Sanal ana makine özelliği referansı

Sanal ana makinenin adını belirtir. API proxy'sini yapılandırırken sanal ana makineye referans vermek için bu adı kullanırsınız.

Ad özelliğinde kullanabileceğiniz karakterler şu şekilde kısıtlanmıştır: A-Z0-9._\-$%.

Sanal ana makinenin kullandığı bağlantı noktası numarasını belirtir. Bağlantı noktasının Edge Yönlendirici'de açık olduğundan emin olun.

Bir hostalias öğesinde bağlantı noktası belirtirseniz <Port> ile belirtilen bağlantı noktası numarası bununla eşleşmelidir.

Cloud için: Sanal ana makine oluştururken bağlantı noktası 443'ü belirtmeniz gerekir. Atlanırsa bağlantı noktası varsayılan olarak 443 olarak ayarlanır. 443 dışında bir bağlantı noktası kullanan mevcut bir sanal barındırıcınız varsa bağlantı noktasını değiştiremezsiniz.

4.16.01 ile 4.17.05 arasındaki Private Cloud sürümleri için: Sanal ana makine oluştururken, sanal ana makine tarafından kullanılan yönlendirici bağlantı noktasını belirtirsiniz. Örneğin, bağlantı noktası 9001. Yönlendirici varsayılan olarak "apigee" kullanıcısı olarak çalışır. Bu kullanıcı, ayrıcalıklı bağlantı noktalarına (genellikle 1024 ve altı bağlantı noktaları) erişemez. Yönlendiriciyi korunan bir bağlantı noktasına bağlayan bir sanal ana makine oluşturmak istiyorsanız Yönlendiriciyi bu bağlantı noktalarına erişimi olan bir kullanıcı olarak çalışacak şekilde yapılandırmanız gerekir. Daha fazla bilgi için Sanal ana makine oluşturma başlıklı makaleyi inceleyin.

4.16.01'den önceki Özel Bulut sürümleri için: Yönlendirici, belirli bir bağlantı noktasında, belirtilen sertifikayla sanal ana makine başına yalnızca bir HTTPS bağlantısını dinleyebilir. Bu nedenle, Yönlendirici'de belirtilen bağlantı noktasında TLS sonlandırması gerçekleşirse birden fazla sanal ana makine aynı bağlantı noktası numarasını kullanamaz.

BaseUrl değeri, protokolü (ör. "http://" veya "https://").

OCSP (Çevrimiçi Sertifika Durum Protokolü) istemcisi, TLS sertifikasının geçerli olup olmadığını belirlemek için OCSP yanıtlayıcısına durum isteği gönderir. Yanıt, TLS sertifikasının geçerli olup olmadığını ve iptal edilip edilmediğini gösterir.

OCSP stapling etkinleştirildiğinde, tek yönlü TLS için TLS sunucusu olarak hareket eden Edge'in OCSP yanıtlayıcıyı doğrudan sorgulamasına ve ardından yanıtı önbelleğe almasına olanak tanır. Daha sonra Edge bu yanıtı TLS istemcisine döndürür veya TLS el sıkışmasının bir parçası olarak yapıştırır. Daha fazla bilgi için Sunucunuzda OCSP Stapling'i etkinleştirme başlıklı makaleyi inceleyin.

OCSP zımbalama özelliğini etkinleştirmek için TLS etkinleştirilmelidir. Etkinleştirmek için on olarak ayarlayın. Varsayılan değer: off.

İsteğe bağlı olarak bağlantı noktası numarası da dahil olmak üzere, Yönlendirici üzerindeki sanal ana makinenin herkes tarafından görülebilen DNS adı. Sanal ana makinenin ana makine takma adı ve bağlantı noktası numarası kombinasyonu, Edge kurulumundaki tüm sanal ana makineler için benzersiz olmalıdır. Bu, farklı ana makine takma adlarına sahip birden fazla sanal ana makinenin aynı bağlantı noktası numarasını kullanabileceği anlamına gelir.

Ana makine takma adıyla eşleşen bir DNS girişi ve CNAME kaydı oluşturmanız gerekir. Ayrıca, ana makine takma adı, istemcinin Host üstbilgisinde ilettiği dizeyle eşleşmelidir.

HostAlias içindeki bağlantı noktası numarası isteğe bağlıdır. Bağlantı noktasını ana makine takma adının bir parçası olarak belirtirseniz <Port> öğesini kullanarak da aynı bağlantı noktasını belirtmeniz gerekir. Alternatif olarak, biri bağlantı noktası numarası, diğeri bağlantı noktası numarası içermeyen iki HostAlias öğesi de belirtebilirsiniz.

Aynı sanal ana makine tanımında, sanal ana makine için birden fazla DNS girişine karşılık gelen birden fazla HostAlias tanımı olabilir ancak birden fazla bağlantı noktası olamaz. Birden fazla bağlantı noktası istiyorsanız farklı bağlantı noktalarına sahip birden fazla sanal ana makine tanımı oluşturun.

Ana makine takma adına "*" joker karakterini ekleyebilirsiniz. "*" joker karakteri yalnızca ana makine takma adının başında (ilk "." karakterinden önce) bulunabilir ve diğer karakterlerle birlikte kullanılamaz. Örneğin *.example.com. Sanal ana makinenin TLS sertifikasında, sertifikanın CN adında eşleşen bir joker karakter olmalıdır. Örneğin, *.example.com. Sanal ana makine takma adında joker karakter kullanmak, API proxy'lerinin alpha.example.com, beta.example.com veya live.example.com gibi birden fazla alt alan adına gönderilen çağrıları yönetmesini sağlar. Joker karakterli bir takma ad kullanmak, joker karakter içeren bir sanal ana makine yalnızca bir sanal ana makine olarak sayıldığı için ürün sınırlarında kalmak amacıyla ortam başına daha az sanal ana makine kullanmanıza da yardımcı olur.

Cloud için: 443 dışında bir bağlantı noktası kullanan mevcut bir sanal ana makineniz varsa ana makine takma adı ekleyemez veya kaldıramazsınız.

Private Cloud için: Ana makine takma adını DNS girişlerini değil, yönlendiricilerinizin IP adreslerini kullanarak ayarlıyorsanız her yönlendiricinin IP adresini ve sanal ana makinenin bağlantı noktasını belirterek her yönlendirici için ayrı bir ana makine takma adı ekleyin.

port'ün bağlanmasını istediğiniz ağ arayüzlerini belirtir. Bu öğeyi çıkarırsanız bağlantı noktası tüm arayüzlere bağlanır.

Örneğin, bağlantı noktasını yalnızca en0 ile bağlamayı belirtmek için:

<Interfaces>
  <Interface>en0</Interface>
</Interfaces>

"ifconfig -a" komutunu çalıştırarak sisteminizde kullanılabilen arayüzleri belirleyin.

İleti İşleyen devre dışı kaldığında Yönlendirici'nin bu sanal ana makine için nasıl tepki vereceğini yapılandırın.

<RetryOption> kullanarak birden fazla değer belirtebilirsiniz. Geçerli değerler şunlardır:

Birden çok değer belirtirseniz Yönlendirici bunları birleştirmek için mantıksal bir VEYA kullanır.

Örneğin:

<RetryOptions>
  <RetryOption>http_599</RetryOption>
  <RetryOption>error</RetryOption>
  <RetryOption>timeout</RetryOption>
  <RetryOption>invalid_header</RetryOption>
</RetryOptions>

Edge yönlendiricilere gelen istekleri işlemek için TCP geçiş modunda bir ELB kullanıyorsanız yönlendirici, ELB'nin IP adresini gerçek istemci IP adresi yerine istemci IP adresi olarak işler. Yönlendirici gerçek istemci IP'sini gerektiriyorsa istemci IP'sini TCP paketinde iletmesi için ELB'de proxy_protocol seçeneğini etkinleştirin. Yönlendiricide, sanal ana makinedeki <ListenOption> değerini de proxy_protocol olarak ayarlamanız gerekir. ELB TCP geçiş modunda olduğu için genellikle TLS'yi yönlendiricide sonlandırırsınız. Bu nedenle, sanal ana makineyi genellikle yalnızca proxy_protocol hizmetini kullanacak şekilde yapılandırırsanız ana makineyi TLS kullanacak şekilde yapılandırırsınız.

<ListenOption> için varsayılan değer boş bir dizedir.

Örneğin:

<ListenOptions>
  <ListenOption>proxy_protocol</ListenOption>
</ListenOptions>

Daha sonra <ListenOption> ayarını kaldırmak için sanal ana makineyi güncelleyin ve <ListenOptions> etiketini güncellemeden çıkarın.

Tek yönlü TLS/SSL'yi etkinleştirir. Sertifikayı ve özel anahtarı içeren bir anahtar deposu tanımlamış olmanız gerekir.

Cloud için: Symantec veya VeriSign gibi güvenilir bir tüzel kişi tarafından imzalanmış bir sertifikanız olmalıdır. Kendinden imzalı sertifika veya kendinden imzalı bir CA tarafından imzalanmış alt sertifika kullanamazsınız.

Cloud için: Mevcut sanal ana makineniz 443 dışında bir bağlantı noktası kullanacak şekilde yapılandırılmışsa TLS ayarını değiştiremezsiniz. Yani TLS ayarını etkinden devre dışıya veya devre dışıdan etkin duruma geçiremezsiniz.

Edge'deki anahtar deposunun adı.

Apigee, yönlendiricileri yeniden başlatmak zorunda kalmadan anahtar deposunu değiştirebilmek için anahtar deposu adını belirtmek üzere bir referans kullanmanızı önerir. Daha fazla bilgi için TLS'yi yapılandırma seçenekleri başlıklı makaleyi inceleyin.

Edge'de iki yönlü TLS için kullanılan sertifikayı veya sertifika zincirini içeren güven mağazasının adı. <ClientAuthEnabled> doğruysa gereklidir.

Apigee, yönlendiricileri yeniden başlatmak zorunda kalmadan güven mağazasını değiştirebilmek için güven mağazası adını belirtmek üzere bir referans kullanmanızı önerir. Daha fazla bilgi için TLS yapılandırma seçenekleri bölümüne bakın.

Doğru ise TLS sertifika hatalarının göz ardı edileceğini belirtir. Bu, cURL'daki "-k" seçeneğine benzer.

Bu seçenek, Hedef Sunucular ve Hedef Uç Noktaları için TLS'yi yapılandırırken ve 2 yönlü TLS kullanan sanal ana makineleri yapılandırırken geçerlidir.

Hedef uç nokta/hedef sunucuyla kullanıldığında, arka uç sistemi SNI kullanıyorsa ve ana makine adıyla eşleşmeyen bir konu Ayırt Edici Adı (DN) içeren sertifika döndürürse hatayı yoksaymanın bir yolu yoktur ve bağlantı başarısız olur.

Yalnızca Private Cloud için Edge 4.15.07 ve önceki sürümler için.

Sanal ana makine tarafından desteklenen şifreleri belirtir. Şifre belirtilmezse JVM için kullanılabilen tüm sifrelere izin verilir.

Şifreleri kısıtlamak için aşağıdaki öğeleri ekleyin:

<Ciphers>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Cipher>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Cipher>
</Ciphers>

Yalnızca Private Cloud için Edge 4.15.07 ve önceki sürümler için.

Sanal ana makine tarafından desteklenen protokolleri belirtir. Protokol belirtilmezse JVM için kullanılabilen tüm protokollere izin verilir.

Protokolleri kısıtlamak için aşağıdaki öğeleri ekleyin:

<Protocols>
  <Protocol>TLSv1</Protocol>
  <Protocol>TLSv1.2</Protocol>
  <Protocol>SSLv2Hello</Protocol>
</Protocols>

Ücretli bir Edge for Cloud hesabınız varsa ve henüz TLS sertifikanız ve anahtarınız yoksa Apigee ücretsiz deneme sertifika ve anahtarını kullanan bir sanal ana makine oluşturabilirsiniz. Yani, önce bir anahtar mağazası oluşturmadan sanal ana makine oluşturabilirsiniz.

Apigee ücretsiz deneme sertifikası, *.apigee.net alan adı için tanımlanmıştır. Bu nedenle, sanal ana makinenin <HostAlias> değeri de *.apigee.net biçiminde olmalıdır.

Apigee ücretsiz deneme sertifikası ve anahtarını kullanan bir sanal ana makine tanımlama başlıklı makaleyi inceleyin.

Edge'in TLS bağlantı bilgilerini yakalamasını sağlar. Bu bilgiler daha sonra API proxy'sinde akış değişkenleri olarak kullanılabilir. Daha fazla bilgi için API proxy'sinde TLS bağlantı bilgilerine erişme başlıklı makaleyi inceleyin.

İki yönlü TLS'de Edge tarafından yakalanan istemci sertifikası ayrıntılarının yakalanmasını sağlar. Bu bilgiler daha sonra API proxy'sinde akış değişkenleri olarak kullanılabilir. Daha fazla bilgi için API proxy'sinde TLS bağlantı bilgilerine erişme başlıklı makaleyi inceleyin.

Mesaj işleyiciler ile yönlendirici arasındaki zaman aşımı süresini saniye cinsinden ayarlar. Bu süre dolmadan Mesaj İşleyiciden yanıt alamazsa yönlendirici bağlantıyı keser ve HTTP 504 yanıtı döndürür.

proxy_read_timeout değerinin, Mesaj İşleyen tarafından kullanılan hedef zaman aşımı değerinden büyük olması gerekir. Bu sayede, Mesaj İşleyen'in yanıt döndürmesi için zaman tanımadan önce Yönlendirici'nin zaman aşımı sorunu yaşamaması sağlanır. Mesaj işleyici için varsayılan hedef zaman aşımı, mesaj işleyicinin conf_http_HTTPTransport.io.timeout.millis jetonu tarafından tanımlandığı üzere 55 saniye (55.000 milisaniye)

İstemci, Keep-Alive başlığını içeren bir istek gönderdiğinde istemci ile yönlendirici arasındaki zaman aşımı süresini saniye cinsinden belirler. Yönlendirici, süre sona erene kadar bağlantıyı açık tutar.

Yönlendirici, şu anda Mesaj İşleyiciden yanıt bekliyorsa bağlantıyı kapatmaz. Zaman aşımı yalnızca Yönlendirici yanıtı istemciye döndürdükten sonra başlar.

Yönlendiricide ayarlanan varsayılan şifreleri geçersiz kılarak sanal ana makine tarafından desteklenen şifreleri ayarlar.

İki nokta işaretiyle ayrılmış bir şifre listesi şu biçimde belirtin:

<Property name="ssl_ciphers">HIGH:!aNULL:!MD5:!DH+3DES:!kEDH;</Property>

Bu jetonun izin verdiği söz dizimi ve değerler hakkında bilgi edinmek için https://www.openssl.org/docs/man1.0.2/man1/ciphers.html adresine bakın. Bu jetonun, TLS_RSA_WITH_AES_128_CBC_SHA256 gibi Java/JSSE şifre adlarını değil, AES128-SHA256 gibi OpenSSL şifre adlarını kullandığını unutmayın.

!MD5:

!DH+3DES:

!kEDH

Yalnızca Private Cloud için Edge'de kullanılabilir.

Yönlendiricide ayarlanan varsayılan protokolleri geçersiz kılarak sanal ana makine tarafından desteklenen TLS protokollerini boşlukla ayrılmış bir liste olarak ayarlar.

Not: İki sanal ana makine aynı bağlantı noktasını paylaşıyorsa ssl_protocols aynı protokollere ayarlanmalıdır. Yani aynı bağlantı noktasını paylaşan sanal ana makineler tam olarak aynı protokolleri desteklemelidir.

TLS protokollerinin boşluk ayraçlı listesini şu biçimde belirtin:

<Property name="ssl_protocols">TLSv1 TLSv1.2</Property>

İstek gövdesinin arabelleğe alınmasını etkinleştirir (açık) veya devre dışı bırakır (kapalı). Arabelleğe alma açık olduğunda, Yönlendirici, Mesaj İşleyiciye göndermeden önce istek gövdesinin tamamını arabelleğe alır. Hata varsa yönlendirici farklı bir Mesaj İşleyen'i yeniden deneyebilir.

Bu ayar kapalıysa arabelleğe alma devre dışı bırakılır ve isteğin gövdesi, alındığında hemen Mesaj İşleyen'e gönderilir. Bir hata oluşursa Yönlendirici, isteği başka bir Mesaj İşleyen'e yeniden göndermez.