שימוש ב-TLS עם Edge

כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של Apigee X.
מידע

ב-Apigee Edge יש כמה נקודות כניסה שכדאי לאבטח באמצעות TLS. בנוסף, לתוספים של Edge, כמו פורטל השירותים למפתחים, יש נקודות כניסה שאפשר להגדיר לשימוש ב-TLS (אבטחת שכבת התעבורה).

הליך ההגדרה של TLS ב-Edge תלוי באופן הפריסה של Edge: Apigee Edge Cloud או Apigee Edge לענן פרטי.

פריסה מבוססת-ענן

בפריסה מבוססת-ענן של Edge, באחריותך רק להגדיר גישה של TLS (אבטחת שכבת התעבורה) לשרתי proxy של API ולנקודות הקצה (endpoint) של היעד.

בגרסת Cloud של פורטל השירותים למפתחים, צריך להגדיר TLS בשרת האירוח של הפנתאון.

למידע נוסף, תוכלו לקרוא את המאמר שימוש ב-TLS בהתקנת Edge מבוססת-ענן.

פריסה של ענן פרטי

כשמדובר ב-Apigee Edge להתקנה של פורטל השירותים למפתחים, באחריותכם להגדיר את ה-TLS (אבטחת שכבת התעבורה). כלומר, לא רק לקבל אישור TLS (אבטחת שכבת התעבורה) ומפתח פרטי, אלא גם להגדיר את Edge לשימוש ב-TLS (אבטחת שכבת התעבורה).

למידע נוסף, תוכלו לקרוא את המאמר שימוש ב-TLS בהתקנה של ענן פרטי.

גרסאות נתמכות של TLS

הגרסאות הנתמכות של TLS (אבטחת שכבת התעבורה) תלויות בשימוש ב-Edge בענן או ב-Edge של הענן הפרטי:

  • Edge in the Cloud: תמיכה ב-TLS בגרסה 1.2 בלבד. התמיכה ב-TLS בגרסאות 1.0 ו-1.1 של Cloud הופסקה. מידע נוסף זמין במאמר הפסקת השימוש ב-TLS 1.0 ו-1.1.
  • Edge for the Private Cloud: תמיכה ב-TLS בגרסאות 1.0, 1.1 ו-1.2.

כש-Edge משתמש ב-TLS

בתמונות הבאות מוצגים המקומות בהתקנת Edge שבהם אפשר להגדיר TLS:

מקומות בהתקנת Edge שבהם אפשר להגדיר TLS

Apigee Edge ללקוחות של ענן פרטי בדרך כלל מגדירים את כל החיבורים לשימוש ב-TLS. עם זאת, עבור לקוחות Cloud, Apigee מטפל ברוב ההגדרות של TLS, ולכן צריך להגדיר TLS רק לחיבורים 3 ו-4 שמוצגים באיור.

הטבלה הבאה מתארת את חיבורי ה-TLS (אבטחת שכבת התעבורה):

מקור

יעד

תיאור

1

מפתחי API

ממשק משתמש לניהול Edge

ממשק המשתמש לניהול Edge הוא כלי מבוסס-דפדפן שמפתחי API משתמשים בו כדי לבצע את רוב המשימות הנדרשות ליצירה, להגדרה ולניהול של שרתי proxy של API ושל מוצרי API.

2

מפתחי API

ממשק API לניהול Edge

אפשר להגדיר את כל שירותי Edge באמצעות Edge management API, ממשק API שמבוסס על REST. המשמעות היא שאפשר להשתמש בממשקי ה-API האלה כדי ליצור, להגדיר ולנהל שרתי proxy של API ומוצרי API, ליצור ולנהל אפליקציות ומפתחי אפליקציות ולבצע סוגים רבים של פעולות.

3

לקוח API (אפליקציה)

API

האפליקציות יכולות לגשת לממשקי ה-API על ידי שליחת בקשות לשרתי proxy של API דרך מארחים וירטואליים ב-Edge Router.

4

Edge

נקודת הקצה (endpoint) של היעד

שרת proxy ל-API פועל כמיפוי של נקודת קצה (endpoint) שזמינה לכולם ב-Edge אל נקודת קצה (endpoint) המוגדרת בדרך כלל על ידי נקודת קצה בשירות לקצה העורפי. מעבד ההודעות של Edge ניגש לשירות לקצה העורפי בתגובה לבקשה לשרת proxy של API.

5

נתב

מעבד בקשות

נתב מטפל בכל תעבורת הנתונים הנכנסת של API של Edge, קובע איזה שרת proxy של API שמטפל בבקשה, מאזן בקשות בין מעבדי ההודעות הזמינים ושולח את הבקשה.

הגרסה מבוססת-הענן של Edge בדרך כלל מוגדרת כך שכל הבקשות מלקוח ה-API יטופלו על ידי הנתב. לקוחות של ענן פרטי יכולים להשתמש במאזן עומסים לפני הנתב כדי לטפל בבקשות. בתמונה הבאה מוצג תרחיש שבו לקוח ה-API ניגש ל-Edge דרך מאזן עומסים, ולא ניגש ישירות לנתב:

לקוח API שולח בקשות דרך מאזן עומסים.

בהתקנה של ענן פרטי, הנוכחות של מאזן עומסים תלויה בהגדרות הרשת של Edge.

כשמשתמשים במאזן עומסים, אפשר להגדיר TLS בין לקוח ה-API למאזן העומסים, ובמקרה הצורך, בין מאזן העומסים לבין הנתב, כפי שמתואר בטבלה הבאה:

מקור

יעד

תיאור

6

לקוח API (אפליקציה)

מאזן עומסים

אפליקציות יכולות לגשת לממשקי ה-API על ידי שליחת בקשות לשרתי proxy של API דרך מאזן עומסים. מאזן העומסים מעביר את הבקשה לנתב Edge.

אפשר להגדיר TLS בנקודת הכניסה של מאזן העומסים. הגדרת ה-TLS מבוססת על מאזן העומסים.

7

מאזן עומסים

נתב

בהתאם להגדרות שלכם, תוכלו להגדיר גישת TLS לנתב ממאזן העומסים. במקרה כזה, מגדירים את ה-TLS (אבטחת שכבת התעבורה) כאילו מאזן העומסים לא נמצא.

לחלופין, אם מאזן העומסים והנתב נמצאים באותו דומיין אבטחה, יכול להיות שלא יהיה צורך להגדיר TLS. עם זאת, הדבר תלוי בהגדרת הרשת שלכם.

מקרים שבהם בפורטל השירותים למפתחים נעשה שימוש ב-TLS (אבטחת שכבת התעבורה)

בתמונה הבאה מוצגים שני המקומות שבהם הפורטל משתמש ב-TLS:

בפורטל נעשה שימוש ב-TLS כדי לטפל בבקשות ממפתח האפליקציות וכדי לשלוח בקשות ל-Edge

Apigee Edge ללקוחות של ענן פרטי ו-Edge Cloud מגדירים TLS בשני החיבורים. בטבלה הבאה מתוארים החיבורים האלה בפירוט:

מקור

יעד

תיאור

1

שער

ממשק API לניהול Edge

הפורטל לא מתפקד כמערכת עצמאית. במקום זאת, רוב המידע שמשמש את הפורטל מאוחסן בפועל ב-Edge, ושם אפשר לפרוס את Edge בענן פרטי או ב-Edge.

הפורטל משמש כלקוח TLS בתרחיש הזה בכך שהוא שולח בקשות ל-Edge Management API. בתור שרת TLS, אחראי להגדיר את TLS (אבטחת שכבת התעבורה).

2

מפתחי אפליקציות

שער

מפתחים מתחברים לפורטל כדי לרשום אפליקציות ולקבל מפתחות API. כי החיבור מחייב את המפתח להעביר פרטי כניסה, וכדי שהפורטל ישלח מפתחות של אפליקציות, צריך להגדיר אותו להשתמש ב-TLS.

למידע נוסף על הגדרת TLS לגרסה מבוססת-הענן ולגרסה של Apigee Edge לענן הפרטי של הפורטל