Tham chiếu thuộc tính lưu trữ ảo

Chỉ định tên của máy chủ ảo. Bạn sử dụng tên đó để tham chiếu máy chủ ảo khi định cấu hình proxy API.

Bạn chỉ có thể sử dụng các ký tự trong thuộc tính tên: A-Z0-9._\-$%.

Chỉ định số cổng mà máy chủ ảo sử dụng. Đảm bảo rằng cổng đang mở trên Máy định tuyến cạnh.

Nếu bạn chỉ định một cổng trong phần tử hostalias, thì số cổng do <Port> chỉ định phải khớp với giá trị đó.

Đối với Đám mây: Bạn phải chỉ định cổng 443 khi tạo máy chủ lưu trữ ảo. Nếu được bỏ qua, theo mặc định, cổng được đặt thành 443. Nếu bạn đã có một máy chủ ảo sử dụng một cổng không phải là 443, thì bạn không thể thay đổi cổng.

Đối với các bản phát hành Cloud riêng tư từ 4.16.01 đến 4.17.05: Khi tạo một máy chủ ảo, bạn chỉ định cổng Bộ định tuyến được máy chủ ảo sử dụng. Ví dụ: cổng 9001. Theo mặc định, Bộ định tuyến chạy với tư cách người dùng "apigee" không có quyền truy cập vào cổng đặc quyền, thường là cổng 1024 trở xuống. Nếu bạn muốn tạo một máy chủ ảo ràng buộc Bộ định tuyến với một cổng được bảo vệ, sau đó bạn phải định cấu hình Bộ định tuyến để chạy như người dùng có quyền truy cập vào các cổng đó. Xem Thiết lập máy chủ lưu trữ ảo cho khác.

Đối với các bản phát hành Cloud riêng tư trước phiên bản 4.16.01: Bộ định tuyến có thể nghe chỉ một kết nối HTTPS cho mỗi máy chủ ảo, trên một cổng cụ thể, với chứng chỉ được chỉ định. Do đó, nhiều máy chủ ảo không thể sử dụng cùng một số cổng nếu việc chấm dứt TLS xảy ra trên Bộ định tuyến tại cổng được chỉ định.

Giá trị của BaseUrl phải bao gồm giao thức (tức là "http://" hoặc "https://").

Ứng dụng OCSP (Giao thức trạng thái chứng chỉ trực tuyến) sẽ gửi trạng thái gửi yêu cầu đến trình phản hồi OCSP để xác định xem chứng chỉ TLS có hợp lệ hay không. Phản hồi cho biết chứng chỉ TLS có hợp lệ và không bị thu hồi hay không.

Khi bật, tính năng ghim OCSP sẽ cho phép Edge, hoạt động như máy chủ TLS cho TLS một chiều, để truy vấn trực tiếp trình phản hồi OCSP rồi lưu phản hồi vào bộ nhớ đệm. Sau đó, Edge sẽ trả về phản hồi này cho ứng dụng TLS hoặc ghim phản hồi đó trong quá trình bắt tay TLS. Xem Bật tính năng ghim OCSP trên máy chủ của bạn để tìm hiểu thêm.

Bạn phải bật TLS để cho phép ghim OCSP. Đặt thành on để bật. Giá trị mặc định là off.

Tên DNS hiển thị công khai của máy chủ ảo trên Bộ định tuyến, có thể bao gồm số cổng. Tổ hợp tên bí danh của máy chủ lưu trữ và số cổng cho máy chủ ảo phải là duy nhất cho tất cả máy chủ ảo trong quá trình cài đặt Edge. Điều đó có nghĩa là nhiều các máy chủ lưu trữ có thể sử dụng cùng một số cổng nếu có các bí danh máy chủ khác nhau.

Bạn phải tạo mục nhập DNS và bản ghi CNAME khớp với bí danh máy chủ và máy chủ lưu trữ bí danh phải khớp với chuỗi mà ứng dụng truyền trong tiêu đề Host.

Số cổng trong HostAlias là không bắt buộc. Nếu bạn chỉ định cổng như một phần của bí danh máy chủ lưu trữ, bạn cũng phải chỉ định cùng một cổng đó bằng cách sử dụng Phần tử <Port>. Hoặc bạn có thể chỉ định 2 phần tử HostAlias, một thiết bị có số cổng và một thiết bị không có số cổng.

Bạn có thể có nhiều định nghĩa HostAlias trong cùng một định nghĩa máy chủ ảo, tương ứng với nhiều mục nhập DNS cho máy chủ ảo chứ không phải cho nhiều cổng. Nếu bạn muốn nhiều cổng, hãy tạo nhiều cổng máy chủ ảo bằng các cổng khác nhau.

Bạn có thể bao gồm "*" ký tự đại diện trong bí danh máy chủ lưu trữ. "*" ký tự đại diện có thể chỉ ở phần đầu (trước ".") đầu tiên của bí danh máy chủ lưu trữ và không thể kết hợp với các ký tự khác. Ví dụ: *.example.com. Chứng chỉ TLS cho máy chủ ảo phải có khớp với ký tự đại diện trong tên CN của chứng chỉ. Ví dụ: *.example.com. Việc sử dụng ký tự đại diện trong bí danh máy chủ ảo cho phép Proxy API xử lý các lệnh gọi đến nhiều miền con, chẳng hạn như alpha.example.com, beta.example.com hoặc live.example.com. Việc sử dụng bí danh ký tự đại diện cũng giúp bạn dùng ít chế độ ảo hơn máy chủ lưu trữ cho mỗi môi trường để nằm trong sản phẩm , vì máy chủ ảo có ký tự đại diện chỉ được tính là một máy chủ ảo.

Đối với Đám mây: Nếu bạn đã có một máy chủ ảo sử dụng cổng khác cao hơn 443, nên bạn không thể thêm hoặc xoá bí danh máy chủ.

Đối với Đám mây riêng tư: Nếu bạn đặt bí danh máy chủ bằng cách sử dụng IP địa chỉ của Bộ định tuyến chứ không phải mục nhập DNS, hãy thêm bí danh máy chủ riêng cho mỗi bộ định tuyến Bộ định tuyến, chỉ định địa chỉ IP của mỗi Bộ định tuyến và cổng của máy chủ ảo.

Chỉ định các giao diện mạng mà bạn muốn liên kết với port. Nếu bạn bỏ qua phần tử này, cổng sẽ được liên kết trên mọi giao diện.

Ví dụ: để chỉ định chỉ liên kết cổng với en0:

<Interfaces>
  <Interface>en0</Interface>
</Interfaces>

Xác định các giao diện có sẵn trên hệ thống của bạn bằng cách chạy lệnh "ifconfig -a" .

Định cấu hình cách Bộ định tuyến phản ứng đối với máy chủ ảo này khi Bộ xử lý thông báo truy cập xuống.

Bạn có thể chỉ định nhiều giá trị bằng cách sử dụng <RetryOption>. Giá trị hợp lệ bao gồm:

Nếu bạn chỉ định nhiều giá trị, Bộ định tuyến sử dụng OR logic để kết hợp các giá trị đó.

Ví dụ:

<RetryOptions>
  <RetryOption>http_599</RetryOption>
  <RetryOption>error</RetryOption>
  <RetryOption>timeout</RetryOption>
  <RetryOption>invalid_header</RetryOption>
</RetryOptions>

Nếu bạn sử dụng ELB ở chế độ truyền qua TCP để xử lý các yêu cầu tới Bộ định tuyến Edge, Bộ định tuyến coi địa chỉ IP của ELB là IP ứng dụng khách thay vì IP thực tế của máy khách. Nếu Bộ định tuyến yêu cầu IP ứng dụng khách thực sự, bật proxy_protocol trên ELB để truyền IP của ứng dụng khách trong gói TCP. Trên Bộ định tuyến, bạn cũng phải đặt <ListenOption> trên máy chủ ảo tới proxy_protocol. Vì ELB đang ở chế độ truyền qua TCP, nên bạn thường chấm dứt TLS trên Bộ định tuyến. Do đó, bạn thường chỉ định cấu hình máy chủ ảo để sử dụng proxy_protocol khi bạn cũng định cấu hình để sử dụng TLS.

Giá trị mặc định của <ListenOption> là trường trống .

Ví dụ:

<ListenOptions>
  <ListenOption>proxy_protocol</ListenOption>
</ListenOptions>

Nếu sau này bạn muốn huỷ đặt <ListenOption>, hãy cập nhật máy chủ ảo và bỏ qua thẻ <ListenOptions> khỏi cập nhật.

Bật TLS/SSL một chiều. Bạn phải xác định một kho khoá có chứa chứng chỉ và khoá riêng tư.

Đối với Cloud: Bạn phải có chứng chỉ có chữ ký của một pháp nhân đáng tin cậy, chẳng hạn như S đâu hoặc VeriSign. Bạn không thể sử dụng chứng chỉ tự ký hoặc chứng chỉ kết hợp do một CA tự ký.

Đối với đám mây: Nếu máy chủ ảo hiện có được định cấu hình để sử dụng cổng ngoại trừ 443, bạn không thể thay đổi cài đặt TLS. Điều đó có nghĩa là bạn không thể thay đổi cài đặt TLS từ bật thành tắt hoặc từ tắt thành bật.

Tên của kho khoá trên Edge.

Apigee khuyên bạn nên sử dụng tệp tham chiếu để chỉ định tên kho khoá có thể thay đổi kho khoá mà không phải khởi động lại Bộ định tuyến. Xem Tuỳ chọn cho định cấu hình TLS để tìm hiểu thêm.

Tên của kho tin cậy trên Edge có chứa chứng chỉ hoặc chuỗi chứng chỉ được dùng cho TLS hai chiều. Bắt buộc nếu <ClientAuthEnabled> là true.

Apigee khuyên bạn nên sử dụng tệp đối chiếu để chỉ định tên kho tin cậy có thể thay đổi kho tin cậy mà không phải khởi động lại Bộ định tuyến. Xem Tuỳ chọn cho định cấu hình TLS để tìm hiểu thêm.

Nếu đúng, hãy chỉ định bỏ qua lỗi chứng chỉ TLS. Ký tự này tương tự như "-k" lựa chọn đến cURL.

Tuỳ chọn này có hiệu lực khi định cấu hình TLS cho Máy chủ mục tiêu và Điểm cuối mục tiêu, và khi định cấu hình máy chủ ảo sử dụng TLS 2 chiều.

Khi được sử dụng với điểm cuối/máy chủ mục tiêu, nếu hệ thống phụ trợ sử dụng SNI và trả về chứng chỉ có tiêu đề Tên phân biệt (DN) không khớp với tên máy chủ, không có cách nào bỏ qua lỗi và kết nối không thành công.

Chỉ dành cho Edge for Private Cloud phiên bản 4.15.07 trở xuống.

Chỉ định các thuật toán mật mã được máy chủ ảo hỗ trợ. Nếu không có thuật toán mật mã nào được chỉ định, thì tất cả thuật toán mật mã có sẵn cho JVM sẽ được phép.

Để hạn chế thuật toán mật mã, hãy thêm các phần tử sau:

<Ciphers>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Cipher>
  <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Cipher>
</Ciphers>

Chỉ dành cho Edge for Private Cloud phiên bản 4.15.07 trở xuống.

Chỉ định các giao thức được máy chủ ảo hỗ trợ. Nếu không có giao thức nào được chỉ định, thì tất cả các giao thức có sẵn cho JVM sẽ được cho phép.

Để hạn chế giao thức, hãy thêm các phần tử sau:

<Protocols>
  <Protocol>TLSv1</Protocol>
  <Protocol>TLSv1.2</Protocol>
  <Protocol>SSLv2Hello</Protocol>
</Protocols>

Nếu có một tài khoản Edge trả phí cho tài khoản Cloud và chưa có chứng chỉ và khoá TLS, thì bạn có thể tạo một máy chủ lưu trữ ảo sử dụng khoá và chứng chỉ dùng thử miễn phí Apigee. Điều đó có nghĩa là bạn có thể tạo máy chủ ảo mà không cần tạo kho khoá trước.

Chứng chỉ dùng thử miễn phí Apigee được xác định cho miền *.apigee.net. Do đó, <HostAlias> của máy chủ lưu trữ ảo cũng phải ở dạng *.apigee.net.

Xem phần Xác định máy chủ ảo sử dụng khoá và chứng chỉ dùng thử miễn phí Apigee.

Cho phép Edge thu thập thông tin kết nối TLS. Sau đó, thông tin này sẽ xuất hiện dưới dạng biến luồng trong proxy API. Xem bài viết Truy cập vào thông tin kết nối TLS trong proxy API để tìm hiểu thêm.

Bật tính năng chụp thông tin chi tiết về chứng chỉ máy khách do Edge ghi lại theo phương thức TLS hai chiều. Sau đó, thông tin này sẽ xuất hiện dưới dạng biến luồng trong proxy API. Xem bài viết Truy cập vào thông tin kết nối TLS trong proxy API để tìm hiểu thêm.

Đặt thời lượng thời gian chờ, tính bằng giây, giữa Bộ xử lý thông báo và Bộ định tuyến. Chiến lược phát hành đĩa đơn Bộ định tuyến ngắt kết nối và trả về phản hồi HTTP 504 nếu không nhận được phản hồi phản hồi của Trình xử lý thư trước khi hết thời gian này.

Giá trị của proxy_read_timeout phải lớn hơn giá trị thời gian chờ mục tiêu được sử dụng xử lý tin nhắn. Điều này đảm bảo rằng Bộ định tuyến không hết thời gian chờ trước khi Trình xử lý thư đã có thời gian để trả lời. Thời gian chờ mục tiêu mặc định cho Bộ xử lý tin nhắn là 55 giây, 55000 mili giây, được xác định bằng hàm conf_http_HTTPTransport.io.timeout.millis mã thông báo cho Tin nhắn Bộ xử lý.

Đặt thời lượng thời gian chờ (tính bằng giây) giữa ứng dụng và Bộ định tuyến khi ứng dụng khách đưa ra yêu cầu chứa tiêu đề Duy trì hoạt động. Bộ định tuyến giữ kết nối mở cho đến khi hết thời hạn.

Bộ định tuyến sẽ không đóng kết nối nếu hiện đang chờ phản hồi từ Trình xử lý tin nhắn. Thời gian chờ chỉ bắt đầu sau khi Bộ định tuyến trả về phản hồi cho khách hàng.

Đặt các thuật toán mật mã mà máy chủ ảo hỗ trợ, ghi đè các thuật toán mật mã mặc định được đặt trên Bộ định tuyến.

Chỉ định danh sách thuật toán mật mã phân tách bằng dấu hai chấm, ở dạng:

<Property name="ssl_ciphers">HIGH:!aNULL:!MD5:!DH+3DES:!kEDH;</Property>

Để biết thông tin về cú pháp và các giá trị mà mã thông báo này cho phép, hãy xem https://www.openssl.org/docs/man1.0.2/man1/ciphers.html. Xin lưu ý rằng mã thông báo này sử dụng tên thuật toán mật mã OpenSSL, chẳng hạn như AES128-SHA256, chứ không phải Tên thuật toán mật mã Java/JSSE, chẳng hạn như TLS_RSA_WITH_AES_128_CBC_SHA256.

!MD5:

!DH+3DES:

!kEDH

Chỉ có trên Edge dành cho Đám mây riêng tư.

Đặt giao thức TLS mà máy chủ ảo hỗ trợ dưới dạng danh sách được phân tách bằng dấu cách, ghi đè các giao thức mặc định đã đặt trên Bộ định tuyến.

Lưu ý: Nếu hai máy chủ ảo có chung một cổng, thì chúng phải đặt ssl_protocols với cùng giao thức. Tức là các máy chủ ảo chia sẻ cùng một cổng phải hỗ trợ các giao thức giống hệt nhau.

Chỉ định danh sách giao thức TLS được phân tách bằng dấu cách, ở dạng:

<Property name="ssl_protocols">TLSv1 TLSv1.2</Property>

Bật (bật) hoặc tắt (tắt) việc lưu vào bộ đệm của nội dung yêu cầu. Khi bật bộ đệm, Bộ định tuyến lưu vào bộ đệm toàn bộ nội dung yêu cầu trước khi gửi đến Bộ xử lý thông báo. Nếu đã xảy ra lỗi, Bộ định tuyến có thể thử lại Trình xử lý thông báo khác.

Nếu tắt, việc lưu vào bộ đệm sẽ bị tắt và nội dung yêu cầu sẽ được gửi đến Bộ xử lý thư ngay khi nhận được. Nếu xảy ra lỗi, Bộ định tuyến sẽ không thử lại gửi đến một Trình xử lý tin nhắn khác.