Link Agent 構成ファイルを使用するチーム向けに、Link Agent v2.13.0 では、Link Agent の実行方法をより細かく制御できる次の 2 つの新機能を提供します。
接続フィルター
場合によっては、Link エージェントが接続を許可されるホストを制限したいことがあります。これまでは、送信方向の Link エージェント接続を制限するにはファイアウォールを使用する必要がありました。v2.13.0 では、接続フィルターを使用して、より細かな接続制御が可能になりました。接続フィルターは、Link エージェントの構成ファイルからのみ指定できます。
依存しているリソースへの接続がブロックされると、テスト対象のアプリケーションでエラーが発生する可能性があります。接続フィルターの使用は、必須のセキュリティ要件やコンプライアンス要件を満たすなど、やむを得ない場合にのみ推奨されます。
接続フィルターには、モードと宛先の2つの設定が必要です。以下は、Link エージェントの設定ファイルに追加できる例です:
"connectionFilter": {
"mode": "deny",
"destinations": [
"example.com",
"10.0.0.0/8:22",
"127.0.0.1",
":80"
]
}connectionFilter:
mode: deny
destinations:
- example.com
- 10.0.0.0/8:22
- 127.0.0.1
- :80モード
接続フィルターは、次の3つのモードのいずれかで設定できます。
- allow: Link エージェントは、フィルターに一致するターゲットにのみ接続できます
- deny: Link エージェントは、フィルターに一致する対象以外の任意のターゲットに接続できます
- disabled: 接続フィルターは無効です。主にデバッグ目的で使用し、設定を削除せずにフィルターのオン/オフを切り替えられます
送信先
宛先は、接続フィルターの対象を表します。ホスト式、ポート、またはその両方を使って、次のいずれかの形式で指定できます。
- ホストのみ
[ホスト式]- ポートのみ
:[ポート]- ホストとポート
[ホスト式]:[ポート]
ホストは、単一のIPアドレス、CIDRブロック、またはFQDNのサフィックスで指定できます。次の表に、サポートされるホスト式の例を示します。
| 式 | 一致する例 | 一致しない例 |
|---|---|---|
|
単一のIPアドレス
|
10.1.2.3 |
10.1.2.4, 10.0.0.1
|
|
CIDRブロック
|
10.1.2.3, 10.24.36.200
|
11.1.2.3, 192.168.1.1
|
|
FQDN サフィックス(ドメイン)
|
example.co, www.example.co
|
example.com, example.co.uk
|
|
特定のFQDN
|
www.example.com, 1.www.example.com
|
www1.example.com, api.example.com
|
自動リロード
接続フィルターに加えて、Link Agent v.2.13.0 は自動リロードにも対応しました。これまでは、Link Agent の設定ファイルを更新する場合、変更を反映するためにエージェントを再起動する必要がありました。自動リロードにより再起動が不要になり、更新中も Link Tunnel がアクティブな状態を維持します。
自動リロードを有効にするには、Link エージェントを開始するときにコマンドラインオプション -R または --config-reload を渡してください。自動リロード設定を Link エージェントの構成ファイルと併用すると、エージェントはそのファイルの変更を自動的に監視し、検出時に適用します:
bin/link-agent --config /path/to/config.json -R
# Or:
bin/link-agent -c /path/to/config.yaml --config-reload現在、次の構成プロパティが自動リロードをサポートしています:
connectionFilterhttpProxylogLevelproxyAuthproxyAutoConfigurationproxyExclusionsproxyMode