Vous consultez la documentation d'Apigee Edge.
Consultez la
documentation Apigee X. en savoir plus
Apigee Edge possède plusieurs points d'entrée que vous pouvez sécuriser à l'aide du protocole TLS. En outre, les modules complémentaires Edge, tels que le portail des services pour les développeurs, disposent de points d'entrée pouvant être configurés pour utiliser TLS.
La procédure de configuration Edge TLS dépend de la manière dont vous avez déployé Edge: Apigee Edge Cloud ou Apigee Edge pour cloud privé.
Déploiement dans le cloud
Dans un déploiement Edge basé sur le cloud, vous n'êtes responsable que de la configuration de l'accès TLS aux proxys d'API et à vos points de terminaison cibles.
Pour la version cloud du portail des services pour les développeurs, vous configurez TLS sur le serveur d'hébergement Pantheon.
Pour en savoir plus, consultez la page Utiliser TLS dans une installation Edge basée sur le cloud.
Déploiement sur le cloud privé
Pour l'installation d'Apigee Edge pour le cloud privé du portail de services pour les développeurs, vous êtes entièrement responsable de la configuration du protocole TLS. Cela signifie que vous devez non seulement obtenir le certificat et la clé privée TLS, mais aussi configurer Edge pour utiliser TLS.
Pour en savoir plus, consultez la section Utiliser TLS dans une installation de cloud privé.
Versions compatibles de TLS
Les versions compatibles de TLS varient selon que vous utilisez Edge dans le cloud ou Edge pour le cloud privé:
- Edge in the Cloud : n'est compatible qu'avec TLS version 1.2. Les versions 1.0 et 1.1 de TLS pour le cloud ne sont plus compatibles. Pour en savoir plus, consultez la section Retrait de TLS 1.0 et 1.1.
- Edge pour le cloud privé : compatible avec les versions 1.0, 1.1 et 1.2 de TLS.
Où Edge utilise-t-il TLS ?
Les images suivantes montrent les emplacements d'une installation Edge où vous pouvez configurer TLS:
Les clients d'Apigee Edge pour le cloud privé configurent généralement toutes les connexions pour qu'elles utilisent le protocole TLS. Toutefois, pour les clients Cloud, Apigee gère la majeure partie de la configuration TLS à votre place et ne doit configurer TLS que pour les connexions 3 et 4 illustrées dans la figure.
Le tableau suivant décrit ces connexions TLS:
|
Source |
Destination |
Description |
|
|---|---|---|---|
|
1 |
Développeur d'API |
UI de gestion en périphérie |
L'interface utilisateur de gestion Edge est un outil basé sur un navigateur que les développeurs d'API utilisent pour effectuer la plupart des tâches nécessaires à la création, à la configuration et à la gestion des proxys d'API et des produits d'API. |
|
2 |
API Developer |
API Edge Management |
Tous les services Edge peuvent être configurés via l'API de gestion Edge, une API basée sur REST. Cela signifie que vous pouvez utiliser ces API pour créer, configurer et gérer des proxys d'API et des produits d'API, créer et gérer des applications et des développeurs d'applications, et effectuer de nombreux autres types d'opérations. |
|
3 |
Client API (application) |
API |
Les applications accèdent à vos API en envoyant des requêtes aux proxys d'API via des hôtes virtuels sur le routeur Edge. |
|
4 |
Périphérie |
Point de terminaison cible |
Un proxy d'API fonctionne comme un mappage d'un point de terminaison accessible au public sur Edge vers un point de terminaison cible, qui est souvent défini par un point de terminaison de votre service de backend. Le processeur de messages Edge accède à votre service de backend en réponse à une requête adressée à un proxy d'API. |
|
5 |
Routeur |
Processeur de messages |
Un routeur gère tout le trafic d'API entrant de périphérie, détermine le proxy d'API qui gère la requête, répartit les requêtes entre les processeurs de messages disponibles et distribue la requête. |
La version cloud d'Edge est généralement configurée de sorte que toutes les requêtes du client API soient traitées par le routeur. Les clients de cloud privé peuvent utiliser un équilibreur de charge avant le routeur pour gérer les requêtes. L'image suivante montre un scénario dans lequel le client API accède à Edge via un équilibreur de charge, plutôt que d'accéder directement au routeur:
Dans une installation de cloud privé, la présence d'un équilibreur de charge dépend de la configuration réseau de Edge.
Lorsque vous utilisez un équilibreur de charge, vous pouvez configurer TLS entre le client API et l'équilibreur de charge, et, si nécessaire, entre l'équilibreur de charge et le routeur, comme décrit dans le tableau suivant:
|
Source |
Destination |
Description |
|
|---|---|---|---|
|
6 |
Client API (application) |
HTTP(S) |
Les applications accèdent à vos API en envoyant des requêtes aux proxys d'API via un équilibreur de charge. L'équilibreur de charge transfère la requête à un routeur périphérique. Vous pouvez configurer le protocole TLS au niveau du point d'entrée de l'équilibreur de charge. La façon dont vous configurez TLS est basée sur l'équilibreur de charge. |
|
7 |
HTTP(S) |
Routeur |
Selon votre configuration, vous pouvez configurer l'accès TLS au routeur à partir de l'équilibreur de charge. Dans ce cas, vous configurez TLS comme si l'équilibreur de charge n'était pas présent. Si l'équilibreur de charge et le routeur se trouvent dans le même domaine de sécurité, la configuration TLS n'est peut-être pas nécessaire. Toutefois, cela dépend de la configuration de votre réseau. |
Où le portail des services pour les développeurs utilise-t-il TLS ?
L'image suivante montre les deux emplacements où le portail utilise TLS:
Les clients Apigee Edge pour Private Cloud et Edge Cloud configurent TLS sur les deux connexions. Le tableau suivant décrit ces connexions plus en détail:
|
Source |
Destination |
Description |
|
|---|---|---|---|
|
1 |
Centre |
API Edge Management |
Le portail ne fonctionne pas comme un système autonome. Au lieu de cela, une grande partie des informations utilisées par le portail sont en fait stockées sur Edge, où Edge peut être déployé dans le cloud ou Edge for Private Cloud. Dans ce scénario, le portail agit en tant que client TLS en envoyant des requêtes à l'API de gestion Edge. En tant que serveur TLS, c'est à Edge de configurer TLS. |
|
2 |
Développeurs d'applications |
Centre |
Les développeurs se connectent au portail pour enregistrer des applications et recevoir des clés API. Étant donné que la connexion nécessite que le développeur transmette des identifiants de connexion et que le portail envoie des clés d'application, elle doit être configurée pour utiliser TLS. |
Pour plus d'informations sur la configuration de TLS pour la version cloud et de la version d'Apigee Edge pour le cloud privé du portail, consultez la section Utiliser TLS sur le portail.