プロキシサーバ経由のエージェントへの接続

logo cloud disabled logo hybrid active logo server active logo rtf disabled

可能な場合は、Equality の会社の値に一致するように、含めない用語を変更しました。顧客の実装に対する影響を回避するために、一部の用語は変更されていません。

プロキシサーバを介して外部通信が制限されるファイアウォールの内側で Mule Runtime Engine を実行する場合は、Runtime Manager エージェントがトラフィックをプロキシサーバ経由で Runtime Manager に転送するように設定できます。

Runtime Manager エージェントは、プロキシを使用した通信で、基本アクセスと Kerberos v5 (SPNEGO 経由) 認証スキームをサポートします。

プロキシサーバ経由で接続するためのエージェントの設定

プロキシサーバ経由で接続するようにエージェントを設定するには、次の作業を行う必要があります。

  • amc_setup​ コマンドを実行して、​$MULE_HOME/conf/mule-agent.yml​ ファイルを作成する。

  • $MULE_HOME/conf/wrapper.conf​ ファイルでプロキシサーバ設定をセットアップする。

mule-agent.yml を作成するための amc_setup の実行

Runtime Manager エージェントをすでにインストール済みで、プロキシを使用するように設定を変更するには、​mule-agent.yml​ ファイルにプロキシ設定を追加します。

プロキシサーバ接続を設定する手順は、次のとおりです。

  1. mule-agent.yml​ ファイルでパスワードを暗号化する場合、​AGENT_VAR_master_password​ 環境変数をメインパスワードに設定します。

    export AGENT_VAR_master_password=myPassword

  2. 次のコマンドを実行します。

    基本認証では、-P パラメータによって認証済みプロキシを設定します。

    $MULE_HOME/bin/amc_setup -H token server-name -P proxy-host proxy-port proxy-user proxy-password

    Kerberos 認証では、新しいパラメータを使用して、このプロトコルを設定ファイルパスと共に使用することを指定します。

    $MULE_HOME/bin/amc_setup -H token server-name -P proxy-host proxy-port proxy-user proxy-password --use-kerberos-proxy krb5-configuration-path jaas-configuration-path

プロキシサーバで認証が必要ない場合は、​proxy-user​ と ​proxy-password​ は不要です。これらのオプションは、​--use-kerberos-proxy​ で Kerberos 認証を使用する場合には必須です。

  • amc_setup -P パラメータ:

    proxy-host

    希望するプロキシサーバのホスト名を指定します (例: proxy.acme.com​)。 ホスト名には ​http://​ や ​https://​ を含めないでください。

    proxy-port

    希望するプロキシサーバのポートを指定します。

    proxy-user

    必要であれば、プロキシでのユーザ認証情報を指定します。

    proxy-password

    必要であれば、​proxy-user​ の認証情報で使用するパスワードを指定します。

  • amc_setup --use-kerberos-proxy パラメータ:

    krb5-configuration-path

    Kerberos KDC との通信で必要な ​krb5.conf​ ファイルへのパスを指定します。

    これは Kerberos の種類によって異なります。ほとんどの UNIX システムと Windows システムの標準である MIT 実装のリファレンスは、 MIT Kerceros ドキュメント​を参照してください。

    jaas-configuration-path

    Kerberos KDC へのログインで必要な JAAS ログイン設定ファイルへのパスを指定します。

    このファイル形式のリファレンスは、 「JAAS ログイン設定ファイル^」​を参照してください。

次の例では、プロキシサーバ (​acme.proxy.com​) と連携して動作するようにエージェントを設定し、Runtime Manager トークンを設定しています。

amc_setup -H myToken myMuleServer -P acme.proxy.com 443

次の例では、エージェントが認証が必要なプロキシサーバと連携するようにエージェントを設定しています。

amc_setup -H myToken myMuleServer -P acme.proxy.com 443 internalAdmin Ins1d3V0icePassword

wrapper.conf ファイルでのプロキシサーバ設定のセットアップ

$MULE_HOME/conf/wrapper.conf​ ファイルでプロキシサーバ設定を指定するには、次のプロパティにプロキシサーバ情報を追加します。

  • anypoint.platform.proxy_host=​hostname

  • anypoint.platform.proxy_port=​port

  • anypoint.platform.proxy_username=​username

  • anypoint.platform.proxy_password=​password

プロキシサーバが Runtime Manager 証明書を変更しないことの確認

ファイアウォールやプロキシが Runtime Manager 証明書を遮断したり変更したりしないことを確認するため、Runtime Manager エージェントのバージョンに応じて次のいずれかのコマンドを実行します。

これらのコマンドは、プローブを実行して、ファイアウォールやプロキシが証明書を改ざんしているかどうかを判断します。

  • バージョン 1.12.0 以降と 2.2.0 以降のエージェント:

    echo -e "GET / HTTP/1.0\r\n" | openssl s_client -connect runtime-manager.anypoint.mulesoft.com:443 -ign_eof

    このコマンドの出力には次の情報が含まれています。

    -----END CERTIFICATE-----
    subject=/C=US/ST=California/L=San Francisco/O=salesforce.com, inc./CN=runtime-manager.anypoint.mulesoft.com issuer=/C=US/O=DigiCert Inc/CN=DigiCert TLS RSA SHA256 2020 CA1
  • バージョン 1.12.0 および 2.2.0 より前のエージェント:

    echo -e "GET / HTTP/1.0\r\n" | openssl s_client -connect mule-manager.anypoint.mulesoft.com:443 -ign_eof

    このコマンドの出力には次の情報が含まれています。

    -----END CERTIFICATE-----
    subject=/C=US/ST=CA/L=San Francisco/O=Mulesoft/OU=Mulesoft/CN=mule-manager.anypoint.mulesoft.com/emailAddress=devops@mulesoft.com issuer=/C=US/ST=CA/L=San Francisco/O=Mulesoft/OU=Mulesoft/CN=Mulesoft/emailAddress=devops@mulesoft.com

想定される情報が出力に含まれていない場合は、​openssl​ コマンドの出力をネットワークチームに送信してください。

既知の問題

問題 説明

SE-8011

エージェントのセットアップが、セットアップ中にプロキシ情報を渡すときに ​407 Proxy Authentication Required​ を返す。