): 07:28:9A:F2:29:32:0D:64:F0:18:93:A1:CC:2E:49:21:E9:DA:40:82:9B:A8:71:B7:A4:2C:6D:8C:B3:90:31:31

3. Добавьте в файл следующие записи /var/lib/astromkey/gateway/config/custom.properties.

Запись в файле custom.properties может выглядеть так:

[collector]

trustedstore = mytrusted.jks

# the following entries are optional

trustedstore-password = changeit

trustedstore-type = JKS

Зашифрованный пароль

Пароль будет удален и зашифрован при перезапуске службы АктивногоШлюза.

4. Перезапустите основную службу АктивногоШлюза.

В качестве альтернативы вы можете добавить файл truststore, содержащий сертификат центра сертификации Kubernetes, в качестве параметра установки. Подробнее см. в разделе Доверенные корневые сертификаты для АктивногоШлюза.

Отключение проверки сертификата

Отключать проверку сертификатов не рекомендуется, поскольку это создаёт риски безопасности. Однако, если вы всё же хотите отключить проверку сертификатов для тестовых сред, необходимо выполнить следующие действия:

  1. Перейдите на страницу обзора Kubernetes, найдите свой кластер и выберите … > Настройки в строке кластера, чтобы изменить его настройки.
  2. Отключить Требовать действительные сертификаты для связи с сервером API.
  3. Отключить проверку имени хоста в сертификате по URL-адресу API Kubernetes.
  4. Нажмите Сохранить, чтобы сохранить изменения. Эти настройки переопределяют настройки в файле custom.properties АктивногоШлюза.

Подключите свою систему к Ключ-АСТРОМ

Мы рекомендуем использовать учетную запись администратора Cloud Foundry с доступом только для чтения, которая может просматривать практически все ресурсы API Cloud Controller, но не может изменять их.
uaac user add ReadOnlyUser -p SecretPassword --emails something@example.com

uaac member add cloud_controller.admin_read_only ReadOnlyUser

uaac member add scim.read ReadOnlyUser


Чтобы подключить вашу систему Cloud Foundry к Ключ-АСТРОМ

  1. В веб-интерфейсе Ключ-АСТРОМ перейдите в раздел Настройки > Облако и виртуализация > Cloud Foundry.
  2. Выберите Подключить новую систему.
  3. Введите целевой URL-адрес API Cloud Foundry, конечную точку аутентификации, имя пользователя Cloud Foundry и пароль.
  4. Необязательно Выберите группу АктивныхШлюзов (дополнительную информацию о группах АктивногоШлюза см. в разделе Группы АктивныхШлюзов).
  5. Необязательно Проверьте соединение.
  6. Выберите Сохранить изменения.
Источник — https://doc.ruscomtech.ru/index.php?title=Свяжите_свои_платформы_Cloud_Foundry_с_Ключ-АСТРОМ&oldid=6010