Sanal ana makine özelliği referansı

Sanal ana makinenin adını belirtir. Bu adı, API proxy'si yapılandırırken sanal ana makineye referans vermek için kullanırsınız.

Ad özelliğinde kullanabileceğiniz karakterler şunlardır: A-Z0-9._\-$%.

Sanal ana makine tarafından kullanılan bağlantı noktası numarasını belirtir. Uç Yönlendirici'deki bağlantı noktasının açık olduğundan emin olun.

Bir hostalias öğesinde bir bağlantı noktası belirtirseniz <Port> tarafından belirtilen bağlantı noktası numarası bununla eşleşmelidir.

Cloud için: Sanal ana makine oluştururken 443 numaralı bağlantı noktasını belirtmeniz gerekir. Atlanırsa bağlantı noktası varsayılan olarak 443'tür. 443 dışında bir bağlantı noktası kullanan mevcut bir sanal ana makineniz varsa bağlantı noktasını değiştiremezsiniz.

Private Cloud 4.16.01 ile 4.17.05 arasındaki sürümler için: Bir sanal ana makine oluştururken sanal ana makine tarafından kullanılan Yönlendirici bağlantı noktasını belirtirsiniz. Örneğin, bağlantı noktası 9001. Varsayılan olarak Yönlendirici, ayrıcalıklı bağlantı noktalarına (genellikle 1024 ve önceki bağlantı noktaları) erişimi olmayan "Apigee" kullanıcısı olarak çalışır. Yönlendiriciyi korumalı bir bağlantı noktasına bağlayan bir sanal ana makine oluşturmak istiyorsanız Yönlendiriciyi bu bağlantı noktalarına erişimi olan bir kullanıcı olarak çalışacak şekilde yapılandırmanız gerekir. Daha fazla bilgi için Sanal ana makine ayarlama bölümüne bakın.

4.16.01 öncesi Private Cloud sürümleri için: Yönlendirici, belirtilen sertifikayla belirli bir bağlantı noktasında sanal ana makine başına yalnızca bir HTTPS bağlantısı dinleyebilir. Bu nedenle, belirtilen bağlantı noktasında yönlendiricide TLS sonlandırması gerçekleşirse birden fazla sanal ana makine aynı bağlantı noktası numarasını kullanamaz.

BaseUrl değeri, protokolü (ör. "http://" veya "https://").

Bir OCSP (Online Sertifika Durum Protokolü) istemcisi, TLS sertifikasının geçerli olup olmadığını belirlemek için OCSP yanıtlayıcısına durum isteği gönderir. Yanıt, TLS sertifikasının geçerli olup olmadığını ve iptal edilip edilmediğini belirtir.

OCSP zıplama özelliği etkinleştirildiğinde, tek yönlü TLS için TLS sunucusu görevi gören Edge'in OCSP yanıtlayıcısını doğrudan sorgulamasına ve ardından yanıtı önbelleğe almasına olanak tanır. Ardından Edge, TLS el sıkışma işleminin bir parçası olarak bu yanıtı TLS istemcisine döndürür veya zımbalar uygular. Daha fazla bilgi için Sunucunuzda OCSP Stapling'i Etkinleştirme bölümüne bakın.

OCSP zımbalamayı etkinleştirmek için TLS etkinleştirilmelidir. Etkinleştirmek için on olarak ayarlayın. Varsayılan değer: off.

Yönlendiricideki sanal ana makinenin herkes tarafından görülebilen DNS adı (isteğe bağlı olarak bağlantı noktası numarasını da içerir). Sanal ana makine için ana makine takma adı ve bağlantı noktası numarası kombinasyonu, Edge kurulumundaki tüm sanal ana makineler için benzersiz olmalıdır. Yani, farklı ana makine takma adlarına sahip birden fazla sanal ana makine aynı bağlantı noktası numarasını kullanabilir.

Ana makine takma adıyla eşleşen bir DNS girişi ve CNAME kaydı oluşturmanız gerekir. Ayrıca, ana makine takma adı, istemcinin Host üst bilgisinde ilettiği dizeyle eşleşmelidir.

HostAlias içindeki bağlantı noktası numarası isteğe bağlıdır. Bağlantı noktasını ana makine takma adının bir parçası olarak belirtirseniz <Port> öğesini kullanarak aynı bağlantı noktasını da belirtmeniz gerekir. Alternatif olarak, biri bağlantı noktası numarasıyla diğeri olmadan olmak üzere iki HostAlias öğesi belirtebilirsiniz.

Aynı sanal ana makine tanımında birden fazla HostAlias tanımınız olabilir. Bu tanımlar, sanal ana makine için birden fazla DNS girişine karşılık gelir ancak birden fazla bağlantı noktası için geçerli değildir. Birden fazla bağlantı noktası kullanmak istiyorsanız farklı bağlantı noktaları olan birden fazla sanal ana makine tanımı oluşturun.

Ana makine takma adına "*" joker karakterini ekleyebilirsiniz. "*" joker karakteri, ana makine takma adının yalnızca başında (ilk "."den önce) olabilir ve diğer karakterlerle birlikte kullanılamaz. Örneğin, *.example.com. Sanal ana makinenin TLS sertifikasının, sertifikanın CN adında eşleşen bir joker karakter olması gerekir. Örneğin, *.example.com. Sanal ana makine takma adında joker karakter kullanmak, API proxy'lerinin alpha.example.com, beta.example.com veya live.example.com gibi birden çok alt alan adına gönderilen çağrıları işlemesine olanak tanır. Joker karakterli bir sanal ana makine yalnızca bir sanal ana makine olarak sayıldığından, joker karakter takma adı kullanmak, ürün sınırları dahilinde kalmak için ortam başına daha az sanal ana makine kullanmanıza da yardımcı olur.

Cloud için: 443 dışında bir bağlantı noktası kullanan mevcut bir sanal ana makineniz varsa ana makine takma adı ekleyemez veya kaldıramazsınız.

Private Cloud için: Ana makine takma adını, DNS girişlerini değil, Yönlendiricilerinizin IP adreslerini kullanarak ayarlıyorsanız her Yönlendiricinin IP adresini ve sanal ana makinenin bağlantı noktasını belirterek her bir Yönlendirici için ayrı bir ana makine takma adı ekleyin.

port ürününün bağlı olmasını istediğiniz ağ arayüzlerini belirtir. Bu öğeyi çıkarırsanız bağlantı noktası tüm arayüzlerde bağlayıcı olur.

Örneğin, bağlantı noktasını yalnızca en0'a bağlamayı belirtmek için:

<Interfaces>
  <Interface>en0</Interface>
</Interfaces>

"ifconfig -a" komutunu çalıştırarak sisteminizde kullanılabilen arayüzleri belirleyin.

Mesaj İşleyici kapandığında Yönlendiricinin bu sanal ana makineye nasıl tepki vereceğini yapılandırın.

<RetryOption> kullanarak birden çok değer belirtebilirsiniz. Geçerli değerler şunlardır:

Birden çok değer belirtirseniz Yönlendirici, bunları birleştirmek için mantıksal bir OR kullanır.

Örneğin:

<RetryOptions>
  <RetryOption>http_599</RetryOption>
  <RetryOption>error</RetryOption>
  <RetryOption>timeout</RetryOption>
  <RetryOption>invalid_header</RetryOption>
</RetryOptions>

Uç Yönlendiricilere yapılan istekleri işlemek için TCP geçiş modunda bir ELB kullanırsanız Yönlendirici, ELB'nin IP adresini gerçek istemci IP'si yerine istemci IP'si olarak işler. Yönlendirici, gerçek istemci IP'sini gerektiriyorsa ELB'de proxy_protocol özelliğini etkinleştirerek TCP paketi içinde istemci IP'sini iletin. Yönlendiricide, sanal ana makinedeki <ListenOption> değerini de proxy_protocol olarak ayarlamanız gerekir. ELB, TCP geçiş modunda olduğundan genellikle yönlendiricide TLS'yi sonlandırırsınız. Bu nedenle, genellikle sanal ana makineyi proxy_protocol kullanacak şekilde yapılandırmak için TLS'yi de kullanacak şekilde yapılandırırsınız.

<ListenOption> için varsayılan değer boş bir dizedir.

Örneğin:

<ListenOptions>
  <ListenOption>proxy_protocol</ListenOption>
</ListenOptions>

<ListenOption> ayarını daha sonra iptal etmek için sanal ana makineyi güncelleyin ve <ListenOptions> etiketini güncellemeden çıkarın.

Tek yönlü TLS/SSL'yi etkinleştirir. Sertifikayı ve özel anahtarı içeren bir anahtar deposu tanımlamanız gerekir.

Cloud için: Symantec veya VeriSign gibi güvenilir bir varlık tarafından imzalanmış bir sertifikanız olmalıdır. Kendinden imzalı sertifikaları veya kendinden imzalı bir CA tarafından imzalanmış yaprak sertifikaları kullanamazsınız.

Cloud için: Mevcut sanal ana makineniz 443 dışında bir bağlantı noktası kullanacak şekilde yapılandırılmışsa TLS ayarını değiştiremezsiniz. Yani, etkin olan TLS ayarını devre dışı veya devre dışı olan TLS ayarını etkin olarak değiştiremezsiniz.

Edge'deki anahtar deposunun adı.

Apigee, yönlendiricileri yeniden başlatmak zorunda kalmadan anahtar deposunu değiştirebilmeniz için anahtar deposu adını belirtmek üzere bir referans kullanmanızı önerir. Daha fazla bilgi için TLS'yi yapılandırma seçenekleri bölümüne bakın.

İki yönlü TLS için kullanılan sertifikayı veya sertifika zincirini içeren Edge'deki güven deposunun adı. <ClientAuthEnabled> doğruysa zorunludur.

Apigee, yönlendiricileri yeniden başlatmak zorunda kalmadan güven deposunu değiştirebilmeniz için güven deposu adını belirtmek üzere bir referans kullanmanızı önerir. Daha fazla bilgi için TLS'yi yapılandırma seçenekleri bölümüne bakın.

True (doğru) değerine ayarlanırsa TLS sertifikası hatalarının yoksayılacağını belirtir. Bu, cURL için kullanılan "-k" seçeneğine benzer.

Bu seçenek, Hedef Sunucular ve Hedef Uç Noktalar için TLS'yi yapılandırırken ve 2 yönlü TLS kullanan sanal ana makineleri yapılandırırken geçerlidir.

Bir hedef uç nokta/hedef sunucu ile kullanıldığında, arka uç sistemi SNI kullanıyorsa ve ana makine adıyla eşleşmeyen konu Ayırt Edici Adı (DN) içeren bir sertifika döndürürse hatayı yoksaymak mümkün olmaz ve bağlantı başarısız olur.

Yalnızca Edge for Private Cloud 4.15.07 ve önceki sürümler içindir.

Sanal ana makine tarafından desteklenen şifreleri belirtir. Şifre belirtilmezse JVM için kullanılabilir tüm şifrelere izin verilir.

Şifreleri kısıtlamak için aşağıdaki öğeleri ekleyin:

<Ciphers>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Cipher>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Cipher>
</Ciphers>

Yalnızca Edge for Private Cloud 4.15.07 ve önceki sürümler içindir.

Sanal ana makine tarafından desteklenen protokolleri belirtir. Herhangi bir protokol belirtilmezse JVM için mevcut tüm protokollere izin verilir.

Protokolleri kısıtlamak için aşağıdaki öğeleri ekleyin:

<Protocols>
  <Protocol>TLSv1</Protocol>
  <Protocol>TLSv1.2</Protocol>
  <Protocol>SSLv2Hello</Protocol>
</Protocols>

Cloud için ücretli bir Edge hesabınız varsa ancak henüz TLS sertifikanız ve anahtarınız yoksa Apigee ücretsiz deneme sertifikası ve anahtarını kullanan bir sanal ana makine oluşturabilirsiniz. Bu, önce anahtar deposu oluşturmadan sanal ana makineyi oluşturabileceğiniz anlamına gelir.

Apigee ücretsiz deneme sertifikası, *.apigee.net alanı için tanımlanmıştır. Bu nedenle, sanal ana makinenin <HostAlias> değeri de *.apigee.net biçiminde olmalıdır.

Apigee ücretsiz deneme sertifikasını ve anahtarını kullanan bir sanal ana makine tanımlama bölümüne bakın.

Edge'in TLS bağlantı bilgilerinin yakalanmasını sağlar. Bu bilgiler daha sonra bir API proxy'sinde akış değişkenleri olarak kullanılabilir. Daha fazla bilgi için API proxy'sinde TLS bağlantı bilgilerine erişme bölümüne bakın.

Edge tarafından iki yönlü TLS'de yakalanan istemci sertifikası ayrıntılarının yakalanmasını sağlar. Bu bilgiler daha sonra bir API proxy'sinde akış değişkenleri olarak kullanılabilir. Daha fazla bilgi için API proxy'sinde TLS bağlantı bilgilerine erişme bölümüne bakın.

Mesaj İşlemcileri ve Yönlendirici arasındaki zaman aşımı süresini saniye cinsinden ayarlar. Yönlendirici, bu süre sona ermeden Mesaj İşleyici'den yanıt alamazsa bağlantıyı keser ve bir HTTP 504 yanıtı döndürür.

proxy_read_timeout değeri, Mesaj İşleyici tarafından kullanılan hedef zaman aşımı değerinden büyük olmalıdır. Bu, Mesaj İşleyici'nin bir yanıt döndürmesi için zaman tanıyıncaya kadar Yönlendiricinin zaman aşımına uğramamasını sağlar. Mesaj İşleyici için varsayılan hedef zaman aşımı, Mesaj İşleyici için conf_http_HTTPTransport.io.timeout.millis jetonuyla tanımlandığı şekilde 55 saniye, 55.000 milisaniyedir.

İstemci Keep-Alive başlığını içeren bir istek yaptığında, istemci ile Yönlendirici arasındaki zaman aşımı süresini saniye cinsinden ayarlar. Yönlendirici, süre dolana kadar bağlantıyı açık tutar.

Yönlendirici, Mesaj İşleyici'den yanıt bekliyorsa bağlantıyı kapatmaz. Zaman aşımı ancak Yönlendirici, istemciye yanıtı döndürdükten sonra başlar.

Sanal ana makine tarafından desteklenen şifreleri ayarlayarak Yönlendiricide ayarlanan varsayılan şifreleri geçersiz kılar.

İki nokta üst üste işaretiyle ayrılmış şifreler listesini şu biçimde belirtin:

<Property name="ssl_ciphers">HIGH:!aNULL:!MD5:!DH+3DES:!kEDH;</Property>

Bu jetonun izin verdiği söz dizimi ve değerler hakkında bilgi için https://www.openssl.org/docs/man1.0.2/man1/ciphers.html adresini ziyaret edin. Bu jetonun, AES128-SHA256 gibi OpenSSL şifre adlarını kullandığını ve TLS_RSA_WITH_AES_128_CBC_SHA256 gibi Java/JSSE şifre adlarını kullanmadığını unutmayın.

!MD5:

!DH+3DES:

!kEDH

Yalnızca Edge Private Cloud'da kullanılabilir.

Sanal ana makine tarafından desteklenen TLS protokollerini alanla sınırlandırılmış bir liste olarak ayarlar ve Yönlendirici'de ayarlanan varsayılan protokolleri geçersiz kılar.

Not: İki sanal ana makine aynı bağlantı noktasını paylaşıyorsa ssl_protocols'yi aynı protokollere ayarlamaları gerekir. Diğer bir deyişle, aynı bağlantı noktasını paylaşan sanal ana makineler tam olarak aynı protokolleri desteklemelidir.

TLS protokollerinin boşlukla sınırlandırılmış listesini şu biçimde belirtin:

<Property name="ssl_protocols">TLSv1 TLSv1.2</Property>

İstek gövdesinin arabelleğe alınmasını sağlar (açık) veya devre dışı bırakır (kapalı). Arabelleğe alma özelliği açıkken Yönlendirici, istek gövdesini Mesaj İşleyiciye göndermeden önce tüm içeriği arabelleğe alır. Hata olursa Yönlendirici farklı bir Mesaj İşleyiciyi yeniden deneyebilir.

Devre dışıysa arabelleğe alma devre dışı bırakılır ve istek gövdesi alınır alınmaz Mesaj İşleyici'ye gönderilir. Hata varsa Yönlendirici, isteği başka bir Mesaj İşleyici'ye göndermeyi yeniden denemez.