Zum Inhalt

Einrichtung des Edge Gateway Dockers

Importieren des Docker-Bildes

Bevor Sie einen Docker Edge Gateway Container erstellen können, müssen Sie das Docker-Image importieren. Um dies zu tun, starten Sie eine Shell, aus der die Docker-Befehle verfügbar sind, sowie die Datei cleanroom-gateway-4.6.1-33-v2.tgz. Aus der Shell laufen Sie den folgenden Befehl aus und passen den Pfad zur Datei TGZ an, wenn sie nicht im aktuellen Verzeichnis ist:

1
docker load --input cleanroom-gateway-4.6.1-33-v2.tgz

Dann überprüfen Sie, ob der Import erfolgreich war, mit dem folgenden Befehl:

1
docker inspect --type=image cleanroom-gateway:4.6.1-33-v2

Die erwartete Produktion ist wie folgt: Wenn dies nicht der Fall ist, ist der Import gescheitert:

1
2
3
4
5
6
[
    {
        "Id": "sha256:f95237b30c2407a652e5cf9ab84abc0446e04373a30cd83d39c878284c98950b",
        "RepoTags": [
            "cleanroom-gateway:4.6.1-33-v2"
        ],
Vollständige Ausgabe 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
[
    {
        "Id": "sha256:f95237b30c2407a652e5cf9ab84abc0446e04373a30cd83d39c878284c98950b",
        "RepoTags": [
            "cleanroom-gateway:4.6.1-33-v2"
        ],
        "RepoDigests": [],
        "Parent": "",
        "Comment": "buildkit.dockerfile.v0",
        "Created": "2025-08-27T11:32:41.903547412+02:00",
        "DockerVersion": "",
        "Author": "",
        "Architecture": "amd64",
        "Os": "linux",
        "Size": 1260102017,
        "GraphDriver": {
            "Data": {
                "LowerDir": "/var/lib/docker/overlay2/b5779f969b41eff36cd25115a1884d4c1d0d7839bf22a728ed652c3e5ff7879b/diff:/var/lib/docker/overlay2/b7e2aa5de759fea2d2de49d36d20b77bcbdb6a83416c35aa5a6144624efa5ceb/diff:/var/lib/docker/overlay2/146ef698ff97270b28fbc5aa4baca1336ce6a01130336f61dfc4941de7a66eb9/diff:/var/lib/docker/overlay2/9c15ed99cfce6b7e14406da98cca769845ee0a20a0030b7352c8010bd0ed2584/diff:/var/lib/docker/overlay2/44a3abed0a932259b79c9e5e273749cc06bd8aca7d3adbfd1753a7b053dcae2f/diff:/var/lib/docker/overlay2/e3dfd4c7c4fe568ef731bd91314e69cc5c807ce717d5f4ea94f0d02cc11e70c5/diff:/var/lib/docker/overlay2/5acf2b56871d2537d95b9981c0498e16723a9eca20827f550366b48d8acf508f/diff:/var/lib/docker/overlay2/c732cd17c6501229b3a12c488d7f4c26f8634329211cac54ff1cf0d53055421f/diff:/var/lib/docker/overlay2/fd61cbda2a5e9a578c5a8eea67b63df3d31642588be3b6f2f7ebe6e10964f745/diff",
                "MergedDir": "/var/lib/docker/overlay2/5d797d8e6dcb91e62dc4aa23921ce0e46f6330338da2df57825b288392397b8f/merged",
                "UpperDir": "/var/lib/docker/overlay2/5d797d8e6dcb91e62dc4aa23921ce0e46f6330338da2df57825b288392397b8f/diff",
                "WorkDir": "/var/lib/docker/overlay2/5d797d8e6dcb91e62dc4aa23921ce0e46f6330338da2df57825b288392397b8f/work"
            },
            "Name": "overlay2"
        },
        "RootFS": {
            "Type": "layers",
            "Layers": [
                "sha256:4668f0f488e5ad4494fadff56ad585c514794b3a293e5e8d006410de9da08155",
                "sha256:782f6c5256575fbef0e518a1a1ce9188c457f1a0e9b88b733ed672f6e1be482d",
                "sha256:e09fd3e10e878ef6c812ccde0fa55b66cf4b9b593cf182c2760fec73649968c2",
                "sha256:e51c952c7bd89e0a3188c683d689eed81444d5513c14251f4b21cb9fd056d27d",
                "sha256:233ff67db52988898e3c1b4c2573b86c1c0c50d23f1f4b2365e3fc51abedbf9f",
                "sha256:0bf4e86419208151dcd5dc222ec43b4b655ecc6de2ab244b8320b069efc6d74e",
                "sha256:4e126ccbbb913bc105eac9d4ff68041fb460054c1756b46fff29654dcbffa480",
                "sha256:1077b827c22c9d088771d97eba65b28e397d3d1c3f2ca0208565fbccb80f80fb",
                "sha256:38554727254b2df680e419fd974eb50a518b48eea93071c5ac7fa9534931a90b",
                "sha256:937d5ffe755bf72c969e1ec525421c576d097ee984d1feca41e1feb859d95640"
            ]
        },
        "Metadata": {
            "LastTagTime": "0001-01-01T00:00:00Z"
        },
        "Config": {
            "Cmd": null,
            "Entrypoint": [
                "/entrypoint.sh"
            ],
            "Env": [
                "PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin",
                "DEBIAN_FRONTEND=noninteractive",
                "IMAGE_BUILD_DATE=20250827T112940",
                "IMAGE_BUILD_VERSION=4.6.1-33-v2",
                "IMAGE_IPDIPC=IPC-53702"
            ],
            "ExposedPorts": {
                "9080/tcp": {}
            },
            "Healthcheck": {
                "Interval": 300000000000,
                "Retries": 3,
                "Test": [
                    "CMD-SHELL",
                    "/usr/lib/nagios/plugins/IPdivaSensorGateway -a isConnected -g 127.0.0.1:9080"
                ],
                "Timeout": 10000000000
            },
            "Labels": {
                "maintainer": "contact@systancia.com",
                "org.label-schema.build-date": "20250827T112940",
                "org.label-schema.description": "Systancia Cleanroom Gateway",
                "org.label-schema.name": "Systancia Cleanroom 4.6.1-33-v2 Gateway",
                "org.label-schema.url": "http://systancia.com/",
                "org.label-schema.vendor": "Systancia",
                "version": "4.6.1-33-v2"
            },
            "OnBuild": null,
            "User": "root",
            "Volumes": {
                "/etc/ipdiva/": {},
                "/var/log/": {}
            },
            "WorkingDir": ""
        }
    }
]

Konfiguration des Behälters

Umweltvariablen

Variablen für die Bereitstellung durch Paarung

Name Pflicht Standardwert Kommentar
ENV_MEDIATION JA Für die Paarung von Verbindungen verwendet.
Angabe des cyberelements.io-Mieters oder des DNS-Namens oder der IP-Adresse für die Verbindung mit der Web-Schnittstelle einer cyberelements Cleanroom Plattform.
ENV_TOKEN JA Für die Verbindung zum Pairing verwendet.
Angabe des Pairing-Token, der für die Verbindung zum Mediation Controller verwendet wird.
ENV_NO_CHECK_CERT NO false Für die Paarung von Verbindungen verwendet.
Die Prüfung von Mediation Controller Webzertifikaten kann deaktiviert werden, nützlich bei ** Cyber** Elementen Cleanroom beim Zugriff über IP-Adresse oder wenn das Webzertifikat nicht von den standardmäßigen öffentlichen Zertifizierungsbehörden anerkannt wird.
Akzeptierte Werte: true oder false.

Variablen für manuelle Bereitstellung

Name Pflicht Standardwert Kommentar
ENV_GW_CERT_NAME JA Für die Verbindung mit der manuellen Konfiguration verwendet.
Name der Zertifikatsdatei für die Verbindung mit dem SSL-Router.
ENV_GW_CERT_PASSWORD JA Für die Verbindung mit manueller Konfiguration verwendet.
Passwort für die Zertifikatsdatei für die Verbindung zum SSL-Router.
ENV_CARE_CERT_NAME NO Wert von ENV_GW_CERT_NAME Für die Verbindung mit der manuellen Konfiguration verwendet.
Name der Zertifikatsdatei für den Aufzeichnungsdienst.
ENV_CARE_CERT_PASSWORD NO Wert von ENV_GW_CERT_PASSWORD Für die Verbindung mit der manuellen Konfiguration verwendet.
Passwort für die Zertifikatsdatei des Aufzeichnungsdienstes.
ENV_SSL_ROUTER_IP JA Für die Verbindung mit manueller Konfiguration verwendet.
IP-Adresse oder DNS-Name des SSL-Routers, mit dem sich der Edge Gateway verbindet.
ENV_SSL_ROUTER_PORT NEIN 443 Für die Verbindung mit manueller Konfiguration verwendet.
Port auf dem SSL-Router, mit dem sich der Edge Gateway verbindet.

Verschiedene Variablen

Name Pflicht Standardwert Kommentar
ENV_DISABLE_RSYSLOG NO false Deaktivierung des Dienstes rsyslog
Akzeptierte Werte: true oder false
ENV_KERBEROS_CONFIG_ENABLE NEIN false Aktivieren Sie Kerberos-Einstellungen, damit RDP-Anwendungen in einem agentenlosen Modus mit Kerberos authentifizieren können.
Akzeptierte Werte: true oder false.
Wenn false die anderen Kerberos-Variablen ignoriert werden.
ENV_KERBEROS_DEFAULT_REALM JA
(wenn die Kerberos-Konfiguration aktiviert ist)		 Name des Kerberos-Reichs.
ENV_KERBEROS_DEFAULT_DOMAIN JA
(wenn die Kerberos-Konfiguration aktiviert ist)		 Kerberos-Domänenname
ENV_KERBEROS_CONTROLLER_ADDRESS JA
(wenn die Kerberos-Konfiguration aktiviert ist)		 Anschlussadresse zum Kerberos-Controller.

Volumen

Volumen Kommentar
/etc/ipdiva/ Edge Gateway Konfigurationsvolumen.
Wir empfehlen, es auf einem benannten Volumen oder auf dem Dateisystem des Host-Computers zu montieren.
/opt/certificates/ Volumen mit dem Edge Gateway Zertifikat (en) in einer Konfiguration ohne Paarung.
/var/lib/ipdiva/carerecord/archives/ Volumen mit den Grafikarchiven.
Wir empfehlen, es auf einem benannten Volume oder auf dem Dateisystem des Host-Computers zu montieren.
/var/ipdiva/care/sshrecord/ Volumen mit den SSH-Archiven.
Wir empfehlen, es auf einem benannten Volume oder auf dem Dateisystem des Host-Computers zu montieren.
/var/log/ Volumen mit den Edge Gateway Protokollen.

Häfen

Hafen Kommentar
2222 (oder ein anderer verfügbarer Port, der vom Administrator gewählt wird) Abhör-Port für den SSH/SFTP-Direktzugriffdienst.
3389 Abhörhafen für den direkten Zugangsdienst des RDP.
8443 Hörport für den Aufzeichnungsdienst, der bei Verwendung des Windows-Agent für die Aufzeichnung freigegeben werden kann.

Einführung des Edge Gateway Dockers

Einsatz mit Paarung

Voraussetzungen

Bevor Sie den Edge Gateway Docker bereitstellen, müssen Sie einen Paarungs-Token erhalten.

Die unten beschriebene Bereitstellung nutzt alle verfügbaren Volumina (außer /opt/certificates/, die in diesem Zusammenhang nicht nützlich ist) und stellt alle Ports offen.
Die Volumes werden auf dem Dateisystem des Host-Computers mit dem Standort EDGE_GATEWAY_REP montiert. Innerhalb dieses Standorts befinden sich die folgenden Unterverzeichnisse:

  • config
  • Graphische Archive
  • ssh_archiv
  • Log

Sie können die Variablen für die folgenden Befehle anpassen:

Benutzerdefinierter Wert Variable Kommentar
DOCKER_NAME Name des Docker-Containers.
EDGE_GATEWAY_REP Ort im Dateisystem, an dem die Bände angebracht werden sollen.
ENV_MEDIATION_VALUE Wert der ENV_MEDIATION Umweltvariablen
ENV_TOKEN_VALUE Wert der ENV_TOKEN Umweltvariablen
ENV_NO_CHECK_CERT_VALUE Wert der ENV_NO_CHECK_CERT Umweltvariablen
ENV_KERBEROS_CONFIG_ENABLE_VALUE Wert der ENV_KERBEROS_CONFIG_ENABLE Umweltvariablen
ENV_KERBEROS_DEFAULT_REALM_VALUE Wert der ENV_KERBEROS_DEFAULT_REALM Umweltvariablen
ENV_KERBEROS_DEFAULT_DOMAIN_VALUE Wert der ENV_KERBEROS_DEFAULT_DOMAIN Umweltvariablen
ENV_KERBEROS_CONTROLLER_ADDRESS_VALUE Wert der ENV_KERBEROS_CONTROLLER_ADDRESS Umweltvariablen

Erstellen des Verzeichnisbaums, der für das Montieren von Volumina auf dem Dateisystem erforderlich ist:

1
2
3
4
mkdir -p EDGE_GATEWAY_REP/config
mkdir EDGE_GATEWAY_REP/graphical_archives
mkdir EDGE_GATEWAY_REP/ssh_archives
mkdir EDGE_GATEWAY_REP/log

Und schließlich, einen neuen Behälter starten:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
docker run -d --restart unless-stopped --name "DOCKER_NAME" \
-e ENV_MEDIATION="ENV_MEDIATION_VALUE" \
-e ENV_TOKEN="ENV_TOKEN_VALUE" \
-e ENV_NO_CHECK_CERT="ENV_NO_CHECK_CERT_VALUE" \
-e ENV_KERBEROS_CONFIG_ENABLE="ENV_KERBEROS_CONFIG_ENABLE_VALUE" \
-e ENV_KERBEROS_DEFAULT_REALM="ENV_KERBEROS_DEFAULT_REALM_VALUE" \
-e ENV_KERBEROS_DEFAULT_DOMAIN="ENV_KERBEROS_DEFAULT_DOMAIN_VALUE" \
-e ENV_KERBEROS_CONTROLLER_ADDRESS="ENV_KERBEROS_CONTROLLER_ADDRESS_VALUE" \
-v "EDGE_GATEWAY_REP/config/:/etc/ipdiva/:rw" \
-v "EDGE_GATEWAY_REP/graphical_archives/:/var/lib/ipdiva/carerecord/archives/:rw" \
-v "EDGE_GATEWAY_REP/ssh_archives/:/var/ipdiva/care/sshrecord/:rw" \
-v "EDGE_GATEWAY_REP/log/:/var/log/:rw" \
-p 2222:2222 \
-p 3389:3389 \
-p 8443:8443 \
cleanroom-gateway:4.6.1-33-v2

Die Containerprotokolle können mit dem folgenden Befehl eingesehen werden:

1
docker logs -f DOCKER_NAME

Manuelle Bereitstellung

Voraussetzungen

Vor dem Einsatz der Edge Gateway Docker, Sie müssen die erforderlichen Zertifikate für die Edge Gateway und den Aufnahmeservice.

Die nachstehend beschriebene Bereitstellung wird alle verfügbaren Mengen nutzen und alle Häfen freilegen.
Die Volumes werden auf dem Dateisystem des Host-Computers mit dem Standort MANUAL_REP montiert. Innerhalb dieses Standorts befinden sich die folgenden Unterverzeichnisse:

  • config
  • Graphische Archive
  • ssh_archiv
  • Log
  • Bescheinigungen

Sie können die Variablen für die folgenden Befehle anpassen:

Benutzerdefinierter Wert Variable Kommentar
MANUAL_NAME Name des Docker-Containers.
MANUAL_REP Ort im Dateisystem, an dem die Bände angebracht werden sollen.
ENV_GW_CERT_NAME_VALUE Wert der ENV_GW_CERT_NAME Umweltvariablen
ENV_GW_CERT_PASSWORD_VALUE Wert der ENV_GW_CERT_PASSWORD Umweltvariablen
ENV_CARE_CERT_NAME_VALUE Wert der ENV_CARE_CERT_NAME Umweltvariablen
ENV_CARE_CERT_PASSWORD_VALUE Wert der ENV_CARE_CERT_PASSWORD Umweltvariablen
ENV_SSL_ROUTER_IP_VALUE Wert der ENV_SSL_ROUTER_IP Umweltvariablen
ENV_SSL_ROUTER_PORT_VALUE Wert der ENV_SSL_ROUTER_PORT Umweltvariablen
ENV_KERBEROS_CONFIG_ENABLE_MANUAL_VALUE Wert der ENV_KERBEROS_CONFIG_ENABLE Umweltvariablen
ENV_KERBEROS_DEFAULT_REALM_MANUAL_VALUE Wert der ENV_KERBEROS_DEFAULT_REALM Umweltvariablen
ENV_KERBEROS_DEFAULT_DOMAIN_MANUAL_VALUE Wert der ENV_KERBEROS_DEFAULT_DOMAIN Umweltvariablen
ENV_KERBEROS_CONTROLLER_ADDRESS_MANUAL_VALUE Wert der ENV_KERBEROS_CONTROLLER_ADDRESS Umweltvariablen

Erstellen des Verzeichnisbaums, der für das Montieren von Volumina auf dem Dateisystem erforderlich ist:

1
2
3
4
5
mkdir -p MANUAL_REP/config
mkdir MANUAL_REP/graphical_archives
mkdir MANUAL_REP/ssh_archives
mkdir MANUAL_REP/log
mkdir MANUAL_REP/certificates

Anschließend werden die Zertifikate für den Edge Gateway und den Aufzeichnungsdienst in MANUAL_REP/certificates aufgenommen.

Schließlich wird ein neuer Container gestartet:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
docker run -d --restart unless-stopped --name "MANUAL_NAME" \
-e ENV_GW_CERT_NAME="ENV_GW_CERT_NAME_VALUE" \
-e ENV_GW_CERT_PASSWORD="ENV_GW_CERT_PASSWORD_VALUE" \
-e ENV_CARE_CERT_NAME="ENV_CARE_CERT_NAME_VALUE" \
-e ENV_CARE_CERT_PASSWORD="ENV_CARE_CERT_PASSWORD_VALUE" \
-e ENV_SSL_ROUTER_IP="ENV_SSL_ROUTER_IP_VALUE" \
-e ENV_SSL_ROUTER_PORT="ENV_SSL_ROUTER_PORT_VALUE" \
-e ENV_KERBEROS_CONFIG_ENABLE="ENV_KERBEROS_CONFIG_ENABLE_MANUAL_VALUE" \
-e ENV_KERBEROS_DEFAULT_REALM="ENV_KERBEROS_DEFAULT_REALM_MANUAL_VALUE" \
-e ENV_KERBEROS_DEFAULT_DOMAIN="ENV_KERBEROS_DEFAULT_DOMAIN_MANUAL_VALUE" \
-e ENV_KERBEROS_CONTROLLER_ADDRESS="ENV_KERBEROS_CONTROLLER_ADDRESS_MANUAL_VALUE" \
-v "MANUAL_REP/config/:/etc/ipdiva/:rw" \
-v "MANUAL_REP/graphical_archives/:/var/lib/ipdiva/carerecord/archives/:rw" \
-v "MANUAL_REP/ssh_archives/:/var/ipdiva/care/sshrecord/:rw" \
-v "MANUAL_REP/log/:/var/log/:rw" \
-v "MANUAL_REP/certificates/:/opt/certificates/:ro" \
-p 2222:2222 \
-p 3389:3389 \
-p 8443:8443 \
cleanroom-gateway:4.6.1-33-v2

Die Containerprotokolle können mit dem folgenden Befehl eingesehen werden:

1
docker logs -f MANUAL_NAME