כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של
Apigee X. מידע
ייצוג של מארח וירטואלי
אובייקט ה-XML שבו משתמשים כדי להגדיר מארח וירטואלי מבוסס על הגרסה של Edge: ענן או של ענן פרטי.
לקוחות של ענן פרטי צריכים לוודא שמשתמשים ב-XML הנכון בגרסת Edge שלהם.
ענן וענן פרטי 4.17.01 ואילך
<VirtualHost name="vhostName"> <Port>portNumber</Port> <BaseUrl>http://myCo.com</BaseUrl> <OCSPStapling>offOn</OCSPStapling> <HostAliases> <HostAlias>hostAlias</HostAlias> </HostAliases> <Interfaces> <!-- Private Cloud only --> <Interface>interfaceName</Interface> </Interfaces> <RetryOptions> <RetryOption>option</RetryOption> </RetryOptions> <ListenOptions> <ListenOption>option</ListenOption> </ListenOptions> <SSLInfo> <Enabled>trueFalse</Enabled> <ClientAuthEnabled>trueFalse</ClientAuthEnabled> <KeyStore>ref://keystoreRef</KeyStore> <KeyAlias>keyAlias</KeyAlias> <TrustStore>ref://truststoreRef</TrustStore> <IgnoreValidationErrors>trueFalse</IgnoreValidationErrors> </SSLInfo> <!-- UseBuiltInFreeTrialCert is for Edge Cloud only --> <UseBuiltInFreeTrialCert>trueFalse</UseBuiltInFreeTrialCert> <PropagateTLSInformation> <!-- PropagateTLSInformation is Alpha in the Cloud only --> <ConnectionProperties>trueFalse</ConnectionProperties> <ClientProperties>trueFalse</ClientProperties> </PropagateTLSInformation> <Properties> <Property name="proxy_read_timeout">timeout</Property> <Property name="keepalive_timeout">timeout</Property> <Property name="proxy_request_buffering">onOff</Property> <Property name="proxy_buffering">onOff</Property> <!-- ssl_protocols is Private Cloud only --> <Property name="ssl_protocols">protocolList</Property> <Property name="ssl_ciphers">cipherList</Property> </Properties> </VirtualHost>
Private Cloud 4.16.01 עד 4.16.09
<VirtualHost name="vhostName"> <Port>portNumber</Port> <HostAliases> <HostAlias>hostAlias</HostAlias> </HostAliases> <Interfaces> <Interface>interfaceName</Interface> </Interfaces> <SSLInfo> <Enabled>trueFalse</Enabled> <ClientAuthEnabled>trueFalse</ClientAuthEnabled> <KeyStore>ref://keystoreRef</KeyStore> <KeyAlias>keyAlias</KeyAlias> <TrustStore>ref://truststoreRef</TrustStore> <IgnoreValidationErrors>trueFalse</IgnoreValidationErrors> </SSLInfo> </VirtualHost>
Private Cloud 4.15.07 ומטה
<VirtualHost name="vhostName"> <Port>portNumber</Port> <HostAliases> <HostAlias>hostAlias</HostAlias> </HostAliases> <Interfaces> <Interface>interfaceName</Interface> </Interfaces> <SSLInfo> <Enabled>trueFalse</Enabled> <ClientAuthEnabled>trueFalse</ClientAuthEnabled> <KeyStore>keystore</KeyStore> <KeyAlias>keyAlias</KeyAlias> <TrustStore>truststore</TrustStore> <IgnoreValidationErrors>trueFalse</IgnoreValidationErrors> <Ciphers> <Cipher>cipher</Cipher> <Cipher>cipher</Cipher> </Ciphers> <Protocols> <Protocol>protocol</Protocol> <Protocol>protocol</Protocol> </Protocols> </SSLInfo> </VirtualHost>
מאפייני הגדרת התצורה של מארח וירטואלי
הטבלה הבאה מפרטת את המאפיינים המשמשים אותך להגדרת מארח וירטואלי:
תכונות | התיאור | ברירת המחדל | נדרש | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
VirtualHost |
ההגדרה מציינת את שם המארח הווירטואלי. השם הזה ישמש לצורך התייחסות למארח הווירטואלי במהלך ההגדרה של שרת proxy ל-API. התווים שאפשר להשתמש בהם במאפיין השם מוגבלים ל: A-Z0-9._\-$%. |
ללא | כן | ||||||||||||
נמל |
מציינת את מספר היציאה המשמש את המארח הווירטואלי. יש לוודא שהיציאה פתוחה בנתב Edge. אם מציינים יציאה ברכיב עבור Cloud: כשיוצרים מארח וירטואלי, צריך לציין את היציאה 443. אם לא מציינים שום ערך, ברירת המחדל של היציאה מוגדרת ל-443. אם יש לכם מארח וירטואלי קיים שמשתמש ביציאה שאינה 443, אי אפשר לשנות את היציאה. בגרסאות 4.16.01 עד 4.17.05 של ענן פרטי: כשיוצרים מארח וירטואלי, מציינים את יציאת הנתב שבה משתמשת המארח הווירטואלי. לדוגמה, יציאה 9001. כברירת מחדל, הנתב פועל בתור המשתמש apigee, ואין לו גישה ליציאות עם הרשאות, בדרך כלל יציאות 1024 ומטה. אם רוצים ליצור מארח וירטואלי שמקשר את הנתב ליציאה מוגנת, צריך להגדיר אותו כך שיפעל כמשתמש עם גישה ליציאות האלה. למידע נוסף, אפשר לקרוא את המאמר הגדרת מארח וירטואלי. בגרסאות של ענן פרטי לפני 4.16.01: נתב יכול להאזין לחיבור HTTPS אחד בלבד לכל מארח וירטואלי, ביציאה ספציפית, עם האישור שצוין. לכן, מספר מארחים וירטואליים לא יכולים להשתמש באותו מספר יציאה אם סיום TLS מתרחשת בנתב ביציאה שצוינה. |
ללא | כן | ||||||||||||
BaseUrl | המדיניות הזו מבטלת את כתובת ה-URL שמוצגת בממשק המשתמש של Edge עבור שרת proxy של API שנפרס למארח הווירטואלי. שימושי כשיש מאזן עומסים חיצוני מול נתבי Edge. מידע נוסף זמין במאמר הגדרת גישה של TLS ל-API בענן הפרטי.
הערך של |
ללא | לא | ||||||||||||
OCSPStapling |
לקוח OCSP (פרוטוקול אישור מקוון) שולח בקשת סטטוס למשיב OCSP כדי לקבוע אם אישור ה-TLS תקף. בתגובה יצוין אם אישור ה-TLS (אבטחת שכבת התעבורה) תקף ולא בוטל. כשהיא מופעלת, הצמדת OCSP מאפשרת ל-Edge, המשמש כשרת TLS ל-TLS חד-כיווני, לשלוח שאילתות ישירות למשיב ה-OCSP, ולאחר מכן לשמור את התגובה במטמון. לאחר מכן, Edge מחזיר את התגובה הזו ללקוח ה-TLS או מהדק אותה, כחלק מלחיצת היד של TLS. לפרטים נוספים, אפשר לקרוא את המאמר הפעלת הצמדת OCSP בשרת שלך. כדי לאפשר הידוק OCSP, צריך להפעיל את ה-TLS (אבטחת שכבת התעבורה). כדי להפעיל, צריך להגדיר את הערך |
מושבתת | לא | ||||||||||||
HostAliases | |||||||||||||||
HostAlias |
שם ה-DNS הגלוי לכולם של המארח הווירטואלי בנתב, כולל מספר היציאה (אופציונלי). השילוב של שם הכינוי של המארח ומספר היציאה של המארח הווירטואלי חייב להיות ייחודי לכל המארחים הווירטואליים בהתקנת Edge. המשמעות היא שכמה מארחים וירטואליים יכולים להשתמש באותו מספר יציאה אם יש להם כינויי מארח שונים. עליך ליצור רשומת DNS ורשומת CNAME שתואמות לכינוי המארח, וכינוי המארח חייב להתאים למחרוזת שהלקוח מעביר בכותרת מספר היציאה ב יכולות להיות כמה הגדרות אתם יכולים לכלול את התו הכללי לחיפוש '*' בכינוי המארח. התו הכללי לחיפוש "*" יכול להופיע רק בתחילתו (לפני ".") הראשון של כינוי המארח, ולא ניתן לשלב אותו עם תווים אחרים.
לדוגמה ב-Cloud: אם יש לכם מארח וירטואלי קיים שמשתמש ביציאה שאינה 443, אי אפשר להוסיף או להסיר כינוי מארח. בענן פרטי: אם מגדירים את כינוי המארח באמצעות כתובות ה-IP של הנתבים ולא באמצעות רשומות ה-DNS, צריך להוסיף כינוי מארח נפרד לכל נתב, ולציין את כתובת ה-IP של כל נתב ויציאה של המארח הווירטואלי. |
ללא | כן | ||||||||||||
ממשקים | זמין רק ל-Edge לענן פרטי. | ||||||||||||||
ממשק |
המדיניות הזו קובעת את ממשקי הרשת שאליהם לדוגמה, כדי לציין לקשור את היציאה רק ל-en0: <Interfaces> <Interface>en0</Interface> </Interfaces> מאתרים את הממשקים הזמינים במערכת באמצעות הרצת הפקודה "ifconfig -a". |
ללא | כל הממשקים | ||||||||||||
RetryOptions | זמין ל-Edge Cloud ולענן פרטי מגרסה 4.18.01 ואילך. | ||||||||||||||
RetryOption |
אפשר להגדיר איך הנתב יגיב למארח הווירטואלי הזה כשמעבד ההודעות מושבת. אפשר לציין כמה ערכים באמצעות הפונקציה
אם מציינים כמה ערכים, הנתב משתמש באופרטור OR לוגי כדי לשלב ביניהם. לדוגמה: <RetryOptions> <RetryOption>http_599</RetryOption> <RetryOption>error</RetryOption> <RetryOption>timeout</RetryOption> <RetryOption>invalid_header</RetryOption> </RetryOptions> |
||||||||||||||
ListenOptions | ניתן להשתמש ב-Private Cloud מגרסה 4.18.01 ואילך וב-Edge Cloud על ידי שליחת בקשה לתמיכה של Apigee Edge. | ||||||||||||||
ListenOption |
אם משתמשים ב-ELB במצב העברה (pass-thru) של TCP כדי לטפל בבקשות של נתבי Edge, הנתב מתייחס לכתובת ה-IP של ה-ELB כאל כתובת ה-IP של הלקוח במקום לכתובת ה-IP של הלקוח בפועל. אם הנתב דורש כתובת IP של הלקוח האמיתי, מפעילים את ערך ברירת המחדל של לדוגמה: <ListenOptions> <ListenOption>proxy_protocol</ListenOption> </ListenOptions> כדי לבטל את ההגדרה של |
||||||||||||||
SSLInfo | |||||||||||||||
מופעל |
מאפשר TLS/SSL חד-כיווני. צריך להגדיר מאגר מפתחות שמכיל את האישור ואת המפתח הפרטי. ב-Cloud: נדרש אישור חתום על ידי ישות מהימנה, כמו Symantec או VeriSign. לא ניתן להשתמש באישור בחתימה עצמית או באישורי עלה החתומים על ידי רשות אישורים בחתימה עצמית. ב-Cloud: אם המארח הווירטואלי הקיים מוגדר להשתמש ביציאה שאינה 443, אי אפשר לשנות את הגדרת ה-TLS. המשמעות היא שלא ניתן לשנות את הגדרת ה-TLS מ'מופעלת' ל'מושבתת', או מ'מושבתת' ל'מופעלת'. |
false | לא | ||||||||||||
ClientAuthEnabled | המדיניות מאפשרת שימוש ב-TLS (אבטחת שכבת התעבורה) דו-כיוונית (TLS) בין Edge (שרת) לבין האפליקציה (הלקוח) ששולחת את הבקשה. כדי להפעיל TLS דו-כיווני צריך להגדיר מאגר מהימנות ב-Edge, שמכיל את האישור מלקוח ה-TLS. | false | לא | ||||||||||||
KeyStore |
השם של מאגר המפתחות ב-Edge. ההמלצה של Apigee היא לציין את שם מאגר המפתחות בעזרת קובץ עזר, כדי שתוכלו לשנות את מאגר המפתחות בלי להפעיל מחדש את הנתבים. למידע נוסף, ראו אפשרויות להגדרת TLS. |
ללא | כן אם הערך 'מופעל' הוא 'true' | ||||||||||||
KeyAlias | הכינוי שצוין בזמן העלאת האישור והמפתח הפרטי למאגר המפתחות. עליך לציין את הכינוי באופן מילולי. לא ניתן להשתמש בהפניה. למידע נוסף, ראו אפשרויות להגדרת TLS. | ללא | כן אם הערך 'מופעל' הוא 'true' | ||||||||||||
TrustStore |
השם של ה-Truststore ב-Edge שמכיל את האישור או את שרשרת האישורים המשמשים ל-TLS דו-כיווני. חובה אם Apigee ממליצה להשתמש בהפניה לציון שם ה-Truststore, כדי שתהיה לך אפשרות לשנות את ה-Truststore בלי להפעיל מחדש את הנתבים. למידע נוסף, ראו אפשרויות להגדרת TLS. |
ללא | לא | ||||||||||||
IgnoreValidationErrors |
אם השדה הזה הוא true, המדיניות הזו קובעת שאפשר להתעלם משגיאות אישור TLS. היא דומה לאפשרות ' -k' ל-cURL. האפשרות הזו תקפה כשמגדירים TLS (אבטחת שכבת התעבורה) לשרתי יעד ונקודות קצה (Endpoint), וגם כשמגדירים מארחים וירטואליים שמשתמשים ב-TLS דו-כיווני. בשימוש עם שרת יעד/נקודת קצה (endpoint) של יעד, אם מערכת הקצה העורפי משתמשת ב-SNI ומחזירה אישור עם שם ייחודי של נושא (DN) שלא תואם לשם המארח, אין דרך להתעלם מהשגיאה והחיבור נכשל. |
false | לא | ||||||||||||
הצפנה |
ל-Edge for Private Cloud גרסה 4.15.07 ומטה בלבד. מציינת את הצפנים שבהם תומך המארח הווירטואלי. אם לא צוינו צפנים, כל הצפנים שזמינים ל-JVM יהיו מותרים. כדי להגביל את הצפנים, צריך להוסיף את הרכיבים הבאים: <Ciphers> <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Cipher> <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Cipher> </Ciphers> |
כל המכשירים הנתמכים על ידי JVM. | לא | ||||||||||||
פרוטוקולים |
ל-Edge for Private Cloud גרסה 4.15.07 ומטה בלבד. מציינת את הפרוטוקולים שנתמכים על ידי המארח הווירטואלי. אם לא צוינו פרוטוקולים, כל הפרוטוקולים הזמינים ל-JVM יורשו. כדי להגביל פרוטוקולים, מוסיפים את הרכיבים הבאים: <Protocols> <Protocol>TLSv1</Protocol> <Protocol>TLSv1.2</Protocol> <Protocol>SSLv2Hello</Protocol> </Protocols> |
כל המכשירים הנתמכים על ידי JVM. | לא | ||||||||||||
UseBuiltInFreeTrialCert | זמין ל-Edge Cloud בלבד | ||||||||||||||
UseBuiltInFreeTrialCert |
אם יש לכם חשבון Edge בתשלום ל-Cloud ועדיין אין לכם אישור ומפתח TLS, תוכלו ליצור מארח וירטואלי שמשתמש באישור ובמפתח של תקופת הניסיון בחינם של Apigee. המשמעות היא שאפשר ליצור את המארח הווירטואלי בלי ליצור מאגר מפתחות. האישור לתקופת ניסיון בחינם ב-Apigee מוגדר לדומיין של אפשר לקרוא מידע נוסף בקטע הגדרת מארח וירטואלי שמשתמש באישור ובמפתח של תקופת הניסיון בחינם של Apigee. |
false | לא | ||||||||||||
PropagateTLSInformation | התכונה זמינה בגרסת אלפא רק ל-Edge Cloud. | ||||||||||||||
ConnectionProperties |
מאפשר לכידה של פרטי חיבור TLS באמצעות Edge. לאחר מכן המידע הזה יהיה זמין כמשתני זרימה בשרת proxy ל-API. למידע נוסף, אפשר לקרוא את המאמר גישה לפרטי חיבור TLS בשרת proxy ל-API. |
false | לא | ||||||||||||
ClientProperties |
מאפשר הקלטה של פרטי אישור לקוח שנקלטו על ידי Edge ב-TLS דו-כיווני. לאחר מכן המידע הזה יהיה זמין כמשתני זרימה בשרת proxy ל-API. למידע נוסף, אפשר לקרוא את המאמר גישה לפרטי חיבור TLS בשרת proxy ל-API. |
false | לא | ||||||||||||
נכסים | זמין ל-Edge Cloud ול-Private Cloud 4.17.01 ואילך. | ||||||||||||||
proxy_read_timeout |
מגדיר את משך הזמן הקצוב לתפוגה, בשניות, בין מעבדי ההודעות לבין הנתב. הנתב ינותק מהחיבור ויחזיר תגובת HTTP 504 אם הוא לא יקבל תגובה ממעבד ההודעות לפני תום משך הזמן הזה. הערך של proxy_read_timeout צריך להיות גדול מערך היעד של הזמן הקצוב לתפוגה שבו משתמש מעבד ההודעות. כך אפשר לוודא שלנתב לא הזמן הקצוב לתפוגה יסתיים לפני
שמעבד ההודעות מספיק זמן כדי להחזיר תגובה. הזמן הקצוב לתפוגה שמוגדר כברירת מחדל ליעד של מעבד ההודעות הוא 55 שניות ו-55, 000 אלפיות השנייה, כפי שהוגדר באסימון |
57 | לא | ||||||||||||
keepalive_timeout |
מגדיר את משך הזמן הקצוב לתפוגה, בשניות, בין הלקוח והנתב כאשר הלקוח שולח בקשה שמכילה את כותרת Keep-Alive. הנתב משאיר את החיבור פתוח עד לסיום משך הזמן שלו. הנתב לא יסגור את החיבור אם הוא ממתין כרגע לתשובה ממעבד ההודעות. הזמן הקצוב לתפוגה מתחיל רק אחרי שהנתב מחזיר את התגובה ללקוח. |
65 | לא | ||||||||||||
ssl_ciphers |
המדיניות מגדירה את הצפנים שנתמכים על ידי המארח הווירטואלי, תוך התעלמות מהצפנים שהוגדרו כברירת מחדל בנתב. יש לציין רשימת צפנים מופרדת בנקודתיים, באופן הבא: <Property name="ssl_ciphers">HIGH:!aNULL:!MD5:!DH+3DES:!kEDH;</Property> מידע נוסף על התחביר והערכים המותרים על ידי האסימון הזה זמין בכתובת https://www.openssl.org/docs/man1.0.2/man1/ciphers.html. חשוב לשים לב שבאסימון הזה נעשה שימוש בשמות הצופנים של OpenSSL, כמו AES128-SHA256, ולא בשמות הצופנים של Java/JSSE, כמו TLS_RSA_WITH_AES_128_CBC_SHA256. |
גבוהה:!aNULL:
.MD5: !DH+3DES: !kEDH |
לא | ||||||||||||
ssl_protocols |
זמין רק ל-Edge לענן פרטי. ההגדרה קובעת את פרוטוקולי ה-TLS שנתמכים על ידי המארח הווירטואלי כרשימה מופרדת ברווחים, תוך ביטול הפרוטוקולים שמוגדרים כברירת מחדל בנתב. הערה: אם שני מארחים וירטואליים חולקים את אותה יציאה, הם חייבים להגדיר את מציינים רשימה מופרדת ברווחים של פרוטוקולי TLS באופן הבא: <Property name="ssl_protocols">TLSv1 TLSv1.2</Property> |
TLSv1 TLSv1.1 TLSv1.2 | לא | ||||||||||||
proxy_request_buffering |
מפעיל (מופעל) או משבית (מושבת) אחסון זמני של גוף הבקשה. כשתהליך אגירת הנתונים פועל, הנתב מוחק את כל גוף הבקשה לפני שהוא שולח את הבקשה למעבד ההודעות. אם יש שגיאה, הנתב יכול לנסות שוב מעבד הודעות אחר. אם היא מושבתת, האגירה הזמנית מושבתת וגוף הבקשה נשלח למעבד ההודעות מיד עם קבלתה. אם יש שגיאה, הנתב לא מנסה שוב את הבקשה למעבד הודעות אחר. |
מופעלת | לא | ||||||||||||
proxy_buffering | מפעיל (מופעל) או משבית (מושבת) אחסון זמני של התגובה. כשתהליך אגירת נתונים פועל, הנתב מאחסן את התגובה במאגר הנתונים הזמני. כשתהליך אגירת הנתונים מושבת, התגובה מועברת ללקוח באופן סינכרוני, מיד כפי שהיא מתקבלת בנתב. | מופעלת | לא |