הפניה של מאפיין המארח הווירטואלי

מציינת את השם של המארח הווירטואלי. משתמשים בשם הזה כדי להפנות למארח הווירטואלי כשמגדירים שרת proxy ל-API.

התווים שבהם ניתן להשתמש במאפיין השם מוגבלים ל: A-Z0-9._\-$%.

מציינת את מספר היציאה שהמארח הווירטואלי משתמש בו. ודא שהיציאה פתוחה נתב Edge.

אם מציינים יציאה ברכיב hostalias, צריך לציין גם את מספר היציאה שצוין על ידי <Port> חייב להתאים אליו.

בענן: צריך לציין את היציאה 443 כשיוצרים מארח וירטואלי. אם המיקום שהושמט, כברירת מחדל היציאה מוגדרת ל-443. אם יש לך מארח וירטואלי קיים שמשתמש יציאה שאינה 443, אי אפשר לשנות את היציאה.

לגרסאות 4.16.01 עד 4.17.05 של ענן פרטי: כשיוצרים מארח וירטואלי, מציין את יציאת הנתב שבה משתמש המארח הווירטואלי. לדוגמה, יציאה 9001. כברירת מחדל, הנתב פועל בתור המשתמש "apigee" שאין לו גישה אל יציאות עם הרשאות, בדרך כלל יציאות מגרסה 1024 ומטה. אם רוצים ליצור מארח וירטואלי שמקשרת את הנתב ליציאה מוגנת, צריך להגדיר את הנתב כך שיפעל משתמש שיש לו גישה ליציאות האלה. צפייה הגדרת מארח וירטואלי עבור עוד.

בגרסאות של ענן פרטי לפני 4.16.01: הנתב יכול להאזין ל רק חיבור HTTPS אחד לכל מארח וירטואלי, ביציאה ספציפית, עם האישור שצוין. לכן, כמה מארחים וירטואליים לא יכולים להשתמש באותו מספר יציאה אם סיום TLS מתבצע בנתב ביציאה שצוינה.

הערך של BaseUrl חייב לכלול את הפרוטוקול (כלומר, "http:// " או https:// ).

לקוח OCSP (Online Certificate Status Protocol) שולח סטטוס בקשה למגיב OCSP כדי לקבוע אם אישור ה-TLS תקף. התגובה מציין אם אישור ה-TLS תקף ולא בוטל.

כשהאפשרות הזו מופעלת, OCSP stapling מאפשר להשתמש ב-Edge, שישמש כשרת TLS ל-TLS חד-כיווני, כדי לשלוח שאילתה ישירות למגיב ה-OCSP ולאחר מכן לשמור את התשובה במטמון. לאחר מכן, Edge מחזיר את התשובה הזו ללקוח TLS, או מהדק אותה, כחלק מלחיצת היד של TLS. למידע נוסף, כדאי לעיין במאמר הפעלת OCSP בהקלדת השרת. לקבלת מידע נוסף.

כדי להפעיל OCSP, צריך להפעיל TLS. כדי להפעיל, צריך להגדיר את הערך on. ערך ברירת המחדל הוא off.

שם ה-DNS הגלוי לציבור של המארח הווירטואלי בנתב, באופן אופציונלי כולל מספר יציאה. השילוב של שם הכינוי של המארח ומספר היציאה של המארח הווירטואלי חייב הוא ייחודי לכל המארחים הווירטואליים בהתקנת Edge. כלומר, כמה ארכיטקטורות וירטואליות למארחים יש אפשרות להשתמש באותו מספר יציאה אם יש להם כינויי מארח שונים.

עליך ליצור רשומת DNS ורשומת CNAME שתואמות לכינוי של המארח ולמארח הכינוי חייב להתאים למחרוזת שהלקוח מעביר בכותרת Host.

מספר היציאה ב-HostAlias הוא אופציונלי. אם מציינים את היציאה כחלק מכינוי המארח, עליך לציין גם את אותה יציאה באמצעות רכיב <Port>. או שאפשר לציין שני רכיבי HostAlias, אחת עם מספר היציאה ואחת בלי.

אפשר לקבוע כמה הגדרות של HostAlias באותה הגדרת מארח וירטואלי, שתואמת לכמה רשומות DNS מארח וירטואלי, אבל לא למספר יציאות. אם רוצים להשתמש בכמה יציאות, צריך ליצור כמה יציאות הגדרות של מארח וירטואלי עם יציאות שונות.

אפשר לכלול את הסימן "*" תו כללי לחיפוש בכינוי המארח. הסימן "*" התו הכללי לחיפוש יכול יהיה רק בהתחלה (לפני התו '.') הראשון של כינוי המארח, ואי אפשר לשלב אותו עם תווים אחרים. לדוגמה, *.example.com. אישור ה-TLS של המארח הווירטואלי חייב לכלול תו כללי לחיפוש תואם בשם ה-CN של האישור. לדוגמה, *.example.com. השימוש בתו כללי לחיפוש בכינוי מארח וירטואלי מאפשר שרתי proxy ל-API מטפלים בקריאות שממוענות לכמה תת-דומיינים כמו alpha.example.com, beta.example.com, או live.example.com. שימוש בתו כללי לחיפוש עוזר גם להשתמש פחות משתמשים וירטואליים מארחים לכל סביבה כדי להישאר בתוך המוצר מגבלות, כי מארח וירטואלי עם תו כללי לחיפוש נספר כמארח וירטואלי אחד בלבד.

בענן: אם יש לכם מארח וירטואלי קיים שמשתמש ביציאה אחרת מ-443, לא ניתן להוסיף או להסיר כינוי מארח.

בענן פרטי: אם מגדירים את הכתובת החלופית של המארח באמצעות כתובת ה-IP את כתובות הנתבים שלכם ולא את רשומות ה-DNS, צריך להוסיף כינוי מארח נפרד לכל אחד מהם נתב, שמציין את כתובת ה-IP של כל נתב ויציאה של המארח הווירטואלי.

מציינת את ממשקי הרשת שאליהם רוצים לקשר את port. אם משמיטים את הרכיב הזה, היציאה קשורה לכל הממשקים.

לדוגמה, כדי לציין קישור של היציאה רק ל-en0:

<Interfaces>
  <Interface>en0</Interface>
</Interfaces>

כדי לקבוע אילו ממשקים זמינים במערכת שלכם, מריצים את הפקודה "ifconfig -a" הפקודה.

הגדרת האופן שבו הנתב מגיב למארח הווירטואלי הזה כשמעבד ההודעות עובר למטה.

אפשר לציין כמה ערכים באמצעות הפונקציה <RetryOption>. ערכים חוקיים כוללים:

אם מציינים כמה ערכים, הנתב משתמש באופרטור OR לוגי כדי לשלב ביניהם.

לדוגמה:

<RetryOptions>
  <RetryOption>http_599</RetryOption>
  <RetryOption>error</RetryOption>
  <RetryOption>timeout</RetryOption>
  <RetryOption>invalid_header</RetryOption>
</RetryOptions>

אם אתם משתמשים ב-ELB במצב העברה של TCP כדי לטפל בבקשות לנתבי Edge: הנתב מתייחס לכתובת ה-IP של ה-ELB כאל כתובת ה-IP של הלקוח את כתובת ה-IP של הלקוח בפועל. אם הנתב דורש את כתובת ה-IP האמיתית של הלקוח, להפעיל את proxy_protocol ELB כך שיעביר את כתובת ה-IP של הלקוח בחבילת ה-TCP. בנתב צריך גם להגדיר <ListenOption> במארח הווירטואלי של proxy_protocol. מכיוון שה-ELB נמצא במצב מעבר של TCP, בדרך כלל תהליך TLS מסתיים בנתב. לכן, בדרך כלל אתה מגדיר רק את המארח הווירטואלי להשתמש ב-proxy_protocol כשתגדירו אותו גם לשימוש ב-TLS.

ערך ברירת המחדל של <ListenOption> הוא ריק String.

לדוגמה:

<ListenOptions>
  <ListenOption>proxy_protocol</ListenOption>
</ListenOptions>

כדי לבטל את ההגדרה של <ListenOption> מאוחר יותר, צריך לעדכן את מארח וירטואלי ולהשמיט את התג <ListenOptions>

מפעילה TLS/SSL חד-כיווני. עליך להגדיר מאגר מפתחות שמכיל את האישור מפתח פרטי.

עבור Cloud: צריך להיות לכם אישור חתום על ידי ישות מהימנה, כמו Symantec או VeriSign. אי אפשר להשתמש באישור בחתימה עצמית או באישורי קצה שנחתמו על ידי רשות אישורים בחתימה עצמית.

לענן: אם המארח הווירטואלי הקיים מוגדר לשימוש ביציאה מלבד 443, לא ניתן לשנות את הגדרת ה-TLS. כלומר, אי אפשר לשנות את הגדרת ה-TLS מ- מ'מושבת' ל'מושבת', או מ'מושבת' ל'מופעל'.

השם של מאגר המפתחות ב-Edge.

ב-Apigee מומלץ להשתמש בהפניה כדי לציין את השם של מאגר המפתחות, יכול לשנות את מאגר המפתחות בלי להפעיל מחדש נתבים. ראו אפשרויות עבור הגדרת TLS לקבלת מידע נוסף.

השם של ה-Truststore ב-Edge שמכיל את האישור או את שרשרת האישורים ל-TLS דו-כיווני. חובה אם הערך של <ClientAuthEnabled> הוא True.

ב-Apigee מומלץ להשתמש בהפניה כדי לציין את השם של ה-Truststore יכול לשנות את ה-Truststore בלי להפעיל מחדש את הנתבים. ראו אפשרויות עבור הגדרת TLS לקבלת מידע נוסף.

אם הערך הוא True, הוא מציין להתעלם משגיאות באישור TLS. כמו " -k" אפשרות ל-cURL.

האפשרות הזאת תקפה כשמגדירים TLS לשרתי יעד ונקודות קצה של יעד. כשמגדירים מארחים וירטואליים שמשתמשים ב-TLS דו-כיווני.

בשימוש עם נקודת קצה (endpoint) או שרת יעד, אם מערכת הקצה העורפי משתמשת ב-SNI ומחזירה אישור עם שם מובחן (DN) שלא תואם לשם המארח, אין דרך מתעלם מהשגיאה והחיבור נכשל.

ל-Edge for Private Cloud בגרסה 4.15.07 ובגרסאות קודמות בלבד.

מציינת את הצפנים שנתמכים על ידי המארח הווירטואלי. אם לא הוגדרו צופנים, נאפשר את כל הצפנים שזמינים ל-JVM.

כדי להגביל את הצפנים, צריך להוסיף את הרכיבים הבאים:

<Ciphers>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Cipher>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Cipher>
</Ciphers>

ל-Edge for Private Cloud בגרסה 4.15.07 ובגרסאות קודמות בלבד.

מציינת אילו פרוטוקולים נתמכים על ידי המארח הווירטואלי. אם לא הוגדרו פרוטוקולים, כל הפרוטוקולים שזמינים ל-JVM יורשו.

כדי להגביל פרוטוקולים, מוסיפים את הרכיבים הבאים:

<Protocols>
  <Protocol>TLSv1</Protocol>
  <Protocol>TLSv1.2</Protocol>
  <Protocol>SSLv2Hello</Protocol>
</Protocols>

אם יש לכם חשבון Edge בתשלום ועדיין אין לכם אישור ומפתח TLS, תוכלו לבצע את הפעולות הבאות: ליצור מארח וירטואלי שמשתמש באישור ובמפתח תקופת הניסיון בחינם של Apigee. כלומר אפשר ליצור המארח הווירטואלי בלי ליצור קודם מאגר מפתחות.

האישור לתקופת ניסיון בחינם של Apigee מוגדר לדומיין של *.apigee.net. לכן, <HostAlias> של המארח הווירטואלי חייב להיות גם בצורת *.apigee.net.

למידע נוסף, ראו הגדרת מארח וירטואלי שמשתמשת באישור ובמפתח תקופת הניסיון בחינם של Apigee.

הפעלת התיעוד של פרטי חיבור ב-TLS על ידי Edge. לאחר מכן מידע זה יהיה זמין כמשתני זרימה בשרת proxy ל-API. למידע נוסף, ראו גישה לפרטי חיבור ל-TLS בשרת proxy ל-API לקבלת מידע נוסף.

הפעלת תיעוד פרטי אישורי לקוח שתועדו על ידי Edge ב-TLS דו-כיווני. לאחר מכן מידע זה יהיה זמין כמשתני זרימה בשרת proxy ל-API. למידע נוסף, ראו גישה לפרטי חיבור ל-TLS בשרת proxy ל-API לקבלת מידע נוסף.

מגדיר את משך הזמן הקצוב לתפוגה, בשניות, בין מעבדי הודעות לבין הנתב. הנתב מנתק את החיבור ומחזיר תגובת HTTP 504 אם היא לא מקבלת תגובה ממעבד ההודעות לפני תום משך הזמן הזה.

הערך של proxy_read_timeout צריך להיות גדול מערך היעד של הזמן הקצוב לתפוגה שבו נעשה שימוש על ידי מעבד ההודעות. זה מבטיח שהנתב לא יפוג לפני למעבד ההודעות יש זמן להחזיר תגובה. ברירת המחדל של יעד הזמן הקצוב לתפוגה של מעבד ההודעות הוא 55 שניות ו-55, 000 אלפיות שנייה, לפי הגדרת אסימון conf_http_HTTPTransport.io.timeout.millis להודעה מעבד.

הגדרה של משך הזמן הקצוב לתפוגה (בשניות), בין הלקוח לנתב שולח בקשה שמכילה את הכותרת Keep-Alive. הנתב משאיר את החיבור פתוח עד לסיום משך הזמן.

הנתב לא יסגור את החיבור אם הוא ממתין לתגובה ממעבד ההודעות. הזמן הקצוב לתפוגה מתחיל רק אחרי שהנתב מחזיר את התגובה ללקוח.

הגדרת הצפנים שנתמכים על ידי המארח הווירטואלי תוך ביטול של הצפנים שמוגדרים כברירת מחדל בנתב.

מציינים רשימת צפנים שמופרדת בנקודתיים, באופן הבא:

<Property name="ssl_ciphers">HIGH:!aNULL:!MD5:!DH+3DES:!kEDH;</Property>

מידע נוסף על התחביר והערכים המותרים על ידי האסימון הזה זמין בכתובת https://www.openssl.org/docs/man1.0.2/man1/ciphers.html. שים לב שהאסימון הזה משתמש בשמות ההצפנה של OpenSSL, כמו AES128-SHA256, ולא ב- שמות הצפנה של Java/JSSE, כמו TLS_RSA_WITH_AES_128_CBC_SHA256.

!MD5:

DH+3DES:

!kEDH

האפשרות זמינה רק ב-Edge לענן פרטי.

מגדיר את פרוטוקולי ה-TLS שנתמכים על ידי המארח הווירטואלי, כרשימה מופרדת ברווחים, ביטול של פרוטוקולי ברירת המחדל שהוגדרו בנתב.

הערה: אם שני מארחים וירטואליים חולקים את אותה יציאה, הם חייבים להגדיר ssl_protocols לאותם פרוטוקולים. כלומר, מארחים וירטואליים שחולקים את אותה יציאה חייבים תומכים בדיוק באותם פרוטוקולים.

מציינים רשימה מופרדת ברווחים של פרוטוקולים TLS, בפורמט הבא:

<Property name="ssl_protocols">TLSv1 TLSv1.2</Property>

מפעיל (מופעל) או משבית (מושבת) אחסון זמני של גוף הבקשה. כשתהליך אגירת הנתונים מופעל, הנתב מאחסן את כל גוף הבקשה לפני שליחתו למעבד ההודעות. אם המיקום יש שגיאה, הנתב יכול לנסות מעבד הודעות אחר.

אם האפשרות מושבתת, תהליך אגירת הנתונים מושבת וגוף הבקשה נשלח למעבד ההודעות. מיד ברגע שהוא מתקבל. במקרה של שגיאה, הנתב לא מנסה שוב את למעבד הודעות אחר.