Esta página foi traduzida pela API Cloud Translation.

Como usar o TLS com o Edge

Você está visualizando a documentação do Apigee Edge.
Acesse a documentação da Apigee X. info

O Apigee Edge tem vários pontos de entrada que podem ser protegidos com TLS. Além disso, os complementos do Edge, como o portal de serviços para desenvolvedores, têm pontos de entrada que podem ser configurados para usar o TLS.

O procedimento de configuração do TLS do Edge depende de como você implantou o Edge: Apigee Edge Cloud ou Apigee Edge para nuvem privada.

Implantação baseada na nuvem

Em uma implantação do Edge baseada no Cloud, você só é responsável por configurar o acesso TLS a proxies de API e os endpoints de destino.

Para a versão do Cloud do portal de serviços para desenvolvedores, configure o TLS no servidor de hospedagem do Pantheon.

Para mais informações, consulte Como usar o TLS em uma instalação de borda baseada na nuvem.

Implantação de nuvem privada

Para uma instalação do Apigee Edge para nuvem privada do portal de serviços para desenvolvedores, você é totalmente responsável por configurar o TLS. Isso significa que você não precisa apenas receber o certificado e a chave privada do TLS, mas também precisa configurar o Edge para usar o TLS.

Para mais informações, consulte Como usar o TLS em uma instalação de nuvem privada.

Versões do TLS com suporte

As versões de TLS com suporte dependem se você está usando o Edge na nuvem ou o Edge para nuvem privada:

Edge na nuvem: oferece suporte apenas à versão 1.2 do TLS. A compatibilidade com as versões 1.0 e 1.1 do TLS para a Cloud foi descontinuada. Para mais informações, consulte Descontinuação do TLS 1.0 e 1.1.
Edge para nuvem privada: oferece suporte às versões 1.0, 1.1 e 1.2 do TLS.

Onde o Edge usa TLS

As imagens a seguir mostram os lugares em uma instalação do Edge em que você pode configurar o TLS:

Lugares em uma instalação de borda em que você pode configurar o TLS

Os clientes do Apigee Edge para nuvem privada geralmente configuram todas as conexões para usar TLS. No entanto, para clientes do Cloud, a Apigee processa a maior parte da configuração de TLS e só precisa configurar o TLS para as conexões 3 e 4 mostradas na figura.

A tabela a seguir descreve essas conexões TLS:

	Origem	Destino	Descrição
1	Desenvolvedor de API	Interface de gerenciamento do Edge	A interface de gerenciamento do Edge é uma ferramenta baseada em navegador que os desenvolvedores de API usam para realizar a maioria das tarefas necessárias para criar, configurar e gerenciar proxies e produtos de API.
2	API Developer	API Edge Management	Todos os serviços do Edge podem ser configurados pela API de gerenciamento do Edge, uma API baseada em REST. Isso significa que você pode usar essas APIs para criar, configurar e gerenciar proxies e produtos de API, criar e gerenciar apps e desenvolvedores de apps e realizar muitos outros tipos de operações.
3	Cliente da API (app)	API	Os apps acessam suas APIs fazendo solicitações para proxies de API por hosts virtuais no roteador de borda.
4	Edge	Endpoint de destino	Um proxy de API funciona como um mapeamento de um endpoint disponível publicamente no Edge para um endpoint de destino, que geralmente é definido por um endpoint no seu serviço de back-end. O processador de mensagens do Edge acessa seu serviço de back-end em resposta a uma solicitação para um proxy de API.
5	Roteador	processador de mensagens	Um roteador processa todo o tráfego de API de entrada do Edge, determina o proxy da API que processa a solicitação, equilibra as solicitações entre os processadores de mensagens disponíveis e as envia.

A versão baseada na nuvem do Edge geralmente é configurada para que todas as solicitações do cliente da API sejam processadas pelo roteador. Os clientes da Private Cloud podem usar um balanceador de carga antes do roteador para processar as solicitações. A imagem a seguir mostra um cenário em que o cliente da API acessa o Edge por um balanceador de carga, em vez de acessar o roteador diretamente:

Cliente de API fazendo solicitações por um balanceador de carga.

Em uma instalação de nuvem privada, a presença de um balanceador de carga depende da configuração de rede do Edge.

Ao usar um balanceador de carga, é possível configurar o TLS entre o cliente da API e o balanceador de carga e, se necessário, entre o balanceador de carga e o roteador, conforme descrito na tabela a seguir:

	Origem	Destino	Descrição
6	Cliente da API (app)	Balanceador de carga	Os apps acessam suas APIs fazendo solicitações a proxies de API por um balanceador de carga. O balanceador de carga encaminha a solicitação para um roteador Edge. É possível configurar o TLS no ponto de entrada do balanceador de carga. A maneira de configurar o TLS é baseada no balanceador de carga.
7	Balanceador de carga	Roteador	Dependendo da configuração, é possível configurar o acesso TLS ao roteador pelo balanceador de carga. Nesse caso, você configura o TLS como se o balanceador de carga não estivesse presente. Ou, se o balanceador de carga e o roteador estiverem no mesmo domínio de segurança, a configuração do TLS pode não ser necessária. No entanto, isso depende da configuração da sua rede.

Origem

Destino

Descrição

Cliente da API (app)

Balanceador de carga

Os apps acessam suas APIs fazendo solicitações a proxies de API por um balanceador de carga. O balanceador de carga encaminha a solicitação para um roteador Edge.

É possível configurar o TLS no ponto de entrada do balanceador de carga. A maneira de configurar o TLS é baseada no balanceador de carga.

Balanceador de carga

Roteador

Dependendo da configuração, é possível configurar o acesso TLS ao roteador pelo balanceador de carga. Nesse caso, você configura o TLS como se o balanceador de carga não estivesse presente.

Ou, se o balanceador de carga e o roteador estiverem no mesmo domínio de segurança, a configuração do TLS pode não ser necessária. No entanto, isso depende da configuração da sua rede.

Onde o portal de serviços para desenvolvedores usa o TLS

A imagem a seguir mostra os dois lugares em que o portal usa o TLS:

O portal usa o TLS para processar solicitações do desenvolvedor do app e fazer solicitações ao Edge

Os clientes do Apigee Edge para nuvem privada e Edge Cloud configuram o TLS nas duas conexões. A tabela a seguir descreve essas conexões em mais detalhes:

	Origem	Destino	Descrição
1	Portal	API Edge Management	O portal não funciona como um sistema independente. Em vez disso, muitas das informações usadas pelo portal são armazenadas no Edge, que pode ser implantado na nuvem ou no Edge para nuvem privada. O portal atua como o cliente TLS nesse cenário, fazendo solicitações para a API de gerenciamento do Edge. Como servidor TLS, cabe ao Edge configurar o TLS.
2	Desenvolvedores de apps	Portal	Os desenvolvedores fazem login no portal para registrar apps e receber chaves de API. Como a conexão exige que o desenvolvedor transmita as credenciais de login e que o portal envie chaves de app, ela precisa ser configurada para usar o TLS.

Origem

Destino

Descrição

Portal

API Edge Management

O portal não funciona como um sistema independente. Em vez disso, muitas das informações usadas pelo portal são armazenadas no Edge, que pode ser implantado na nuvem ou no Edge para nuvem privada.

O portal atua como o cliente TLS nesse cenário, fazendo solicitações para a API de gerenciamento do Edge. Como servidor TLS, cabe ao Edge configurar o TLS.

Desenvolvedores de apps

Portal

Os desenvolvedores fazem login no portal para registrar apps e receber chaves de API. Como a conexão exige que o desenvolvedor transmita as credenciais de login e que o portal envie chaves de app, ela precisa ser configurada para usar o TLS.

Para mais informações sobre como configurar o TLS para a versão baseada na nuvem e a versão do Apigee Edge para nuvem privada do portal, consulte Como usar o TLS no portal.