Dokumentacja właściwości hosta wirtualnego

Określa nazwę hosta wirtualnego. Używasz tej nazwy do odwoływania się do hosta wirtualnego podczas konfigurowania serwera proxy API.

W atrybucie nazwa możesz używać tylko tych znaków: A-Z0-9._\-$%.

Określa numer portu używany przez hosta wirtualnego. Sprawdź, czy port jest otwarty na routerze Edge.

Jeśli w elemencie hostalias podasz port, numer portu określony przez element <Port> musi być z nim zgodny.

W przypadku usługi Cloud: podczas tworzenia hosta wirtualnego musisz podać port 443. Jeśli pominiesz ten parametr, domyślnie zostanie ustawiony port 443. Jeśli masz już hosta wirtualnego, który używa portu innego niż 443, nie możesz go zmienić.

W przypadku Private Cloud w wersjach od 4.16.01 do 4.17.05: podczas tworzenia hosta wirtualnego określasz port routera używany przez hosta wirtualnego. Na przykład: port 9001. Domyślnie router działa jako użytkownik „apigee”, który nie ma dostępu do portów uprzywilejowanych, zazwyczaj portów 1024 i niższych. Jeśli chcesz utworzyć hosta wirtualnego, który powiąże router z zabezpieczonym portem, musisz skonfigurować router tak, aby działał jako użytkownik z dostępem do tych portów. Więcej informacji znajdziesz w artykule Konfigurowanie hosta wirtualnego.

W przypadku wersji Private Cloud starszych niż 4.16.01: router może nasłuchiwać tylko jednego połączenia HTTPS na hosta wirtualnego na określonym porcie z określonym certyfikatem. Dlatego wiele hostów wirtualnych nie może używać tego samego numeru portu, jeśli zakończenie TLS odbywa się na routerze na określonym porcie.

Wartość BaseUrl musi zawierać protokół (np. „http://” lub „https://”).

Klient OCSP (Online Certificate Status Protocol) wysyła żądanie stanu do odpowiadacza OCSP, aby ustalić, czy certyfikat TLS jest prawidłowy. Odpowiedź wskazuje, czy certyfikat TLS jest ważny i nie został odwołany.

Po włączeniu szpilkowania OCSP przeglądarka Edge, działająca jako serwer TLS w przypadku jednokierunkowego TLS, może bezpośrednio wysłać zapytanie do odpowiadacza OCSP, a następnie zapisać odpowiedź w pamięci podręcznej. Edge zwraca tę odpowiedź do klienta TLS lub zszywa ją w ramach uzgadniania połączenia TLS. Więcej informacji znajdziesz w artykule Włączanie sztaplowania OCSP na serwerze.

Aby umożliwić zszywanie OCSP, musisz włączyć protokół TLS. Ustaw na on, aby włączyć. (wartością domyślną jest off);

Publicznie widoczna nazwa DNS hosta wirtualnego na routerze, opcjonalnie z numerem portu. Kombinacja nazwy aliasu hosta i numeru portu hosta wirtualnego musi być niepowtarzalna dla wszystkich hostów wirtualnych w instalacji Edge. Oznacza to, że wiele wirtualnych hostów może używać tego samego numeru portu, jeśli mają różne aliasy hosta.

Musisz utworzyć wpis DNS i rekord CNAME, który pasuje do aliasu hosta, a alias hosta musi pasować do ciągu przekazanego przez klienta w nagłówku Host.

Numer portu w HostAlias jest opcjonalny. Jeśli port jest określony w ramach aliasu hosta, musisz go też podać za pomocą elementu <Port>. Możesz też podać 2 elementy HostAlias: jeden z numerem portu, a drugi bez niego.

W tej samej definicji hosta wirtualnego możesz mieć wiele definicji HostAlias odpowiadających wielu wpisom DNS dla tego hosta, ale nie dla wielu portów. Jeśli chcesz użyć kilku portów, utwórz kilka definicji hosta wirtualnego z różnymi portami.

W aliasie hosta możesz użyć symbolu wieloznacznego „*”. Symbol wieloznaczny „*” może się znajdować tylko na początku (poprzedzający pierwszy „.”) aliasu hosta i nie można go łączyć z innymi znakami. Na przykład *.example.com. Certyfikat TLS dla hosta wirtualnego musi mieć symbol wieloznaczny w nazwie CN certyfikatu. Na przykład: *.example.com. Użycie symbolu wieloznacznego w aliasie hosta wirtualnego pozwala serwerom proxy interfejsu API obsługiwać wywołania kierowane do wielu subdomen, takich jak alpha.example.com, beta.example.com lub live.example.com. Używanie aliasu z symbolem wieloznacznym pozwala też używać mniejszej liczby hostów wirtualnych na środowisko, aby nie przekraczać limitów usługi, ponieważ host wirtualny z symbolem wieloznacznym jest liczony jako 1 host wirtualny.

W przypadku usługi w chmurze: jeśli masz istniejący host wirtualny, który używa portu innego niż 443, nie możesz dodać ani usunąć aliasu hosta.

W przypadku chmury Private Cloud: jeśli ustawiasz alias hosta przy użyciu adresów IP routerów, a nie wpisów DNS, dodaj osobny alias hosta dla każdego routera, określając adres IP każdego routera i port hosta wirtualnego.

Określa interfejsy sieciowe, do których ma być przypisana usługa port. Jeśli pominiesz ten element, port zostanie powiązany ze wszystkimi interfejsami.

Aby na przykład określić wiązanie portu tylko z interfejsem en0:

<Interfaces>
  <Interface>en0</Interface>
</Interfaces>

Określ interfejsy dostępne w systemie, uruchamiając polecenie „ifconfig -a”.

Skonfiguruj sposób reakcji routera dla tego hosta wirtualnego, gdy usługa Message Processor przestanie działać.

Aby podać wiele wartości, użyj <RetryOption>. Prawidłowe wartości:

Jeśli podasz kilka wartości, Router połączy je za pomocą operatora logicznego LUB.

Na przykład:

<RetryOptions>
  <RetryOption>http_599</RetryOption>
  <RetryOption>error</RetryOption>
  <RetryOption>timeout</RetryOption>
  <RetryOption>invalid_header</RetryOption>
</RetryOptions>

Jeśli używasz narzędzia ELB w trybie przekazywania TCP do obsługi żądań wysyłanych do routerów brzegowych, router będzie traktować adres IP zbioru ELB jako adres IP klienta, a nie rzeczywisty adres IP klienta. Jeśli router wymaga prawdziwego adresu IP klienta, włącz proxy_protocol w ELB, aby przekazywał adres IP klienta w pakiecie TCP. W routerze musisz też ustawić <ListenOption> na hoście wirtualnym na proxy_protocol. Ponieważ ELB działa w trybie przekazywania TCP, zwykle kończysz szyfrowanie TLS na routerze. Dlatego zwykle host wirtualny jest konfigurowany do używania proxy_protocoltylko wtedy, gdy jest też konfigurowany do używania TLS.

Domyślną wartością pola <ListenOption> jest pusty ciąg znaków.

Na przykład:

<ListenOptions>
  <ListenOption>proxy_protocol</ListenOption>
</ListenOptions>

Aby później cofnąć ustawienie <ListenOption>, zaktualizuj hosta wirtualnego i pomiń tag <ListenOptions> w aktualizacji.

Włącza szyfrowanie TLS/SSL w jednym kierunku. Musisz zdefiniować magazyn kluczy zawierający certyfikat i klucz prywatny.

W przypadku Cloud: musisz mieć certyfikat podpisany przez zaufany podmiot, np. Symantec lub VeriSign. Nie możesz używać certyfikatu podpisanego samodzielnie ani certyfikatów liści podpisanych przez podpisany samodzielnie urząd certyfikacji.

W przypadku usługi w chmurze: jeśli istniejący host wirtualny jest skonfigurowany tak, aby używać portu innego niż 443, nie możesz zmienić ustawienia TLS. Oznacza to, że nie możesz zmienić ustawienia TLS z włączonego na wyłączony ani z wyłączonego na włączony.

Nazwa magazynu kluczy w Edge.

Apigee zaleca użycie odwołania do nazwy keystore, aby można było zmienić keystore bez restartowania Routerów. Więcej informacji znajdziesz w sekcji Opcje konfiguracji TLS.

Nazwa zaufanej pamięci w Edge, która zawiera certyfikat lub łańcuch certyfikatów używany do dwukierunkowego TLS. Wymagane, jeśli parametr <ClientAuthEnabled> ma wartość true (prawda).

Apigee zaleca użycie odwołania do nazwy repozytorium zaufania, aby można było zmienić repozytorium zaufania bez restartowania routerów. Więcej informacji znajdziesz w sekcji Opcje konfiguracji TLS.

Jeśli ma wartość true (prawda), określa, że błędy certyfikatu TLS mają być ignorowane. Jest to podobne do opcji „-k” w przypadku cURL.

Ta opcja ma zastosowanie podczas konfigurowania protokołu TLS dla serwerów docelowych i docelowych punktów końcowych oraz podczas konfigurowania hostów wirtualnych korzystających z dwukierunkowego protokołu TLS.

Jeśli system backendu używa SNI i zwraca certyfikat z nazwą podmiotu (DN), która nie pasuje do nazwy hosta, a punkt końcowy lub serwer docelowy jest używany, nie można zignorować błędu i połączenie się nie powiedzie.

Dotyczy tylko Edge for Private Cloud w wersji 4.15.07 lub starszej.

Określa mechanizmy szyfrowania obsługiwane przez hosta wirtualnego. Jeśli nie zostaną określone żadne szyfry, dozwolone będą wszystkie szyfry dostępne dla JVM.

Aby ograniczyć szyfry, dodaj te elementy:

<Ciphers>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Cipher>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Cipher>
</Ciphers>

Dotyczy tylko przeglądarki Edge for Private Cloud w wersji 4.15.07 lub starszej.

Określa protokoły obsługiwane przez hosta wirtualnego. Jeśli nie określisz protokołów, wszystkie protokoły dostępne dla JVM będą dozwolone.

Aby ograniczyć protokoły, dodaj te elementy:

<Protocols>
  <Protocol>TLSv1</Protocol>
  <Protocol>TLSv1.2</Protocol>
  <Protocol>SSLv2Hello</Protocol>
</Protocols>

Jeśli masz płatne konto Edge dla Cloud i nie masz jeszcze certyfikatu ani klucza TLS, możesz utworzyć hosta wirtualnego korzystającego z bezpłatnego certyfikatu i klucza próbnego Apigee. Oznacza to, że możesz utworzyć hosta wirtualnego bez wcześniejszego utworzenia magazynu kluczy.

Certyfikat bezpłatnego okresu próbnego Apigee jest zdefiniowany dla domeny *.apigee.net. Dlatego pole <HostAlias> hosta wirtualnego też musi mieć postać *.apigee.net.

Zobacz temat Definiowanie hosta wirtualnego, który używa certyfikatu i klucza z bezpłatnej wersji próbnej Apigee.

Umożliwia rejestrowanie informacji o połączeniu TLS przez Edge. Te informacje są potem dostępne jako zmienne przepływu w proxy interfejsu API. Więcej informacji znajdziesz w artykule Dostęp do informacji o połączeniu TLS w pośredniku interfejsu API.

Umożliwia przechwytywanie szczegółów certyfikatu klienta przez Edge w ramach dwukierunkowego TLS. Te informacje są potem dostępne jako zmienne przepływu w proxy interfejsu API. Więcej informacji znajdziesz w artykule Dostęp do informacji o połączeniu TLS w interfejsie API proxy.

Ustawia czas oczekiwania w sekundach między procesorami wiadomości a przełącznikiem. Router zrywa połączenie i zwraca kod odpowiedzi HTTP 504, jeśli przed upływem tego czasu nie otrzyma odpowiedzi od procesora wiadomości.

Wartość parametru proxy_read_timeout powinna być większa niż docelowy limit czasu używany przez przetwarzacz wiadomości. Dzięki temu router nie przekroczy limitu czasu, zanim procesor wiadomości zdąży zwrócić odpowiedź. Domyślny docelowy czas oczekiwania dla procesora wiadomości to 55 sekund (55 000 milisekund), zgodnie z tokenem conf_http_HTTPTransport.io.timeout.millis dla tego procesora.

Określa czas oczekiwania (w sekundach) między klientem a routerem, gdy klient wysyła żądanie zawierające nagłówek Keep-Alive. Router utrzymuje połączenie otwarte do czasu wygaśnięcia jego czasu trwania.

Router nie zamknie połączenia, jeśli oczekuje na odpowiedź od przetwarzacza wiadomości. Czas oczekiwania rozpoczyna się dopiero po tym, jak Router zwróci odpowiedź klientowi.

Ustawia szyfry obsługiwane przez hosta wirtualnego, zastępując szyfry domyślne ustawione w routerze.

Podaj listę szyfrów rozdzielonych dwukropkiem w formacie:

<Property name="ssl_ciphers">HIGH:!aNULL:!MD5:!DH+3DES:!kEDH;</Property>

Informacje o składni i wartościach dozwolonych przez ten token znajdziesz na stronie https://www.openssl.org/docs/man1.0.2/man1/ciphers.html. Pamiętaj, że ten token używa nazw szyfrów OpenSSL, takich jak AES128-SHA256, a nie nazw szyfrów Java/JSSE, takich jak TLS_RSA_WITH_AES_128_CBC_SHA256.

!MD5:

!DH+3DES:

!kEDH

Dostępne tylko w przypadku Edge for Private Cloud.

Ustawia protokoły TLS obsługiwane przez hosta wirtualnego jako listę rozdzieloną spacjami, zastępując domyślne protokoły ustawione na routerze.

Uwaga: jeśli 2 hosty wirtualnych używają tego samego portu, muszą mieć ustawiony ten sam protokół w sekcji ssl_protocols. Oznacza to, że hosty wirtualnych, które współdzielą ten sam port, muszą obsługiwać te same protokoły.

Podaj rozdzielaną spacjami listę protokołów TLS w formacie:

<Property name="ssl_protocols">TLSv1 TLSv1.2</Property>

Włącza (on) lub wyłącza (off) buforowanie treści żądania. Gdy buforowanie jest włączone, router buforuje całą treść żądania przed wysłaniem go do procesora wiadomości. Jeśli wystąpi błąd, router może ponowić próbę użycia innego procesora wiadomości.

Jeśli jest wyłączone, buforowanie jest wyłączone, a treść żądania jest wysyłana do procesora wiadomości natychmiast po jej otrzymaniu. Jeśli wystąpi błąd, router nie próbuje ponownie wysłać żądania do innego procesora wiadomości.