此页面由 Cloud Translation API 翻译。

将 TLS 与 Edge 搭配使用

您正在查看 Apigee Edge 文档。
前往 Apigee X 文档。信息

Apigee Edge 有多个入口点，您可能需要使用 TLS 对其进行保护。此外，Edge 插件（例如开发者服务门户）的入口点可以配置为使用 TLS。

Edge TLS 配置过程取决于您部署 Edge 的方式：Apigee Edge Cloud 或 Apigee Edge for Private Cloud。

基于云端的部署

在基于云的 Edge 部署中，您只负责配置对 API 代理和目标端点的 TLS 访问权限。

对于 Cloud 版开发者服务门户，您需要在 Pantheon 托管服务器上配置 TLS。

如需了解详情，请参阅在基于云的 Edge 安装中使用 TLS。

私有云部署

对于开发者服务门户的 Apigee Edge for Private Cloud 安装，您完全负责配置 TLS。这意味着，您不仅需要获取 TLS 证书和私钥，还必须配置 Edge 以使用 TLS。

如需了解详情，请参阅在私有云安装中使用 TLS。

支持的 TLS 版本

支持的 TLS 版本取决于您使用的是 Edge in the Cloud 还是 Edge for Private Cloud：

云端边缘：仅支持 TLS 1.2 版。我们已停用对 Cloud 的 TLS 1.0 和 1.1 版本的支持。如需了解详情，请参阅 TLS 1.0 和 1.1 的弃用。
Edge for Private Cloud：支持 TLS 1.0、1.1 和 1.2 版。

Edge 使用 TLS 的情况

以下图片显示了 Edge 安装中的可配置 TLS 的位置：

Edge 安装中的可配置 TLS 的位置

Apigee Edge for Private Cloud 客户通常会将所有连接配置为使用 TLS。不过，对于 Cloud 客户，Apigee 会为您处理大部分 TLS 配置，您只需为图中所示的连接 3 和 4 配置 TLS 即可。

下表介绍了这些 TLS 连接：

	来源	目的地	说明
1	API 开发者	Edge 管理界面	Edge 管理界面是一款基于浏览器的工具，API 开发者可使用该工具执行创建、配置和管理 API 代理和 API 产品所需的大多数任务。
2	API 开发者	Edge Management API	所有边缘服务都可以通过 Edge 管理 API（一种基于 REST 的 API）进行配置。也就是说，您可以使用这些 API 创建、配置和管理 API 代理和 API 产品、创建和管理应用和应用开发者，以及执行许多其他类型的操作。
3	API 客户端（应用）	API	应用通过 Edge Router 上的虚拟主机向 API 代理发出请求，以访问您的 API。
4	Edge	目标端点	API 代理充当 Edge 上公开可用端点到目标端点的映射，目标端点通常由后端服务上的端点定义。Edge 消息处理器会在响应对 API 代理的请求时访问您的后端服务。
5	路由器	消息处理器	路由器会处理所有 Edge 传入的 API 流量，确定处理请求的 API 代理，在可用的消息处理器之间均衡请求，并调度请求。

基于云的 Edge 版本通常配置为由路由器处理来自 API 客户端的所有请求。私有云客户可以在路由器之前使用负载平衡器来处理请求。下图显示了 API 客户端通过负载平衡器（而不是直接访问路由器）访问 Edge 的情况：

通过负载平衡器发出请求的 API 客户端。

在私有云安装中，负载平衡器的存在取决于 Edge 的网络配置。

使用负载平衡器时，您可以在 API 客户端和负载平衡器之间配置 TLS，并在必要时在负载平衡器和路由器之间配置 TLS，如下表所述：

	来源	目的地	说明
6	API 客户端（应用）	负载均衡器	应用通过负载平衡器向 API 代理发出请求，以访问您的 API。负载平衡器将请求转发到边缘路由器。您可以在负载平衡器的入口点配置 TLS。您配置 TLS 的方式取决于负载平衡器。
7	负载均衡器	路由器	根据您的配置，您可以从负载平衡器配置对路由器的 TLS 访问权限。在这种情况下，您配置 TLS 的方式就像没有负载平衡器一样。或者，如果负载平衡器和路由器位于同一安全网域中，则可能不需要进行 TLS 配置。不过，这取决于您的网络配置。

来源

目的地

说明

API 客户端（应用）

负载均衡器

应用通过负载平衡器向 API 代理发出请求，以访问您的 API。负载平衡器将请求转发到边缘路由器。

您可以在负载平衡器的入口点配置 TLS。您配置 TLS 的方式取决于负载平衡器。

负载均衡器

路由器

根据您的配置，您可以从负载平衡器配置对路由器的 TLS 访问权限。在这种情况下，您配置 TLS 的方式就像没有负载平衡器一样。

或者，如果负载平衡器和路由器位于同一安全网域中，则可能不需要进行 TLS 配置。不过，这取决于您的网络配置。

开发者服务门户使用 TLS 的情况

下图显示了门户使用 TLS 的两个位置：

该门户使用 TLS 处理来自应用开发者的请求，并向 Edge 发出请求

Apigee Edge for Private Cloud 和 Edge Cloud 客户需要在两个连接上配置 TLS。下表更详细地介绍了这些连接：

	来源	目的地	说明
1	传送门	Edge Management API	该门户无法作为独立系统运行。相反，该门户使用的大部分信息实际上存储在 Edge 上，Edge 可部署在 Cloud 或 Edge for Private Cloud 中。在这种情况下，门户会向 Edge 管理 API 发出请求，从而充当 TLS 客户端。作为 TLS 服务器，Edge 负责配置 TLS。
2	应用开发者	传送门	开发者可以登录该门户来注册应用并接收 API 密钥。由于该连接要求开发者传递登录凭据，并且门户需要发送应用密钥，因此应将其配置为使用 TLS。

来源

目的地

说明

传送门

Edge Management API

该门户无法作为独立系统运行。相反，该门户使用的大部分信息实际上存储在 Edge 上，Edge 可部署在 Cloud 或 Edge for Private Cloud 中。

在这种情况下，门户会向 Edge 管理 API 发出请求，从而充当 TLS 客户端。作为 TLS 服务器，Edge 负责配置 TLS。

应用开发者

传送门

开发者可以登录该门户来注册应用并接收 API 密钥。由于该连接要求开发者传递登录凭据，并且门户需要发送应用密钥，因此应将其配置为使用 TLS。

如需详细了解如何为门户的云端版本和 Apigee Edge for Private Cloud 版本配置 TLS，请参阅在门户上使用 TLS。