Создание и настройка веб-ресурсов

Описание создания и настройки веб-ресурсов

Стандартный защищаемый веб-ресурс. Процесс настройки веб-ресурса будет зависеть от того планируется ли использовать данный веб-ресурс на портале, где в настройках HTTP-портала активирована функция Single WEB/gRPC-Resource.

При использовании нескольких веб-ресурсов на портале необходимо придерживаться требований к защищаемым ресурсам при портальном доступе.

  1. Откройте страницу конфигурации в кластере: Clusters > <Имя кластера> > All configuration > <Имя конфигурации>.


  2. Перейдите на вкладку Resources и создайте новый веб-ресурс: кнопка Web resource.


  3. Введите основные параметры защищаемого ресурса. Описание возможных настроек для Web-ресурса указано в таблице:
    Наименование Пример значения Описание
    Enabled / Опция показа доступности ресурса на портале
    Name web-resource-01 Название ресурса, которое будет отображаться в конфигурации (доступны любые символы unicode)
    Description Описание ресурса Описание ресурса в конфигурации (доступны любые символы unicode)
    Suffix
    • 1 вариант: test-resource – суффикс должен совпадать с именем директории ресурса, которое вводится в поле path в Remote resource URI


    • 2 вариант: / – если данный ресурс будет использоваться в качестве единственного на портале (параметр Single WEB/gRPC-Resource активен в настройках HTTP-портала), то в данном поле нужно проставить просто слеш
    		 Часть URL-ресурса, которую будут использовать пользователи для обращения к данному ресурсу
    Важное замечание: Может содержать только буквенно-цифровые символы и символы «/», «-», «_», «.»
    User visible name WEB ресурс Имя, с которым данный ресурс на портале будет виден пользователю (доступны любые символы unicode)
    User visible description Описание ресурса Краткое описание данного ресурса, которое видит пользователь, описывающее назначение ресурса (доступны любые символы unicode)
    Remote resource URI
    • http://
    • https://
    		 / example.com / test-resource
    		URL-адрес ресурса, к которому предоставляется доступ. В выпадающем меню выберите обязательные параметры: протокол передачи данных и имя хоста (hostname). В поле hostname можно дописать порт, порт не обязателен. Путь (path) должен совпадать с Suffix
    Прим.: Обратите внимание, что «/» уже есть в форме URI
  4. Установите балансировку бэкендов. Нажмите кнопку Set backends balance для перехода в меню настройки.


    Наименование Пример значения Описание
    Remote resource URI
    • http://
    • https://
    		 / example.com / test_resource
    		Вы можете редактировать основное доменное имя и путь к ресурсу Название апстрима будет сгенерировано автоматически
    Табл. 1. Параметры балансировки
    Наименование Пример значения Описание
    Balancing algorithm
    • Round-Robin
    • Hash
    • IP Hash
    • Least Connection
    • Random
    		 Выбор алгоритма балансировки
    Keep-alive cached connections: 1000 Установка количества кэшируемых соединений
    Address
    • Address — адрес конечной точки (backend address);
    • Weight — влияет на распределение подключений между конечными точками в пропорции;
    • Backupвкл./выкл. в качестве резервного;
    • Downотключить / включить;
    • Max Connections — задаёт максимальное количество одновременных подключений к данной конечной точке;
    • Max Fails — максимальное количество попыток, после которых данная конечная точка признаётся нерабочей;
    • Fail Timeout — период времени для которого идёт расчёт времени неудачных попыток подключения, сек
    		 Адрес может быть введён как доменное имя или IP-адрес (указание порта не обязательно) или в качестве пути сокета Unix Domain, указанного после префикса «Unix:»

    Для ввода дополнительного адреса нажмите , в этом случае станут доступны дополнительные параметры конечной точки, в дополнение к заданию Address
  5. При необходимости введите продвинутые настройки веб-ресурса. Для открытия списка расширенных настроек нажмите кнопку Advanced settings:
    Наименование Пример значения Описание
    Portal Link Полный путь к ресурсу.
    Прим.:

    Не заполнять, если на HTTP-портале используется Single web resource
    Require trusted HTTPS
    • No
    • Ordinary TLS
    • CSP TLS
    • Ordinary TLS + Certificate
    • CSP TLS + Certificate
    		 Выбор типа аутентификации удалённого сервера:
    • No – доверие https отсутствует;
    • Ordinary TLS, CSP TLS – используется только Протокол защиты транспортного уровня (TLS);
    • Ordinary / CSP TLS + Certificate – используется протокол TLS вместе с проверкой подлинности клиентского сертификата
    См. подробнее о настройке Require trusted HTTPS на шаге 7
    Enable SNI usage / Включить передачу имени сервера через TLS SNI при установке соединения с прокси-сервером HTTPS
    Suppress host header / Отключить передачу заголовка хоста при установлении соединения с прокси-сервером
    Only use local CRL / При активации данной функции при аутентификации будет использоваться только локальные CRL
    Enable buffering / Включить буферизацию ответов прокси-сервера
    Hidden / При активации данной функции ресурс не будет виден на портале, как доступный, но всё равно будет доступен через веб-браузер
    Icon /ng-static/icons/icon.png URI иконки приложения. Значок, который будет отображаться на портале вместе с именем пользователя
    Proxy Protocol Version Выбор из выпадающего меню:
    • HTTP 1.0
    • HTTP 1.1
    		Выбор версии протокола HTTP, используемой для проксирования
    Enable TLS session caching / Для обычного HTTPS разрешает кэширование сеанса TLS для подключения к ресурсам на затворе. Не влияет на ресурсы, поддерживаемые ГОСТ
    URL Rewrite type text/html text/xml (введите заменяемый MIME-тип, затем через пробел MIME-тип, на который необходимо заменить) Определение заголовка типа содержимого, где необходимо выполнить переписывание URL-адресов
    Rewrite rules https://example.com

    https://gost.example.com

    		 Правила регулярных выражений, используемые для перезаписи содержимого страниц.

    Для создания нового нажмите Add
    Rewrite location example.com

    gost.example.com

    		 Правила регулярных выражений, используемые для перезаписи содержимого страниц.

    Для создания нового нажмите Add
    Cookie domain rewrite Укажите текст, который должен быть изменен в атрибуте домена полей заголовка «Set-Cookie» ответа прокси-сервера.

    Для создания нового нажмите Add
    Write timeout 60 Ограничение времени запросов на запись, сек
    Read timeout 60 Ограничение времени запросов на чтение, сек
    Keep-alive timeout 75 Ограничение времени запросов на чтение, сек
    Client send timeout 60 Ограничение времени передачи ответа клиенту, сек
  6. Сохраните настройки веб-ресурса Save. Выйти без сохранения – Go back without saving changes. Созданный ресурс отобразится на странице списка ресурсов данной конфигурации.
  7. Если задано требование доверия для соединения HTTPS (Require trusted HTTPS) задано активным, то необходимо выполнить привязку сертификатов к созданным веб-ресурсам в зависимости от выбранного типа аутентификации:
    1. Разверните дополнительное меню веб-ресурса при помощи кнопки Expand.


    2. В случае использования Ordinary / CSP TLS выполните привязку сертификата доверенного УЦ (Trusted CA), использующегося для установки соединения TLS. Нажмите Assign в поле Trusted CA.


      Установка корневых сертификатов удостоверяющего центра
    3. Выберите сертификат(-ы) из списка CA Certificates, отметив нужные , сохраните Save.


    4. В случае использования Ordinary / CSP TLS + Certificate выполните привязку сертификата доверенного УЦ (Trusted CA), УЦ проверки подлинности корневой (Credentials CA) и при необходимости промежуточного (Intermediate CA), мандат шлюза (Gateway credentials). Нажмите Assign в поле Trusted CA.


      • Credentials CA нажмите Assign, в списке сертификатов CA Certificates установите переключатель для привязки УЦ к данному ресурсу. Сохраните Save.
      • Intermediate CA нажмите Assign, в списке промежуточных сертификатов CA Certificates отметьте нужные промежуточные сертификаты УЦ , сохраните Save.
      • Client Credentials нажмите Assign, в списке клиентских мандатов установите переключатель , чтобы привязать мандат клиента к ресурсу, сохраните Save.
  8. Выполните привязку наборов динамических или статических заголовков:
    1. Нажмите Assign в соответствующей графе для Static HeaderSet или Dynamic HeaderSet:


    2. Установите в поле Assign переключатель для выбора нужного набора заголовков из списка. При необходимости можно отредактировать параметры набора заголовков: Edit.
      Подробнее смотрите в разделах: