Instructions de déploiement
Les sections suivantes contiennent des instructions pour le déploiement de conteneurs OneSpan Sign :
Avant de commencer
Avant de commencer, vous devez vous assurer que votre système satisfait aux conditions matérielles et logicielles préalables au déploiement.
Vous devez également avoir installé les outils tiers suivants :
Pour savoir comment installer et configurer ces outils, cliquez sur leurs liens dans la liste ci-dessus :
Nous vous recommandons vivement de bloquer l’accès externe à tous les chemins locaux :
/sysinfo/*
/esep/admin-console/*
/backoffice/*
/sso/saml/web/metadata/login
Téléchargement du graphique OneSpan Sign Helm
Pour télécharger le dernier graphique Helm, contactez votre conseiller du service clientèle ou notre notre équipe de soutien.
Sécurisation de l'accès au registre Docker
Avant de commencer à déployer les conteneurs, vous devez obtenir l'accès au registre Docker de OneSpan Sign. Cela vous permettra de tirer les images Docker de OneSpan Sign pendant l'installation de Helm. Pour obtenir cet accès, vous devez créer un objet secret Kubernetes approprié dans votre espace de noms.
L'exemple de fichier regcred.yaml suivant explique comment déclarer un secret de registre :
apiVersion: v1 data: .dockerconfigjson: abcdefghijklmn kind: Secret metadata: name: regcred type: kubernetes.io/dockerconfigjso
Une fois que c'est fait, vous pouvez créer un objet secret Kubernetes dans votre espace de noms cible :
$ kubectl apply -f regcred.yaml -namespace my-namespace
Vous devez avoir effectué les actions ci-dessus avant de continuer.
Pour plus d’informations sur la création de secrets Kubernetes, consultez Secrets de Kubernetes.
Configuration du graphique de Helm
Les sections suivantes traitent des différents aspects de la configuration de la carte Helm :
Spécification d'une URL publique & d'un registre de conteneurs
L'installation de OneSpan Sign nécessite une URL de service public et un registre de conteneurs précis. L'exemple suivant illustre une façon de les spécifier :
global: publicUrl: "<url>" # Public Edge/Loadbalancer Url containerRegistry: "onespan.jfrog.io/oss-onprem-docker-local" # Global registry for all containers
Si vous utilisez un dépôt distinct pour chaque composant (comme dans notre dépôt jfrog ), vous devez fournir l'argument repository pour chaque composant. Par exemple :
envoy-load-balancer: repository: oss-gateway sysinfo: repository: oss-system-information sender-ui: repository: oss-sender-ui signer-ui: repository: oss-signer-ui backend-admin: repository: oss-backend-admin backend: repository: oss-backend backend-database-setup: repository: oss-backend-database-setup oracleRepository: oss-platform-database-setup platform: repository: oss-platform platform-admin: repository: oss-platform-admin platform-database-setup: repository: oss-platform-database-setup oracleRepository: oss-platform-database-setup aspose-document-converter: repository: oss-aspose-pdf-converter document-engine: repository: oss-document-engine sso: enabled: true repository: oss-single-sign-on platform-seed: repository: oss-resource-manager-tenant-seeds
Ajout de certificats externes de serveur SMTP
La procédure suivante ajoute les certificats externes d'un serveur SMTP dans un environnement de conteneur OneSpan Sign.
Pour ajouter des certificats externes à partir d'un serveur SMTP :
-
Dans le fichier my-values.yaml mettez à jour la propriété customCA pour inclure les certificats de votre serveur SMTP (p. ex. : Outlook, Google.com).
Votre paquet d'autorité de certification (AC) personnalisé doit être au format PEM (Privacy Enhanced Mail). Il doit contenir le paquet de certificats CA qui doivent être approuvés par l'application Java. Cela permet à backend ou backend-admin d'interagir avec le service SMTP (ou tout autre service).
- Si c'est la première fois que vous déployez des conteneurs OneSpan Sign, continuez la procédure. Si ce n'est pas le cas, voir Mise à niveau de OSS Container Deployment .
- Connectez-vous à OneSpan Sign BackOffice. Pour ce faire, vous devez disposer des privilèges d'administrateur appropriés. Si vous n'avez pas de compte, contactez notre équipe de soutien. Pour plus d'informations sur l'utilisation de BackOffice voir le Guide de l'administrateur de l'application.
- Mettez à jour le fichier email.properties avec les valeurs de configuration de votre serveur SMTP. Par exemple :
{
"email.endpoint" : "",
"email.service.type" : "smtpEmailService",
"email.stmp.host" : "smtp.office365.com",
"email.stmp.port" : "587",
"email.username" : "[email protected]",
"email.password" : "vP$Td&4************^En4xxhdD",
"email.stmp.ssl" : "false",
"email.stmp.tls" : "true"
}
Assurez-vous que votre domaine n'est pas bloqué et que tous les ports requis sont ouverts au réseau du cluster.
Visualisation des valeurs de paramètres par défaut
Pour visualiser les valeurs de paramètres par défaut du graphique Helm pour OneSpan Sign :
-
Exécutez la commande suivante :
$ helm inspect values oss > default-values.yaml
Un fichier default-values.yaml contenant les valeurs par défaut est alors créé.
Le fichier default-values.yaml est un bon point de départ pour créer votre propre fichier my-values.yaml personnalisé, car il explique les valeurs disponibles les plus courantes. La section Installation de OneSpan Sign à l’aide de Helm vous explique comment effectuer cette personnalisation.
Les valeurs par défaut suivantes peuvent présenter un intérêt particulier :
-
targetDatabaseType: "mysql" — Si vous choisissez d'utiliser MySQL comme fournisseur de base de données externe, vous devez modifier le fichier my-values.yaml.
-
emailTemplateType: "smtp" — Le type de service de messagerie par défaut pour OneSpan Sign est SMTP. Pour recevoir des notifications système, vous devez spécifier les secrets suivants :
emailAccessUserKey: "" emailSecretPasswordKey: "" emailSMTPHostServerName: ""
-
useExternalCertificates: "false" — Par défaut, les services OneSpan Sign sont configurés avec des certificats auto-signés. Toutefois, nous vous recommandons d'utiliser des certificats externes si vous êtes dans un environnement autre que celui du développement. Pour plus d’informations, voir Installation des certificats.
Le graphique Helm pour OneSpan Sign prend en charge les serveurs de base de données externes. Cependant, si vous décidez d'utiliser un serveur de base de données externe, vous devez fournir les informations de connexion requises.
Validation du graphique Helm
Helm peut valider un graphique en se connectant au serveur de l'API Kubernetes.
Pour valider le graphique Helm :
-
Exécutez la commande suivante :
$ helm install --dry-run oss oss \
-f my-values.yaml --debug \
--namespace my-namespace
Si la validation est réussie, le manifeste se présentera sous forme de yamls (ressources Kubernetes).
Débogage de la configuration du graphique
Helm fournit une commande "template" hors ligne permettant de déboguer des graphiques, et de tester ou prévisualiser une configuration de graphique. Cela vous permet de : (1) présenter un graphique Helm sans appliquer ses valeurs ; (2) voir ensuite les ressources que le graphique peut créer dans votre cluster Kubernetes.
Pour déboguer la configuration du graphique Helm :
-
Exécutez la commande suivante :
$ helm template --debug oss oss \
-f my-values.yaml \
--namespace my-namespace
Installation de OneSpan Sign à l’aide de Helm
Lors de l'installation de Helm, OneSpan Sign crée en arrière-plan les bases de données suivantes :
-
Base de données principale : Base de données utilisée par le composant principal.
-
OneSpan Sign Application Database : Base de données utilisée par l'application OneSpan Sign.
-
Audit Database : Base de données utilisée par le service d'audit.
La configuration initiale de ces bases de données passe par un processus de migration des données, puis par un processus d'amorçage des bases de données. Ces processus initialisent les paramètres de base pour les différents composants OneSpan Sign.
Pour obtenir des explications sur les valeurs des paramètres les plus courants, voir le fichier default-values.yaml.
Le processus d'amorçage de la base de données n'a lieu que pendant la première mise à niveau. Toute mise à niveau future sautera ce processus.
Après avoir configuré et vérifié le graphique Helm, vous pouvez commencer à personnaliser votre fichier my-values.yaml.
OneSpan fournira le fichier my-values.yaml que vous pourrez ensuite personnaliser.
Pour personnaliser puis appliquer le fichier my-values.yaml :
-
Dans le fichier, spécifiez les valeurs des paramètres obligatoires suivants :
-
publicUrl
-
containerRegistry
Par exemple :
global: publicUrl: "my-oss.mydomain.com" containerRegistry: "myregistry.com"
-
-
Spécifiez les valeurs suivantes pour le répartiteur de charge :
envoy-load-balancer: image: repository: oss-gateway externalCertificateMountPath: "/tmp/certificates" externalCertificate: true externalPublicKey: |- # If adding external public key to values, put cert underneath |- and not within quotations -----BEGIN CERTIFICATE----- puclic key in PEM format -----END CERTIFICATE----- externalPrivateKey: |- # If adding external private key to values, put cert underneath |- and not within quotations -----BEGIN RSA PRIVATE KEY----- private key in PEM format -----END RSA PRIVATE KEY----- -
Après votre installation initiale, plusieurs composants optionnels peuvent être installés pour le service OneSpan Sign. Pour spécifier les valeurs des paramètres de ces composants, vous devrez les éditer dans le fichier my-values.yaml. Par exemple :
- Préparez votre fichier my-values.yaml, en utilisant les valeurs spécifiées dans la section correspondant à la base de données que vous prévoyez d'utiliser :
sso: enabled: true remote-sign-authenticator: enabled: true
Pour obtenir des conseils sur l'édition de ces valeurs, se référer à oss/README.md.
-
Pour installer dans l'espace de noms Kubernetes my-namespace une version OneSpan Sign utilisant les valeurs spécifiées dans votre fichier my-values.yaml, exécutez la commande suivante :
$ helm install oss oss \
-f my-values.yaml \
--namespace my-namespace
Utilisation de LunaHSM
Si vous utilisez LunaHSM, des configurations supplémentaires doivent être effectuées dans le fichier my-values.yaml.
Pour personnaliser puis appliquer le fichier my-values.yaml à utiliser avec LunaHSM :
-
Préparez le fichier my-values.yaml pour déployer les graphiques Helm OSS, comme décrit dans Configuration du graphique de Helm. Étant donné que LunaHSM interagit avec le moteur de document, vous devrez fournir les configurations de moteur de document suivantes.
document-engine: image: pullPolicy: Always repository: oss/document-engine/project ## Parameters for Luna HSM, set when hsm=lunahsm hsm: lunahsm lunahsm: hsmIp: # HSM IP address or FQDN, required for Luna Network(on-premise) HSM partitionPassword: # The partition password, required for Luna Network(on-premise) HSM partitionIp: # The partition name of your Luna HSM, required for Luna Network(on-premise) HSM slotId: # Slot number of the HSM partition the Luna HSM Client is connecting to cuUser: # Username for logging into the Luna HSM from the Luna HSM client, required for Luna Network(on-premise) HSM; note: as of this writing, this user must have "admin" user rights cuPassword: # Password for logging into the Luna HSM from the Luna HSM client, required for Luna Network(on-premise) HSM cuClient: # Client username registered in the partition if using the Luna Network(on-premise) HSM clientPublicIp: # Public IP of oss kubernetes cluster -
Pour installer dans l'espace de noms Kubernetes my-namespace une version OneSpan Sign utilisant les valeurs spécifiées dans votre fichier my-values.yaml, exécutez la commande suivante :
$ helm install oss oss \ -f my-values.yaml \ --namespace my-namespace - Connectez-vous à la console d'administration de la plate-forme : https://{host}/esep/admin-console/main/index.htm
- Accédez à Gérer les paramètres > Moteur de documents PDF > Ressources, puis téléchargez les certificats suivants :
- ca-sha256-root_cert.pem
- CMG7_cert.pem
- intrm-sha256-2_cert.pem
- privatekeyhandle.pem
CPSFile Le chemin complet d'un fichier *.pem qui contient la clé privée du PDF Document Engine. | privatekeyhandle.pem#/opt/gemsigning/safenet/lunaclient/lib/libCryptoki2_64.so#0 Remarque : Si vous avez un déploiement Luna Network HSM, vous devez utiliser le format suivant pour ce paramètre : <Key Handle PEM file>#<Absolute Path>/libCryptoki2.so#<slot id> Cependant, si vous utilisez le slot id = 1 (valeur par défaut), et si la bibliothèque libCryptoki se trouve dans son "emplacement installé Luna Client", le format que vous devez utiliser pour ce paramètre est simplement <Key Handle PEM file>. |
| IntermediateCertificates | intrm-sha256-2_cert.pem |
| SignerCertificate | CMG7_cert.pem |
| TrustedCertificates | ca-sha256-root_cert.pem |
Utilisation d'une base de données Oracle existante
Pour utiliser votre propre base de données Oracle préconfigurée, vous devez fournir les informations détaillées dont Helm a besoin pour connecter correctement la base de données au serveur. Comme décrit à l'étape 3 de Installation de OneSpan Sign à l’aide de Helm, les valeurs des paramètres de la table suivante doivent être fusionnées dans le fichier my-values.yaml.
Les utilisateurs de la base de données définis dans les conteneurs de configuration de la base de données ont besoin d'autorisations DDL complètes. Les utilisateurs de la base de données définis dans le backend et les services de la plateforme ont besoin d'un DML complet sur leurs schémas respectifs.
backend-admin: targetDatabaseType: "oracle" # From the following supported options - 'mysql' (default), 'oraclecontained' for the preconfigured Oracle TestDB, 'oracle' for external Oracle oracleDatabaseHost: "" # Oracle Database Hostname (Required for external oracle database) oracleDatabaseServicePort: "" # Oracle Database Host Port (Required for external oracle database IF port is NOT 1521) oracleDatabaseUrl: "" # Oracle Database Hostname + Port ex: 'domain.com:1521' (Required for external oracle database) oracleDatabaseUserName: "" # Oracle Backend Username (Required for external oracle database) oracleDatabasePassword: "" # Oracle Backend User Password (Required for external oracle database) oracleDatabaseSchema: "" # Oracle Backend Database Schema Name (Required for external oracle database) oracleAuditDatabaseSchema: "" # Oracle Audit Database Schema Name (Required for external oracle database) backend: targetDatabaseType: "oracle" # From the following supported options - 'mysql' (default), 'oraclecontained' for the preconfigured Oracle TestDB, 'oracle' for external Oracle oracleDatabaseHost: "" # Oracle Database Hostname (Required for external oracle database) oracleDatabaseServicePort: "" # Oracle Database Host Port (Required for external oracle database IF port is NOT 1521) oracleDatabaseUrl: "" # Oracle Database Hostname + Port ex: 'domain.com:1521' (Required for external oracle database) oracleDatabaseUserName: "" # Oracle Backend Username (Required for external oracle database) oracleDatabasePassword: "" # Oracle Backend User Password (Required for external oracle database) oracleDatabaseSchema: "" # Oracle Backend Database Schema Name (Required for external oracle database) backend-database-setup: targetDatabaseType: "oracle" # From the following supported options - 'mysql' (default), 'oraclecontained' for the preconfigured Oracle TestDB, 'oracle' for external Oracle oracleCreateApplicationUsers: "" # Boolean Value to Create or not Create Application Users on Oracle Setup (Required for external oracle database) oracleCreateTableSpace: "" # Boolean Value to Create or not Create Table Spaces on Oracle Setup (Required for external oracle database) oracleCreatePlatformSchema: "" # Boolean Value to Create or not Create Platform Schema on Oracle Setup (Required for external oracle database) oracleDatabaseHost: "" # Oracle Database Hostname (Required for external oracle database) oracleDatabaseServicePort: "" # Oracle Database Host Port (Required for external oracle database IF port is NOT 1521) oracleDatabaseUrl: # Oracle Database Hostname + Port ex: 'domain.com:1521' (Required for external oracle database) oracleDatabaseSchema: # Oracle Backend Database Schema Name (Required for external oracle database) oraclePlatformDatabaseSchema: "" # Oracle Platform Database Schema Name (Required for external oracle database) oracleAuditDatabaseSchema: "" # Oracle Audit Database Schema Name (Required for external oracle database) oracleDatabaseUserName: # Oracle Backend Username (Required for external oracle database) oracleAuditDatabaseUser: "" # Oracle Audit Username (Required for external oracle database) oraclePlatformDatabaseUserName: "" # Oracle Platform Username (Required for external oracle database) oracleRootPassword: "" # Oracle Database Root Password for 'sys' user (Required for external oracle database) oracleBackendDatabasePassword: "" # Oracle Backend User Password (Required for external oracle database) oracleAuditDatabasePassword: "" # Oracle Audit User Password (Required for external oracle database) platform: targetDatabaseType: "oracle" # From the following supported options - 'mysql' (default), 'oraclecontained' for the preconfigured Oracle TestDB, 'oracle' for external Oracle oracleDatabaseHost: "" # Oracle Database Hostname (Required for external oracle database) oracleDatabaseServicePort: "" # Oracle Database Host Port (Required for external oracle database IF port is NOT 1521) oracleDatabaseUrl: "" # Oracle Database Hostname + Port ex: 'domain.com:1521' (Required for external oracle database) oraclePlatformDatabaseUserName: "" # Oracle Platform Username (Required for external oracle database) oracleDatabasePassword: "" # Oracle Platform User Password (Required for external oracle database) oracleDatabaseSchema: "" # Oracle Platform Database Schema Name (Required for external oracle database) platform-admin: targetDatabaseType: "oracle" # From the following supported options - 'mysql' (default), 'oraclecontained' for the preconfigured Oracle TestDB, 'oracle' for external Oracle oracleDatabaseHost: "" # Oracle Database Hostname (Required for external oracle database) oracleDatabaseServicePort: "" # Oracle Database Host Port (Required for external oracle database IF port is NOT 1521) oracleDatabaseUrl: "" # Oracle Database Hostname + Port ex: 'domain.com:1521' (Required for external oracle database) oraclePlatformDatabaseUserName: "" # Oracle Platform Username (Required for external oracle database) oracleDatabasePassword: "" # Oracle Platform User Password (Required for external oracle database) oracleDatabaseSchema: "" # Oracle Platform Database Schema Name (Required for external oracle database) platform-database-setup: targetDatabaseType: "oracle" # From the following supported options - 'mysql' (default), 'oraclecontained' for the preconfigured Oracle TestDB, 'oracle' for external Oracle oracleDatabaseHost: "" # Oracle Database Hostname (Required for external oracle database) oracleDatabaseServicePort: "" # Oracle Database Host Port (Required for external oracle database IF port is NOT 1521) oraclePlatformDatabaseUserName: "" # Oracle Platform Username (Required for external oracle database) oracleDatabasePassword: "" # Oracle Platform User Password (Required for external oracle database) oracleBackendDatabaseSchema: "" # Oracle Backend Database Schema Name (Required for external oracle database) oraclePlatformDatabaseSchema: "" # Oracle Platform Database Schema Name (Required for external oracle database) oracleRootPassword: "" # Oracle Database Root Password for 'sys' user (Required for external oracle database) oracleBackendDatabaseUserName: "" # Oracle Backend Username (Required for external oracle database) oracleBackendDatabasePassword: "" # Oracle Backend User Password (Required for external oracle database) oracleAuditDatabaseSchema: "" # Oracle Audit Database Schema Name (Required for external oracle database) oracleAuditDatabaseUserName: "" # Oracle Audit Username (Required for external oracle database) oracleAuditDatabasePassword: "" # Oracle Audit User Password (Required for external oracle database) oracleCreateTableSpace: "" # Boolean Value to Create or not Create Table Spaces on Oracle Setup (Required for external oracle database) oracleCreateApplicationUsers: "" # Boolean Value to Create or not Create Application Users on Oracle Setup (Required for external oracle database) oracleCreatePlatformSchema: "" # Boolean Value to Create or not Create Platform Schema on Oracle Setup (Required for external oracle database)
Si vous utilisez Amazon Relational Database Service (RDS)
Si vous utilisez le service Relational Database Service (RDS) d'Amazon, des paramètres supplémentaires doivent être ajoutés au paramètre Oracle susmentionné. En plus de ces paramètres, vous devez ajouter ceux-ci :
useAmazonRds: "true" # Required to be true for external oracle database using Amazon RDS. awsRdsMasterUserName: "<master user>" # Required for externa
Création manuelle d'espaces de table et d'utilisateurs d'applications
Si vous préférez créer manuellement des espaces de table et des utilisateurs d'applications, certaines valeurs doivent être sur false. Avant de configurer ces valeurs, vous devez d'abord créer les éléments suivants :
-
La plateforme de base de données
-
La base de données d'application et la base de données d'audit
-
Vos utilisateurs. Chaque utilisateur de base de données doit avoir les autorisations pour créer, modifier et déposer des objets.
Une fois que c'est fait, modifiez votre fichier yaml pour définir la création de certains objets sur false comme indiqué ici :
yaml backend-database-setup: oracleCreateApplicationUsers: "false" # Boolean Value to Create or not Create Application Users on Oracle Setup oracleCreateTableSpace: "false" # Boolean Value to Create or not Create Table Spaces on Oracle Setup oracleCreatePlatformSchema: "true" # Boolean Value to Create or not Create Platform Schema on Oracle Setup oracleRootPassword: "" # Oracle Database Root Password for 'sys' user (Not required when 'oracleCreateApplicationUsers' or 'oracleCreateTableSpace' or 'oracleCreatePlatformSchema' is set to 'false') oracleDatabaseHost: "" # Oracle Database Hostname oracleDatabaseServicePort: "" # Oracle Database Host Port oracleDatabaseUrl: # Oracle Database Hostname + Port ex: 'domain.com:1521' oracleDatabaseSchema: # Oracle Backend Database Schema Name oraclePlatformDatabaseSchema: "" # Oracle Platform Database Schema Name oracleAuditDatabaseSchema: "" # Oracle Audit Database Schema Name oracleDatabaseUserName: # Oracle Backend Username oracleAuditDatabaseUser: "" # Oracle Audit Username oraclePlatformDatabaseUserName: "" # Oracle Platform Username oracleBackendDatabasePassword: "" # Oracle Backend User Password oracleAuditDatabasePassword: "" # Oracle Audit User Password platform-database-setup: oracleCreateTableSpace: "false" # Boolean Value to Create or not Create Table Spaces on Oracle Setup oracleCreateApplicationUsers: "false" # Boolean Value to Create or not Create Application Users on Oracle Setup oracleCreatePlatformSchema: "false" # Boolean Value to Create or not Create Platform Schema on Oracle Setup oracleRootPassword: "" # Oracle Database Root Password for 'sys' user (Not required when 'oracleCreateApplicationUsers' or 'oracleCreateTableSpace' or 'oracleCreatePlatformSchema' is set to 'false') oracleDatabaseHost: "" # Oracle Database Hostname oracleDatabaseServicePort: "" # Oracle Database Host Port (IF port is NOT 1521) oraclePlatformDatabaseUserName: "" # Oracle Platform Username oracleDatabasePassword: "" # Oracle Platform User Password oracleBackendDatabaseSchema: "" # Oracle Backend Database Schema Name oraclePlatformDatabaseSchema: "" # Oracle Platform Database Schema Name oracleBackendDatabaseUserName: "" # Oracle Backend Username oracleBackendDatabasePassword: "" # Oracle Backend User Password oracleAuditDatabaseSchema: "" # Oracle Audit Database Schema Name oracleAuditDatabaseUserName: "" # Oracle Audit Username oracleAuditDatabasePassword: "" # Oracle Audit User Password
Utilisation d'une base de données MS SQL existante
Pour utiliser votre propre base de données Microsoft SQL Server préconfigurée, vous devez fournir les informations détaillées dont Helm a besoin pour connecter correctement la base de données au serveur. Comme décrit à l'étape 3 de Installation de OneSpan Sign à l’aide de Helm, les valeurs des paramètres de la table suivante doivent être fusionnées dans le fichier my-values.yaml.
yaml backend-admin: ## MSSQL Required parameters ## To use Your External instance - you must provide all mssql option args ## Defaults to configuration of "contained" mssql DB targetDatabaseType: "sqlserver" flywayJdbcUrl: flywayAuditJdbcUrl: mssqlHostname: mssqlDatabasePort: mssqlDatabase: mssqlDatabaseSchema: mssqlRootUsername: mssqlRootPassword: mssqlUsername: mssqlPassword: mssqlDeployUsername: mssqlDeployPassword: mssqlReadonlyUsername: mssqlReadonlyPassword: mssqlAuditDatabase: mssqlAuditDatabaseUsername: mssqlAuditDatabasePassword: mssqlAuditDeployDatabaseUsername: mssqlAuditDeployDatabasePassword: backend: ## MSSQL Required parameters below. targetDatabaseType: "sqlserver" backend-database-setup: ## MSSQL Required parameters below. targetDatabaseType: "sqlserver" platform: ## MSSQL Required parameters below. Refer from values.yaml file targetDatabaseType: "sqlserver" platform-admin: ## MSSQL Required parameters below. Refer from values.yaml file targetDatabaseType: "sqlserver" platform-database-setup: ## MSSQL Required parameters below. Refer from values.yaml file targetDatabaseType: "sqlserver" platform-seed: targetDatabaseType: "sqlserver"
Utilisation d'une base de données MYSQL existante
Pour utiliser votre propre base de données MYSQL préconfigurée, vous devez fournir les informations détaillées dont Helm a besoin pour connecter correctement la base de données au serveur. Comme décrit à l'étape 3 de Installation de OneSpan Sign à l’aide de Helm, les valeurs des paramètres de la table suivante doivent être fusionnées dans le fichier my-values.yaml.
backend-admin: mysqlDatabaseUserName: "myUser" mysqlDatabasePassword: "myPassword" mysqlDatabaseHostName: "myHostname" mysqlDatabaseServicePort: "3306" backend: mysqlDatabaseUserName: "myUser" mysqlDatabasePassword: "myPassword" mysqlDatabaseHostName: "myHostname" mysqlDatabaseServicePort: "3306" platform: mysqlDatabaseUserName: "myUser" mysqlDatabasePassword: "myPassword" mysqlDatabaseHostName: "myHostname" mysqlDatabaseServicePort: "3306" platform-admin: mysqlDatabaseUserName: "myUser" mysqlDatabasePassword: "myPassword" mysqlDatabaseHostName: "myHostname" mysqlDatabaseServicePort: "3306"
Installation des certificats
Par défaut, les composants OneSpan Sign utilisent des certificats auto-signés. Cependant, lorsque vous êtes dans un environnement non lié au développement, nous vous recommandons d'utiliser des certificats externes.
Les paramètres que vous devez configurer sont déterminés par les composants auxquels un certificat personnalisé sera appliqué.
Les paramètres suivants sont communs à chaque graphique :
- ExternalCertificates - Si vous utilisez un certificat externe, définissez cette valeur sur true. Fournit le certificat avec externalPublicKey et externalPrivateKey.
- externalPublicKey
- externalPrivateKey
Le tableau suivant décrit les certificats utilisés par chaque composant.
| Composant | Certificat et secret | Remarques |
|---|---|---|
| ##backend |
nom : backend-secret-tls
nom : backend-secret-ca-cert
nom : externalCertificateCA (voir Remarques) |
Pour passer des certificats CA pour ce composant, vous devez spécifier une valeur pour externalCertificateCA. Cela doit être fait en utilisant le Passage de certificat en ligne.
|
| ##backend-admin | nom : backend-admin-secret-tls
nom : backend-admin-secret-ca-cert
nom : externalCertificateCA (voir Remarques) |
Pour passer des certificats CA pour ce composant, vous devez spécifier une valeur pour externalCertificateCA. Cela doit être fait en utilisant le Passage de certificat en ligne. |
| ##document-engine | nom : document-engine-cert
nom : backend-admin-secret-ca-cert
|
|
| ##envoy-load-balancer | nom : secret-envoy-load-balancer-tls
nom : backend-admin-secret-ca-cert
|
|
| ##platform | nom : platform-secret-tls
nom : platform-secret-ca-cert
nom : externalCertificateCA (voir Remarques) |
Pour passer des certificats CA pour ce composant, vous devez spécifier une valeur pour externalCertificateCA. Cela doit être fait en utilisant le Passage de certificat en ligne. |
| ##platform-admin | nom : platform-admin-secret-tls
nom : platform-admin-secret-ca-cert
nom : externalCertificateCA (voir Remarques) |
Pour passer des certificats CA pour ce composant, vous devez spécifier une valeur pour externalCertificateCA. Cela doit être fait en utilisant le Passage de certificat en ligne. |
| ##remote-sign-authenticator | nom : remote-sign-authenticator-secret-tls
nom : remote-sign-authenticator-secret-ca-cert
nom : Générique
nom : externalCertificateCA (voir Remarques) |
Pour passer des certificats CA pour ce composant, vous devez spécifier une valeur pour externalCertificateCA. Cela doit être fait en utilisant le Passage de certificat en ligne. Exemple : kubectl crée un secret générique remote-sign-authenticator-secret-ca-cert --from-file=ca-all.cer |
|
##remote-sign-authenticator - GovTech |
nom : remote-sign-authenticator-issuer-cert
nom : remote-sign-authenticator-root-cert
nom : Générique
|
Le certificat pour GovTech peut être transmis sur une seule ligne via le fichier de valeurs ou en utilisant une CLI. Par exemple : govTechIssuerCert: "MIIEZDCCA+qgAwIBAgIQKJRkgTsNFqX5YcSkR..." govTechRootCertificate: "MIIEZDCCA+qgAwIBAgIQKJRkgTsNFqX5..." |
| ##sender-ui | nom : secret-sender-ui-tls
|
|
| ##signer-ui | nom : secret-signer-ui-tls
|
|
| ##sso | nom : sso-secret-tls
nom : sso-secret-ca-cert
nom : externalCertificateCA (voir Remarques) |
Pour passer des certificats CA pour ce composant, vous devez spécifier une valeur pour externalCertificateCA. Cela doit être fait en utilisant le Passage de certificat en ligne. |
| ##sysinfo | nom : secret-sysinfo-tls
|
Création d’objets secrets Kubernetes
Pour plus d’informations sur les secrets, consultez Gestion des secrets à l’aide de kubectl.
Les objets secrets de Kubernetes peuvent être créés de la manière suivante :
Passage de certificat en ligne
Lorsque vous passez un certificat dans le fichier de valeurs, vous devez l'insérer exactement tel qu'il apparaît dans le fichier de certificat réel. Par exemple :
externalPublicKey: |- -----BEGIN CERTIFICATE----- MIIEhjCCA26gAwIBAgIBEzANBgkqhkiG9w0BAQsFADB4MQswCQYDVQQGEwJDQTEP MA0GA1UECAwGUXVlYmVjMRswGQYDVQQKDBJTaWxhbmlzIFRlY2hub2xvZ3kxDDAK BgNVBAsMA1ImRDEtMCsGA1UEAwwkVGVzdENlcnQgT3BlblNTTCBTSEEyIEludGVy ...<the rest of the certificate>... -----END CERTIFICATE-----
Passage de certificat de ligne unique
Pour passer un certificat en utilisant une seule ligne, utilisez la commande suivante :
externalCertificate: '---BEGIN CERTIFICATE-\nMIIEhjCCA26gAwIBAgIBEzANBgkqhkiG9w0BAQsFADB4MQswCQYDVQQGEwJDQTEP\n .... \nGaIm5+Hw5F9r3g==\n-END CERTIFICATE---\n'
Passage de certificat de ligne de commande
Lorsque vous créez un secret via une ligne de commande (CLI), vous devez référencer : (1) le fichier approprié dans le système de fichiers ; (2) le secret approprié, tel que décrit ci-dessus. Par exemple :
kubectl create secret tls <tls secret name> --<certificate variable name>=<certificate file> --<key variable name>=<key file> kubectl create secret generic <generic secret name> --from-file=<ca bundle file>
Gestion des ressources
Cette section décrit les personnalisations suivantes :
Personnalisation des limites et requêtes de ressources
Vous pouvez personnaliser les limites et requêtes de ressources pour chaque composant en ajoutant les valeurs resource appropriées dans le graphique Helm. Cela remplacera tous les paramètres par défaut correspondants.
Par exemple, pour personnaliser les valeurs de la mémoire et du processeur, vous devez ajouter ce qui suit à la section backend de votre fichier my-values.yaml :
backend:
enabled: true
resources: # Specify CPU and memory resource limits and requests for this pod
requests:
memory: "8G"
cpu: "4"
limits:
memory: "8G"
cpu: "4"
Personnalisation des paramètres JVM
Le graphique Helm de OneSpan Sign a prédéfini les paramètres JVM pour les composants suivants :
- backend
- backend-admin
- platform
- platform-admin
- aspose-document-converter
Le sous-graphique de chaque composant affiche les configurations suivantes dans les fichiers values.yaml correspondants :
minJavaHeapSizeInMb: 128 maxJavaMetaspaceSizeInMb: 3072 maxJavaRamPercentage: "80.00"