Vous consultez la documentation d'Apigee Edge.
Accédez à la documentation sur Apigee X. info
Apigee Edge dispose de plusieurs points d'entrée que vous pouvez sécuriser avec TLS. De plus, les modules complémentaires Edge, tels que le portail des services pour les développeurs, disposent de points d'entrée pouvant être configurés pour utiliser TLS.
La procédure de configuration TLS d'Edge dépend de la manière dont vous avez déployé Edge: Apigee Edge Cloud ou Apigee Edge for Private Cloud.
Déploiement dans le cloud
Dans un déploiement d'Edge dans le cloud, vous n'êtes responsable que de la configuration de l'accès TLS aux proxys d'API et à vos points de terminaison cibles.
Pour la version Cloud du portail Developer Services, vous devez configurer TLS sur le serveur d'hébergement Pantheon.
Pour en savoir plus, consultez Utiliser TLS dans une installation Edge dans le cloud.
Déploiement dans un cloud privé
Pour une installation du portail des services pour les développeurs sur Apigee Edge pour Private Cloud, vous êtes entièrement responsable de la configuration du protocole TLS. Cela signifie que vous devez non seulement obtenir le certificat TLS et la clé privée, mais aussi configurer Edge pour qu'il utilise TLS.
Pour en savoir plus, consultez Utiliser TLS dans une installation de cloud privé.
Versions TLS compatibles
Les versions TLS compatibles dépendent de l'utilisation d'Edge dans le cloud ou d'Edge pour le cloud privé:
- Edge dans le cloud : compatible avec la version 1.2 de TLS uniquement. La prise en charge des versions TLS 1.0 et 1.1 pour le cloud a été abandonnée. Pour en savoir plus, consultez la page Abandon de TLS 1.0 et TLS 1.1.
- Edge pour le cloud privé : compatible avec les versions TLS 1.0, 1.1 et 1.2.
Où Edge utilise-t-il TLS ?
Les images suivantes montrent les emplacements d'une installation Edge où vous pouvez configurer TLS:
Les clients Apigee Edge pour le cloud privé configurent généralement toutes les connexions pour qu'elles utilisent TLS. Toutefois, pour les clients Cloud, Apigee gère la plupart de la configuration TLS à votre place. Vous n'avez donc qu'à configurer TLS pour les connexions 3 et 4 illustrées dans la figure.
Le tableau suivant décrit ces connexions TLS:
|
Source |
Destination |
Description |
|
|---|---|---|---|
|
1 |
Développeur d'API |
Interface utilisateur de gestion Edge |
L'UI de gestion Edge est un outil basé sur un navigateur que les développeurs d'API utilisent pour effectuer la plupart des tâches nécessaires à la création, à la configuration et à la gestion des proxys et des produits d'API. |
|
2 |
API Developer |
API de gestion Edge |
Tous les services Edge peuvent être configurés via l'API de gestion Edge, une API basée sur REST. Cela signifie que vous pouvez utiliser ces API pour créer, configurer et gérer des proxys et des produits d'API, créer et gérer des applications et des développeurs d'applications, et effectuer de nombreux autres types d'opérations. |
|
3 |
Client API (application) |
API |
Les applications accèdent à vos API en envoyant des requêtes aux proxys d'API via des hôtes virtuels sur le routeur Edge. |
|
4 |
Edge |
Point de terminaison cible |
Un proxy d'API fonctionne comme un mappage d'un point de terminaison accessible au public sur Edge à un point de terminaison cible, qui est souvent défini par un point de terminaison sur votre service de backend. Le processeur de messages Edge accède à votre service backend en réponse à une requête adressée à un proxy d'API. |
|
5 |
Routeur |
Processeur de messages |
Un routeur gère tout le trafic API entrant Edge, détermine le proxy d'API qui gère la requête, équilibre les requêtes entre les processeurs de messages disponibles et distribue la requête. |
La version cloud d'Edge est généralement configurée de sorte que toutes les requêtes du client de l'API soient gérées par le routeur. Les clients Private Cloud peuvent utiliser un équilibreur de charge avant le routeur pour gérer les requêtes. L'image suivante montre un scénario dans lequel le client de l'API accède à Edge via un équilibreur de charge, plutôt que d'accéder directement au routeur:
Dans une installation de cloud privé, la présence d'un équilibreur de charge dépend de la configuration réseau de Edge.
Lorsque vous utilisez un équilibreur de charge, vous pouvez configurer TLS entre le client API et l'équilibreur de charge, et si nécessaire, entre l'équilibreur de charge et le routeur, comme décrit dans le tableau suivant:
|
Source |
Destination |
Description |
|
|---|---|---|---|
|
6 |
Client API (application) |
Équilibreur de charge |
Les applications accèdent à vos API en envoyant des requêtes aux proxys d'API via un équilibreur de charge. L'équilibreur de charge transfère la requête à un routeur de bordure. Vous pouvez configurer TLS au niveau du point d'entrée de l'équilibreur de charge. La façon dont vous configurez TLS dépend de l'équilibreur de charge. |
|
7 |
Équilibreur de charge |
Routeur |
Selon votre configuration, vous pouvez configurer l'accès TLS au routeur à partir de l'équilibreur de charge. Dans ce cas, vous configurez TLS comme si l'équilibreur de charge n'était pas présent. Ou, si l'équilibreur de charge et le routeur se trouvent dans le même domaine de sécurité, la configuration TLS peut ne pas être nécessaire. Toutefois, cela dépend de la configuration de votre réseau. |
Lorsque le portail des services pour les développeurs utilise TLS
L'image suivante montre les deux endroits où le portail utilise TLS:
Les clients Apigee Edge pour le cloud privé et Edge Cloud configurent TLS sur les deux connexions. Le tableau suivant décrit ces connexions plus en détail:
|
Source |
Destination |
Description |
|
|---|---|---|---|
|
1 |
Portail |
API de gestion Edge |
Le portail ne fonctionne pas comme un système autonome. Au lieu de cela, la plupart des informations utilisées par le portail sont stockées sur Edge, où Edge peut être déployé dans le cloud ou dans Edge pour le cloud privé. Dans ce scénario, le portail agit en tant que client TLS en envoyant des requêtes à l'API de gestion Edge. En tant que serveur TLS, il revient à Edge de configurer TLS. |
|
2 |
Développeurs d'applications |
Portail |
Les développeurs se connectent au portail pour enregistrer des applications et recevoir des clés API. Étant donné que la connexion nécessite que le développeur transmette des identifiants de connexion et que le portail envoie des clés d'application, elle doit être configurée pour utiliser TLS. |
Pour en savoir plus sur la configuration du protocole TLS pour la version cloud et la version Apigee Edge pour le cloud privé du portail, consultez Utiliser TLS sur le portail.