構成ファイルを準備する
AppScan 360° 環境の設定後でインストールの前に、構成ファイルsingular-singular.clusterKit.properties または singular-singular.clusterKit.yaml を準備します。この構成ファイルは、インストール時に AppScan 360° セントラル・プラットフォームおよび AppScan 修復アドバイザリー インストール・ファイルが参照します。
構成ファイルを準備するには、次の手順を実行します。
- テキスト・エディターで新しいファイルを作成します。
- 次の表の説明に従って、ファイルに適切なパラメーターを入力します。注: カスタマイズ・ファイルの一部としてサーバー証明書を指定すると、サービス・エントリー・ポイント・イングレス証明書として使用することができます。使用する場合は、次のように PEM 形式の証明書として指定します。
*.crtまたは*.cerファイル内の公開鍵*.keyファイル内の秘密鍵
- インストール方法に応じて、ファイル名を
singular-singular.clusterKit.propertiesまたはsingular-singular.clusterKit.yamlとし、インストール・キットを保存したフォルダーまたは保存する予定のフォルダーに保存します。注: 自己解凍型インストール・ファイルは、インストール・プロセス中にこのファイルを見つけることができる必要があります。
構成に関する注意
カスタマイズ・ファイルの一部としてサーバー証明書を指定すると、サービス・エントリー・ポイント・イングレス証明書として使用することができます。使用する場合は、次のように PEM 形式の証明書として指定します。
*.crtまたは*.cerファイル内の公開鍵*.keyファイル内の秘密鍵
構成パラメーター
注: すべてのパラメーター値を引用符で囲みます。
ヒント: このページの右上にある右矢印 (>) をクリックして、テーブルの内容を展開します。
| パラメーター | 説明 | 値の例 |
|---|---|---|
CK_DOCKER_REGISTRY_ADDRESS |
Docker イメージ・レジストリ・アドレス (FQDN)。コロンで区切られていて、ポートがある場合もあります | pi-dpr-lin.appscan.com |
CK_DOCKER_REGISTRY_USERNAME |
Docker イメージ・レジストリー・ユーザー名 | |
CK_DOCKER_REGISTRY_PASSWORD |
Docker イメージ・レジストリー・パスワード | |
CK_CNI_NETWORK_DOMAIN_SUFFIX |
指定されたドメイン・サービス名 | appscan.com |
CK_CSI_STORAGE_CLASS_NAME |
Kubernetes ストレージ・ドライバー・クラス名 | longhorn |
CK_CSI_STORAGE_SHARED_FILE_SYSTEM_VOLUME_NAME |
共有ファイル・システム用に自動生成された PVC (Persistent Volume Claim) で使用される Kubernetes 事前定義 PV (Persistent Volume)。 注:
|
|
CK_CSI_STORAGE_SHARED_FILE_SYSTEM_REQUESTED_CAPACITY |
Kubernetes 共有ストレージ指定サイズ。インストール前に、説明の計算ロジックに従って計算されます。 | 100Gi |
CK_INGRESS_CONTROLLER_CAPABILITIES_IS_HTTPS_BACKEND_PROTOCOL_SUPPORTED |
ingress コントローラーが NGINX であるか、または SSL オンロード (HTTPS バックエンド・プロトコル) がingress コントローラーでサポートされているか (アノテーションによってではなく、コントローラー自体によって) を示します。 | false |
CK_INGRESS_INTERNAL_CLASS |
Kubernetes クラスターに ingress をデプロイするときに使用される ingress クラス名。 | nginx |
CK_INGRESS_INTERNAL_HOST_DOMAIN |
ホスト名を構築するために Kubernetes クラスターに ingress をデプロイするときに使用されるドメイン。 注: 空白のままにしておくと、
CK_CNI_NETWORK_DOMAIN_SUFFIX から取得されます。 |
appscan.com |
CK_INGRESS_INTERNAL_HOST_SUBDOMAIN |
ホスト名を構築するために Kubernetes クラスターに ingress をデプロイするときに使用されるサブドメイン。 | expo.ascp |
CK_CUSTOMER_INGRESS_CERTIFICATE_ENABLED |
所定の証明書を、該当する外部 (クラスター外) マイクロサービス入力証明書として使用するかどうかを示します。 注: 次に示すように、サーバー証明書を、サービス・エントリー・ポイント入力証明書として使用するカスタマイズ・ファイルの一部として提供するか、PEM 形式の証明書として提供します。
|
false |
CK_CUSTOMER_INGRESS_CERTIFICATE_SECRET_DATA_CA_CRT_AS_BASE64 |
外部 (クラスター外) マイクロサービス・イングレス証明書として使用される証明書の指定された認証局 (CA) 署名証明書。 | <BASE64_ENCODED_VALUE> |
CK_CUSTOMER_INGRESS_CERTIFICATE_SECRET_DATA_TLS_CRT_AS_BASE64 |
外部 (クラスター外) マイクロサービス・イングレス証明書として使用される証明書の指定された公開鍵。 | <BASE64_ENCODED_VALUE> |
CK_CUSTOMER_INGRESS_CERTIFICATE_SECRET_DATA_TLS_KEY_AS_BASE64 |
外部 (クラスター外) マイクロサービス・イングレス証明書として使用される証明書の指定された秘密鍵。 | <BASE64_ENCODED_VALUE> |
CK_CONFIGURATION_DISCLOSED_SITE_URL |
AppScan 360° フロントエンド URL。 注: URL のディレクトリーの末尾にスラッシュ (/) を付けないでください。 |
https://expo.ascp.appscan.com |
CK_CONFIGURATION_DISCLOSED_EXTERNAL_IDP_MODE |
新規ユーザーをオンボーディングする方法を定義します。
|
AutoOnboard |
CK_CONFIGURATION_DISCLOSED_LDAP_DOMAIN |
LDAP サーバー/サービス・ドメイン 重要: AppScan 360° バージョン 1.1.0 以前からアップグレードする場合、LDAP の構成をそのまま再利用はできません。インストールの前に、すべての LDAP パラメーターが現在/更新済み AppScan 360° の要件を満たしていることを確認する必要があります。 |
appscan.il |
CK_CONFIGURATION_DISCLOSED_LDAP_USERNAME |
接続を確立するための LDAP サーバー/サービス・ユーザー名。 注: CK_CONFIGURATION_DISCLOSED_EXTERNAL_IDP_MODE に「ManualOnboard」が選択されているときに該当します。 |
<LDAP_USERNAME> |
CK_CONFIGURATION_DISCLOSED_LDAP_AUTHORIZED_GROUPS |
アクセスを許可されている LDAP グループの顧客リスト (コンマ区切り) AppScan 360° 注:
CK_CONFIGURATION_DISCLOSED_EXTERNAL_IDP_MODE に「GroupsAccess」が指定されているときに該当します。 |
|
CK_CONFIGURATION_DISCLOSED_LDAP_SSL |
LDAP サーバー/サービスに対してセキュリティー保護された接続 (SSL/TLS 経由で) が確立されるかどうかを示します。 | false |
CK_CONFIGURATION_DISCLOSED_LDAP_TARGET_OU |
LDAP クエリー用の AD (Active Directory) 内のユーザーの指定された場所。AppScan 360° へのログイン時に AD ユーザーを認証するために使用されます。 | Users,DC=appscan,DC=com |
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_HOST |
SMTP メール・サーバー/サービス・ホスト名。 | wfilsus.israel.ottawa.watchfire.com |
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_PORT |
SMTP メール・サーバー/サービス・ポート。 | 25 |
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_USERNAME |
接続を確立するための SMTP メール・サーバー/サービス・ユーザー名。 | <SMTP_USERNAME> |
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_ENABLE_SSL |
SMTP メール・サーバー/サービスに対してセキュリティー保護された接続 (SSL/TLS 経由で) が確立されるかどうかを示します。 | false |
|
|
オプション。専用アップストリーム・プロキシーのホスト名。 |
10.255.255.255 |
CK_CONFIGURATION_DISCLOSED_UPSTREAM_PROXY_PORT |
オプション。専用アップストリーム・プロキシーのポート。 | 3762 |
CK_CONFIGURATION_CONFIDENTIAL_UPSTREAM_PROXY_USERNAME |
オプション。専用アップストリーム・プロキシーのユーザー名。 | ProxyUserName |
CK_CONFIGURATION_CONFIDENTIAL_DEFAULT_CONNECTION |
データベースとの接続を確立するために使用される MSSQL データ・ストア (データベース) 接続文字列。 | <DB_CONNECT_STRING> |
CK_CONFIGURATION_CONFIDENTIAL_LDAP_PASSWORD |
接続を確立するための LDAP サーバー/サービス・パスワード。 注:
CK_CONFIGURATION_DISCLOSED_EXTERNAL_IDP_MODE に「ManualOnboard」が指定されている場合に該当します。 |
<LDAP_PASSWORD> |
CK_CONFIGURATION_CONFIDENTIAL_MAIL_SMTP_PASSWORD |
接続を確立するための SMTP メール・サーバー/サービス・パスワード。 | <SMTP_PASSWORD> |
CK_CONFIGURATION_DISCLOSED_UPSTREAM_PROXY_PASSWORD |
オプション。専用アップストリーム・プロキシーのパスワード。 | <PROXY_PASSWORD> |
例singular-singular.clusterKit.properties
#
## Docker Registry info
#
CK_DOCKER_REGISTRY_ADDRESS='pi-dpr-lin.appscan.com'
CK_DOCKER_REGISTRY_USERNAME='user'
CK_DOCKER_REGISTRY_PASSWORD='password'
#
## Network info
#
CK_CNI_NETWORK_DOMAIN_SUFFIX='appscan.com'
#
## Storage info
#
CK_CSI_STORAGE_CLASS_NAME='longhorn'
CK_CSI_STORAGE_SHARED_FILE_SYSTEM_VOLUME_NAME=''
CK_CSI_STORAGE_SHARED_FILE_SYSTEM_REQUESTED_CAPACITY='100Gi'
#
## Ingress info
#
CK_INGRESS_CONTROLLER_CAPABILITIES_IS_HTTPS_BACKEND_PROTOCOL_SUPPORTED='false'
CK_INGRESS_INTERNAL_CLASS='nginx'
CK_INGRESS_INTERNAL_HOST_DOMAIN='appscan.com'
CK_INGRESS_INTERNAL_HOST_SUBDOMAIN='expo.ascp'
#
## Customer certificate info
#
CK_CUSTOMER_INGRESS_CERTIFICATE_ENABLED='false'
CK_CUSTOMER_INGRESS_CERTIFICATE_SECRET_DATA_CA_CRT_AS_BASE64=' '
CK_CUSTOMER_INGRESS_CERTIFICATE_SECRET_DATA_TLS_CRT_AS_BASE64=' '
CK_CUSTOMER_INGRESS_CERTIFICATE_SECRET_DATA_TLS_KEY_AS_BASE64=' '
#
## Configuration/Disclosed info
#
CK_CONFIGURATION_DISCLOSED_SITE_URL='https://expo.ascp.appscan.com'
CK_CONFIGURATION_DISCLOSED_UPSTREAM_PROXY_HOST=''
CK_CONFIGURATION_DISCLOSED_UPSTREAM_PROXY_PORT=''
CK_CONFIGURATION_DISCLOSED_UPSTREAM_PROXY_USERNAME=''
CK_CONFIGURATION_DISCLOSED_EXTERNAL_IDP_MODE='AutoOnboard'
CK_CONFIGURATION_DISCLOSED_LDAP_DOMAIN='appscan.com'
CK_CONFIGURATION_DISCLOSED_LDAP_USERNAME='labmgr'
CK_CONFIGURATION_DISCLOSED_LDAP_AUTHORIZED_GROUPS=''
CK_CONFIGURATION_DISCLOSED_LDAP_SSL='false'
CK_CONFIGURATION_DISCLOSED_LDAP_TARGET_OU='CN=Users,DC=appscan,DC=com'
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_HOST='wfilsus.israel.ottawa.watchfire.com'
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_PORT='25'
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_USERNAME='admin@abcd'
CK_CONFIGURATION_DISCLOSED_MAIL_SMTP_ENABLE_SSL='false'
#
## Configuration/Confidential info
#
CK_CONFIGURATION_CONFIDENTIAL_DEFAULT_CONNECTION='Data Source=mssql-service.expo.ascp.appscan.com;Initial Catalog=AppScanCloudDB;User ID=ABC;Password=1234;MultipleActiveResultSets=True;TrustServerCertificate=True'
CK_CONFIGURATION_CONFIDENTIAL_LDAP_PASSWORD='12345678Abcdefg'
CK_CONFIGURATION_CONFIDENTIAL_MAIL_SMTP_PASSWORD='ABC!@#123'
CK_CONFIGURATION_CONFIDENTIAL_UPSTREAM_PROXY_PASSWORD=''
例singular-singular.clusterKit.yaml
# Default values for ascp-dart-prime.
# This is a YAML-formatted file.
# Declare variables to be passed into your templates.
#
# Settings that need to be customized by the customer are marked with 'CUSTOMIZE_ME' comments
#
global:
# customer:
# certificate:
# ingress:
# # CUSTOMIZE_ME:
# # Indication whether to use a customer given certificate as the applicable external (out-of-cluster) micro services ingresses certificates, or not
# enabled: false
# secret:
# data:
# # CUSTOMIZE_ME:
# # The customer's supplied certificate authority (CA) signing certificate of the certificate used as the applicable external (out-of-cluster) micro services ingresses certificates
# caCrtAsBase64: ''
# # CUSTOMIZE_ME:
# # The customer's supplied public key of the certificate used as the applicable external (out-of-cluster) micro services ingresses certificates
# tlsCrtAsBase64: ''
# # CUSTOMIZE_ME:
# # The customer's supplied private key of the certificate used as the applicable external (out-of-cluster) micro services ingresses certificates
# tlsKeyAsBase64: ''
workload:
dockerPrivateRegistry:
secret:
enabled: true
name: ascp-docker-registry-secret
data:
# Auto generated Docker private registry user credentials configuration
jsonConfigAsBase64: ""
storage:
pvc:
linux:
enabled: true
# The customer's K8S storage driver access mode
# NOTE: Set on 'ReadWriteMany' and should not be changed
accessMode: ReadWriteMany
# CUSTOMIZE_ME:
# The customer's K8S storage driver class name
# NOTE: The CSI driver must support 'ReadWriteMany' access mode
# storageClassName: freenas-nfs-csi
storageClassName: longhorn
# CUSTOMIZE_ME:
# The customer's K8S predefined PV (Persistent Volume), to be used with the auto-generated PVC (Persistent Volume Claim) for the shared file system
# NOTES:
# 1. This field is optional, if left empty, the designated PV will be generated automatically by the PVC
# 2. This ability is generally used in case migrating from the Windows VM based version of AppScan 360°, and there is a need to keep the existing (shared) data
# 3. Note: In case the PV is NOT intended to be associated with any storage class, do the following:
# 3.1 The storage class name parameter (CK_CSI_STORAGE_CLASS_NAME) should be set to a pseudo one (e.g., 'manual')
# 3.2 The PV should be set in the same way (regarding its storage-class parameter) as the PVC
volumeName: null
# CUSTOMIZE_ME:
# The customer's K8S shared storage designated size, to be calculated before installation, following the calculation logic outlined in the formal documentation
requestedCapacity: 50Gi
ca:
seed:
enabled: true
issuer:
name: appscan-seed-ca-clusterissuer
kind: ClusterIssuer
root:
secret:
data:
# Auto generated root CA certificate
tlsCrtAsBase64: null
# Auto generated root CA private key
tlsKeyAsBase64: null
certificate:
name: appscan-root-ca-cert
duration: 26280h0m0s # 3 years
renewBefore: 8760h0m0s # 1 year
# ingress:
# controller:
# capabilities:
# # CUSTOMIZE_ME:
# # Indicates whether the Ingress Controller is based on NGINX, or the SSL onload (HTTPS backend protocol) is supported by the ingress controller (not via an annotation, but by the controller itself!), or not
# isHttpsBackendProtocolSupported: true
# internal:
# # CUSTOMIZE_ME:
# # The ingress class name to be used when deploying ingresses into the customer's K8S cluster
# class: nginx
# host:
# # CUSTOMIZE_ME:
# # The (main) domain to be used when deploying ingresses into the customer's K8S cluster (for building the host name)
# # NOTE: If left empty, it will be taken from the 'global.network.domainSuffix' field
# domain: appscan.com
# # CUSTOMIZE_ME:
# # The sub domain to be used when deploying ingresses into the customer's K8S cluster (for building the host name)
# subDomain: as360
network:
# CUSTOMIZE_ME:
# The customer's designated (main) domain name
domainSuffix: appscan.com
configuration:
disclosed:
# CUSTOMIZE_ME:
# AS360 frontend URL (of the UI)
# NOTE: The URL must NOT have a trailing '/' at the end of the URL (A valid example: 'https://mydomain.server.com', an invalid example: 'https://mydomain.server.com/')
siteUrl: ''
# CUSTOMIZE_ME:
# The customer's LDAP server/service domain
ldapDomain: ''
# CUSTOMIZE_ME:
# The customer's LDAP server/service user name (for establishing connection)
# NOTE: Relevant IFF 'ManualOnboard' is selected for the 'global.configuration.externalIDPMode' parameter
ldapUsername: ''
# CUSTOMIZE_ME:
# The customer's list of LDAP groups (comma-separated) that are authorized to access the AppScan 360°
# NOTE: Relevant IFF 'GroupsAccess' is selected for the 'global.configuration.externalIDPMode' parameter
ldapAuthorizedGroups: ''
# CUSTOMIZE_ME:
# Indicates whether to establish a secured (over SSL/TLS) connection towards the customer's LDAP server/service, or not
# NOTE: Valid values are 'True' or 'False'
ldapSsl: ''
# CUSTOMIZE_ME:
# The customer's designated location of the users in the its AD (Active Directory) for LDAP queries, it is used to authenticate AD users during login to AppScan 360°
ldapTargetOU: ''
# CUSTOMIZE_ME:
# The customer's SMTP mail server/service host name
mailSmtpHost: ''
# CUSTOMIZE_ME:
# The customer's SMTP mail server/service port
mailSmtpPort: ''
# CUSTOMIZE_ME:
# The customer's SMTP mail server/service user name (for establishing connection)
mailSmtpUserName: ''
# CUSTOMIZE_ME:
# Indicates whether to establish a secured (over SSL/TLS) connection towards the customer's SMTP mail server/service, or not
# NOTE: Valid values are 'True' or 'False'
mailSmtpEnableSsl: ''
# CUSTOMIZE_ME:
# Define your method for onboarding new users:
# AutoOnboard: Any user with access to the server can log in to AppScan 360°.
# GroupsAccess: Any user in an authorized group (defined below) can log in to AppScan 360°.
# ManualOnboard: Users must be invited using the Add Users button on the Access management > Users page.
externalIDPMode: ''
# CUSTOMIZE_ME:
# Optional set of parameters, to be used IFF the customer has a dedicated upstream proxy (used to enable Internet access from within the customer's network),
# holding the customer's upstream proxy settings (for establishing connection), if applicable.
# NOTES:
# 1. Currently there is NO support using a script to configure the upstream proxy settings
# The customer's upstream proxy host (an optional parameter, to be used IFF the customer has a dedicated upstream proxy)
upstreamProxyHost: ''
# CUSTOMIZE_ME:
# The customer's upstream proxy port (an optional parameter, to be used IFF the customer has a dedicated upstream proxy)
upstreamProxyPort: ''
# CUSTOMIZE_ME:
# The customer's upstream proxy username (an optional parameter, to be used IFF the customer has a dedicated upstream proxy)
upstreamProxyUsername: ''
confidential:
# CUSTOMIZE_ME:
# The customer's MSSQL data store (database) connection string (used to established a connection with the database)
defaultConnection: ''
# CUSTOMIZE_ME:
# The customer's LDAP server/service password (for establishing connection)
# NOTE: Relevant IFF 'ManualOnboard' is selected for the 'global.configuration.externalIDPMode' parameter
ldapPassword: ''
# CUSTOMIZE_ME:
# The customer's SMTP mail server/service password (for establishing connection)
mailSmtpPassword: ''
# CUSTOMIZE_ME:
# The customer's upstream proxy password (for establishing connection), an optional parameter, to be used IFF the customer has a dedicated upstream proxy
upstreamProxyPassword: ''
#
# Below entries are not required for ASOP/AS360
#
opsConsoleDPKey : ''
oktaClientSecret: ''
oktaApiToken: ''
licenseApiKey: ''
githubClientSecret: ''
common:
ingress:
enabled: false
service:
enabled: false
helmHooks:
rbacBaseName: helm-hooks-rbac
ascp-user-portal-ui:
enabled: true
ascp-domain-challenger:
enabled: true
ascp-egress-gatekeeper:
enabled: true
ascp-mr-tasks-manager:
enabled: true
ascp-mr-user-api:
enabled: true
ascp-mr-scanners-api:
enabled: true
ascp-mr-presence-api:
enabled: true