Documentation de référence sur les propriétés des hôtes virtuels

Spécifie le nom de l'hôte virtuel. Vous utilisez ce nom pour référencer l'hôte virtuel lors de la configuration d'un proxy d'API.

Vous ne pouvez utiliser que les caractères suivants dans l'attribut "name" : A-Z0-9._\-$%.

Spécifie le numéro de port utilisé par l'hôte virtuel. Assurez-vous que le port est ouvert sur le routeur de bordure.

Si vous spécifiez un port dans un élément hostalias, le numéro de port spécifié par <Port> doit lui correspondre.

Pour Cloud : vous devez spécifier le port 443 lorsque vous créez un hôte virtuel. Si est omis, le port par défaut est 443. Si vous disposez d'un hôte virtuel existant qui utilise un port autre que 443, vous ne pouvez pas le modifier.

Pour les versions 4.16.01 à 4.17.05 de Private Cloud:lors de la création d'un hôte virtuel, vous spécifiez le port de routeur utilisé par l'hôte virtuel. Par exemple, le port 9001. Par défaut, le routeur s'exécute en tant qu'utilisateur "apigee", qui n'a pas accès aux ports privilégiés, généralement les ports 1024 et inférieurs. Si vous souhaitez créer un hôte virtuel qui lie le routeur à un port protégé, vous devez configurer le routeur pour qu'il s'exécute en tant qu'utilisateur ayant accès à ces ports. Voir Configurer un hôte virtuel pour plus encore.

Pour les versions de Private Cloud antérieures à la version 4.16.01:un routeur peut écouter une seule connexion HTTPS par hôte virtuel, sur un port spécifique, avec le certificat spécifié. Par conséquent, plusieurs hôtes virtuels ne peuvent pas utiliser le même numéro de port si l'arrêt TLS se produit sur le routeur au port spécifié.

La valeur de BaseUrl doit inclure le protocole (c'est-à-dire, "http://" ou "https://").

Un client OCSP (Online Certificate Status Protocol) envoie un état à un répondeur OCSP pour déterminer si le certificat TLS est valide. La réponse indique si le certificat TLS est valide et non révoqué.

Lorsqu'elle est activée, l'agrafage OCISP autorise Edge, en agissant comme serveur TLS pour TLS à sens unique, pour interroger directement le répondeur OCSP, puis mettre en cache la réponse. Edge renvoie ensuite cette réponse au client TLS, ou l'agrafe, dans le cadre du handshake TLS. Pour en savoir plus, consultez Activer l'agrafage OCSP sur votre serveur.

Le protocole TLS doit être activé pour activer l'agrafage OCSP. Définissez la valeur sur on pour l'activer. La valeur par défaut est off.

Nom DNS public de l'hôte virtuel sur le routeur, éventuellement avec le numéro de port. La combinaison du nom d'alias d'hôte et du numéro de port pour l'hôte virtuel doit être unique pour tous les hôtes virtuels dans l'installation Edge. Cela signifie que plusieurs hôtes virtuels peuvent utiliser le même numéro de port s'ils ont des alias d'hôte différents.

Vous devez créer une entrée DNS et un enregistrement CNAME correspondant à l'alias d'hôte. L'alias d'hôte doit correspondre à la chaîne que le client transmet dans l'en-tête Host.

Le numéro de port dans HostAlias est facultatif. Si vous indiquez le port dans l'alias d'hôte, vous devez également spécifier le même port en utilisant la Élément <Port>. Vous pouvez également spécifier deux éléments HostAlias : une avec le numéro de port et une sans.

Vous pouvez avoir plusieurs définitions de HostAlias dans la même définition d'hôte virtuel, ce qui correspond à plusieurs entrées DNS pour le hôte virtuel, mais pas pour plusieurs ports. Si vous souhaitez utiliser plusieurs ports, créez plusieurs définitions d'hôte virtuel avec des ports différents.

Vous pouvez inclure le caractère générique * dans l'alias d'hôte. Le caractère générique "*" ne peut se trouver qu'au début (avant le premier ".") de l'alias d'hôte et ne peut pas être mélangé à d'autres caractères. Exemple : *.example.com. Le certificat TLS de l'hôte virtuel doit avoir une le caractère générique correspondant dans le nom CN du certificat. Exemple :*.example.com L'utilisation d'un caractère générique dans un alias d'hôte virtuel permet Les proxys d'API gèrent les appels adressés à plusieurs sous-domaines, tels que alpha.example.com, beta.example.com ou live.example.com L'utilisation d'un alias générique vous permet également d'utiliser moins d'hôtes virtuels par environnement pour respecter les limites du produit, car un hôte virtuel avec un caractère générique ne compte que pour un seul hôte virtuel.

Pour Cloud : si vous disposez d'un hôte virtuel existant qui utilise un port autre que 443, vous ne pouvez pas ajouter ni supprimer d'alias d'hôte.

Pour un cloud privé:si vous définissez l'alias d'hôte à l'aide de l'adresse IP de vos routeurs, et non des entrées DNS, ajoutez un alias d'hôte distinct pour chaque en spécifiant l'adresse IP de chaque routeur et le port de l'hôte virtuel.

Spécifie les interfaces réseau auxquelles vous souhaitez associer port. Si vous omettre cet élément, le port est lié à toutes les interfaces.

Par exemple, pour spécifier que le port doit être lié uniquement à en0 :

<Interfaces>
  <Interface>en0</Interface>
</Interfaces>

Déterminez les interfaces disponibles sur votre système en exécutant la commande "ifconfig -a" .

Configurez la réaction du routeur pour cet hôte virtuel lorsque le processeur de messages passe vers le bas.

Vous pouvez spécifier plusieurs valeurs à l'aide de <RetryOption>. Valeurs valides inclure:

Si vous spécifiez plusieurs valeurs, le routeur utilise un opérateur logique OU pour les combiner.

Exemple :

<RetryOptions>
  <RetryOption>http_599</RetryOption>
  <RetryOption>error</RetryOption>
  <RetryOption>timeout</RetryOption>
  <RetryOption>invalid_header</RetryOption>
</RetryOptions>

Si vous utilisez un ELB en mode pass-thru TCP pour gérer les requêtes adressées aux routeurs périphériques, le routeur traite l'adresse IP de l'ELB comme l'adresse IP du client au lieu de l'adresse IP réelle du client. Si le routeur nécessite l'adresse IP réelle du client, activez proxy_protocol sur l'ELB afin qu'il transmette l'adresse IP du client dans le paquet TCP. Sur le routeur, vous devez également définir <ListenOption> sur l'hôte virtuel sur proxy_protocol. Étant donné que l'ELB est en mode de passthrough TCP, vous devez généralement mettre fin à TLS sur le routeur. Par conséquent, vous ne configurez généralement l'hôte virtuel pour utiliser proxy_protocol que lorsque vous le configurez également pour utiliser TLS.

La valeur par défaut de <ListenOption> est vide .

Exemple :

<ListenOptions>
  <ListenOption>proxy_protocol</ListenOption>
</ListenOptions>

Pour annuler la définition de <ListenOption> ultérieurement, mettez à jour hôte virtuel et omettez la balise <ListenOptions> du mise à jour.

Active le protocole TLS/SSL unidirectionnel. Vous devez avoir défini un keystore contenant le certificat et clé privée.

Pour le cloud: vous devez disposer d'un certificat signé par une entité de confiance telle que Symantec ou VeriSign. Vous ne pouvez pas utiliser de certificat autosigné ni de certificat racine signé par une autorité de certification autosignée.

Pour Cloud : si votre hôte virtuel existant est configuré pour utiliser un port autre que 443, vous ne pouvez pas modifier le paramètre TLS. Cela signifie que vous ne pouvez pas modifier le paramètre TLS de "désactivé" à "désactivé", ou de "désactivé", à "activer".

Nom du keystore sur Edge.

Apigee vous recommande d'utiliser une référence pour spécifier le nom du keystore afin de pouvoir le modifier sans avoir à redémarrer les routeurs. Voir les Options pour configuration TLS.

Nom du truststore sur Edge qui contient le certificat ou la chaîne de certificats utilisés pour le protocole TLS bidirectionnel. Obligatoire si la valeur de <ClientAuthEnabled> est "true".

Apigee vous recommande d'utiliser une référence pour spécifier le nom du truststore afin de peut modifier le Truststore sans avoir à redémarrer les routeurs. Pour en savoir plus, consultez la section Options de configuration de TLS.

Si la valeur est "true", indique d'ignorer les erreurs de certificat TLS. Ceci est similaire à « -k » option à cURL.

Cette option est valide lors de la configuration de TLS pour les serveurs cibles et les points de terminaison cibles, ainsi que lors de la configuration d'hôtes virtuels utilisant le TLS bidirectionnel.

Lorsqu'il est utilisé avec un point de terminaison cible ou un serveur cible, si le système backend utilise SNI et renvoie un certificat dont le nom distinctif (DN) de l'objet ne correspond pas au nom d'hôte, il est impossible d'ignorer l'erreur et la connexion échoue.

Pour Edge pour le cloud privé version 4.15.07 et antérieure uniquement.

Spécifie les algorithmes de chiffrement compatibles avec l'hôte virtuel. Si aucun algorithme n'est spécifié, tous les algorithmes de chiffrement disponibles pour la JVM sont autorisés.

Pour limiter les algorithmes de chiffrement, ajoutez les éléments suivants :

<Ciphers>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Cipher>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Cipher>
</Ciphers>

Pour Edge pour le cloud privé version 4.15.07 et antérieure uniquement.

Spécifie les protocoles acceptés par l'hôte virtuel. Si aucun protocole n'est spécifié, alors tous les protocoles disponibles pour la JVM seront autorisés.

Pour restreindre les protocoles, ajoutez les éléments suivants :

<Protocols>
  <Protocol>TLSv1</Protocol>
  <Protocol>TLSv1.2</Protocol>
  <Protocol>SSLv2Hello</Protocol>
</Protocols>

Si vous disposez d'un compte Edge pour le cloud payant, et que vous ne disposez pas encore d'un certificat et d'une clé TLS, vous pouvez créer un hôte virtuel utilisant un certificat et une clé freetrial Apigee. Cela signifie que vous pouvez créer l'hôte virtuel sans créer d'abord un keystore.

Le certificat d'essai gratuit Apigee est défini pour un domaine *.apigee.net. Par conséquent, le <HostAlias> de l'hôte virtuel doit également être au format *.apigee.net.

Reportez-vous à la section Définir un hôte virtuel qui utilise la clé et le certificat d'essai sans frais d'Apigee.

Active la capture des informations de connexion TLS par Edge. Ces informations sont ensuite disponibles en tant que variables de flux dans un proxy d'API. Voir Accès aux informations de connexion TLS dans un proxy d'API. pour en savoir plus.

Active la capture des détails du certificat client capturés par Edge dans un protocole TLS bidirectionnel. Ces informations sont ensuite disponibles en tant que variables de flux dans un proxy d'API. Voir Accès aux informations de connexion TLS dans un proxy d'API. pour en savoir plus.

Définit la durée du délai avant expiration, en secondes, entre les processeurs de messages et le routeur. La Le routeur interrompt la connexion et renvoie une réponse HTTP 504 s'il n'obtient pas du processeur de messages avant l'expiration de cette durée.

La valeur de proxy_read_timeout doit être supérieure à la valeur du délai d'expiration cible utilisée par le processeur de messages. Cela garantit que le routeur ne dépasse pas le délai avant que le processeur de messages n'ait eu le temps de renvoyer une réponse. Le délai avant expiration cible par défaut pour Le processeur de messages dure 55 secondes, 55 000 millisecondes, selon la définition Jeton conf_http_HTTPTransport.io.timeout.millis pour le message Processeur.

Définit la durée du délai avant expiration, en secondes, entre le client et le routeur lorsque le client envoie une requête contenant l'en-tête Keep-Alive. Le routeur maintient la connexion ouverte jusqu'à l'expiration du délai.

Le routeur ne ferme pas la connexion s'il est en attente d'une réponse. du processeur de messages. Le délai avant expiration ne commence qu'après que le routeur a renvoyé la réponse au client.

Définit les algorithmes de chiffrement compatibles avec l'hôte virtuel, en remplaçant les algorithmes par défaut définis sur le routeur.

Spécifiez une liste d'algorithmes de chiffrement délimités par deux-points, au format suivant:

<Property name="ssl_ciphers">HIGH:!aNULL:!MD5:!DH+3DES:!kEDH;</Property>

Pour en savoir plus sur la syntaxe et les valeurs autorisées par ce jeton, consultez https://www.openssl.org/docs/man1.0.2/man1/ciphers.html. Notez que ce jeton utilise les noms de chiffrement OpenSSL, tels que AES128-SHA256, et non le Noms des algorithmes de chiffrement Java/JSSE, tels que TLS_RSA_WITH_AES_128_CBC_SHA256.

!MD5:

!DH+3DES:

!kEDH

Disponible pour Edge pour Private Cloud uniquement.

Définit les protocoles TLS acceptés par l'hôte virtuel sous la forme d'une liste délimitée par des espaces. remplaçant les protocoles par défaut définis sur le routeur.

Remarque: Si deux hôtes virtuels partagent le même port, ils doivent définir ssl_protocols aux mêmes protocoles. Cela signifie que les hôtes virtuels partageant le même port doivent prennent en charge exactement les mêmes protocoles.

Spécifiez une liste de protocoles TLS délimités par des espaces, au format suivant:

<Property name="ssl_protocols">TLSv1 TLSv1.2</Property>

Active (on) ou désactive (off) la mise en mémoire tampon du corps de la requête. Lorsque la mise en mémoire tampon est activée, Le routeur met en mémoire tampon l'ensemble du corps de la requête avant de l'envoyer au processeur de messages. Si une erreur se produit, le routeur peut réessayer un autre processeur de messages.

Si elle est désactivée, la mise en tampon est désactivée et le corps de la requête est envoyé au processeur de messages immédiatement après sa réception. En cas d'erreur, le routeur ne réessaie pas la requête auprès d'un autre processeur de messages.