您可以將適用於 IBM® WebSphere® Application Server 的 DMZ Secure Proxy Server 配置成以靜態或動態方式遞送要求。
開始之前
在配置遞送之前,請先配置您的設定檔和安全內容。請參閱「調整
適用於 IBM WebSphere Application Server 的 DMZ Secure Proxy Server 的安全內容」主題。決定您要配置靜態還是動態遞送。
關於這項作業
靜態遞送是利用一般配置檔來執行。靜態遞送被視為比動態遞送更加安全。使用動態遞送時,會利用最相符機制來遞送要求,這種機制會決定特定要求所對應的已安裝應用程式或遞送規則。安全 Proxy 伺服器會動態探索前往目的地的最佳遞送方式,並利用類似的通訊協定來配送至伺服器。
安全遞送選項如下:
- 利用 exportTargetTree 指令,進行靜態遞送。
- 設定核心群組橋接器通道,來進行動態遞送。請參閱「配置與 DMZ Secure Proxy Server 上之核心群組之間的通訊」主題。
避免困難: 由於 DMZ Secure Proxy Server 所在的 Cell 不同於應用程式伺服器,必須將它配置成信任應用程式伺服器 Cell,這樣 Secure Sockets Layer (SSL) 才能正常運作。請見這項程序中的第三個步驟。
gotcha
使用下列程序,來配置靜態或動態安全遞送。
程序
- 如果要配置靜態遞送,請遵循下列步驟:
避免困難: 當使用 wsadmin 工具來查詢和匯出 TargetTree.XML 檔時,Proxy 配置所涉及的伺服器必須在作用中。
gotcha
- 將安全 Proxy 伺服器設定成使用靜態遞送,這是安裝之後的預設層次。您可以將整體安全層次設為高,或將遞送內容的自訂安全層次設為靜態。
- 使用 wsadmin 工具,來查詢 TargetTreeMbean MBean。
mbean=AdminControl.queryNames('*:*,type=TargetTreeMbean,process=dmgr')
- 如果您的應用程式使用 Servlet 3.0 動態 Cookie,請啟動使用動態 Cookie 的應用程式。
- 對 TargetTree MBean 呼叫 exportTargetTree 方法,以匯出至指定的 XML 檔。
AdminControl.invoke(mbean, 'exportTargetTree', '/opt/IBM/WebSphere/AppServer/targetTree.xml')
靜態遞送檔是一種特殊類型的遞送檔,可讓 Proxy 伺服器用來將要求從 Proxy 伺服器直接遞送至應用程式伺服器。它不是用來將要求從 Web 伺服器外掛程式遞送至應用程式伺服器。
- 使用部署管理程式指令行,將 targetTree.xml 檔從部署管理程式傳送至 Proxy 伺服器的 profile_root/staticRoutes 目錄。
會透過 FTP 或其他某種通訊協定,將檔案從部署管理程式傳送至 Proxy 伺服器。
如果您的安全 Proxy 伺服器會與多個 Cell 溝通,您可以將每一個 Cell 的靜態遞送檔新增至 profile_root/staticRoutes 目錄。安全 Proxy 伺服器會將 profile_root/staticRoutes 目錄中包括的任何 xxx.xml 檔視為靜態遞送檔。
檔案未必命名為 targetTree.xml。
當您將多個 xxx.xml 檔新增至安全 Proxy 伺服器的 profile_root/staticRoutes 目錄時,安全 Proxy 伺服器會合併這所有檔案的內容。這項合併的結果是產生單一靜態遞送檔,以供安全 Proxy 伺服器用來將要求遞送至任何 Cell 中的伺服器。
避免困難: 合併程序不包含
profile_root/staticRoutes 目錄之子目錄中的任何檔案。因此,當安全 Proxy 伺服器將要求遞送至伺服器時,不會使用任何子目錄中的檔案所包含的任何內容。
gotcha
影響靜態遞送檔內容的屬性變更,例如,變更虛擬主機、新增或刪除 Proxy 伺服器叢集成員、變更 Proxy 伺服器叢集成員的加權,或是安裝或解除安裝應用程式,會自動重新產生靜態遞送檔。
- 從系統指令行啟動 Proxy 伺服器:
profile_root/startServer proxy_server_name
- 如果要配置動態遞送,請遵循下列步驟:
- 在應用程式伺服器 Cell 中配置核心群組橋接器。請參閱「配置與 DMZ Secure Proxy Server 上之核心群組之間的通訊」主題。
- 將通道範本設定匯出至檔案。從 wsadmin 工具,使用
exportTunnelTemplate 指令來匯出設定,如下列範例所示:
AdminTask.exportTunnelTemplate('[-tunnelTemplateName exportedTunnelTemplate
-outputFileName tunnelTemplate1.props]')
- 將通道範本設定匯入至 DMZ Proxy 配置,如下列範例所示:
AdminTask.importTunnelTemplate('[-inputFileName tunnelTemplate1.props
-bridgeInterfaceNodeName DMZNode01 -bridge InterfaceServerName DMZProxyServer01]')
- 從系統指令行啟動 Proxy 伺服器:
profile_root/startServer proxy_server_name
- 如果要配置 SSL 通訊,請遵循下列步驟:
- 使用 retrieveSigners 指令,來配置 ssl.client.props 內容檔。請參產品說明文件中與使用 retrieveSigners 指令相關的主題,以取得詳細資料。
- com.ibm.ssl.trustStore 內容應設為指向安全 Proxy 伺服器 trust.p12 檔。例如:
${user.root}/config/cells/SecureProxyCell1/nodes/SecureProxyNode1/trust.p12
- 在執行指令時,請指定應用程式伺服器所在 Cell 的信任儲存庫名稱。依預設,其名稱是 CellDefaultTrustStore。之後可以使用 retrieveSigners 指令,將安全 Proxy 伺服器更新為信任應用程式伺服器 Cell:
retrieveSigners CellDefaultTrustStore AnotherTrustStore -host mybackendDmgr.location.com -port 8879