Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về
Apigee X. thông tin
Đại diện người tổ chức ảo
Đối tượng XML mà bạn dùng để xác định máy chủ ảo dựa trên phiên bản Edge: Cloud hoặc Private Cloud.
Nếu là khách hàng sử dụng Đám mây riêng tư, bạn phải đảm bảo sử dụng đúng XML cho phiên bản Edge của mình.
Cloud và đám mây riêng tư 4.17.01 trở lên
<VirtualHost name="vhostName"> <Port>portNumber</Port> <BaseUrl>http://myCo.com</BaseUrl> <OCSPStapling>offOn</OCSPStapling> <HostAliases> <HostAlias>hostAlias</HostAlias> </HostAliases> <Interfaces> <!-- Private Cloud only --> <Interface>interfaceName</Interface> </Interfaces> <RetryOptions> <RetryOption>option</RetryOption> </RetryOptions> <ListenOptions> <ListenOption>option</ListenOption> </ListenOptions> <SSLInfo> <Enabled>trueFalse</Enabled> <ClientAuthEnabled>trueFalse</ClientAuthEnabled> <KeyStore>ref://keystoreRef</KeyStore> <KeyAlias>keyAlias</KeyAlias> <TrustStore>ref://truststoreRef</TrustStore> <IgnoreValidationErrors>trueFalse</IgnoreValidationErrors> </SSLInfo> <!-- UseBuiltInFreeTrialCert is for Edge Cloud only --> <UseBuiltInFreeTrialCert>trueFalse</UseBuiltInFreeTrialCert> <PropagateTLSInformation> <!-- PropagateTLSInformation is Alpha in the Cloud only --> <ConnectionProperties>trueFalse</ConnectionProperties> <ClientProperties>trueFalse</ClientProperties> </PropagateTLSInformation> <Properties> <Property name="proxy_read_timeout">timeout</Property> <Property name="keepalive_timeout">timeout</Property> <Property name="proxy_request_buffering">onOff</Property> <Property name="proxy_buffering">onOff</Property> <!-- ssl_protocols is Private Cloud only --> <Property name="ssl_protocols">protocolList</Property> <Property name="ssl_ciphers">cipherList</Property> </Properties> </VirtualHost>
Đám mây riêng tư 4.16.01 đến 4.16.09
<VirtualHost name="vhostName"> <Port>portNumber</Port> <HostAliases> <HostAlias>hostAlias</HostAlias> </HostAliases> <Interfaces> <Interface>interfaceName</Interface> </Interfaces> <SSLInfo> <Enabled>trueFalse</Enabled> <ClientAuthEnabled>trueFalse</ClientAuthEnabled> <KeyStore>ref://keystoreRef</KeyStore> <KeyAlias>keyAlias</KeyAlias> <TrustStore>ref://truststoreRef</TrustStore> <IgnoreValidationErrors>trueFalse</IgnoreValidationErrors> </SSLInfo> </VirtualHost>
Private Cloud 4.15.07 trở xuống
<VirtualHost name="vhostName"> <Port>portNumber</Port> <HostAliases> <HostAlias>hostAlias</HostAlias> </HostAliases> <Interfaces> <Interface>interfaceName</Interface> </Interfaces> <SSLInfo> <Enabled>trueFalse</Enabled> <ClientAuthEnabled>trueFalse</ClientAuthEnabled> <KeyStore>keystore</KeyStore> <KeyAlias>keyAlias</KeyAlias> <TrustStore>truststore</TrustStore> <IgnoreValidationErrors>trueFalse</IgnoreValidationErrors> <Ciphers> <Cipher>cipher</Cipher> <Cipher>cipher</Cipher> </Ciphers> <Protocols> <Protocol>protocol</Protocol> <Protocol>protocol</Protocol> </Protocols> </SSLInfo> </VirtualHost>
Thuộc tính cấu hình máy chủ ảo
Bảng sau đây liệt kê các thuộc tính mà bạn sử dụng để định cấu hình máy chủ ảo:
Thuộc tính | Nội dung mô tả | Mặc định | Bắt buộc | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
VirtualHost |
Chỉ định tên của máy chủ ảo. Bạn sử dụng tên đó để tham chiếu máy chủ ảo khi định cấu hình proxy API. Ký tự mà bạn có thể sử dụng trong thuộc tính tên chỉ được phép: A-Z0-9._\-$%. |
Không có | Có | ||||||||||||
Cổng |
Chỉ định số cổng mà máy chủ ảo sử dụng. Đảm bảo rằng cổng đang mở trên Bộ định tuyến Edge. Nếu bạn chỉ định một cổng trong phần tử Đối với Đám mây: Bạn phải chỉ định cổng 443 khi tạo máy chủ ảo. Nếu bỏ qua, theo mặc định, cổng sẽ được đặt thành 443. Nếu đã có một máy chủ ảo sử dụng cổng không phải là 443, thì bạn không thể thay đổi cổng đó. Đối với các bản phát hành từ 4.16.01 đến 4.17.05 trên Đám mây riêng tư: Khi tạo máy chủ ảo, bạn cần chỉ định cổng Bộ định tuyến mà máy chủ ảo sử dụng. Ví dụ: cổng 9001. Theo mặc định, Bộ định tuyến chạy dưới dạng người dùng "apigee" không có quyền truy cập vào các cổng đặc quyền, thường là các cổng 1024 trở xuống. Nếu muốn tạo một máy chủ ảo liên kết Bộ định tuyến với một cổng được bảo vệ, thì bạn phải định cấu hình Bộ định tuyến để chạy với tư cách người dùng có quyền truy cập vào các cổng đó. Vui lòng xem bài viết Thiết lập máy chủ ảo để biết thêm thông tin. Đối với các bản phát hành trên Đám mây riêng tư trước phiên bản 4.16.01: Bộ định tuyến chỉ có thể nghe một kết nối HTTPS trên mỗi máy chủ ảo, trên một cổng cụ thể, với chứng chỉ đã chỉ định. Do đó, nhiều máy chủ ảo không thể sử dụng cùng một số cổng nếu quá trình chấm dứt TLS (Bảo mật tầng truyền tải) xảy ra trên Bộ định tuyến tại cổng đã chỉ định. |
Không có | Có | ||||||||||||
BaseUrl | Ghi đè URL mà giao diện người dùng Edge hiển thị cho một proxy API được triển khai cho máy chủ ảo. Hữu ích khi bạn có trình cân bằng tải bên ngoài ở phía trước Bộ định tuyến cạnh. Hãy xem bài viết Định cấu hình quyền truy cập TLS vào một API cho Đám mây riêng tư để biết thêm thông tin.
Giá trị của |
Không có | Không | ||||||||||||
OCSPStapling |
Máy khách OCSP (Giao thức trạng thái chứng chỉ trực tuyến) gửi yêu cầu trạng thái cho trình phản hồi OCSP để xác định xem chứng chỉ TLS có hợp lệ hay không. Phản hồi cho biết liệu chứng chỉ TLS có hợp lệ và không bị thu hồi hay không. Khi được bật, tính năng ghim OCSP sẽ cho phép Edge hoạt động như máy chủ TLS cho TLS một chiều, truy vấn trực tiếp trình phản hồi OCSP rồi lưu phản hồi vào bộ nhớ đệm. Sau đó, Edge sẽ trả về phản hồi này cho ứng dụng TLS (Bảo mật tầng truyền tải) hoặc ghim ghim phản hồi này trong quá trình bắt tay TLS. Hãy xem bài viết Bật tính năng ghim OCSP trên máy chủ của bạn để biết thêm thông tin. Bạn phải bật TLS (Bảo mật tầng truyền tải) để có thể ghim OCSP. Đặt thành |
đang tắt | Không | ||||||||||||
HostAliases | |||||||||||||||
HostAlias |
Tên DNS hiển thị công khai của máy chủ ảo trên Bộ định tuyến, bao gồm cả số cổng (không bắt buộc). Tổ hợp tên đại diện của máy chủ lưu trữ và số cổng của máy chủ ảo phải là duy nhất đối với tất cả máy chủ ảo trong quá trình cài đặt Edge. Điều đó có nghĩa là nhiều máy chủ ảo có thể sử dụng cùng một số cổng nếu chúng có email đại diện khác nhau của máy chủ. Bạn phải tạo một mục DNS và bản ghi CNAME khớp với bí danh của máy chủ lưu trữ, đồng thời bí danh của máy chủ phải khớp với chuỗi mà ứng dụng chuyển trong tiêu đề Số cổng trong Bạn có thể có nhiều định nghĩa Bạn có thể đưa ký tự đại diện "*" vào bí danh của máy chủ. Ký tự đại diện "*" chỉ được đặt ở đầu (đứng trước ".") đầu tiên của bí danh máy chủ và không được kết hợp với các ký tự khác.
Ví dụ: Đối với Đám mây: Nếu đã có một máy chủ ảo sử dụng cổng không phải cổng 443, thì bạn không thể thêm hoặc xoá bí danh của máy chủ. Đối với Đám mây riêng tư: Nếu bạn đặt bí danh của máy chủ bằng cách sử dụng địa chỉ IP của Bộ định tuyến chứ không phải mục nhập DNS, hãy thêm một bí danh của máy chủ riêng cho mỗi Bộ định tuyến, chỉ định địa chỉ IP của mỗi Bộ định tuyến và cổng của máy chủ ảo. |
Không có | Có | ||||||||||||
Giao diện | Chỉ dành cho Edge cho Đám mây riêng tư. | ||||||||||||||
Giao diện |
Chỉ định các giao diện mạng mà bạn muốn liên kết với Ví dụ: để chỉ định chỉ liên kết cổng với en0: <Interfaces> <Interface>en0</Interface> </Interfaces> Xác định các giao diện có trên hệ thống của bạn bằng cách chạy lệnh "ifconfig -a". |
Không có | Tất cả giao diện | ||||||||||||
RetryOptions | Có sẵn cho Edge Cloud và Private Cloud phiên bản 4.18.01 trở lên. | ||||||||||||||
RetryOption |
Định cấu hình cách Bộ định tuyến phản ứng đối với máy chủ ảo này khi Bộ xử lý thư bị gián đoạn. Bạn có thể chỉ định nhiều giá trị bằng cách sử dụng
Nếu bạn chỉ định nhiều giá trị, Bộ định tuyến sẽ sử dụng logic OR để kết hợp các giá trị đó. Ví dụ: <RetryOptions> <RetryOption>http_599</RetryOption> <RetryOption>error</RetryOption> <RetryOption>timeout</RetryOption> <RetryOption>invalid_header</RetryOption> </RetryOptions> |
||||||||||||||
ListenOptions | Có sẵn cho Private Cloud 4.18.01 trở lên và cho Edge Cloud bằng cách gửi yêu cầu đến Apigee Edge Support (Bộ phận hỗ trợ API). | ||||||||||||||
ListenOption |
Nếu bạn sử dụng ELB ở chế độ truyền qua TCP để xử lý các yêu cầu tới Bộ định tuyến cạnh, thì Bộ định tuyến đó sẽ coi địa chỉ IP của ELB là IP ứng dụng khách thay vì IP ứng dụng thực tế. Nếu Bộ định tuyến yêu cầu IP ứng dụng thực sự, hãy bật Giá trị mặc định của Ví dụ: <ListenOptions> <ListenOption>proxy_protocol</ListenOption> </ListenOptions> Nếu sau này bạn muốn huỷ đặt |
||||||||||||||
SSLInfo | |||||||||||||||
Đang bật |
Bật TLS/SSL một chiều. Bạn phải xác định một kho khoá có chứa chứng chỉ và khoá riêng tư. Đối với Cloud: Bạn phải có chứng chỉ do một tổ chức đáng tin cậy, như Symantec hoặc VeriSign ký, Bạn không thể sử dụng chứng chỉ tự ký hoặc chứng chỉ lá do CA tự ký ký. Đối với Cloud: Nếu máy chủ ảo hiện có được định cấu hình để sử dụng cổng không phải là 443, thì bạn không thể thay đổi chế độ cài đặt TLS. Điều đó có nghĩa là bạn không thể thay đổi chế độ cài đặt TLS từ bật thành tắt, hoặc từ tắt thành bật. |
false | Không | ||||||||||||
ClientAuthEnabled | Cho phép TLS hai chiều hoặc máy khách giữa Edge (máy chủ) và ứng dụng (máy khách) thực hiện yêu cầu. Việc bật TLS hai chiều yêu cầu bạn phải thiết lập một kho lưu trữ tin cậy trên Edge chứa chứng chỉ từ ứng dụng TLS. | false | Không | ||||||||||||
KeyStore |
Tên kho khoá trên Edge. Apigee khuyên bạn nên sử dụng một tệp tham chiếu để chỉ định tên kho khoá. Nhờ đó, bạn có thể thay đổi kho khoá mà không cần phải khởi động lại Bộ định tuyến. Hãy xem phần Các tuỳ chọn giúp định cấu hình TLS để biết thêm thông tin. |
Không có | Có nếu trạng thái Đã bật là true | ||||||||||||
KeyAlias | Bí danh được chỉ định khi bạn tải chứng chỉ và khoá riêng tư lên kho khoá. Bạn phải chỉ định tên bí danh theo nghĩa đen; bạn không thể sử dụng tham chiếu. Hãy xem phần Các tuỳ chọn giúp định cấu hình TLS để biết thêm thông tin. | Không có | Có nếu trạng thái Đã bật là true | ||||||||||||
TrustStore |
Tên của Truststore trên Edge chứa chứng chỉ hoặc chuỗi chứng chỉ dùng cho TLS hai chiều. Bắt buộc nếu Apigee khuyên bạn nên sử dụng một tệp tham chiếu để chỉ định tên Truststore, giúp bạn có thể thay đổi Truststore mà không cần khởi động lại Bộ định tuyến. Hãy xem phần Các tuỳ chọn giúp định cấu hình TLS để biết thêm thông tin. |
Không có | Không | ||||||||||||
IgnoreValidationErrors |
Nếu đúng, hãy chỉ định bỏ qua lỗi chứng chỉ TLS. Tuỳ chọn này tương tự như tuỳ chọn "-k" đối với cURL. Tuỳ chọn này hợp lệ khi định cấu hình TLS cho Máy chủ mục tiêu và Điểm cuối mục tiêu, cũng như khi định cấu hình các máy chủ ảo sử dụng TLS 2 chiều. Khi được dùng với một máy chủ mục tiêu/điểm cuối mục tiêu, nếu hệ thống phụ trợ sử dụng DEX và trả về một chứng chỉ có chủ đề Tên phân biệt (DN) không khớp với tên máy chủ, thì không có cách nào để bỏ qua lỗi và kết nối sẽ không thành công. |
false | Không | ||||||||||||
Thuật toán mật mã |
Chỉ dành cho Edge for Private Cloud phiên bản 4.15.07 trở xuống. Chỉ định thuật toán mật mã được máy chủ ảo hỗ trợ. Nếu không có thuật toán mật mã nào được chỉ định, thì mọi thuật toán mật mã có sẵn cho JVM sẽ được cho phép. Để hạn chế thuật toán mật mã, hãy thêm các phần tử sau: <Ciphers> <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Cipher> <Cipher>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Cipher> </Ciphers> |
Tất cả được JVM hỗ trợ | Không | ||||||||||||
Giao thức |
Chỉ dành cho Edge for Private Cloud phiên bản 4.15.07 trở xuống. Chỉ định các giao thức được máy chủ ảo hỗ trợ. Nếu bạn không chỉ định giao thức nào, thì mọi giao thức có sẵn cho JVM sẽ được cho phép. Để hạn chế các giao thức, hãy thêm các phần tử sau: <Protocols> <Protocol>TLSv1</Protocol> <Protocol>TLSv1.2</Protocol> <Protocol>SSLv2Hello</Protocol> </Protocols> |
Tất cả được JVM hỗ trợ | Không | ||||||||||||
UseBuiltInFreeTrialCert | Chỉ dành cho Edge Cloud. | ||||||||||||||
UseBuiltInFreeTrialCert |
Nếu sử dụng Edge có tính phí cho tài khoản Cloud và chưa có chứng chỉ và khoá TLS, bạn có thể tạo một máy chủ ảo sử dụng khoá và chứng chỉ dùng thử miễn phí Apigee. Điều đó có nghĩa là bạn có thể tạo máy chủ ảo mà không cần tạo kho khoá trước. Chứng chỉ dùng thử miễn phí Apigee được xác định cho một miền của Xem bài viết Xác định máy chủ ảo sử dụng khoá và chứng chỉ dùng thử miễn phí Apigee. |
false | Không | ||||||||||||
PropagateTLSInformation | Chỉ có ở phiên bản Alpha cho Edge Cloud. | ||||||||||||||
ConnectionProperties |
Cho phép Edge thu thập thông tin kết nối TLS. Sau đó, thông tin này sẽ xuất hiện dưới dạng các biến luồng trong proxy API. Hãy xem bài viết Truy cập thông tin kết nối TLS qua proxy API để biết thêm thông tin. |
false | Không | ||||||||||||
ClientProperties |
Cho phép thu thập thông tin chi tiết về chứng chỉ ứng dụng do Edge thu thập trong TLS hai chiều. Sau đó, thông tin này sẽ xuất hiện dưới dạng các biến luồng trong proxy API. Hãy xem bài viết Truy cập thông tin kết nối TLS qua proxy API để biết thêm thông tin. |
false | Không | ||||||||||||
Tài sản | Có sẵn cho Edge Cloud và Private Cloud phiên bản 4.17.01 trở lên. | ||||||||||||||
proxy_read_timeout |
Đặt thời lượng hết thời gian chờ (tính bằng giây) giữa Bộ xử lý thông báo và Bộ định tuyến. Bộ định tuyến bỏ kết nối và trả về phản hồi HTTP 504 nếu không nhận được phản hồi từ Bộ xử lý thông báo trước khi hết khoảng thời gian này. Giá trị của proxy_read_timeout phải lớn hơn giá trị thời gian chờ mục tiêu mà Trình xử lý thông báo sử dụng. Điều này đảm bảo rằng Bộ định tuyến không hết thời gian chờ trước khi Bộ xử lý thông báo có thời gian trả về phản hồi. Thời gian chờ mục tiêu mặc định của Trình xử lý thông báo là 55 giây, 55000 mili giây, như được xác định bằng mã thông báo |
57 | Không | ||||||||||||
keepalive_timeout |
Đặt thời lượng hết thời gian chờ (tính bằng giây) giữa ứng dụng và Bộ định tuyến khi ứng dụng đưa ra yêu cầu chứa tiêu đề Keep-Alive. Bộ định tuyến sẽ giữ kết nối luôn mở cho đến khi hết thời lượng. Bộ định tuyến sẽ không đóng kết nối nếu đang đợi Bộ xử lý thông báo phản hồi. Thời gian chờ chỉ bắt đầu sau khi Bộ định tuyến trả về phản hồi cho ứng dụng khách. |
65 | Không | ||||||||||||
ssl_ciphers |
Đặt thuật toán mật mã được máy chủ ảo hỗ trợ, ghi đè mật mã mặc định đã đặt trên Bộ định tuyến. Chỉ định danh sách thuật toán mật mã được phân tách bằng dấu hai chấm, theo mẫu: <Property name="ssl_ciphers">HIGH:!aNULL:!MD5:!DH+3DES:!kEDH;</Property> Để biết thông tin về cú pháp và các giá trị mà mã thông báo này cho phép, hãy xem https://www.openssl.org/docs/man1.0.2/man1/ciphers.html. Xin lưu ý rằng mã thông báo này sử dụng tên mật mã OpenSSL (như AES128-SHA256) chứ không phải tên mật mã Java/JSSE, chẳng hạn như TLS_RSA_WITH_AES_128_CBC_SHA256. |
CAO:!aNULL:
!MD5: !DH+3DES: !KEDH |
Không | ||||||||||||
ssl_protocols |
Chỉ dành cho Edge cho Đám mây riêng tư. Đặt các giao thức TLS được máy chủ ảo hỗ trợ dưới dạng một danh sách được phân tách bằng dấu cách, ghi đè các giao thức mặc định được đặt trên Bộ định tuyến. Lưu ý: Nếu 2 máy chủ ảo dùng chung một cổng, thì các máy chủ đó phải thiết lập Chỉ định danh sách giao thức TLS được phân tách bằng dấu cách, theo mẫu: <Property name="ssl_protocols">TLSv1 TLSv1.2</Property> |
TLSv1 TLS phiên bản 1.1 TLS phiên bản 1.2 | Không | ||||||||||||
proxy_request_buffering |
Bật (bật) hoặc tắt (tắt) tính năng lưu vào bộ đệm của nội dung yêu cầu. Khi bật vào bộ đệm, Bộ định tuyến sẽ lưu toàn bộ nội dung yêu cầu vào bộ đệm trước khi gửi đến Bộ xử lý thông báo. Nếu xảy ra lỗi, Bộ định tuyến có thể thử lại một Trình xử lý thông báo khác. Nếu bạn tắt chế độ này, tính năng lưu vào bộ đệm sẽ bị tắt và nội dung yêu cầu sẽ được gửi đến Bộ xử lý thông báo ngay khi nhận được. Nếu xảy ra lỗi, Bộ định tuyến sẽ không thử gửi lại yêu cầu đến một Trình xử lý thông báo khác. |
bật | Không | ||||||||||||
proxy_buffering | Bật (bật) hoặc tắt (tắt) tính năng lưu vào bộ đệm của phản hồi. Khi bật vào bộ đệm, Bộ định tuyến sẽ lưu phản hồi vào bộ đệm. Khi tắt tính năng lưu vào bộ đệm, phản hồi sẽ được truyền đến ứng dụng một cách đồng bộ ngay khi được Bộ định tuyến nhận. | bật | Không |