مرجع موقع المضيف الافتراضي

تُحدِّد اسم المضيف الظاهري. يمكنك استخدام هذا الاسم للإشارة إلى المضيف الظاهري عند إعداد خادم وكيل لواجهة برمجة التطبيقات.

وتقتصر الأحرف التي يمكنك استخدامها في سمة الاسم على: A-Z0-9._\-$%.

تُحدِّد رقم المنفذ الذي يستخدمه المضيف الافتراضي. تأكَّد من أنّ المنفذ مفتوح على جهاز توجيه الحافة.

إذا حددت منفذًا في عنصر hostalias، سيُعرض رقم المنفذ المحددة بواسطة <Port> يجب أن تتطابق معها.

بالنسبة إلى Cloud: يجب تحديد المنفذ 443 عند إنشاء مضيف افتراضي. في حال حذف تم حذف المنفذ، يتم ضبط المنفذ على 443 تلقائيًا. إذا كان لديك مضيف افتراضي يستخدم منفذ غير 443، لا يمكنك تغيير المنفذ.

بالنسبة إلى إصدارات Private Cloud من 4.16.01 إلى 4.17.05: عند إنشاء المضيف الظاهري، فينبغي لك تحديد منفذ جهاز التوجيه الذي يستخدمه المضيف الظاهري. على سبيل المثال، المنفذ 9001. بشكل تلقائي، يتم تشغيل جهاز التوجيه باعتباره "واجهة برمجة تطبيقات" المستخدم التي لا يمكنها الوصول إلى المنافذ الخاصة، والتي تكون عادةً المنافذ 1024 والإصدارات الأقدم. إذا أردت إنشاء مضيف افتراضي تربط جهاز التوجيه بمنفذ محمي، يجب بعدها ضبط جهاز التوجيه للعمل للمستخدم الذي يمكنه الوصول إلى هذه المنافذ. عرض إعداد مضيف افتراضي لـ أخرى.

بالنسبة إلى إصدارات Private Cloud التي تسبق 4.16.01: يمكن لجهاز التوجيه الاستماع إلى اتصال HTTPS واحد فقط لكل مضيف ظاهري، في منفذ محدد، مع الشهادة المحددة. لذلك، لا يمكن للعديد من المضيفات الافتراضية استخدام رقم المنفذ نفسه في حال إنهاء بروتوكول أمان طبقة النقل (TLS) تحدث على جهاز التوجيه في المنفذ المحدد.

يجب أن تتضمّن قيمة BaseUrl البروتوكول (أي "http:// " أو "https://").

يرسل عميل OCSP (بروتوكول حالة الشهادة على الإنترنت) حالة إلى مستجيب OCSP لتحديد ما إذا كانت شهادة TLS صالحة. الردّ تشير إلى ما إذا كانت شهادة TLS صالحة ولم يتم إبطالها.

عند تفعيل هذا الإعداد، يسمح تدبيس بروتوكول OCSP بـ Edge، الذي يعمل كخادم TLS لطبقة النقل الآمنة الأحادية الاتجاه، للاستعلام عن مجيب OCSP مباشرةً، ثم تخزين الرد مؤقتًا. بعد ذلك، تعرض Edge هذه الاستجابة إلى عميل بروتوكول أمان طبقة النقل (TLS) أو تشبكها كجزء من عملية تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS). راجِع تفعيل تدفئة OCSP على خادمك لمعرفة المزيد.

يجب تفعيل بروتوكول أمان طبقة النقل (TLS) لتفعيل تدبيس بروتوكول OCSP. يجب ضبط القيمة على on للتفعيل. القيمة التلقائية هي off.

اسم نظام أسماء النطاقات الظاهر بشكل علني للمضيف الظاهري على جهاز التوجيه، بشكل اختياري، بما في ذلك رقم المنفذ. يجب الجمع بين اسم اسم المضيف المستعار ورقم المنفذ للمضيف الظاهري أن يكون فريدًا لجميع المضيفين الظاهرين في تثبيت Edge. وهذا يعني تعدّد الألعاب يمكن للمضيفين استخدام رقم المنفذ نفسه إذا كان لديهم أسماء مستعارة مختلفة للمضيف.

يجب إنشاء إدخال نظام أسماء نطاقات وسجل CNAME يتطابق مع الاسم المستعار للمضيف، يجب أن يتطابق الاسم المستعار مع السلسلة التي يوجّهها العميل في العنوان Host.

رقم المنفذ في HostAlias اختياري. إذا حددت المنفذ كجزء من الاسم المستعار للمضيف، فيجب عليك أيضًا تحديد المنفذ نفسه باستخدام العنصر <Port>. أو يمكنك تحديد عنصرَين HostAlias، واحد برقم المنفذ وواحد بدونه.

يمكنك الحصول على عدة تعريفات HostAlias. في نفس تعريف المضيف الظاهري، بما يتوافق مع إدخالات DNS المتعددة المضيف الظاهري، ولكن ليس للمنافذ المتعددة. إذا كنت تريد منافذ متعددة، يمكنك إنشاء منافذ متعددة تعريفات المضيف الظاهري بمنافذ مختلفة.

يمكنك تضمين علامة "*" حرف بدل في الاسم المستعار للمضيف. فإن "*" يمكن لحرف البدل فقط في بداية (الذي يسبق ".") الأول للاسم المستعار للمضيف، ولا يمكن مزجه مع حروف أخرى. على سبيل المثال: *.example.com. يجب أن تحتوي شهادة بروتوكول أمان طبقة النقل (TLS) للمضيف الظاهري على حرف بدل مطابق في اسم CN للشهادة. مثلاً: *.example.com يتيح استخدام حرف بدل في الاسم المستعار للمضيف الظاهري تتعامل الخوادم الوكيلة لواجهة برمجة التطبيقات مع الطلبات الموجَّهة إلى نطاقات فرعية متعددة مثل alpha.example.com أو beta.example.com أو live.example.com يساعدك أيضًا استخدام اسم مستعار لحرف بدل في استخدام عدد أقل من البطاقات المضيفين لكل بيئة للبقاء ضمن المنتج الحد الأقصى المسموح به، حيث يتم احتساب المضيف الافتراضي الذي يتضمن حرف بدل كمضيف افتراضي واحد فقط.

للسحابة الإلكترونية: في حال كان لديك مضيف افتراضي حالي يستخدم منفذًا آخر من 443، لا يمكنك إضافة أو إزالة اسم مضيف مستعار.

بالنسبة إلى السحابة الإلكترونية الخاصة: في حال إعداد الاسم المستعار للمضيف باستخدام عنوان IP لعناوين أجهزة التوجيه، وليس إدخالات نظام أسماء النطاقات، يمكنك إضافة اسم مضيف بديل منفصل لكل جهاز التوجيه، يحدِّد عنوان IP لكل جهاز توجيه ومنفذ للمضيف الظاهري.

تحدِّد هذه السياسة واجهات الشبكة التي تريد ربط port بها. إذا كنت حذف هذا العنصر، فسيتم ربط المنفذ على جميع الواجهات.

على سبيل المثال، لتحديد ربط المنفذ بـ en0 فقط:

<Interfaces>
  <Interface>en0</Interface>
</Interfaces>

حدد الواجهات المتاحة على نظامك من خلال تنفيذ الأمر "ifconfig -a" الأمر.

يمكنك ضبط كيفية تفاعل جهاز التوجيه مع هذا المضيف الظاهري عند استخدام معالج الرسائل. إلى الأسفل.

يمكنك تحديد قيم متعددة باستخدام <RetryOption>. القيم الصالحة تشمل:

وإذا حددت قيمًا متعددة، يستخدم جهاز التوجيه تنسيق OR منطقيًا لدمجها.

على سبيل المثال:

<RetryOptions>
  <RetryOption>http_599</RetryOption>
  <RetryOption>error</RetryOption>
  <RetryOption>timeout</RetryOption>
  <RetryOption>invalid_header</RetryOption>
</RetryOptions>

إذا كنت تستخدم ELB في وضع تمرير TCP لمعالجة الطلبات إلى أجهزة توجيه Edge، يتعامل جهاز التوجيه مع عنوان IP لـ ELB على أنه عنوان IP للعميل بدلاً من عنوان IP الفعلي للعميل. إذا كان جهاز التوجيه يتطلب عنوان IP الحقيقي للعميل، تفعيل ميزة proxy_protocol على ELB حتى يمرر عنوان IP للعميل في حزمة TCP. على جهاز التوجيه، عليك أيضًا ضبط <ListenOption> على المضيف الظاهري إلى proxy_protocol. نظرًا لأن ELB في وضع المرور عبر TCP، فإنك تُنهي عادةً بروتوكول أمان طبقة النقل (TLS) على جهاز التوجيه. لذلك، يمكنك عادةً ضبط المضيف الافتراضي فقط لاستخدام proxy_protocol. عند إعداده أيضًا لاستخدام بروتوكول أمان طبقة النقل (TLS).

القيمة التلقائية لـ <ListenOption> هي فارغة السلسلة.

على سبيل المثال:

<ListenOptions>
  <ListenOption>proxy_protocol</ListenOption>
</ListenOptions>

لإلغاء ضبط "<ListenOption>" في وقت لاحق، عليك تعديل مضيف افتراضي وحذف العلامة <ListenOptions> من تحديث.

تُفعِّل بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة الأحادية الاتجاه. يجب عليك تحديد ملف تخزين مفاتيح يحتوي على الشهادة الخاص.

بالنسبة إلى Cloud: يجب أن يكون لديك شهادة موقعة من كيان موثوق به، مثل Symantec أو VeriSign. لا يمكنك استخدام شهادة موقَّعة ذاتيًا أو شهادات غير أصلية موقَّعة من مرجع تصديق موقَّع ذاتيًا.

بالنسبة إلى السحابة الإلكترونية: في حال ضبط المضيف الافتراضي الحالي على استخدام منفذ بخلاف 443، لا يمكنك تغيير إعداد بروتوكول أمان طبقة النقل (TLS). وهذا يعني أنه لا يمكنك تغيير إعداد بروتوكول أمان طبقة النقل (TLS) من مُفعّلة إلى معطلة، أو من معطلة إلى مُفعَّلة.

اسم ملف تخزين المفاتيح على Edge.

تقترح Apigee استخدام مرجع لتحديد اسم ملف تخزين المفاتيح لكي يمكنه تغيير ملف تخزين المفاتيح بدون الحاجة إلى إعادة تشغيل أجهزة التوجيه. يُرجى الاطّلاع على خيارات لضبط بروتوكول أمان طبقة النقل (TLS) لمزيد من المعلومات.

اسم Truststore على Edge الذي يحتوي على الشهادة أو سلسلة الشهادات يُستخدم مع بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه. تكون هذه السمة مطلوبة في حال ضبط السمة <ClientAuthEnabled> على القيمة الصحيحة.

تنصح Apigee باستخدام مرجع لتحديد اسم Truststore بحيث يمكنهم تغيير Truststore بدون الحاجة إلى إعادة تشغيل أجهزة التوجيه. يُرجى الاطّلاع على خيارات لضبط بروتوكول أمان طبقة النقل (TLS) لمزيد من المعلومات.

في حال اختيار القيمة "صحيح"، يتم تحديد هذا الخيار لتجاهل أخطاء شهادة بروتوكول أمان طبقة النقل (TLS). وهو مشابه لـ "-k" الخيار إلى cURL.

يكون هذا الخيار صالحًا عند ضبط بروتوكول أمان طبقة النقل (TLS) للخوادم المستهدَفة ونقاط النهاية المستهدَفة. عند إعداد المضيفات الافتراضية التي تستخدم بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه.

عند الاستخدام مع نقطة نهاية مستهدفة/خادم مستهدف، إذا كان نظام الخلفية يستخدم إشارة اسم الخادم (SNI) ويعرض شهادة على أن يكون الاسم المميز (DN) للموضوع لا يتطابق مع اسم المضيف، فلا توجد طريقة لتجاهل الخطأ وإخفاق الاتصال.

يتوفّر فقط الإصدار 4.15.07 والإصدارات الأقدم من Edge for Private Cloud.

تحدّد هذه العلامة الرموز التي يوفّرها المضيف الظاهري. إذا لم يتم تحديد أي رموز، فسيتم السماح بجميع الرموز المتاحة لـ JVM.

لتقييد التشفير، أضف العناصر التالية:

<Ciphers>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Cipher>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Cipher>
</Ciphers>

يتوفّر فقط الإصدار 4.15.07 والإصدارات الأقدم من Edge for Private Cloud.

تُحدِّد البروتوكولات المتوافقة مع المضيف الافتراضي. وإذا لم يتم تحديد أي بروتوكولات، فسيتم عندئذٍ السماح بجميع البروتوكولات المتاحة لـ JVM.

لتقييد البروتوكولات، أضِف العناصر التالية:

<Protocols>
  <Protocol>TLSv1</Protocol>
  <Protocol>TLSv1.2</Protocol>
  <Protocol>SSLv2Hello</Protocol>
</Protocols>

إذا كان لديك حساب مدفوع على Edge for Cloud ولم يكن لديك بعد شهادة ومفتاح لبروتوكول أمان طبقة النقل (TLS)، يمكنك: إنشاء مضيف افتراضي يستخدم مفتاح وشهادة الفترة التجريبية المجانية في Apigee. هذا يعني أنه يمكنك إنشاء المضيف الظاهري دون إنشاء ملف تخزين مفاتيح أولاً.

يتم تحديد شهادة Apigee للفترة التجريبية المجانية لنطاق *.apigee.net. وبالتالي، يجب أن يكون <HostAlias> للمضيف الافتراضي أيضًا بالشكل *.apigee.net.

راجِع تحديد مضيف افتراضي. يستخدم شهادة ومفتاح الفترة التجريبية المجانية في Apigee.

تفعيل التقاط معلومات اتصال بروتوكول أمان طبقة النقل (TLS) بواسطة Edge. تتوفر هذه المعلومات بعد ذلك كمتغيرات تدفق في الخادم الوكيل لواجهة برمجة التطبيقات. يُرجى الاطِّلاع على الوصول إلى معلومات اتصال بروتوكول أمان طبقة النقل (TLS) في الخادم الوكيل لواجهة برمجة التطبيقات لمعرفة المزيد.

تفعيل التقاط تفاصيل شهادة العميل التي تم التقاطها بواسطة Edge في بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه. تتوفر هذه المعلومات بعد ذلك كمتغيرات تدفق في الخادم الوكيل لواجهة برمجة التطبيقات. يُرجى الاطِّلاع على الوصول إلى معلومات اتصال بروتوكول أمان طبقة النقل (TLS) في الخادم الوكيل لواجهة برمجة التطبيقات لمعرفة المزيد.

يتم ضبط المُهلة بالثواني بين معالجات الرسائل وجهاز التوجيه. تشير رسالة الأشكال البيانية ينقطع جهاز التوجيه الاتصال ويعرض استجابة HTTP 504 إذا لم يحصل على من معالج الرسائل قبل انتهاء هذه المدة.

يجب أن تكون قيمة client_read_timeout أكبر من قيمة المهلة المستهدفة المستخدمة من معالج الرسائل. ويضمن ذلك عدم انتهاء مهلة جهاز التوجيه قبل لدى معالج الرسائل الوقت الكافي لعرض الرد. المهلة التلقائية المستهدفة تبلغ مدة معالج الرسائل 55 ثانية، و55000 مللي ثانية، وفقًا لما يحدده الرمز المميز "conf_http_HTTPTransport.io.timeout.millis" للرسالة المعالج.

تحدِّد هذه السياسة مدّة المهلة بالثواني بين العميل وجهاز التوجيه عندما يبدأ العميل يرسل طلبًا يحتوي على العنوان Keep-Alive. جهاز التوجيه يبقي الاتصال مفتوحًا حتى انتهاء المدة.

لن يغلق جهاز التوجيه الاتصال إذا كان في انتظار رد حاليًا. من معالج الرسائل. لا تبدأ المهلة إلّا بعد أن يرسل جهاز التوجيه الردّ للعميل.

تحدّد التشفيرات التي يعتمدها المضيف الظاهري، وتتجاوز الرموز التلقائية المضبوطة على جهاز التوجيه.

عليك تحديد قائمة رموز مفصولة بنقطتين على النحو التالي:

<Property name="ssl_ciphers">HIGH:!aNULL:!MD5:!DH+3DES:!kEDH;</Property>

للحصول على معلومات عن البنية والقيم المسموح بها من خلال هذا الرمز المميّز، اطّلِع على https://www.openssl.org/docs/man1.0.2/man1/ciphers.html. تجدر الإشارة إلى أنّ هذا الرمز يستخدم أسماء رموز OpenSSL، مثل AES128-SHA256، وليس أسماء رموز Java/JSSE، مثل TLS_RSA_WITH_AES_128_CBC_SHA256

!MD5:

!DH+3DES:

!kEDH

متاحة للاستخدام في Edge for Private Cloud فقط

تضبط بروتوكولات بروتوكول أمان طبقة النقل (TLS) المتوافقة مع المضيف الظاهري كقائمة مفصولة بمسافات. تجاوز البروتوكولات الافتراضية المحددة على جهاز التوجيه.

ملاحظة: إذا كان هناك مضيفان افتراضيان يتشاركان في المنفذ نفسه، يجب ضبط ssl_protocols إلى البروتوكولات نفسها. بمعنى أنه يجب على المضيفين الظاهريين الذين يتشاركون المنفذ نفسه تدعم البروتوكولات نفسها بالضبط.

عليك تحديد قائمة ببروتوكولات بروتوكول أمان طبقة النقل (TLS) مفصولة بمسافات على النحو التالي:

<Property name="ssl_protocols">TLSv1 TLSv1.2</Property>

لتفعيل (تفعيل) التخزين المؤقت لنص الطلب أو إيقافه (إيقافه). عندما يكون التخزين المؤقت قيد التشغيل، يقوم جهاز التوجيه بتخزين نص الطلب بالكامل مؤقتًا قبل إرساله إلى معالج الرسائل. في حال حذف إذا كان هناك خطأ، يمكن للموجه إعادة محاولة معالجة معالِجات رسائل آخر.

وفي حال إيقافها، يتم إيقاف التخزين المؤقت ويتم إرسال نص الطلب إلى معالج الرسائل. فور استلامها. إذا كان هناك خطأ، فلن يتمكن جهاز التوجيه من إعادة محاولة الطلب إلى معالج رسائل آخر.