Tham chiếu thuộc tính lưu trữ ảo

Chỉ định tên của máy chủ ảo. Bạn sử dụng tên đó để tham chiếu đến máy chủ ảo khi định cấu hình proxy API.

Bạn chỉ có thể sử dụng các ký tự trong thuộc tính tên: A-Z0-9._\-$%.

Chỉ định số cổng mà máy chủ ảo sử dụng. Đảm bảo rằng cổng đang mở trên Bộ định tuyến cạnh.

Nếu bạn chỉ định một cổng trong phần tử hostalias, thì số cổng do <Port> chỉ định phải khớp với cổng đó.

Đối với Đám mây: Bạn phải chỉ định cổng 443 khi tạo máy chủ lưu trữ ảo. Nếu bạn bỏ qua thì theo mặc định, cổng sẽ được đặt thành 443. Nếu máy chủ ảo hiện tại của bạn sử dụng cổng khác với 443, thì bạn không thể thay đổi cổng đó.

Đối với các bản phát hành Private Cloud từ 4.16.01 đến 4.17.05: Khi tạo máy chủ ảo, bạn chỉ định cổng Bộ định tuyến mà máy chủ ảo sử dụng. Ví dụ: cổng 9001. Theo mặc định, Trình định tuyến chạy dưới dạng người dùng "apigee" không có quyền truy cập vào các cổng đặc quyền, thường là các cổng từ 1024 trở xuống. Nếu muốn tạo một máy chủ lưu trữ ảo liên kết Bộ định tuyến với một cổng được bảo vệ, thì bạn phải định cấu hình Bộ định tuyến để chạy dưới dạng người dùng có quyền truy cập vào các cổng đó. Hãy xem phần Thiết lập máy chủ lưu trữ ảo để biết thêm thông tin.

Đối với các bản phát hành Private Cloud trước phiên bản 4.16.01: Bộ định tuyến chỉ có thể nghe một kết nối HTTPS trên mỗi máy chủ ảo, trên một cổng cụ thể, bằng chứng chỉ được chỉ định. Do đó, nhiều máy chủ ảo không thể sử dụng cùng một số cổng nếu việc chấm dứt TLS xảy ra trên Bộ định tuyến tại cổng đã chỉ định.

Giá trị của BaseUrl phải bao gồm giao thức (tức là "http://" hoặc "https://").

Ứng dụng OCSP (Giao thức trạng thái chứng chỉ trực tuyến) gửi yêu cầu trạng thái đến trình phản hồi OCSP để xác định xem chứng chỉ TLS có hợp lệ hay không. Phản hồi này cho biết liệu chứng chỉ TLS có hợp lệ và không bị thu hồi hay không.

Khi được bật, tính năng nối ke OCSP cho phép Edge, đóng vai trò là máy chủ TLS cho TLS một chiều, truy vấn trực tiếp trình phản hồi OCSP rồi lưu phản hồi vào bộ nhớ đệm. Sau đó, Edge sẽ trả về phản hồi này cho ứng dụng TLS hoặc ghim vào phản hồi đó trong quá trình bắt tay TLS. Hãy xem phần Bật tính năng ghim OCSP trên máy chủ để biết thêm thông tin.

Bạn phải bật TLS để bật tính năng ghim OCSP. Đặt thành on để bật. Giá trị mặc định là off.

Tên DNS hiển thị công khai của máy chủ ảo trên Bộ định tuyến, có thể bao gồm cả số cổng. Tổ hợp tên bí danh của máy chủ lưu trữ và số cổng của máy chủ ảo phải là duy nhất đối với tất cả các máy chủ ảo trong quá trình cài đặt Edge. Điều đó có nghĩa là nhiều máy chủ lưu trữ ảo có thể sử dụng cùng một số cổng nếu có các bí danh máy chủ lưu trữ khác nhau.

Bạn phải tạo một mục DNS và bản ghi CNAME khớp với bí danh của máy chủ lưu trữ, đồng thời, bí danh của máy chủ lưu trữ phải khớp với chuỗi mà ứng dụng truyền trong tiêu đề Host.

Bạn không bắt buộc phải sử dụng số cổng trong HostAlias. Nếu chỉ định cổng như một phần của bí danh máy chủ lưu trữ, bạn cũng phải chỉ định cùng một cổng bằng cách sử dụng phần tử <Port>. Hoặc bạn có thể chỉ định hai phần tử HostAlias, một phần tử có số cổng và một phần tử không có.

Bạn có thể có nhiều định nghĩa HostAlias trong cùng một định nghĩa máy chủ ảo, tương ứng với nhiều mục nhập DNS cho máy chủ ảo, nhưng không phải cho nhiều cổng. Nếu bạn muốn có nhiều cổng, hãy tạo nhiều định nghĩa máy chủ ảo với các cổng khác nhau.

Bạn có thể thêm ký tự đại diện "*" vào bí danh máy chủ. Ký tự đại diện "*" chỉ có thể ở phần đầu (đứng trước ".") đầu tiên của bí danh máy chủ và không được kết hợp với các ký tự khác. Ví dụ: *.example.com. Chứng chỉ TLS cho máy chủ ảo phải có ký tự đại diện khớp trong tên CN của chứng chỉ. Ví dụ: *.example.com. Việc sử dụng ký tự đại diện trong bí danh máy chủ ảo cho phép các proxy API xử lý các lệnh gọi được gửi đến nhiều miền con, chẳng hạn như alpha.example.com, beta.example.com hoặc live.example.com. Việc sử dụng bí danh ký tự đại diện cũng giúp bạn sử dụng ít máy chủ ảo hơn trên mỗi môi trường để nằm trong giới hạn sản phẩm, vì một máy chủ ảo có ký tự đại diện chỉ được tính là một máy chủ ảo.

Đối với đám mây: Nếu bạn hiện có một máy chủ ảo sử dụng cổng không phải 443, thì bạn không thể thêm hoặc xoá bí danh máy chủ lưu trữ.

Đối với đám mây riêng: Nếu bạn đang đặt bí danh máy chủ bằng cách sử dụng địa chỉ IP của Bộ định tuyến thay vì mục nhập DNS, hãy thêm một bí danh máy chủ riêng cho mỗi Bộ định tuyến, chỉ định địa chỉ IP của mỗi Bộ định tuyến và cổng của máy chủ ảo.

Chỉ định các giao diện mạng mà bạn muốn liên kết với port. Nếu bạn bỏ qua phần tử này, cổng sẽ được liên kết trên tất cả giao diện.

Ví dụ: để chỉ định chỉ liên kết cổng với en0:

<Interfaces>
  <Interface>en0</Interface>
</Interfaces>

Xác định các giao diện có sẵn trên hệ thống bằng cách chạy lệnh "ifconfig -a".

Định cấu hình cách Bộ định tuyến phản ứng với máy chủ ảo này khi Trình xử lý thông báo ngừng hoạt động.

Bạn có thể chỉ định nhiều giá trị bằng cách sử dụng <RetryOption>. Các giá trị hợp lệ bao gồm:

Nếu bạn chỉ định nhiều giá trị, Trình định tuyến sẽ sử dụng toán tử logic OR để kết hợp các giá trị đó.

Ví dụ:

<RetryOptions>
  <RetryOption>http_599</RetryOption>
  <RetryOption>error</RetryOption>
  <RetryOption>timeout</RetryOption>
  <RetryOption>invalid_header</RetryOption>
</RetryOptions>

Nếu bạn sử dụng ELB ở chế độ chuyển tiếp TCP để xử lý các yêu cầu đến Bộ định tuyến cạnh, thì Bộ định tuyến sẽ coi địa chỉ IP của ELB là địa chỉ IP của máy khách thay vì địa chỉ IP thực tế của máy khách. Nếu Bộ định tuyến yêu cầu IP ứng dụng khách thực, hãy bật proxy_protocol trên ELB để truyền IP ứng dụng khách trong gói TCP. Trên Bộ định tuyến, bạn cũng phải đặt <ListenOption> trên máy chủ ảo thành proxy_protocol. Vì ELB ở chế độ chuyển tiếp TCP, nên bạn thường chấm dứt TLS trên Bộ định tuyến. Do đó, bạn thường chỉ định cấu hình máy chủ ảo để sử dụng proxy_protocol khi bạn cũng định cấu hình máy chủ ảo đó để sử dụng TLS.

Giá trị mặc định của <ListenOption> là một chuỗi trống.

Ví dụ:

<ListenOptions>
  <ListenOption>proxy_protocol</ListenOption>
</ListenOptions>

Để sau này huỷ đặt <ListenOption>, hãy cập nhật máy chủ ảo và bỏ thẻ <ListenOptions> khỏi quá trình cập nhật.

Bật TLS/SSL một chiều. Bạn phải xác định một kho khoá chứa chứng chỉ và khoá riêng tư.

Đối với đám mây: Bạn phải có chứng chỉ do một pháp nhân đáng tin cậy ký, chẳng hạn như Symantec hoặc VeriSign. Bạn không thể sử dụng chứng chỉ tự ký hoặc chứng chỉ lá do một CA tự ký ký.

Đối với Google Cloud: Nếu máy chủ ảo hiện tại của bạn được định cấu hình để sử dụng một cổng khác với 443, thì bạn không thể thay đổi chế độ cài đặt TLS. Điều đó có nghĩa là bạn không thể thay đổi chế độ cài đặt TLS từ bật sang tắt hoặc từ tắt sang bật.

Tên của kho khoá trên Edge.

Apigee khuyên bạn nên sử dụng tệp tham chiếu để chỉ định tên kho khoá để có thể thay đổi kho khoá mà không cần khởi động lại Trình định tuyến. Hãy xem bài viết Các tuỳ chọn định cấu hình TLS để biết thêm thông tin.

Tên của kho tin cậy trên Edge chứa chứng chỉ hoặc chuỗi chứng chỉ dùng cho TLS hai chiều. Bắt buộc nếu <ClientAuthEnabled> là true.

Apigee khuyên bạn nên sử dụng tệp tham chiếu để chỉ định tên kho lưu trữ đáng tin cậy để có thể thay đổi kho lưu trữ đáng tin cậy mà không cần khởi động lại Trình định tuyến. Hãy xem phần Các tuỳ chọn để định cấu hình TLS để biết thêm thông tin.

Nếu đúng, hãy chỉ định bỏ qua lỗi chứng chỉ TLS. Tuỳ chọn này tương tự như tuỳ chọn "-k" đối với cURL.

Tuỳ chọn này hợp lệ khi định cấu hình TLS cho Máy chủ mục tiêu và Điểm cuối mục tiêu, cũng như khi định cấu hình máy chủ lưu trữ ảo sử dụng TLS hai chiều.

Khi được sử dụng với điểm cuối mục tiêu/máy chủ mục tiêu, nếu hệ thống phụ trợ sử dụng SNI và trả về một chứng chỉ có Tên phân biệt (DN) của chủ thể không khớp với tên máy chủ, thì không có cách nào để bỏ qua lỗi và kết nối sẽ không thành công.

Chỉ dành cho Edge for Private Cloud phiên bản 4.15.07 trở xuống.

Chỉ định các thuật toán mã hoá mà máy chủ ảo hỗ trợ. Nếu bạn không chỉ định thuật toán mã hoá nào, thì tất cả thuật toán mã hoá có sẵn cho JVM đều được phép.

Để hạn chế các thuật toán mã hoá, hãy thêm các phần tử sau:

<Ciphers>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Cipher>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Cipher>
</Ciphers>

Chỉ dành cho Edge for Private Cloud phiên bản 4.15.07 trở xuống.

Chỉ định các giao thức được máy chủ ảo hỗ trợ. Nếu bạn không chỉ định giao thức nào, thì tất cả giao thức có sẵn cho JVM sẽ được cho phép.

Để hạn chế các giao thức, hãy thêm các phần tử sau:

<Protocols>
  <Protocol>TLSv1</Protocol>
  <Protocol>TLSv1.2</Protocol>
  <Protocol>SSLv2Hello</Protocol>
</Protocols>

Nếu có tài khoản Edge for Cloud trả phí và chưa có chứng chỉ và khoá TLS, bạn có thể tạo một máy chủ ảo sử dụng chứng chỉ và khoá dùng thử miễn phí của Apigee. Điều đó có nghĩa là bạn có thể tạo máy chủ ảo mà không cần tạo kho khoá trước.

Chứng chỉ dùng thử miễn phí Apigee được xác định cho miền *.apigee.net. Do đó, <HostAlias> của máy chủ ảo cũng phải ở dạng *.apigee.net.

Xem phần Xác định máy chủ ảo sử dụng chứng chỉ và khoá dùng thử miễn phí của Apigee.

Cho phép Edge ghi lại thông tin kết nối TLS. Sau đó, thông tin này sẽ có sẵn dưới dạng biến luồng trong proxy API. Hãy xem phần Truy cập thông tin kết nối TLS trong proxy API để biết thêm thông tin.

Cho phép ghi lại thông tin chi tiết về chứng chỉ máy khách do Edge ghi lại trong TLS hai chiều. Sau đó, thông tin này sẽ có sẵn dưới dạng biến luồng trong proxy API. Hãy xem phần Truy cập thông tin kết nối TLS trong proxy API để biết thêm thông tin.

Đặt thời gian chờ (tính bằng giây) giữa Trình xử lý thông báo và Trình định tuyến. Trình định tuyến sẽ huỷ kết nối và trả về phản hồi HTTP 504 nếu không nhận được phản hồi từ Trình xử lý thông báo trước khi khoảng thời gian này hết hạn.

Giá trị của proxy_read_timeout phải lớn hơn giá trị thời gian chờ mục tiêu mà Bộ xử lý thông báo sử dụng. Điều này đảm bảo rằng Trình định tuyến không hết thời gian chờ trước khi Trình xử lý thông báo có thời gian trả về phản hồi. Thời gian chờ mục tiêu mặc định cho Bộ xử lý thông báo là 55 giây, 55.000 mili giây, theo xác định của mã thông báo conf_http_HTTPTransport.io.timeout.millis cho Bộ xử lý thông báo.

Đặt thời gian chờ, tính bằng giây, giữa ứng dụng và Trình định tuyến khi ứng dụng thực hiện một yêu cầu chứa tiêu đề Keep-Alive. Bộ định tuyến sẽ giữ kết nối mở cho đến khi hết thời hạn.

Bộ định tuyến sẽ không đóng kết nối nếu đang chờ phản hồi từ Trình xử lý thông báo. Thời gian chờ chỉ bắt đầu sau khi Bộ định tuyến trả về phản hồi cho ứng dụng khách.

Đặt các thuật toán mã hoá mà máy chủ ảo hỗ trợ, ghi đè các thuật toán mã hoá mặc định được đặt trên Bộ định tuyến.

Chỉ định danh sách các thuật toán mã hoá được phân tách bằng dấu hai chấm, ở dạng:

<Property name="ssl_ciphers">HIGH:!aNULL:!MD5:!DH+3DES:!kEDH;</Property>

Để biết thông tin về cú pháp và các giá trị mà mã thông báo này cho phép, hãy xem https://www.openssl.org/docs/man1.0.2/man1/ciphers.html. Xin lưu ý rằng mã thông báo này sử dụng tên thuật toán mã hoá OpenSSL, chẳng hạn như AES128-SHA256, chứ không phải tên thuật toán mã hoá Java/JSSE, chẳng hạn như TLS_RSA_WITH_AES_128_CBC_SHA256.

!MD5:

!DH+3DES:

!kEDH

Chỉ dành cho Edge for Private Cloud.

Đặt các giao thức TLS mà máy chủ ảo hỗ trợ, dưới dạng danh sách được phân tách bằng dấu cách, ghi đè các giao thức mặc định được đặt trên Bộ định tuyến.

Lưu ý: Nếu hai máy chủ ảo dùng chung một cổng, thì các máy chủ đó phải đặt ssl_protocols thành cùng một giao thức. Tức là các máy chủ ảo dùng chung một cổng phải hỗ trợ chính xác cùng một giao thức.

Chỉ định danh sách các giao thức TLS được phân tách bằng dấu cách, ở dạng:

<Property name="ssl_protocols">TLSv1 TLSv1.2</Property>

Bật (bật) hoặc tắt (tắt) việc lưu vào bộ đệm của nội dung yêu cầu. Khi tính năng lưu vào bộ đệm đang bật, Trình định tuyến sẽ lưu toàn bộ nội dung yêu cầu vào bộ đệm trước khi gửi đến Trình xử lý thông báo. Nếu xảy ra lỗi, Trình định tuyến có thể thử lại một Trình xử lý thông báo khác.

Nếu tắt, tính năng lưu vào bộ đệm sẽ bị tắt và nội dung yêu cầu sẽ được gửi tới Bộ xử lý thư ngay khi nhận được. Nếu xảy ra lỗi, Trình định tuyến sẽ không thử lại yêu cầu với một Trình xử lý thông báo khác.