Stai visualizzando la documentazione di Apigee Edge.
Vai alla
documentazione di Apigee X. informazioni
Apigee Edge dispone di diversi punti di ingresso che potresti voler proteggere con TLS. Inoltre, i componenti aggiuntivi Edge, come il portale Developer Services, dispongono di punti di ingresso che possono essere configurati per l'utilizzo di TLS.
La procedura di configurazione TLS dipende dal modo in cui hai eseguito il deployment di Edge: Apigee Edge Cloud o Apigee Edge per il cloud privato.
Deployment basato su cloud
In un deployment di Edge basato su cloud, sei responsabile solo della configurazione dell'accesso TLS per i proxy API e i tuoi endpoint di destinazione.
Per la versione cloud del portale per gli sviluppatori, devi configurare TLS sul server di hosting Pantheon.
Per ulteriori informazioni, consulta la pagina relativa all'utilizzo di TLS in un'installazione Edge basata su cloud.
Deployment nel cloud privato
Per un'installazione Apigee Edge per il cloud privato del portale Servizi per gli sviluppatori, sei responsabile della configurazione di TLS. Ciò significa che non solo devi ottenere il certificato TLS e la chiave privata, ma devi anche configurare Edge per l'utilizzo di TLS.
Per ulteriori informazioni, consulta Utilizzo di TLS in un'installazione di cloud privato.
Versioni di TLS supportate
Le versioni supportate di TLS dipendono dal fatto che utilizzi Edge nel cloud o Edge per il cloud privato:
- Perimetrale nel cloud: supporta solo TLS versione 1.2. Il supporto per le versioni 1.0 e 1.1 di TLS per il cloud è stato ritirato. Per maggiori informazioni, consulta la pagina relativa al ritiro di TLS 1.0 e 1.1.
- Edge per il cloud privato: supporta le versioni TLS 1.0, 1.1 e 1.2.
Dove Edge utilizza TLS
Le immagini seguenti mostrano i punti di un'installazione Edge in cui puoi configurare TLS:
In genere, i clienti di Apigee Edge per il cloud privato configurano tutte le connessioni per l'utilizzo di TLS. Tuttavia, per i clienti Cloud, Apigee gestisce la maggior parte della configurazione TLS per conto tuo e deve configurare TLS solo per le connessioni 3 e 4 mostrate nella figura.
La tabella seguente descrive queste connessioni TLS:
Fonte |
Destinazione |
Descrizione |
|
---|---|---|---|
1 |
Sviluppatore di API |
UI di gestione perimetrale |
L'interfaccia utente di gestione perimetrale è uno strumento basato su browser che gli sviluppatori di API utilizzano per eseguire la maggior parte delle attività necessarie per creare, configurare e gestire proxy API e prodotti API. |
2 |
Sviluppatore di API |
API Edge Management |
Tutti i servizi Edge possono essere configurati tramite l'API Edge Management, un'API basata su REST. Ciò significa che puoi utilizzare queste API per creare, configurare e gestire proxy API e prodotti API, creare e gestire app e sviluppatori di app e per eseguire molti altri tipi di operazioni. |
3 |
Client API (app) |
API |
Le app accedono alle tue API effettuando richieste ai proxy API tramite gli host virtuali sul router Edge. |
4 |
Perimetrale |
Endpoint di destinazione |
Un proxy API funziona come una mappatura di un endpoint disponibile pubblicamente su Edge a un endpoint di destinazione, spesso definito da un endpoint nel servizio di backend. Il processore di messaggi Edge accede al tuo servizio di backend in risposta a una richiesta a un proxy API. |
5 |
Router |
processore di messaggi |
Un router gestisce tutto il traffico API in entrata di Edge, determina il proxy API che gestisce la richiesta, bilancia le richieste tra i processori di messaggi disponibili e invia la richiesta. |
La versione basata su cloud di Edge è in genere configurata in modo che tutte le richieste del client API vengano gestite dal router. I clienti del cloud privato possono utilizzare un bilanciatore del carico prima del router per gestire le richieste. L'immagine seguente mostra uno scenario in cui il client API accede a Edge tramite un bilanciatore del carico, anziché accedere direttamente al router:
In un'installazione di cloud privato, la presenza di un bilanciatore del carico dipende dalla configurazione di rete di Edge.
Quando utilizzi un bilanciatore del carico, puoi configurare TLS tra il client API e il bilanciatore del carico e, se necessario, tra il bilanciatore del carico e il router, come descritto nella tabella seguente:
Fonte |
Destinazione |
Descrizione |
|
---|---|---|---|
6 |
Client API (app) |
Bilanciatore del carico |
Le app accedono alle API effettuando richieste ai proxy API attraverso un bilanciatore del carico. Il bilanciatore del carico inoltra la richiesta a un router perimetrale. Puoi configurare TLS sul punto di ingresso del bilanciatore del carico. Il modo in cui configuri TLS si basa sul bilanciatore del carico. |
7 |
Bilanciatore del carico |
Router |
A seconda della configurazione, puoi configurare l'accesso TLS al router dal bilanciatore del carico. In questo caso, configurerai TLS come se il bilanciatore del carico non fosse presente. Oppure, se il bilanciatore del carico e il router si trovano nello stesso dominio di sicurezza, la configurazione TLS potrebbe non essere necessaria. ma dipende dalla configurazione di rete. |
Dove il portale Servizi per gli sviluppatori utilizza TLS
Nell'immagine seguente vengono mostrate le due posizioni in cui il portale utilizza TLS:
I clienti di Apigee Edge per Private Cloud ed Edge Cloud configurano TLS su entrambe le connessioni. La tabella seguente descrive queste connessioni in modo più dettagliato:
Fonte |
Destinazione |
Descrizione |
|
---|---|---|---|
1 |
Portale |
API Edge Management |
Il portale non funziona come un sistema autonomo. Invece, gran parte delle informazioni utilizzate dal portale vengono effettivamente archiviate su Edge, dove è possibile eseguire il deployment di Edge nel cloud o in Edge per il cloud privato. In questo scenario, il portale agisce da client TLS inviando richieste all'API di gestione perimetrale. In qualità di server TLS, spetta a Edge configurare TLS. |
2 |
Sviluppatori di app |
Portale |
Gli sviluppatori accedono al portale per registrare le app e ricevere le chiavi API. Poiché la connessione richiede che lo sviluppatore passi le credenziali di accesso e affinché il portale invii chiavi dell'app, deve essere configurata per l'utilizzo di TLS. |
Per ulteriori informazioni sulla configurazione di TLS per la versione basata su cloud e di Apigee Edge per la versione Private Cloud del portale, consulta la pagina relativa all'utilizzo di TLS sul portale.