Bluemix Secure Gateway の基本には慣れていますが、一般的なシナリオに違いないセットアップの良い方法がわかりません。
私の要件は次のとおりです。
- 既存の内部サービスは TLS 経由で提供されており、そのまま維持する必要があります。クライアント証明書はチェックしません。従来の https://ReST API にすぎません。
- Secure Gateway パイプの外部側では、クライアント証明書をチェックして、特定の既知のクライアントのみが接続できるようにする必要があります。
2 番目のポイントは、Secure Gateway UI で宛先を設定するときに TLS Mutual Auth オプションを選択することによって達成されます。ただし、これにより、クライアント アプリ (この時点では実際には単なるブラウザー) から Secure Gateway パイプの内部エンドへの TLS 接続が作成されます。そのパイプの終わりから内部サービスに向かって出てくるのは、平文の HTTP です。内部サービスは、HTTPS を予期しているため、これを正しく拒否します。
Secure Gateway を TLS なしで構成することにより、有効な接続を確立できます。その後、クライアント ブラウザーから内部サーバーまでずっと TLS 接続を取得します。 「信頼できる内部ネットワーク」は神話であることは誰もが知っていますが、実際には、これはインターネットに接続するように設定されたことはありません. Bluemix パイプの外側の端にいる既知のクライアント以外をブロックしたいと考えています。
私が必要としているのは、docker イメージで実行されているパイプの内部エンドが、内部サーバーとの 2 番目の TLS セッションを開始する方法だと思います。明らかに必要な機能のようですが、ドキュメントでそれへの参照が見つかりません。それとも、私が見逃した他の方法がありますか?