Property-Referenz für virtuelle Hosts

Gibt den Namen des virtuellen Hosts an. Mit diesem Namen verweisen Sie auf den virtuellen Host. wenn Sie einen API-Proxy konfigurieren.

Im Attribut name können nur folgende Zeichen verwendet werden: A-Z0-9._\-$%.

Gibt die vom virtuellen Host verwendete Portnummer an. Vergewissern Sie sich, dass der Anschluss auf der Edge Router.

Wenn Sie einen Port in einem hostalias-Element angeben, ist die Portnummer die durch <Port> angegeben werden, müssen übereinstimmen.

Für die Cloud: Sie müssen beim Erstellen eines virtuellen Hosts Port 443 angeben. Wenn wird der Port standardmäßig auf 443 gesetzt. Wenn Sie bereits einen virtuellen Host haben, Port einen anderen Port als 443 hat, können Sie den Port nicht ändern.

Für Private Cloud-Releases 4.16.01 bis 4.17.05: Beim Erstellen einer virtuellen Hosts angeben, geben Sie den vom virtuellen Host verwendeten Routerport an. Beispiel: Port 9001. Standardmäßig wird der Router als Benutzer „apigee“ ausgeführt die keinen Zugriff auf in der Regel Port 1024 und niedriger. Wenn Sie einen virtuellen Host erstellen möchten der den Router an einen geschützten Port bindet, müssen Sie ihn so konfigurieren, dass er als Nutzer mit Zugriff auf diese Ports. Weitere Informationen finden Sie unter Einrichten eines virtuellen Hosts für mehr.

Für Private Cloud-Releases vor 4.16.01: Ein Router kann auf nur eine HTTPS-Verbindung pro virtuellem Host an einem bestimmten Port mit dem angegebenen Zertifikat. Daher können mehrere virtuelle Hosts bei TLS-Beendigung nicht dieselbe Portnummer verwenden erfolgt auf dem Router am angegebenen Port.

Der Wert von BaseUrl muss das Protokoll enthalten (d.h. „http://“ oder „https://“).

Ein OCSP-Client (Online Certificate Status Protocol) sendet einen Status Anfrage an einen OCSP-Antwortdienst, um festzustellen, ob das TLS-Zertifikat gültig ist. Die Antwort gibt an, ob das TLS-Zertifikat gültig und nicht widerrufen ist.

Wenn diese Option aktiviert ist, wird Edge beim OCSP-Stapling als TLS-Server für One-Way-TLS zugelassen. um den OCSP-Antwortdienst direkt abzufragen und die Antwort dann im Cache zu speichern. Edge gibt diese Antwort dann an den TLS-Client zurück oder heftet sie im Rahmen des TLS-Handshakes. Weitere Informationen finden Sie im Hilfeartikel OCSP-Stapling auf dem Server aktivieren. finden Sie weitere Informationen.

TLS muss aktiviert sein, um OCSP-Stapling zu aktivieren. Zum Aktivieren on festlegen. Der Standardwert ist off.

Der öffentlich sichtbare DNS-Name des virtuellen Hosts auf dem Router, optional mit dem Portnummer. Die Kombination aus Host-Alias-Name und Portnummer für den virtuellen Host muss für alle virtuellen Hosts in der Edge-Installation eindeutig sein. Das bedeutet, dass mehrere virtuelle Hosts können dieselbe Portnummer verwenden, wenn sie unterschiedliche Host-Aliasse haben.

Sie müssen einen DNS-Eintrag und einen CNAME-Eintrag erstellen, die mit dem Host-Alias und dem Host übereinstimmen. Alias muss mit dem String übereinstimmen, den der Client im Host-Header übergibt.

Die Portnummer in HostAlias ist optional. Wenn Sie den Port als Teil des Host-Alias an, müssen Sie ihn auch mithilfe der Methode <Port>-Element. Sie können auch zwei HostAlias-Elemente angeben, eine mit und eine ohne Portnummer.

Sie können mehrere HostAlias-Definitionen haben in derselben virtuellen Hostdefinition, die mehreren DNS-Einträgen für die virtueller Host, aber nicht für mehrere Ports. Wenn Sie mehrere Ports benötigen, erstellen Sie virtuelle Host-Definitionen mit verschiedenen Ports.

Sie können das Zeichen „*“ Platzhalterzeichen im Hostalias. Das „*“ kann ein Platzhalterzeichen dürfen nur am Anfang (vor dem ersten „.“) des Host-Alias stehen und nicht mit anderen Zeichen vermischt werden. Beispiel: *.example.com Das TLS-Zertifikat für den virtuellen Host muss eine übereinstimmender Platzhalter im CN-Namen des Zertifikats. Beispiel: *.example.com. Mit einem Platzhalter in einem virtuellen Host-Alias API-Proxys verarbeiten Aufrufe, die an mehrere Sub-Domains wie alpha.example.com, beta.example.com oder live.example.com Mit einem Platzhalter-Alias können Sie außerdem weniger virtuelle Hosts pro Umgebung, um im Produkt , da ein virtueller Host mit einem Platzhalter nur als ein virtueller Host zählt.

Für die Cloud: Wenn Sie einen vorhandenen virtuellen Host haben, der einen anderen Port verwendet als 443 ist, können Sie kein Host-Alias hinzufügen oder entfernen.

Für Private Cloud: Wenn Sie den Host-Alias über die IP-Adresse festlegen Ihrer Router und keine DNS-Einträge, fügen Sie für jeden Router einen separaten Router und geben Sie die IP-Adresse jedes Routers und den Port des virtuellen Hosts an.

Gibt die Netzwerkschnittstellen an, an die port gebunden werden soll. Wenn Sie Wenn Sie dieses Element weglassen, wird der Port an alle Schnittstellen gebunden.

So geben Sie beispielsweise an, dass der Port nur an en0 gebunden werden soll:

<Interfaces>
  <Interface>en0</Interface>
</Interfaces>

Führen Sie den Befehl „ifconfig -a“ aus, um die in Ihrem System verfügbaren Schnittstellen zu ermitteln. .

Konfigurieren Sie, wie der Router auf diesen virtuellen Host reagiert, wenn der Message Processor

Mit <RetryOption> können Sie mehrere Werte angeben. Gültige Werte umfassen:

Wenn Sie mehrere Werte angeben, verwendet der Router ein logisches ODER, um sie zu kombinieren.

Beispiel:

<RetryOptions>
  <RetryOption>http_599</RetryOption>
  <RetryOption>error</RetryOption>
  <RetryOption>timeout</RetryOption>
  <RetryOption>invalid_header</RetryOption>
</RetryOptions>

Wenn Sie einen ELB im TCP-Pass-Through-Modus zur Verarbeitung von Anfragen an die Edge Router verwenden, behandelt der Router die IP-Adresse des ELB als Client-IP, die tatsächliche IP-Adresse des Clients. Wenn der Router die tatsächliche Client-IP-Adresse benötigt, proxy_protocol aktivieren auf der ELB, damit die Client-IP im TCP-Paket übergeben wird. Auf dem Router müssen Sie außerdem <ListenOption> auf dem virtuellen Host zu proxy_protocol. Da sich der ELB im TCP-Pass-Through-Modus befindet, beenden Sie normalerweise TLS auf dem Router. Daher konfigurieren Sie in der Regel nur den virtuellen Host für die Verwendung von proxy_protocol auch für die Verwendung von TLS konfigurieren.

Der Standardwert für „<ListenOption>“ ist leer .

Beispiel:

<ListenOptions>
  <ListenOption>proxy_protocol</ListenOption>
</ListenOptions>

Wenn Sie die Einstellung von <ListenOption> später aufheben möchten, aktualisieren Sie die virtuellen Host und lassen Sie das <ListenOptions>-Tag im aktualisieren.

Aktiviert One-Way-TLS/SSL. Sie müssen einen Schlüsselspeicher definiert haben, der das Zertifikat und privaten Schlüssel enthält.

Für die Cloud: Sie benötigen ein Zertifikat, das von einer vertrauenswürdigen Entität wie Symantec oder VeriSign signiert wurde. Sie können kein selbst signiertes Zertifikat oder untergeordnete Zertifikate verwenden, die von einer selbst signierten Zertifizierungsstelle signiert wurden.

Für die Cloud: wenn der vorhandene virtuelle Host für die Verwendung eines Ports konfiguriert ist nur 443 auswählen, können Sie die TLS-Einstellung nicht ändern. Das bedeutet, dass Sie die TLS-Einstellung von „aktiviert“ zu „deaktiviert“ oder von „deaktiviert“ zu „aktiviert“.

Der Name des Schlüsselspeichers in Edge.

Apigee empfiehlt, dass Sie einen Verweis verwenden, um den Schlüsselspeichernamen anzugeben, damit Sie kann den Schlüsselspeicher ändern, ohne den Router neu starten zu müssen. Weitere Informationen finden Sie unter Optionen für Konfigurieren von TLS.

Der Name des Truststore in Edge, der das Zertifikat oder die Zertifikatskette enthält wird für Zwei-Wege-TLS verwendet. Erforderlich, wenn <ClientAuthEnabled> „true“ ist.

Apigee empfiehlt, dass Sie zum Angeben des Truststore-Namens eine Referenz verwenden, damit Sie können den Truststore ändern, ohne den Router neu starten zu müssen. Weitere Informationen finden Sie unter Optionen für Konfigurieren von TLS.

Wenn "true", wird angegeben, dass TLS-Zertifikatfehler ignoriert werden sollen. Dies ähnelt dem „-k“ Option an cURL.

Diese Option ist gültig, wenn Sie TLS für Zielserver und Zielendpunkte konfigurieren. wenn Sie virtuelle Hosts konfigurieren, die 2-Wege-TLS verwenden.

Bei Verwendung mit einem Zielendpunkt/Zielserver, wenn das Back-End-System SNI verwendet und ein Zertifikat zurückgibt mit einem Distinguished Name (DN), der nicht mit dem Hostnamen übereinstimmt, um den Fehler zu ignorieren. Die Verbindung schlägt fehl.

Nur für Edge for Private Cloud Version 4.15.07 und frühere Versionen.

Gibt die vom virtuellen Host unterstützten Chiffren an. Wenn keine Chiffren angegeben sind, gilt: sind alle für die JVM verfügbaren Chiffren zulässig.

Fügen Sie die folgenden Elemente hinzu, um Chiffren einzuschränken:

<Ciphers>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Cipher>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Cipher>
</Ciphers>

Nur für Edge for Private Cloud Version 4.15.07 und frühere Versionen.

Gibt die vom virtuellen Host unterstützten Protokolle an. Sind keine Protokolle angegeben, sind alle für die JVM verfügbaren Protokolle zulässig.

Fügen Sie die folgenden Elemente hinzu, um Protokolle einzuschränken:

<Protocols>
  <Protocol>TLSv1</Protocol>
  <Protocol>TLSv1.2</Protocol>
  <Protocol>SSLv2Hello</Protocol>
</Protocols>

Wenn Sie ein kostenpflichtiges Edge for Cloud-Konto und noch kein TLS-Zertifikat und keinen TLS-Schlüssel haben, können Sie einen virtuellen Host erstellen, der das Zertifikat und den Schlüssel der kostenlosen Apigee-Testversion verwendet. Das bedeutet, dass Sie ohne vorher einen Schlüsselspeicher zu erstellen.

Das kostenlose Apigee-Testzertifikat ist für eine Domain von *.apigee.net definiert. Daher entspricht der Parameter <HostAlias> des virtuellen Hosts muss ebenfalls das Format *.apigee.net haben.

Weitere Informationen finden Sie unter Virtuellen Host definieren die das Zertifikat und den Schlüssel der kostenlosen Apigee-Testversion verwendet.

Aktiviert die Erfassung von TLS-Verbindungsinformationen durch Edge. Diese Informationen stehen dann als Flussvariablen in einem API-Proxy zur Verfügung. Siehe Zugreifen auf TLS-Verbindungsinformationen in einem API-Proxy finden Sie weitere Informationen.

Aktiviert die Erfassung von Clientzertifikatdetails, die von Edge in Zwei-Wege-TLS erfasst wurden. Diese Informationen stehen dann als Flussvariablen in einem API-Proxy zur Verfügung. Siehe Zugreifen auf TLS-Verbindungsinformationen in einem API-Proxy finden Sie weitere Informationen.

Legt die Zeitüberschreitungsdauer in Sekunden zwischen Message Processors und dem Router fest. Die Der Router unterbricht die Verbindung und gibt eine HTTP 504-Antwort zurück, wenn keine Antwort vom Message Processor vor Ablauf dieser Dauer.

Der Wert für „proxy_read_timeout“ muss größer als der Zielwert für die Zeitüberschreitung sein durch den Message Processor. Dadurch wird sichergestellt, dass der Router keine Zeitüberschreitung vor Ablauf der Der Message Processor hatte Zeit, eine Antwort zurückzugeben. Das standardmäßige Zielzeitlimit für die Der Message Processor beträgt 55 Sekunden, 55.000 Millisekunden, gemäß der Definition conf_http_HTTPTransport.io.timeout.millis-Token für die Nachricht Prozessor.

Legt das Zeitlimit in Sekunden zwischen dem Client und dem Router fest, wenn der Client stellt eine Anfrage, die den Keep-Alive-Header enthält. Der Router hält die Verbindung offen. bis die Dauer abgelaufen ist.

Der Router schließt die Verbindung nicht, wenn er gerade auf eine Antwort wartet vom Message Processor. Das Zeitlimit beginnt erst, nachdem der Router die Antwort zurückgegeben hat an die Kundschaft.

Legt die vom virtuellen Host unterstützten Chiffren fest und überschreibt die Standardchiffren, die für den Router.

Geben Sie eine durch Doppelpunkte getrennte Liste von Chiffren im folgenden Format an:

<Property name="ssl_ciphers">HIGH:!aNULL:!MD5:!DH+3DES:!kEDH;</Property>

Informationen zur Syntax und zu den Werten, die für dieses Token zulässig sind, finden Sie unter https://www.openssl.org/docs/man1.0.2/man1/ciphers.html. Beachten Sie, dass dieses Token die Verschlüsselungsnamen von OpenSSL wie AES128-SHA256 und nicht den Java/JSSE-Chiffrennamen wie TLS_RSA_WITH_AES_128_CBC_SHA256.

!MD5:

!DH+3DES:

!kEDH

Nur für Edge for Private Cloud verfügbar.

Legt die vom virtuellen Host unterstützten TLS-Protokolle als durch Leerzeichen getrennte Liste fest. die am Router festgelegten Standardprotokolle überschreiben.

Hinweis: Wenn zwei virtuelle Hosts denselben Port nutzen, müssen sie ssl_protocols auf dieselben Protokolle. Virtuelle Hosts mit demselben Port müssen also unterstützen genau die gleichen Protokolle.

Geben Sie eine durch Leerzeichen getrennte Liste von TLS-Protokollen im folgenden Format an:

<Property name="ssl_protocols">TLSv1 TLSv1.2</Property>

Aktiviert (on) oder deaktiviert (aus) die Zwischenspeicherung des Anfragetexts. Wenn die Pufferung aktiviert ist, Der Router puffert den gesamten Anfragetext, bevor er an den Message Processor gesendet wird. Wenn liegt ein Fehler vor, kann der Router es mit einem anderen Message Processor versuchen.

Wenn diese Option deaktiviert ist, ist die Zwischenspeicherung deaktiviert und der Anfragetext wird an den Message Processor gesendet. bei Empfang. Tritt ein Fehler auf, wiederholt der Router die an einen anderen Message Processor gesendet.