フォワードプロキシを介したコントロールプレーンとデータプレーンの通信
コントロールプレーン(CP)とデータプレーン(DP)が、プロキシを通じて外部通信を実行するファイアウォールの異なる側で実行される場合、 Kong Gatewayを構成してプロキシサーバーを認証し、トラフィックの通過を許可できます。
Kong GatewayはHTTP CONNECTプロキシのみをサポートします。
この機能は TLS相互認証(mTLS)の終了をサポートしていません。
フォワードプロキシ接続を設定する
kong.conf
で次のパラメータを設定します。
proxy_server = http(s)://<username id="sl-md0000000">:<password id="sl-md0000000">@<proxy-host id="sl-md0000000">:<proxy-port id="sl-md0000000">
proxy_server_tls_verify = on/off
cluster_use_proxy = on
lua_ssl_trusted_certificate = system | <certificate id="sl-md0000000"> | <path-to-cert id="sl-md0000000">
-
proxy_server
: URL として定義されたプロキシサーバー。Kong Gateway は、プロキシを使用するように明示的に構成されているコンポーネントがある場合にのみ、このオプションを使用します。 -
proxy_server_tls_verify
:proxy_server
が HTTPS を使用している場合、サーバー証明書の検証を切り替えます。HTTPS(デフォルト)を使用する場合はon
に設定し、HTTPを使用する場合はoff
に設定します。 -
cluster_use_proxy
: HTTP CONNECTプロキシサポートをハイブリッドモードの接続に使用するように、クラスタに指示します。オンにすると、Kong Gatewayは、proxy_server
で定義されたURLを接続に使用します。 -
lua_ssl_trusted_certificate
( オプション ):HTTPSを使用する場合は、lua_ssl_trusted_certificate
を使用してカスタム証明機関を指定します。システムのデフォルトCAを使用している場合は、この値を変更する必要はありません。
接続を有効にするには、Kong Gatewayを再読み込みします。
kong reload