Sử dụng TLS với Edge

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X.
thông tin

Apigee Edge có một số điểm truy cập mà bạn nên bảo mật bằng TLS. Ngoài ra, các tiện ích bổ sung cho Edge (chẳng hạn như cổng Dịch vụ dành cho nhà phát triển) có các điểm truy cập có thể được định cấu hình để sử dụng TLS.

Quy trình định cấu hình TLS của Edge phụ thuộc vào cách bạn triển khai Edge: Apigee Edge Cloud hay Apigee Edge for Private Cloud.

Triển khai trên đám mây

Khi triển khai Edge trên đám mây, bạn chỉ chịu trách nhiệm định cấu hình quyền truy cập TLS vào các proxy API và điểm cuối mục tiêu của mình.

Đối với phiên bản Đám mây của cổng Dịch vụ cho nhà phát triển, bạn định cấu hình TLS trên máy chủ lưu trữ Pantheon.

Để biết thêm thông tin, hãy xem phần Sử dụng TLS khi cài đặt Edge trên đám mây.

Triển khai đám mây riêng tư

Khi cài đặt Apigee Edge for Private Cloud trên cổng Dịch vụ dành cho nhà phát triển, bạn có toàn quyền chịu trách nhiệm cho việc định cấu hình TLS. Điều đó có nghĩa là bạn không chỉ phải lấy chứng chỉ TLS và khoá riêng tư, mà còn phải định cấu hình Edge để sử dụng TLS.

Để biết thêm thông tin, hãy xem bài viết Sử dụng TLS trong bản cài đặt Đám mây riêng tư.

Các phiên bản TLS được hỗ trợ

Các phiên bản TLS được hỗ trợ tuỳ thuộc vào việc bạn sử dụng Edge trong Đám mây hay Edge cho Đám mây riêng tư:

  • Edge in the Cloud (Cạnh trong đám mây): Chỉ hỗ trợ TLS phiên bản 1.2. Chúng tôi đã ngừng hỗ trợ TLS phiên bản 1.0 và 1.1 trên đám mây. Để biết thêm thông tin, hãy xem phần Ngừng sử dụng TLS 1.0 và 1.1.
  • Edge for the Private Cloud: Hỗ trợ TLS phiên bản 1.0, 1.1 và 1.2.

Trường hợp Edge sử dụng TLS

Những hình ảnh sau đây cho thấy những vị trí trong một bản cài đặt Edge mà bạn có thể định cấu hình TLS:

Vị trí trong một bản cài đặt Edge nơi bạn có thể định cấu hình TLS (Bảo mật tầng truyền tải)

Những khách hàng sử dụng Apigee Edge dành cho đám mây riêng tư thường định cấu hình tất cả các kết nối để sử dụng TLS. Tuy nhiên, đối với khách hàng của Google Cloud, Apigee xử lý hầu hết cấu hình TLS cho bạn và chỉ phải định cấu hình TLS cho các kết nối 3 và 4 như trong hình.

Bảng sau đây mô tả các kết nối TLS này:

Nguồn

Đích đến

Mô tả

1

Nhà phát triển API

Giao diện người dùng quản lý cạnh

Giao diện người dùng quản lý Edge là một công cụ dựa trên trình duyệt mà nhà phát triển API sử dụng để thực hiện hầu hết các thao tác cần thiết để tạo, định cấu hình và quản lý các proxy API cũng như các sản phẩm API.

2

Nhà phát triển API

API Quản lý cạnh

Bạn có thể định cấu hình tất cả các dịch vụ Edge thông qua API Quản lý Edge (một API dựa trên REST). Điều đó có nghĩa là bạn có thể sử dụng các API này để tạo, định cấu hình và quản lý proxy API cũng như các sản phẩm API, tạo và quản lý ứng dụng và nhà phát triển ứng dụng, cũng như để thực hiện nhiều loại thao tác khác.

3

Ứng dụng API (ứng dụng)

API

Các ứng dụng truy cập API của bạn bằng cách gửi yêu cầu đến các proxy API thông qua các máy chủ ảo trên Bộ định tuyến Edge.

4

Edge

Điểm cuối mục tiêu

Proxy API có chức năng liên kết một điểm cuối có sẵn công khai trên Edge với một điểm cuối mục tiêu thường được một điểm cuối trên dịch vụ phụ trợ của bạn xác định. Trình xử lý thông báo cạnh truy cập vào dịch vụ phụ trợ của bạn để phản hồi yêu cầu gửi tới proxy API.

5

Bộ định tuyến

Bộ xử lý thư

Bộ định tuyến xử lý tất cả lưu lượng truy cập API đến của Edge, xác định proxy API xử lý yêu cầu, cân bằng yêu cầu giữa các Bộ xử lý thông báo hiện có và gửi yêu cầu.

Phiên bản Edge trên đám mây thường được định cấu hình để tất cả yêu cầu từ ứng dụng API đều do Bộ định tuyến xử lý. Khách hàng của Private Cloud có thể sử dụng trình cân bằng tải trước Bộ định tuyến để xử lý yêu cầu. Hình ảnh sau đây cho thấy một tình huống trong đó ứng dụng API truy cập Edge thông qua một trình cân bằng tải, thay vì truy cập trực tiếp vào Bộ định tuyến:

Ứng dụng API gửi yêu cầu thông qua trình cân bằng tải.

Trong một bản cài đặt Đám mây riêng tư, sự hiện diện của trình cân bằng tải phụ thuộc vào cấu hình mạng của Edge.

Khi sử dụng trình cân bằng tải, bạn có thể định cấu hình TLS giữa ứng dụng API và trình cân bằng tải, cũng như giữa trình cân bằng tải và Bộ định tuyến (nếu cần) như mô tả trong bảng sau:

Nguồn

Đích đến

Mô tả

6

Ứng dụng API (ứng dụng)

Trình cân bằng tải

Các ứng dụng truy cập API của bạn bằng cách gửi yêu cầu đến proxy API thông qua trình cân bằng tải. Trình cân bằng tải sẽ chuyển tiếp yêu cầu đến một Bộ định tuyến Edge.

Bạn có thể định cấu hình TLS tại điểm truy cập của trình cân bằng tải. Cách bạn định cấu hình TLS dựa trên trình cân bằng tải.

7

Trình cân bằng tải

Bộ định tuyến

Tuỳ thuộc vào cấu hình, bạn có thể định cấu hình quyền truy cập TLS vào Bộ định tuyến bằng trình cân bằng tải. Trong trường hợp đó, bạn định cấu hình TLS như thể không có trình cân bằng tải.

Hoặc nếu trình cân bằng tải và Bộ định tuyến thuộc cùng một miền bảo mật thì có thể không cần cấu hình TLS. Tuy nhiên, điều đó còn phụ thuộc vào cấu hình mạng của bạn.

Trường hợp cổng Dịch vụ dành cho nhà phát triển sử dụng TLS

Hình ảnh sau đây cho thấy hai nơi cổng thông tin sử dụng TLS:

Cổng thông tin sử dụng TLS để xử lý các yêu cầu của nhà phát triển ứng dụng và gửi yêu cầu đến Edge

Những khách hàng sử dụng Apigee Edge dành cho đám mây riêng tư và Edge Cloud sẽ định cấu hình TLS trên cả hai kết nối. Bảng sau đây mô tả chi tiết hơn về các mối kết nối này:

Nguồn

Đích đến

Mô tả

1

Cánh cổng

API Quản lý cạnh

Cổng thông tin không hoạt động như một hệ thống độc lập. Thay vào đó, phần lớn thông tin mà cổng sử dụng thực sự được lưu trữ trên Edge, tại đó Edge có thể được triển khai trên Đám mây hoặc Edge cho Đám mây riêng tư.

Trong trường hợp này, cổng đóng vai trò là ứng dụng TLS (Bảo mật tầng truyền tải) bằng cách gửi yêu cầu đến API Quản lý Edge. Vì máy chủ TLS (Bảo mật tầng truyền tải) có quyền định cấu hình TLS (Bảo mật tầng truyền tải).

2

Nhà phát triển ứng dụng

Cánh cổng

Nhà phát triển đăng nhập vào cổng thông tin để đăng ký ứng dụng và nhận khoá API. Vì kết nối yêu cầu nhà phát triển truyền thông tin đăng nhập và để cổng gửi khoá ứng dụng gửi, nên cổng này phải được định cấu hình để sử dụng TLS.

Để biết thêm thông tin về cách định cấu hình TLS cho phiên bản trên đám mây và phiên bản Apigee Edge dành cho đám mây riêng tư của cổng thông tin, hãy xem phần Sử dụng TLS trên cổng thông tin.