![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2024\/03\/atlassian-jira-cloudmig-1024x239.png\")
<\/a>Die internen Systeme kommen nur \u00fcber einen Proxy-Server ins Internet, der wiederum selbst ein extern betriebener Dienst ist. Der bricht verschl\u00fcsselte Verbindungen per MITM auf, dementsprechend muss sein Root-Zertifikat im Mit den Atlassian Cloudsystemen \u00e4ndert sich das. Hier hat man bei den Anwendungsverkn\u00fcpfungen grunds\u00e4tzlich die Wahl zwischen Getunnelt<\/em> und Direkt<\/em>.3<\/a><\/sup> Letztere entspricht den Application Links der On-Prem Editionen untereinander, d.H. Server A holt sich die Infos von Server B sowie umgekehrt. Sobald Cloudsysteme im Spiel sind, wird das schwierig. Tendenziell kann ein internes Unternehmenssystem mit entsprechender Freischaltung auf externe Clouddienste zugreifen. Von au\u00dfen nach innen m\u00f6chte man oft einen Reverse Proxy in der DMZ haben und generell sind solche L\u00f6cher<\/em> eher unerw\u00fcnscht, weil aufw\u00e4ndig und potenziell gef\u00e4hrlich.<\/p>\n Also hat Atlassian Getunnelte Anwendungsverkn\u00fcpfungen<\/em> (application tunnels) erfunden. Ihre Doku dazu verspricht eine L\u00f6sung f\u00fcr genau dieses Problem: Die Cloud soll auf interne Systeme zugreifen k\u00f6nnen, ohne diese Systeme \u00f6ffentlich erreichbar zu machen. Klingt wie die Quadratur des Kreises und mir f\u00e4llt nur ein Trick ein, wie das umsetzbar ist: Das On-Prem System initiiert eine Verbindung mit dem Cloudsystem. Sie wird offen gehalten, damit die Gegenseite dort Anfragen stellen kann. Bei Websockets wird damit das im Kern gleiche Problem gel\u00f6st: Im HTTP-Protokoll sind nur Anfragen vom Client an den Server vorgesehen, nicht umgekehrt. Fr\u00fcher hat man daf\u00fcr eine Ajax-Anfrage gesendet, die der Server offen l\u00e4sst, bis er seine Daten als Antwort sendet. Oder pauschales Polling von der Gegenseite. Beides technisch schlecht und skaliert auch nicht gut.<\/p>\n Wenn der On-Prem Server sich mit der Cloud verbindet und die Verbindung offen h\u00e4lt, sollte das grunds\u00e4tzlich funktionieren. Dazu gibt es mit WebSockets seit l\u00e4ngerem ein auf HTTP aufsetzendes Protokoll, dass daf\u00fcr ausgelegt ist, eine Verbindung f\u00fcr das Senden von beiden Parteien ge\u00f6ffnet zu halten. HTTP(S) wird zudem von den meisten Firewalls & Proxy-Servern erlaubt.<\/p>\n Die Tunnel stecken in einer Erweiterung mit einer sympathischen 2\/4 Sternen.4<\/a><\/sup> Kostenpflichtig lizenzieren muss man sie nicht, allerdings \u00fcber den Marketplace von Atlassian installieren. Dadurch erscheint bei den Integrationen ein neuer Men\u00fcpunkt Application tunnels<\/em>. Zus\u00e4tzlich verlangt Atlassian einen Connector, je nach Anwendung setzt man den im Tomcat (server.xml) oder in der Properties-Datei.5<\/a><\/sup> Dessen Port soll man anschlie\u00dfend als Java-Property \u00fcbergeben:<\/p>\n Das macht mich stutzig. Beim ersten \u00fcberfliegen der Doku hatte ich den Verdacht, es sind doch eingehende Verbindungen auf diesem Port erforderlich – wozu \u00f6ffnen wir sonst auf dem On-Prem Server ein weiterer Port ge\u00f6ffnet werden, mit dem offensichtlich der Anwendungsserver kommuniziert? Allerdings widerspricht der Eintrag und sagt, der Port m\u00fcsse nur lokal erreichbar sein. Ein Abschnitt zeigt sogar, wie man den Port auf lokale Verbindungen beschr\u00e4nkt. Seltsam. Auch nach einem l\u00e4ngeren Gespr\u00e4ch mit dem Dienstleister war mir nicht klar, wie das funktionieren sollte. Insbesondere weil das Schaubild in der Atlassian Erkl\u00e4rung genau das zeigte, was ich bef\u00fcrchtete: Der m\u00f6chte sich von der Atlassian Cloud ins Firmennetzwerk verbinden, was nicht funktionieren w\u00fcrde.<\/p>\n \u00dcber dem Bild schrieb Atlassian jedoch, genau das sei nicht n\u00f6tig. Ich entschloss, dass wir es zusammen versuchen einzurichten – vielleicht w\u00fcrde es dann klarer. Au\u00dferdem war keine Alternative in Sicht. Dem Fachbereich sind die Anwendungsverkn\u00fcpfungen enorm wichtig. Somit haben wir in der Konfigurationsdatei des integrierten Tomcat in Und in der Variable Schlussendlich einen Tunnel im Administrationsbereich von Jira Cloud angelegt sowie dessen Schl\u00fcssel in Bamboo DataCenter hinterlegt.6<\/a><\/sup><\/p>\n Nach dem Anlegen passierte jedoch … nichts. Der Bamboo On-Prem Tunnel bleibt grau auf unavailable<\/em>, w\u00e4hrend der Status von Jira Cloud auf unvollst\u00e4ndig<\/em> steht. Das Log von Bamboo sagt … nichts. Mit Bitbucket habe ich es zuerst probiert, weil Bamboo ein Upgrade auf 9.3 verlangt und nat\u00fcrlich 9.2 LTS lief. Dort log das Log [sic], man h\u00e4tte irgendwas erfolgreich an der Verbindung aktualisiert. Da diese Meldung ohne Interaktion ungef\u00e4hr jede Minute ins Protokoll geschrieben wurde, war das ein Test, Healthcheck oder etwas anderes automatisiertes. Hergestellt werden konnte die Verbindung allerdings trotzdem nicht.<\/p>\n Dagegen war diese Fehlermeldung, welche seltener (wohl beim Anlegen der Verkn\u00fcpfung) ins Log geschrieben wurde, zwar genau so hilfreich:<\/p>\n Allerdings zumindest ehrlich. Auf dem Niveau ist Atlassian angekommen, dass man sich freut, wenn Logs die Wahrheit erz\u00e4hlen… Willkommen in der Welt der Enterprise Software<\/em> vom Marktf\u00fchrer! Ich habe zusammen mit einem auf Atlassian spezialisierten Beratungsunternehmen viel herum probiert. Vor allem \u00fcber das was nicht funktioniert hat wurde mir zunehmend klar, wie die Tunnel funktionieren sollten und warum sie das in der Unternehmensumgebung nicht tun.<\/p>\n Bevor wir zu diesem eher frustrierenden Teil kommen, ein guter Witz von Atlassian. Zur zweiten Fehlermeldung gibt es einen Forumsbeitrag von 2018.7<\/a><\/sup> Der bezieht sich auf einen Bug in Jira Server, wie ein Atlassian-Mitarbeiter in den Antworten kommunizierte. Dazu schrieb er: Man solle im Ticket abstimmen, damit Atlassian wei\u00df, wie viele das betrifft. Ist ja nicht so, als ob ihr mit dem Kauf von Lizenzen und Wartung (Ohne aktive Wartungslizenz keine Updates!) daf\u00fcr bezahlt, damit die ihre kaputte Software in den Griff bekommen. Das muss sich schon lohnen – wenn es zu wenige betrifft, bleibt die halt kaputt. Wo kommen wir denn da hin, wenn man f\u00fcr Geld eine funktionierende propriet\u00e4re Software bekommt? Der Fehler wurde \u00fcbrigens bis heute nicht behoben. 6 Monate sp\u00e4ter hat man ihn in ein anderes Ticket verlagert8<\/a><\/sup>. Wer betroffen ist, hat wohl Pech. Das ist Enterprise Software Level? Ahja…<\/p>\n Bitbucket machte den Anfang – ein Fehler, wie sich herausstellen sollte: Die Logs zeigen au\u00dfer einer Erfolgsmeldung nichts an. In der Admin-Oberfl\u00e4che lassen sich Debug-Meldungen aktivieren – nat\u00fcrlich nur global, wer m\u00f6chte schon nicht mit zig Meldungen eines produktiv genutzten Systems geflutet werden? Vor allem, wenn sich darin exakt 0,0 Informationen zum Problem finden. Der einzige Eintrag zu den Tunneln bleibt, dass er sie angeblich regelm\u00e4\u00dfig aktualisiert.<\/p>\n Wir haben also keine Ahnung, wo das Problem sein soll. Da der Atlassian Support bisher auch nicht hilfreich war, wurde blind nach der Nadel im Heuhaufen gesucht. Das ging bis zu einem Jira-Artikel, in dem sich der Tunnel versucht, zum Standardport statt dem \u00fcbergebenen zu verbinden. Ursache laut Atlassian: Man m\u00fcsste bei diesem JVM-Property die Parameter mit Komma statt Leerzeichen trennen9<\/a><\/sup> – WTF? Habt ihr schon mal Nachdem sich Bitbucket als Sackgasse erwies, wurde es mit Bamboo probiert. Intern sind die Atlassian-Anwendungen keineswegs so unterschiedlich, wie es Atlassian mit der Oberfl\u00e4che glaubhaft machen m\u00f6chte. Auf diese Inkonsistenz kann man sich verlassen: Im Administrationsbereich unter System > Log settings<\/strong> hat jemand mitgedacht und Log-Level f\u00fcr verschiedene Namensr\u00e4ume der Atlassian-Komponenten eingebaut10<\/a><\/sup> – statt nur eines globalen Schalters, wie bei Bitbucket. Erinnert etwas an WebSphere. Nachdem der Namensraum Fangen wir unten an. Der Tunnel versucht eine Verbindung zu 185.166.143.26:443. Das ist eine \u00f6ffentliche IP-Adresse, die zu AWS geh\u00f6rt. Das weist auf Atlassian hin, da sie keine Rechenzentren selbst betreiben. Sondern sich f\u00fcr die Atlassian Cloud blo\u00df bei Amazon etwas gemietet haben. Ruft man die IP-Adresse per HTTP im Browser auf, bekommt man mit ung\u00fcltigem Zertifikat eine Fehlerseite von Atlassian.<\/p>\n Warum kommt der nicht raus? Per Jars sind technisch ZIP-Archive, daher kann man sie mit In der ersten Debug-Meldung steht, wie die Klasse hei\u00dft. Damit werden wir f\u00fcndig:<\/p>\n Nachdem ich die inlets Bin\u00e4rdatei nicht im Dateisystem des Anwendungsservers finden konnte, liegt sie bestimmt in der Jar. Tats\u00e4chlich liegt in inlets-binaries eine 13 MB gro\u00dfe Datei – vom Juni 2023, hat also wohl schon l\u00e4nger keiner mehr angefasst. Das Pflegen von Abh\u00e4ngigkeiten geh\u00f6rt bekannterweise nicht zu den St\u00e4rken des Konzerns<\/a>.<\/p>\n Es handelt sich dabei um inlets.dev. Die Version wurde f\u00fcr Atlassian gebaut. Entweder hat Atlassian den Dienst lizenziert, oder das Unternehmen gekauft. Machen sie ja gerne mal, einige ihrer Software wurde dazu gekauft.<\/p>\n Diese Software macht genau das, was ich oben vermutet hatte: Eine WebSocket-Verbindung zu einem fremden Server aufbauen und \u00fcber diese Verbindung Anfragen in umgekehrter Reihenfolge erm\u00f6glichen – ohne eben daf\u00fcr eingehende Ports zu \u00f6ffnen. Nun wird auch klar, wieso ein Port als Property mitgegeben wird, denn Inlets agiert als Mittelsmann. Bamboo (oder andere On-Prem Software) verbindet sich dar\u00fcber mit der Atlassian Cloud, welche wiederum mit der lokalen Instanz kommunizieren kann.<\/p>\n Wie anfangs erw\u00e4hnt, ist der Proxy f\u00fcr die Bamboo JVM konfiguriert gewesen. Sie hat auch einen trustStore bekommen<\/a>, der das MITM Root-Zertifikat vom Proxy enth\u00e4lt. Dieses Konstrukt funktioniert nachweislich im Atlassian Marketplace der Instanz. Allerdings bekommt nur die Bamboo JVM diese Parameter. An einen daraus gestarteten Unterprozess werden sie nicht vererbt. Um sie zu setzen, m\u00fcsste ich den Start des Prozesses ver\u00e4ndern – bei propriet\u00e4rer Software nicht in vern\u00fcnftigem Ausma\u00df m\u00f6glich. Wer sehr viel Zeit hat, kann die Klassen dekompilieren und mit Javassist manipulieren. <\/p>\n Halte ich f\u00fcr keinen brauchbaren Workaround, daher ein anderer Ansatz: Im Systemd-Dienst Die Anwendung unterst\u00fctzt also diese Variablen und verwendet den Proxy. Da ihr der angepasste Java Truststore fehlt, vertraut sie dem MITM Zertifikat vom Proxy nicht. Nachdem Atlassian alles in Java macht, hatte ich darauf spekuliert, dass es auch eine Java-Anwendung sein k\u00f6nnte. Nat\u00fcrlich ist es das nicht, sondern Go. Sonst k\u00f6nnte man den globalen lib\/security\/cacerts Store um das Root-Zertifikat erweitern und wir m\u00fcssten gar keinen eigenen angeben, weil der standardm\u00e4\u00dfig geladen wird. Wie funktioniert das bei Go? Er sucht in den Zertifikatsdateien der GNU\/Linux-Distributionen.12<\/a><\/sup> Somit k\u00f6nnen wir das Root-Zertifikat im Betriebssystem hinterlegen und mit update-ca-certificates13<\/a><\/sup> dort hin verteilen – \u00fcberraschend vern\u00fcnftig. Anschlie\u00dfend konnte der Tunnel sich mit den Cloudservern verbinden, sodass Anwendungsverkn\u00fcpfungen dar\u00fcber eingerichtet werden k\u00f6nnen.<\/p>\n Mich wundert das kaum. Die haben nicht mal ein Konzept f\u00fcr regelm\u00e4\u00dfige Aktualisierungen ihrer Drittanbieter-Abh\u00e4ngigkeiten, die sie reichlich einsetzen<\/a>. Warum soll ihr eigener Code mehr taugen? Path Traversal z.B. bekommen sie auch selbst hin – Der Fisch stinkt vom Kopf her. An einen Totalschaden (Remote Code Execution!) alle paar Wochen in einer ihrer Software hat man sich inzwischen gew\u00f6hnt. Hier liefert Atlassian: Im M\u00e4r 2024 alleine in Jira \u00fcber 20 (!) Sicherheitsl\u00fccken. Viele in Drittanbieter-Bibliotheken von 2022\/2023. Highlight: RCEs von Oktober 2022 (!!).14<\/a><\/sup> Atlassian hat die fast 1,5 Jahre (!!!) bei sich einstauben lassen, bis sie sich zu einem Update erbarmten. Tja, da haben wohl leider nicht genug zahlende Kunden abgestimmt. Werden sie halt gehackt, selbst schuld… Ja ne, ist klar.<\/p>\n Hier bei den Tunneln finde ich ja das geilste: Die Erweiterung daf\u00fcr gibt es seit 2 Jahren. Atlassians Plan zum Cloudzwang ist seit 2020 bekannt und seit 15.02.2024 sind alle Server-Lizenzen von Updates & Support abgeschnitten.15<\/a><\/sup> Theoretisch m\u00fcsste also seit \u00fcber einem Monat alles migriert sein. Wie zur H\u00f6lle kann es sein, dass dieses Ding bis heute zusammen gemurkst ist, wie von einem IT Azubi f\u00fcr den eigenen privaten Heimserver? Da w\u00e4re so was okay. Aber an gr\u00f6\u00dfere Unternehmen, wo Proxys, Endpoint Protection und anderes Zeugs eher Regel als Ausnahme ist? Geht gar nicht. F\u00fcr den Agenten haben sie die Java Standard-Properties sogar dokumentiert.16<\/a><\/sup> Bei den Tunneln wird das a) v\u00f6llig \u00fcber den Haufen geworfen und b) hat man das Error-Handling vergessen? Was ist mit Exit-Code auswerfen und wenigstens bei ungleich 0 einen Fehler ins Log schreiben? Oder der andere, der immer erfolgreich ins Log schreibt?<\/p>\n Da kann man sich nur wieder mal den Kopf fassen. Wir reden hier schlie\u00dflich nicht von einer Rakete zum Neptun, die ein wenig ihr Ziel verfehlt hat. Sondern von grundlegenden Dingen. Es ist seit Ewigkeiten bekannt: Man ruft kein externes Programm auf, ignoriert s\u00e4mtliche R\u00fcckmeldungen von dem, pr\u00fcft auch sonst nicht ob irgendwas davon funktioniert hat und schreibt am Ende pauschal immer success<\/em> ins Log. Genau so was w\u00fcrde man auf eine Liste von „mach das blo\u00df nicht“ Dingen als \u00fcberspitztes Negativbeispiel setzen. <\/p>\n Bei einem FiAE Azubi w\u00fcrde man \u00fcberlegen, ob man den f\u00fcr solchen Murks durchfallen lassen sollte. Ein Konzern wie Atlassian zeigt seinen Kunden den Mittelfinger und lagert das einfach an die aus. \u00dcber 2 Tage Fehleranalyse zahlt schlie\u00dflich der, w\u00e4hrend Atlassian sich das Geld f\u00fcr vern\u00fcnftige Qualit\u00e4t und Qualit\u00e4tssicherung seit offensichtlich l\u00e4ngerem spart. Als Kunde von denen k\u00e4me ich mir nun gaaaaanz dezent \u00fcber den Tisch gezogen vor. Aber hey, ist in seiner Branche der Marktf\u00fchrer. Wenn der das nicht kann, dann doch schlie\u00dflich keiner, oder<\/a>?<\/p>\n Bamboo, Bitbucket & co. mit Atlassian Cloud-Instanzen verkn\u00fcpfen? Dank der Tunnel gar kein Problem – zumindest in der Theorie. Praktisch ist die Software bis heute nicht ausgereift, obwohl es 5 nach 12 ist. Ich habe mich bei einer Migration damit besch\u00e4ftigt und per Reverse Engineering die Fallstricke in einer typischen Unternehmensumgebung ermittelt. Dieser Beitrag zeigt, …<\/p>\n","protected":false},"author":5,"featured_media":12903,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"[{\"content\":\"https:\/\/www.golem.de\/news\/atlassian-ausfall-von-jira-und-confluence-dauert-noch-zwei-wochen-an-2204-164566.html\",\"id\":\"b84dbe92-3769-4bd2-87b2-0bb20f957e1e\"},{\"content\":\"https:\/\/confluence.atlassian.com\/bamboo\/linking-to-another-application-360677713.html\",\"id\":\"d60c7b97-1b87-4f16-992a-842a9aa921dd\"},{\"content\":\"https:\/\/support.atlassian.com\/jira-cloud-administration\/docs\/use-applinks-to-link-to-atlassian-products\/\",\"id\":\"3b519e85-8885-49d0-8a43-3bd00a9bfd03\"},{\"content\":\"https:\/\/support.atlassian.com\/organization-administration\/docs\/install-application-tunnels-from-atlassian-marketplace\/\",\"id\":\"a8f887c2-41f6-46cd-a9bb-dc5bd5697917\"},{\"content\":\"https:\/\/support.atlassian.com\/organization-administration\/docs\/configure-required-connections-and-upstream-ports\/\",\"id\":\"0df1ed2d-e955-4338-83a8-94508693c714\"},{\"content\":\"https:\/\/support.atlassian.com\/organization-administration\/docs\/create-an-application-tunnel-to-your-self-managed-instance\/\",\"id\":\"8b9f22ae-9e86-4d64-99bf-88d34fc99fb8\"},{\"content\":\"https:\/\/community.atlassian.com\/t5\/Jira-Software-questions\/Jira-Application-Link-Health-Check-fails-for-no-reason\/qaq-p\/851176\",\"id\":\"f72b9aeb-f22e-4230-8864-32c004fba09a\"},{\"content\":\"https:\/\/ecosystem.atlassian.net\/browse\/ATST-923\",\"id\":\"b705c8eb-a1cc-420c-9d9b-232effaca2d0\"},{\"content\":\"https:\/\/confluence.atlassian.com\/jirakb\/tunnelled-application-link-error-no-response-was-received-from-the-url-you-entered-it-may-not-be-valid-please-fix-the-url-below-if-needed-and-click-continue-1282249432.html\",\"id\":\"865a7555-9c03-4a11-9252-41488caa8aa2\"},{\"content\":\"https:\/\/confluence.atlassian.com\/bamboo\/logging-in-bamboo-289277239.html\",\"id\":\"441b1c11-1e75-4157-b3ab-675a46afda6e\"},{\"content\":\"https:\/\/support.atlassian.com\/organization-administration\/docs\/troubleshoot-application-tunnels\/\",\"id\":\"ed8835a9-957c-482e-91c0-a630ba128b39\"},{\"content\":\"https:\/\/stackoverflow.com\/a\/40051432\",\"id\":\"fd800d5a-342c-44d8-b569-16347aa88123\"},{\"content\":\"https:\/\/manpages.ubuntu.com\/manpages\/xenial\/man8\/update-ca-certificates.8.html\",\"id\":\"8a389c64-6959-4b44-a808-ff430a0a0d2e\"},{\"content\":\"https:\/\/confluence.atlassian.com\/security\/security-bulletin-march-19-2024-1369444862.html\",\"id\":\"8c71b859-833f-476c-a7f4-cc34f0c829b6\"},{\"content\":\"https:\/\/www.atlassian.com\/migration\/assess\/journey-to-cloud\",\"id\":\"1afa0b66-4afb-496d-99d5-5deb612afc3c\"},{\"content\":\"https:\/\/confluence.atlassian.com\/bamkb\/how-to-configure-an-outbound-proxy-for-a-bamboo-remote-agent-1044107769.html\",\"id\":\"ac9031a3-f434-4fb4-9845-04b424c362e9\"}]"},"categories":[78],"tags":[1069],"class_list":["post-12819","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-software","tag-atlassian"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/12819","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=12819"}],"version-history":[{"count":53,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/12819\/revisions"}],"predecessor-version":[{"id":12892,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/12819\/revisions\/12892"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/12903"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=12819"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=12819"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=12819"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}cacerts<\/code> Speicher der Java Laufzeitumgebung hinterlegt sein. Dies geschieht \u00fcber die Java Properties (-D<\/code>) in den Startskripten (setenv.sh<\/code> bzw. vergleichbare, das ist nicht einheitlich).<\/p>\nApplication Tunnel: Ein Trick zur Umgehung von Firewalls & co.<\/h2>\n
Installation: DAS soll so funktionieren?<\/h2>\n
-Dsecure.tunnel.upstream.port=$portNumber<\/code><\/pre>\n![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2024\/03\/grafik-4-1024x234.png\")
<\/a><\/figure>\n<\/div>\n<Service><\/code> einen Connector angelegt:<\/p>\n<Connector port="8093" connectionTimeout="20000" maxThreads="200" minSpareThreads="10" \n enableLookups="false" acceptCount="10" URIEncoding="UTF-8" \/><\/code><\/pre>\nJVM_SUPPORT_RECOMMEND<\/code> aus \/setenv.sh der JVM das Property f\u00fcr den Port \u00fcbergeben:<\/p>\n-Dsecure.tunnel.upstream.port=$portNumber<\/code><\/pre>\nErfolgreich nichts abgeschlossen<\/h2>\n
c.a.t.m.TunnelConnectionService Successfully updated tunnel connection for node with ID XYZ<\/code><\/pre>\nUnrecognized error while attempting to retrieve status of Application Link XXX<\/code><\/pre>\nWo ist das Problem?<\/h2>\n
![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2024\/03\/D8gNu2CX4AAYTEQ_small.jpg\")
<\/a>-Da=1=b=2<\/code> gesehen? Ich habe meine Zweifel. Au\u00dferdem ist in der Installation der Standardport verwendet worden, auf dem nach dem Neustart auch ein Server lauscht. Allerdings greift man blind nach jedem Strohhalm, gebracht hat es nichts.<\/p>\nDie Katakomben der Tunnel<\/h2>\n
com.atlassian.tunnel<\/code> auf ALL<\/strong> gesetzt wurde,11<\/a><\/sup> siehe da, wir sehen etwas passieren:<\/p>\nDEBUG [tunnel-executor:thread-1] [InletsClientProcessFactory] Creating process for executable com.atlassian.tunnel.file.LinuxInletsExecutable@5b7dd3ee with command [.\/inlets, client, --url=******, --upstream=******=http:\/\/127.0.0.1:8093, --token-from=\/bamboo-data\/xyz_token, --strict-forwarding]\nTRACE [tunnel-executor:thread-1] [InletsClientManager] Tunnel Process Monitor status on Before Start: RESTARTING\nDEBUG [tunnel-executor:thread-2] [InletsClientManager] [INLETS CLIENT] Upstream: ****** => http:\/\/127.0.0.1:8093\nDEBUG [tunnel-executor:thread-2] [InletsClientManager] [INLETS CLIENT] level=info msg="Connecting to proxy" url="******\/tunnel"\nDEBUG [tunnel-executor:thread-2] [InletsClientManager] [INLETS CLIENT] level=error msg="Failed to connect to proxy. Empty dialer response" error="dial tcp 185.166.143.26:443: connect: connection refused"\nDEBUG [tunnel-executor:thread-2] [InletsClientManager] [INLETS CLIENT] level=error msg="Remotedialer proxy error" error="dial tcp 185.166.143.26:443: connect: connection refused"<\/code><\/pre>\n![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2024\/03\/grafik-5.png\")
<\/a><\/figure>\n<\/div>\n-Dhttps.proxy*<\/code> Property ist der Proxyserver gesetzt (https.proxyHost<\/code>, https.proxyPort<\/code>, …) und dort wurden die AWS-Adressen zur Atlassian Cloud bereits freigeschaltet. Per curl<\/code> auf dem Server funktioniert die Verbindung zum in der Doku angegebenen Host tunnel.services.atlassian.com problemlos. Warum das so ist, verr\u00e4t die erste Zeile direkt: Da wird eine ausf\u00fchrbare Datei namens inlets<\/code> aus der JVM heraus gestartet. Sieht … abenteuerlich aus. Schauen wir uns die mal genauer an. Im Anwendungsverzeichnis liegen drei Jars mit tunnel<\/em> im Name:<\/p>\nfind . -name '*tunnel*'\natlassian-bamboo\/WEB-INF\/lib\/atlassian-tunnel-1.8.8.jar\nlicenses\/com.atlassian.tunnel--atlassian-tunnel--1.8.8.txt\ntemp\/plugin.13183305074016480489.tunnel-client-plugin-1.2.0.jar<\/code><\/pre>\nunzip<\/code> auspacken und hinein schauen:<\/p>\nunzip temp\/plugin.13183305074016480489.tunnel-client-plugin-1.2.0.jar -d \/tmp\/tunnel-plugin\/<\/code><\/pre>\nfind \/tmp\/tunnel-plugin\/ -name '*LinuxInletsExecutable*'\n\/tmp\/tunnel-plugin\/com\/atlassian\/tunnel\/file\/LinuxInletsExecutable.class<\/code><\/pre>\nl \/tmp\/tunnel-plugin\/inlets-binaries\/inlets -lh\n-rw-r--r-- 1 user user 13M Jun 1 2023 \/tmp\/tunnel-plugin\/inlets-binaries\/inlets<\/code><\/pre>\n .\/inlets\n _ _ _ _\n(_)_ __ | | ___| |_ ___ __| | _____ __\n| | '_ \\| |\/ _ \\ __\/ __| \/ _` |\/ _ \\ \\ \/ \/\n| | | | | | __\/ |_\\__ \\| (_| | __\/\\ V \/\n|_|_| |_|_|\\___|\\__|___(_)__,_|\\___| \\_\/\nExpose your local endpoints to the Internet by creating a tunnel between\nyour local machine and an exit-server with its own public IP address.\nUsage:\n inlets [flags]\n inlets [command]Available Commands:\n client Start the tunnel client.\n completion generate the autocompletion script for the specified shell\n help Help about any command\n server Start the tunnel server.\n version Display the clients version information.Flags:\n -h, --help help for inletsUse "inlets [command] --help" for more information about a command.\n\n.\/inlets version\n _ _ _ _\n(_)_ __ | | ___| |_ ___ __| | _____ __\n| | '_ \\| |\/ _ \\ __\/ __| \/ _` |\/ _ \\ \\ \/ \/\n| | | | | | __\/ |_\\__ \\| (_| | __\/\\ V \/\n|_|_| |_|_|\\___|\\__|___(_)__,_|\\___| \\_\/\nVersion: 2.1.0-atlassian1-31-g33b2f95\nGit Commit: 33b2f95625ada3d1346652aeb5ec8e73edcf7388<\/code><\/pre>\nWarum funktioniert das nicht?<\/h2>\n
http(s)_proxy<\/code> setzen. Zur Sicherheit auch immer in Gro\u00dfbuchstaben f\u00fcr Windows. Ist theoretisch zwar egal, da wir auf einem GNU\/Linux Server unterwegs sind, aber bei Atlassian wei\u00df man ja nie. Das Problem wird damit zwar nicht gel\u00f6st, doch wir erhalten eine neue Fehlermeldung:<\/p>\nlevel=error msg="Failed to connect to proxy. Empty dialer response" error="x509: certificate signed by unknown authority"<\/code><\/pre>\n![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2024\/03\/got-a-new-error-progress.jpg\")
<\/a><\/figure>\n<\/div>\nDiese Qualit\u00e4t<\/em> vom Marktf\u00fchrer hat Tradition!<\/h2>\n
Wir dr\u00fccken es wem anders aufs Auge<\/h2>\n
![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2024\/03\/just-keep-coding_always-fix-later_cut-1016x1024.jpeg\")
<\/a><\/figure>\n<\/div>\nQuellen und weiterf\u00fchrende Informationen<\/h2>\n
\n