TLS mit Edge verwenden

Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation
weitere Informationen

Apigee Edge hat mehrere Einstiegspunkte, die Sie mit TLS sichern möchten. Darüber hinaus haben Edge-Add-ons wie das Developer Services-Portal Einstiegspunkte, die für die Verwendung von TLS konfiguriert werden können.

Das Edge-TLS-Konfigurationsverfahren hängt davon ab, wie Sie Edge bereitgestellt haben: Apigee Edge Cloud oder Apigee Edge for Private Cloud.

Cloudbasierte Bereitstellung

In einer cloudbasierten Bereitstellung von Edge sind Sie nur für die Konfiguration des TLS-Zugriffs auf API-Proxys und Ihre Zielendpunkte verantwortlich.

Für die Cloud-Version des Entwicklerdienstes konfigurieren Sie TLS auf dem Pantheon-Hostserver.

Weitere Informationen finden Sie unter TLS in einer cloudbasierten Edge-Installation verwenden.

Private Cloud-Bereitstellung

Bei einer Installation von Apigee Edge für die Private Cloud des Developer Services-Portals sind Sie für die Konfiguration von TLS vollständig verantwortlich. Das bedeutet, dass Sie nicht nur das TLS-Zertifikat und den privaten Schlüssel abrufen, sondern auch Edge für die Verwendung von TLS konfigurieren müssen.

Weitere Informationen finden Sie unter TLS in einer Private Cloud-Installation verwenden.

Unterstützte Versionen von TLS

Die unterstützten Versionen von TLS hängen davon ab, ob Sie Edge in der Cloud oder Edge für die Private Cloud verwenden:

  • Edge in der Cloud: Unterstützt nur die TLS-Version 1.2. Die Unterstützung für die TLS-Versionen 1.0 und 1.1 für die Cloud wurde eingestellt. Weitere Informationen finden Sie unter Einstellung von TLS 1.0 und 1.1.
  • Edge für die Private Cloud: Unterstützt die TLS-Versionen 1.0, 1.1 und 1.2.

Wo Edge TLS verwendet

In den folgenden Bildern sind die Stellen in einer Edge-Installation dargestellt, an denen Sie TLS konfigurieren können:

Orte in einer Edge-Installation, an denen Sie TLS konfigurieren können

Kunden von Apigee Edge für Private Cloud konfigurieren in der Regel alle Verbindungen für die Verwendung von TLS. Für Cloud-Kunden übernimmt Apigee jedoch den Großteil der TLS-Konfiguration für Sie und muss TLS nur für die in der Abbildung dargestellten Verbindungen 3 und 4 konfigurieren.

In der folgenden Tabelle werden diese TLS-Verbindungen beschrieben:

Quelle

Ziel

Beschreibung

1

API-Entwickler

Edge-Management-UI

Die Edge-Verwaltungs-UI ist ein browserbasiertes Tool, mit dem API-Entwickler die meisten Aufgaben ausführen, die zum Erstellen, Konfigurieren und Verwalten von API-Proxys und API-Produkten erforderlich sind.

2

API Developer

Edge-Management-API

Alle Edge-Dienste können über die Edge-Verwaltungs-API, eine REST-basierte API, konfiguriert werden. Das bedeutet, dass Sie diese APIs verwenden können, um API-Proxys und API-Produkte zu erstellen, zu konfigurieren und zu verwalten, Anwendungen und Anwendungsentwickler zu erstellen und zu verwalten und viele andere Arten von Vorgängen auszuführen.

3

API-Client (App)

API

Anwendungen greifen auf Ihre APIs zu, indem sie Anfragen an API-Proxys über virtuelle Hosts auf dem Edge Router stellen.

4

Edge

Zielendpunkt

Ein API-Proxy fungiert als Zuordnung eines öffentlich verfügbaren Endpunkts in Edge zu einem Zielendpunkt, der häufig von einem Endpunkt in Ihrem Back-End-Dienst definiert wird. Der Edge Message Processor greift als Antwort auf eine Anfrage an einen API-Proxy auf Ihren Back-End-Dienst zu.

5

Router

Message Processor

Ein Router verarbeitet den gesamten eingehenden API-Traffic von Edge, bestimmt den API-Proxy, der die Anfrage verarbeitet, verteilt Anfragen auf die verfügbaren Message Processor und sendet die Anfrage.

Die cloudbasierte Version von Edge ist in der Regel so konfiguriert, dass alle Anfragen vom API-Client vom Router verarbeitet werden. Private Cloud-Kunden können einen Load-Balancer vor dem Router zur Verarbeitung von Anfragen verwenden. Das folgende Bild zeigt ein Szenario, bei dem der API-Client über einen Load-Balancer auf Edge zugreift, anstatt direkt auf den Router zuzugreifen:

API-Client, der Anfragen über einen Load-Balancer sendet.

In einer Private Cloud-Installation hängt das Vorhandensein eines Load-Balancers von Ihrer Netzwerkkonfiguration von Edge ab.

Wenn Sie einen Load-Balancer verwenden, können Sie TLS zwischen dem API-Client und dem Load-Balancer sowie bei Bedarf zwischen dem Load-Balancer und dem Router konfigurieren, wie in der folgenden Tabelle beschrieben:

Quelle

Ziel

Beschreibung

6

API-Client (App)

Load-Balancer

Anwendungen greifen auf Ihre APIs zu, indem sie Anfragen an API-Proxys über einen Load-Balancer stellen. Der Load-Balancer leitet die Anfrage an einen Edge Router weiter.

Sie können TLS am Einstiegspunkt des Load-Balancers konfigurieren. Die Art und Weise, wie Sie TLS konfigurieren, hängt vom Load-Balancer ab.

7

Load-Balancer

Router

Je nach Konfiguration können Sie den TLS-Zugriff auf den Router vom Load-Balancer aus konfigurieren. Konfigurieren Sie in diesem Fall TLS so, als wäre der Load-Balancer nicht vorhanden.

Wenn sich der Load-Balancer und der Router in derselben Sicherheitsdomain befinden, ist möglicherweise keine TLS-Konfiguration erforderlich. Dies hängt jedoch von Ihrer Netzwerkkonfiguration ab.

Wo das Portal für Entwicklerdienste TLS verwendet

In der folgenden Abbildung sind die beiden Orte zu sehen, an denen das Portal TLS verwendet:

Das Portal verwendet TLS, um Anfragen vom App-Entwickler zu verarbeiten und Anfragen an Edge zu senden

Kunden von Apigee Edge for Private Cloud und Edge Cloud konfigurieren TLS für beide Verbindungen. In der folgenden Tabelle werden diese Verbindungen ausführlicher beschrieben:

Quelle

Ziel

Beschreibung

1

Portal

Edge-Management-API

Das Portal funktioniert nicht als eigenständiges System. Stattdessen werden viele der vom Portal verwendeten Informationen tatsächlich in Edge gespeichert, wobei Edge entweder in der Cloud oder in Edge für Private Cloud bereitgestellt werden kann.

Das Portal fungiert in diesem Szenario als TLS-Client, indem es Anfragen an die Edge Management API sendet. Als TLS-Server liegt es an Edge, TLS zu konfigurieren.

2

App-Entwickler*innen

Portal

Entwickler melden sich im Portal an, um Apps zu registrieren und API-Schlüssel zu erhalten. Da der Entwickler für die Verbindung Anmeldedaten weitergeben muss und das Portal Anwendungsschlüssel senden kann, sollte die Verwendung von TLS konfiguriert werden.

Weitere Informationen zum Konfigurieren von TLS für die cloudbasierte Version und die Apigee Edge für Private Cloud-Version des Portals finden Sie unter TLS im Portal verwenden.