プロキシサーバー経由のエージェントへの接続
|
可能な場合は、Equality の会社の値に一致するように、含めない用語を変更しました。顧客の実装に対する影響を回避するために、一部の用語は変更されていません。 |
プロキシサーバーを介して外部通信が制限されるファイアウォールの内側で Mule Runtime Engine を実行する場合は、Runtime Manager エージェントがトラフィックをプロキシサーバー経由で Runtime Manager に転送するように設定できます。
Runtime Manager エージェントは、プロキシを使用した通信で、基本アクセスと Kerberos v5 (SPNEGO 経由) 認証スキームをサポートします。
プロキシサーバー経由で接続するためのエージェントの設定
プロキシサーバー経由で接続するようにエージェントを設定するには、次の作業を行う必要があります。
-
amc_setup コマンドを実行して、$MULE_HOME/conf/mule-agent.yml ファイルを作成する。 -
$MULE_HOME/conf/wrapper.conf ファイルでプロキシサーバー設定をセットアップする。
mule-agent.yml を作成するための amc_setup の実行
Runtime Manager エージェントをすでにインストール済みで、プロキシを使用するように設定を変更するには、mule-agent.yml ファイルにプロキシ設定を追加します。
プロキシサーバー接続を設定する手順は、次のとおりです。
-
mule-agent.yml ファイルでパスワードを暗号化する場合、AGENT_VAR_master_password 環境変数をメインパスワードに設定します。export AGENT_VAR_master_password=myPassword -
次のコマンドを実行します。
基本認証では、-P パラメーターによって認証済みプロキシを設定します。
$MULE_HOME/bin/amc_setup -H token server-name -P proxy-host proxy-port proxy-user proxy-passwordKerberos 認証では、新しいパラメーターを使用して、このプロトコルを設定ファイルパスと共に使用することを指定します。
$MULE_HOME/bin/amc_setup -H token server-name -P proxy-host proxy-port proxy-user proxy-password --use-kerberos-proxy krb5-configuration-path jaas-configuration-path
プロキシサーバーで認証が必要ない場合は、proxy-user と proxy-password は不要です。これらのオプションは、--use-kerberos-proxy で Kerberos 認証を使用する場合には必須です。
-
amc_setup -P パラメーター:
- proxy-host
-
希望するプロキシサーバーのホスト名を指定します (例:
proxy.acme.com)。 ホスト名には http:// や https:// を含めないでください。 - proxy-port
-
希望するプロキシサーバーのポートを指定します。
- proxy-user
-
必要であれば、プロキシでのユーザー認証情報を指定します。
- proxy-password
-
必要であれば、proxy-user の認証情報で使用するパスワードを指定します。
-
amc_setup --use-kerberos-proxy パラメーター:
- krb5-configuration-path
-
Kerberos KDC との通信で必要な
krb5.conf ファイルへのパスを指定します。これは Kerberos の種類によって異なります。ほとんどの UNIX システムと Windows システムの標準である MIT 実装のリファレンスは、 MIT Kerceros ドキュメントを参照してください。
- jaas-configuration-path
-
Kerberos KDC へのログインで必要な JAAS ログイン設定ファイルへのパスを指定します。
このファイル形式のリファレンスは、 「JAAS ログイン設定ファイル^」を参照してください。
次の例では、プロキシサーバー (acme.proxy.com) と連携して動作するようにエージェントを設定し、Runtime Manager トークンを設定しています。
amc_setup -H myToken myMuleServer -P acme.proxy.com 443次の例では、エージェントが認証が必要なプロキシサーバーと連携するようにエージェントを設定しています。
amc_setup -H myToken myMuleServer -P acme.proxy.com 443 internalAdmin Ins1d3V0icePasswordwrapper.conf ファイルでのプロキシサーバー設定のセットアップ
$MULE_HOME/conf/wrapper.conf ファイルでプロキシサーバー設定を指定するには、次のプロパティにプロキシサーバー情報を追加します。
-
wrapper.java.additional.<n>=-Danypoint.platform.proxy_host={hostname} -
wrapper.java.additional.<n>=-Danypoint.platform.proxy_port={port} -
wrapper.java.additional.<n>=-Danypoint.platform.proxy_username={username} -
wrapper.java.additional.<n>=-Danypoint.platform.proxy_password={password}
これらは、Java の起動時に渡す追加パラメーターです。<n> 要素は、設定の追加パラメーターの数を指します。1 からの整数として示され、隙間なく連続している必要があります。
|
プロキシサーバーが Runtime Manager 証明書を変更しないことの確認
ファイアウォールやプロキシが Runtime Manager 証明書を遮断したり変更したりしないことを確認するため、Runtime Manager エージェントのバージョンに応じて次のいずれかのコマンドを実行します。
これらのコマンドは、プローブを実行して、ファイアウォールやプロキシが証明書を改ざんしているかどうかを判断します。
-
バージョン 1.12.0 以降と 2.2.0 以降のエージェント:
echo -e "GET / HTTP/1.0\r\n" | openssl s_client -connect runtime-manager.anypoint.mulesoft.com:443 -ign_eofこのコマンドの出力には次の情報が含まれています。
-----END CERTIFICATE----- subject=/C=US/ST=California/L=San Francisco/O=salesforce.com, inc./CN=runtime-manager.anypoint.mulesoft.com issuer=/C=US/O=DigiCert Inc/CN=DigiCert TLS RSA SHA256 2020 CA1 -
バージョン 1.12.0 および 2.2.0 より前のエージェント:
echo -e "GET / HTTP/1.0\r\n" | openssl s_client -connect mule-manager.anypoint.mulesoft.com:443 -ign_eofこのコマンドの出力には次の情報が含まれています。
-----END CERTIFICATE----- subject=/C=US/ST=CA/L=San Francisco/O=Mulesoft/OU=Mulesoft/CN=mule-manager.anypoint.mulesoft.com/emailAddress=devops@mulesoft.com issuer=/C=US/ST=CA/L=San Francisco/O=Mulesoft/OU=Mulesoft/CN=Mulesoft/emailAddress=devops@mulesoft.com
想定される情報が出力に含まれていない場合は、openssl コマンドの出力をネットワークチームに送信してください。