Usa TLS con Edge

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X.
Información

Apigee Edge tiene varios puntos de entrada que quizás desees proteger con TLS. Además, los complementos de Edge, como el portal de servicios para desarrolladores, tienen puntos de entrada que se pueden configurar a fin de usar TLS.

El procedimiento de configuración de TLS de Edge depende de cómo implementaste Edge: Apigee Edge Cloud o Apigee Edge for Private Cloud.

Implementación basada en la nube

En una implementación de Edge basada en la nube, solo eres responsable de configurar el acceso TLS a los proxies de API y a los extremos de destino.

Para la versión de Cloud del portal de servicios para desarrolladores, configura TLS en el servidor de hosting de Pantheon.

Para obtener más información, consulta Usa TLS en una instalación perimetral basada en la nube.

Implementación de nube privada

En una instalación de Apigee Edge para nube privada del portal de servicios para desarrolladores, eres completamente responsable de configurar TLS. Esto significa que no solo debes obtener el certificado TLS y la clave privada, sino que también debes configurar Edge para usar TLS.

Para obtener más información, consulta Usa TLS en una instalación de nube privada.

Versiones compatibles de TLS

Las versiones compatibles de TLS dependen de si usas Edge en la nube o Edge para la nube privada:

  • Edge en la nube: Solo es compatible con la versión 1.2 de TLS. Se retiró la compatibilidad con las versiones 1.0 y 1.1 de TLS para Cloud. Para obtener más información, consulta Retiro de TLS 1.0 y 1.1.
  • Edge para la nube privada: Es compatible con las versiones 1.0, 1.1 y 1.2 de TLS.

Dónde usa TLS

En las siguientes imágenes, se muestran los lugares de una instalación de Edge en los que puedes configurar TLS:

Lugares en una instalación de Edge en los que puedes configurar TLS

Por lo general, los clientes de Apigee Edge para nube privada configuran todas las conexiones para usar TLS. Sin embargo, para los clientes de Cloud, Apigee controla la mayor parte de la configuración de TLS por ti y solo tiene que configurar TLS para las conexiones 3 y 4 que se muestran en la figura.

En la siguiente tabla, se describen estas conexiones TLS:

Origen

Destino

Descripción

1

Desarrollador de API

IU de administración perimetral

La IU de administración perimetral es una herramienta basada en el navegador que los desarrolladores de API usan para realizar la mayoría de las tareas necesarias para crear, configurar y administrar proxies y productos de API.

2

API Developer

API de Edge Management

Todos los servicios perimetrales se pueden configurar mediante la API de Edge Management, una API basada en REST. Esto significa que puedes usar estas APIs para crear, configurar y administrar proxies y productos de API, crear y administrar apps y desarrolladores de apps, y realizar muchos otros tipos de operaciones.

3

Cliente de la API (app)

API

Las apps acceden a tus APIs mediante solicitudes a los proxies de API a través de hosts virtuales en el router perimetral.

4

Conexión de integración

Extremo de destino

Un proxy de API funciona como una asignación de un extremo disponible públicamente en Edge a un extremo de destino, que, a menudo, se define mediante un extremo en el servicio de backend. Edge Message Processor accede a tu servicio de backend en respuesta a una solicitud a un proxy de API.

5

Router

Procesador de mensajes

Un router controla todo el tráfico de API entrante de Edge, determina el proxy de API que controla la solicitud, balancea las solicitudes entre los procesadores de mensajes disponibles y despacha la solicitud.

Por lo general, la versión de Edge basada en la nube se configura para que el router controle todas las solicitudes del cliente de la API. Los clientes de la nube privada pueden usar un balanceador de cargas antes que el router para manejar las solicitudes. En la siguiente imagen, se muestra una situación en la que el cliente de la API accede a Edge a través de un balanceador de cargas, en lugar de acceder directamente al router:

El cliente de la API realiza solicitudes a través de un balanceador de cargas.

En una instalación de nube privada, la presencia de un balanceador de cargas depende de la configuración de red de Edge.

Cuando usas un balanceador de cargas, puedes configurar TLS entre el cliente de la API y el balanceador de cargas y, si es necesario, entre el balanceador de cargas y el router, como se describe en la siguiente tabla:

Origen

Destino

Descripción

6

Cliente de la API (app)

Balanceador de cargas

Las apps acceden a tus APIs mediante solicitudes a los proxies de API a través de un balanceador de cargas. El balanceador de cargas reenvía la solicitud a un router perimetral.

Puedes configurar TLS en el punto de entrada del balanceador de cargas. La forma en que configuras TLS se basa en el balanceador de cargas.

7

Balanceador de cargas

Router

Según la configuración, puedes configurar el acceso TLS al router desde el balanceador de cargas. En ese caso, debes configurar TLS como si el balanceador de cargas no estuviera presente.

O, si el balanceador de cargas y el router están en el mismo dominio de seguridad, es posible que la configuración de TLS no sea necesaria. Sin embargo, eso depende de tu configuración de red.

Dónde usa TLS el portal de servicios para desarrolladores

En la siguiente imagen, se muestran los dos lugares en los que el portal usa TLS:

El portal usa TLS para controlar las solicitudes del desarrollador de la app y realizar solicitudes a Edge.

Los clientes de Apigee Edge para nube privada y Edge Cloud configuran TLS en ambas conexiones. En la siguiente tabla, se describen estas conexiones con más detalle:

Origen

Destino

Descripción

1

Portal

API de Edge Management

El portal no funciona como un sistema independiente. En cambio, gran parte de la información que usa el portal se almacena en Edge, en la que Edge se puede implementar en Cloud o Edge para la nube privada.

En este caso, el portal actúa como el cliente de TLS mediante solicitudes a la API de Edge Management. Como servidor TLS, la configuración de TLS depende de Edge.

2

Desarrolladores de apps

Portal

Los desarrolladores acceden al portal para registrar apps y recibir claves de API. Debido a que la conexión requiere que el desarrollador pase las credenciales de acceso y que el portal envíe claves de app, se debe configurar para que use TLS.

Si quieres obtener más información sobre la configuración de TLS para la versión basada en Cloud y la versión del portal de Apigee Edge para nube privada, consulta Usa TLS en el portal.