Sanal ana makine özelliği referansı

Sanal ana makinenin adını belirtir. Sanal ana makineye referans vermek için bu adı kullanırsınız. yapılandırmanın üç yolu vardır.

Ad özelliğinde kullanabileceğiniz karakterler şununla sınırlıdır: A-Z0-9._\-$%.

Sanal ana makine tarafından kullanılan bağlantı noktası numarasını belirtir. Bağlantı noktasının Uç Yönlendirici.

Bir hostalias öğesinde bağlantı noktası belirtirseniz bağlantı noktası numarası <Port> tarafından belirtilenle eşleşmesi gerekir.

Cloud için: Sanal ana makine oluştururken bağlantı noktası 443'ü belirtmeniz gerekir. Eğer varsayılan olarak bağlantı noktası 443'tür. bağlantı noktası 443 dışında bir bağlantı noktasıysa bağlantı noktasını değiştiremezsiniz.

Private Cloud 4.16.01-4.17.05 sürümleri için: sanal ana makine tarafından kullanılan Yönlendirici bağlantı noktasını belirtirsiniz. Örneğin, bağlantı noktası 9001. Varsayılan olarak Yönlendirici, "Apigee" kullanıcısı olarak çalışır erişimi olmayan ayrıcalıklı bağlantı noktaları, genellikle 1024 ve önceki bağlantı noktalarıdır. Sanal ana makine oluşturmak istiyorsanız bir bağlantı noktasına bağlayan bir yönlendirici kullanıyorsanız, Yönlendirici'yi aşağıdaki gibi çalışacak şekilde yapılandırmanız gerekir: erişimi olan bir kullanıcı ekleyin. Görüntüleyin Şunun için sanal ana makine ayarlama: daha fazla.

4.16.01'den önceki Private Cloud sürümleri için: Yönlendirici, belirli bir bağlantı noktasında, belirtilen sertifikayla sanal ana makine başına yalnızca bir HTTPS bağlantısı. Bu nedenle, TLS sonlandırması durumunda birden fazla sanal ana makine aynı bağlantı noktası numarasını kullanamaz Yönlendiricide belirtilen bağlantı noktasında gerçekleşir.

BaseUrl değeri, protokolü (ör. "http://" veya "https://").

OCSP (Çevrimiçi Sertifika Durum Protokolü) istemcisi, işlemlere isteği gönderir. Yanıt TLS sertifikasının geçerli olup olmadığını ve iptal edilmemiş olup olmadığını gösterir.

Etkinleştirildiğinde OCSP zıplama, Edge'in tek yönlü TLS için TLS sunucusu işlevi görerek OCSP yanıtlayıcısını doğrudan sorgulamak ve ardından yanıtı önbelleğe almak için kullanılır. Daha sonra Edge bu yanıtı TLS istemcisine döndürür veya TLS el sıkışmasının bir parçası olarak yapıştırır. Sunucunuzda OCSP Zımbalamayı Etkinleştirme başlıklı makaleye göz atın. .

OCSP sabitlemenin etkinleştirilmesi için TLS etkinleştirilmelidir. Etkinleştirmek için on olarak ayarlayın. Varsayılan değer off değeridir.

Yönlendirici üzerindeki sanal ana makinenin herkes tarafından görülebilen DNS adı. İsteğe bağlı olarak bağlantı noktası numarasıdır. Sanal ana makine için ana makine takma adı ve bağlantı noktası numarası birlikte kullanılmalıdır. Edge yüklemesindeki tüm sanal ana makineler için benzersiz olmalıdır. Bu, birden fazla sanal makinede ana makine takma adları farklıysa aynı bağlantı noktası numarasını kullanabilir.

Barındırıcı takma adıyla ve barındırıcıyla eşleşen bir DNS girişi ve CNAME kaydı oluşturmanız gerekir takma ad, istemcinin Host üstbilgisinde ilettiği dizeyle eşleşmelidir.

HostAlias içindeki bağlantı noktası numarası isteğe bağlıdır. Örneğin bağlantı noktasını ana makine takma adının parçası olarak tanımlarsanız <Port> öğesi. İsterseniz iki HostAlias öğesi belirtebilirsiniz: birinde bağlantı noktası numarası bulunur, diğerinde bağlantı noktası bulunmaz.

Birden fazla HostAlias tanımınız olabilir aynı sanal ana makine tanımında, sanal ana makine kullanmayı gerektirir, ancak birden fazla bağlantı noktası için geçerli değildir. Birden fazla bağlantı noktası istiyorsanız farklı bağlantı noktalarına sahip sanal ana makine tanımlarıdır.

"*" karakterini ekleyebilirsiniz ana makine takma adında joker karakter bulunması. "*" joker karakterle yalnızca ana makine takma adının başında (ilk "."den önce) olmalıdır ve diğer karakterlerle karıştırılamaz. Örneğin: *.example.com. Sanal ana makinenin TLS sertifikasının CN adında eşleşen joker karakter bulunmalıdır. Örneğin, *.example.com. Sanal ana makine takma adında joker karakter kullanmak, API proxy'leri; alpha.example.com, beta.example.com veya live.example.com. Joker karakter takma adı kullanmak, daha az sanal makine kullanmanıza da yardımcı olur ürün içinde kalmak amacıyla ortam başına ana bilgisayar sayısı joker karakterli bir sanal ana makine tek bir sanal ana makine olarak sayıldığından.

Cloud için: Farklı bir bağlantı noktası kullanan mevcut bir sanal ana makineniz varsa barındırıcı takma adı ekleyemez veya kaldıramazsınız.

Private Cloud için: Ana makine takma adını IP adresini kullanarak Yönlendiricilerinizin adreslerini (DNS girişleri değil) her biri için ayrı bir ana makine takma adı Her bir Yönlendiricinin IP adresini ve sanal ana makine bağlantı noktasını belirten yönlendirici.

port öğesinin bağlı olmasını istediğiniz ağ arayüzlerini belirtir. Şu durumda: bağlantı noktası tüm arayüzlere bağlıdır.

Örneğin, bağlantı noktasının yalnızca en0'a bağlanmasını sağlamak için:

<Interfaces>
  <Interface>en0</Interface>
</Interfaces>

"ifconfig -a" komutunu çalıştırarak sisteminizde kullanabileceğiniz arayüzleri belirleyin. komutunu kullanın.

İleti İşleyici, ileti işlemcisi geldiğinde Yönlendirici'nin bu sanal ana makine için nasıl tepki vereceğini yapılandırın aşağı tüketim.

<RetryOption> kullanarak birden çok değer belirtebilirsiniz. Geçerli değerler şunlardır:

Birden çok değer belirtirseniz Yönlendirici bunları birleştirmek için mantıksal bir VEYA kullanır.

Örneğin:

<RetryOptions>
  <RetryOption>http_599</RetryOption>
  <RetryOption>error</RetryOption>
  <RetryOption>timeout</RetryOption>
  <RetryOption>invalid_header</RetryOption>
</RetryOptions>

Uç Yönlendiricilere gelen istekleri işlemek için TCP geçiş modunda ELB kullanıyorsanız Yönlendirici, ELB'nin IP adresini gerçek istemci IP'sidir. Yönlendirici için gerçek istemci IP'si gerekiyorsa proxy_protocol özelliğini şurada etkinleştir: TCP paketindeki istemci IP'sini geçirmesi için ELB'yi kontrol edin. Yönlendirici üzerinde ayrıca <ListenOption> proxy_protocol sanal ana makinesinde. ELB, TCP geçiş modunda olduğu için genellikle Yönlendirici'de TLS'yi sonlandırır. Bu nedenle, sanal ana makineyi genellikle yalnızca proxy_protocol TLS'yi kullanacak şekilde yapılandırmanız da gerekebilir.

Varsayılan <ListenOption> değeri boş bir değer dize.

Örneğin:

<ListenOptions>
  <ListenOption>proxy_protocol</ListenOption>
</ListenOptions>

Daha sonra <ListenOption> ayarını kaldırmak için sanal ana makinesinde <ListenOptions> etiketini güncelleyin.

Tek yönlü TLS/SSL'yi etkinleştirir. Sertifikayı içeren bir anahtar deposu tanımlamış ve gizli anahtardır.

Cloud için: Symantec veya VeriSign gibi güvenilir bir varlık tarafından imzalanmış bir sertifikanızın olması gerekir. Kendinden imzalı bir sertifika veya kendinden imzalı bir CA tarafından imzalanmış yaprak sertifikalar kullanamazsınız.

Cloud için: Mevcut sanal ana makineniz bir bağlantı noktası kullanacak şekilde yapılandırılmışsa 443 dışında bir TLS ayarını değiştiremezsiniz. Bu, TLS ayarını devre dışı olarak ayarlayabilir veya devre dışı bırakabilirsiniz.

Edge'deki anahtar deposunun adı.

Apigee, anahtar deposu adını belirtip referans kullanmanızı önerir. Bu şekilde Yönlendiricileri yeniden başlatmanıza gerek kalmadan anahtar deposunu değiştirebilirsiniz. Aşağıdaki seçenekleri inceleyin: TLS'yi yapılandırma hakkında daha fazla bilgi edinin.

Edge'de sertifikayı veya sertifika zincirini içeren güven deposunun adı iki yönlü TLS için kullanılır. <ClientAuthEnabled> doğru ise gereklidir.

Apigee, güven deposu adını belirterek referans kullanmanızı önerir. Bu şekilde Yönlendiricileri yeniden başlatmanıza gerek kalmadan güven deposunu değiştirebilirsiniz. Aşağıdaki seçenekleri inceleyin: TLS'yi yapılandırma hakkında daha fazla bilgi edinin.

True (doğru) ise TLS sertifikası hatalarının yoksayılacağını belirtir. Bu, "-k" ile benzerdir seçenek cURL'ye ekleyin.

Bu seçenek, hedef sunucular ve hedef uç noktaları için TLS'yi yapılandırırken geçerlidir. 2 yönlü TLS kullanan sanal ana makineleri yapılandırırken

Arka uç sistemi SNI kullanıyorsa ve bir sertifika döndürürse hedef uç nokta/hedef sunucuyla kullanıldığında ana makine adıyla eşleşmeyen bir konuya sahip Ayırt Edici Adı (DN) varsa, seçeneğini belirleyin.

Edge for Private Cloud'un 4.15.07 ve önceki sürümleri için.

Sanal ana makine tarafından desteklenen şifreleri belirtir. Şifre belirtilmezse JVM için kullanılabilen tüm şifrelere izin verilir.

Şifreleri kısıtlamak için aşağıdaki öğeleri ekleyin:

<Ciphers>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Cipher>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Cipher>
</Ciphers>

Edge for Private Cloud'un 4.15.07 ve önceki sürümleri için.

Sanal ana makine tarafından desteklenen protokolleri belirtir. Protokol belirtilmezse JVM için kullanılabilen tüm protokollere izin verilir.

Protokolleri kısıtlamak için aşağıdaki öğeleri ekleyin:

<Protocols>
  <Protocol>TLSv1</Protocol>
  <Protocol>TLSv1.2</Protocol>
  <Protocol>SSLv2Hello</Protocol>
</Protocols>

Cloud hesabınız için ücretli bir Edge kullanıyorsanız ve henüz TLS sertifikası ve anahtarınız yoksa şunları yapabilirsiniz: Apigee ücretsiz deneme sertifikası ve anahtarını kullanan bir sanal ana makine oluşturmalıdır. Yani farklı gruplar için sanal ana makineyi kolayca yükleyebilirsiniz.

*.apigee.net alan adı için Apigee ücretsiz deneme sertifikası tanımlanmıştır. Dolayısıyla, Sanal ana makinenin <HostAlias> kadarı da *.apigee.net biçiminde olmalıdır.

Sanal ana makine tanımlama hakkında bilgi edinin. sertifikası ve anahtarı kullanılabilir.

Edge'in TLS bağlantı bilgilerini yakalamasını sağlar. Bu bilgiler daha sonra API proxy'sinde akış değişkenleri olarak kullanılabilir. API proxy'sinde TLS bağlantı bilgilerine erişme konusuna bakın .

İki yönlü TLS'de Edge tarafından yakalanan istemci sertifikası ayrıntılarının yakalanmasını sağlar. Bu bilgiler daha sonra API proxy'sinde akış değişkenleri olarak kullanılabilir. API proxy'sinde TLS bağlantı bilgilerine erişme konusuna bakın .

İleti İşlemcileri ve Yönlendirici arasındaki zaman aşımı süresini saniye cinsinden ayarlar. İlgili içeriği oluşturmak için kullanılan Yönlendirici, bağlantıyı keser ve yanıt vermesi gerekmektedir.

proxy_read_timeout değeri, kullanılan hedef zaman aşımı değerinden büyük olmalıdır Mesaj İşleyen tarafından gönderilir. Bu, yönlendiricinin Mesaj İşleyici'nin yanıt vermesi için zaman harcamıştır. Şunun için varsayılan hedef zaman aşımı Mesaj İşlemci, Mesaj için conf_http_HTTPTransport.io.timeout.millis jetonu İşleyen.

İstemci ile Yönlendirici arasındaki zaman aşımı süresini saniye cinsinden ayarlar. Keep-Alive başlığını içeren bir istekte bulunduğunda. Yönlendirici, bağlantıyı açık tutar süre dolana kadar bekleyin.

Yönlendirici şu anda yanıt bekliyorsa bağlantıyı kapatmaz seçmeniz gerekir. Zaman aşımı yalnızca Yönlendiricinin yanıtı döndürmesinden sonra başlar teslim etmeye odaklandığı teslimatı öğrendiniz.

Sanal ana makine tarafından desteklenen şifreleri ayarlayarak Yönlendirici.

İki nokta işaretiyle ayrılmış bir şifre listesi şu biçimde belirtin:

<Property name="ssl_ciphers">HIGH:!aNULL:!MD5:!DH+3DES:!kEDH;</Property>

Bu jetonun izin verdiği söz dizimi ve değerler hakkında bilgi için https://www.openssl.org/docs/man1.0.2/man1/ciphers.html adresine bakın. Bu jetonun, AES128-SHA256 gibi OpenSSL şifre adlarını kullandığını, Java/JSSE şifre adları, ör. TLS_RSA_WITH_AES_128_CBC_SHA256.

!MD5:

!DH+3DES:

!kEDH

Yalnızca Private Cloud için Edge'de kullanılabilir.

Sanal ana makine tarafından desteklenen TLS protokollerini boşlukla ayrılmış liste olarak ayarlar. Yönlendiricide ayarlanan varsayılan protokolleri geçersiz kılar.

Not: İki sanal ana makine aynı bağlantı noktasını paylaşıyorsa ssl_protocols öğesini aynı protokollere ekleyebilirsiniz. Yani, aynı bağlantı noktasını paylaşan sanal ana makineler tam olarak aynı protokolleri destekler.

TLS protokollerinin boşluk ayraçlı listesini şu biçimde belirtin:

<Property name="ssl_protocols">TLSv1 TLSv1.2</Property>

İstek gövdesinin arabelleğe alınmasını etkinleştirir (açık) veya devre dışı bırakır (kapalı). Arabelleğe alma açık olduğunda Yönlendirici, Mesaj İşleyiciye göndermeden önce istek gövdesinin tamamını arabelleğe alır. Eğer bir hata oluşursa Yönlendirici, farklı bir İleti İşleyiciyi yeniden deneyebilir.

Kapalıysa arabelleğe alma devre dışı bırakılır ve isteğin gövdesi İleti İşleyen'e gönderilir alır almaz. Bir hata oluşursa Yönlendirici, işlemi tekrar denemez isteği iletebilir.