אתה צופה בתיעוד של Apigee Edge.
הצג תיעוד של Apigee X.
ל-Apigee Edge יש כמה נקודות כניסה שכדאי לאבטח באמצעות TLS. בנוסף, לתוספים של Edge, כמו הפורטל של השירותים למפתחים, יש נקודות כניסה שאפשר להגדיר לשימוש ב-TLS.
הליך התצורה של TLS Edge תלוי באופן שבו פרסתם את Edge: Apigee Edge Cloud או Apigee Edge עבור ענן פרטי.
פריסה מבוססת-ענן
בפריסה מבוססת-ענן של Edge, אתם אחראים רק על הגדרת גישת TLS (אבטחת שכבת התעבורה) לשרתי proxy ועל נקודות הקצה של נקודות הקצה.
בגרסת Cloud לפורטל של שירותים למפתחים, מגדירים TLS בשרת האירוח של הפנתאון.
למידע נוסף, קראו את המאמר שימוש ב-TLS בהתקנת Edge מבוססת-ענן.
פריסה פרטית של ענן
באחריותכם להגדיר TLS (אבטחת שכבת התעבורה) ב-Apigee Edge לתשתית פרטית בענן של פורטל השירותים למפתחים. כלומר, לא רק שצריך לקבל את אישור ה-TLS והמפתח הפרטי, אלא צריך גם להגדיר את Edge כדי להשתמש ב-TLS.
מידע נוסף זמין במאמר שימוש ב-TLS (אבטחת שכבת התעבורה) בהתקנה פרטית בענן.
גרסאות נתמכות של TLS
הגרסאות הנתמכות של TLS משתנות בהתאם לשימוש ב-Edge ב-Cloud או ב-Edge בענן הפרטי:
- קצה הענן: תמיכה ב-TLS בגרסה 1.2 בלבד. התמיכה בגרסאות TLS 1.0 ו-1.1 של Cloud הופסקה. למידע נוסף, תוכלו לקרוא על פרישה של TLS 1.0 ו-1.1.
- קצה הענן הפרטי: תמיכה ב-TLS בגרסאות 1.0, 1.1 ו-1.2.
כאשר Edge משתמש ב-TLS
התמונות הבאות מציגות את המקומות בהתקנת Edge שבהם ניתן להגדיר TLS:
לקוחות Apigee Edge בדרך כלל מגדירים את כל החיבורים לשימוש ב-TLS (אבטחת שכבת התעבורה). עם זאת, עבור לקוחות Cloud, Apigee מטפלת ברוב ההגדרות של TLS עבורכם, וצריך להגדיר רק TLS לחיבורים 3 ו-4 שמוצגים בדמות.
הטבלה הבאה מתארת את חיבורי ה-TLS האלה:
מקור |
יעד |
תיאור |
|
---|---|---|---|
1 |
מפתח API |
ממשק משתמש לניהול Edge |
ממשק המשתמש לניהול Edge הוא כלי מבוסס-דפדפן שמפתחי API משתמשים בו כדי לבצע את רוב המשימות הנדרשות ליצירה, להגדרה ולניהול של שרתי proxy וממשקי API. |
2 |
מפתח API |
ממשק API לניהול Edge |
ניתן להגדיר את כל השירותים של Edge באמצעות ממשק ה-API לניהול Edge, שהוא ממשק API מבוסס-REST. המשמעות היא שאפשר להשתמש בממשקי ה-API האלה כדי ליצור, להגדיר ולנהל שרתי proxy וממשקי API, ליצור ולנהל אפליקציות ומפתחי אפליקציות ולבצע פעולות רבות נוספות. |
3 |
לקוח API (אפליקציה) |
API |
האפליקציות ניגשות לממשקי ה-API באמצעות שליחת בקשות לשרתי proxy דרך מארחים וירטואליים ב-Rout Router. |
4 |
Edge |
נקודת קצה (endpoint) |
שרת proxy של API פועל כמיפוי של נקודת קצה (endpoint) שגלויה לכולם בנקודת הקצה (endpoint), שאותה פעמים רבות מגדירים נקודת קצה בשירות לקצה העורפי. מעבד ההודעות של Edge משתמש בשירות הקצה העורפי בתגובה לבקשה לשרת proxy של ממשק API. |
5 |
נתב |
מעבד בקשות |
נתב מטפל בכל תעבורת הנתונים הנכנסת של Edge, קובע מי שרת ה-API שמטפל בבקשה, מאזן את הבקשות בין מעבדי הודעות זמינים ושולח את הבקשה. |
הגרסה מבוססת-הענן של Edge מוגדרת בדרך כלל כך שכל הבקשות מלקוח ה-API יטופלו על ידי הנתב. לקוחות פרטיים בענן יכולים להשתמש במאזן עומסים לפני הנתב כדי לטפל בבקשות. התמונה הבאה מציגה תרחיש שבו לקוח ה-API ניגש ל-Edge באמצעות מאזן עומסים, ולא ישירות לנתב:
בהתקנה של הענן הפרטי, נוכחות של מאזן עומסים תלויה בתצורת הרשת של Edge.
כשמשתמשים במאזן עומסים, אפשר להגדיר TLS בין לקוח ה-API לבין מאזן העומסים, ואם צריך, גם בין מאזן העומסים לבין הנתב, כפי שמפורט בטבלה הבאה:
מקור |
יעד |
תיאור |
|
---|---|---|---|
6 |
לקוח API (אפליקציה) |
מאזן עומסים |
האפליקציות ניגשות לממשקי ה-API באמצעות שליחת בקשות לשרתי proxy דרך מאזן עומסים. מאזן העומסים מעביר את הבקשה לנתב קצה. אפשר להגדיר TLS בנקודת הכניסה של מאזן העומסים. אופן ההגדרה של TLS מבוסס על מאזן העומסים. |
7 |
מאזן עומסים |
נתב |
בהתאם להגדרה, אפשר להגדיר גישת TLS לנתב ממאזן העומסים. במקרה כזה, הגדרת TLS בדיוק כמו שמאזן העומסים לא קיים. לחלופין, אם מאזן העומסים והנתב נמצאים באותו דומיין אבטחה, יכול להיות שאין צורך בהגדרת TLS. עם זאת, הדבר תלוי בתצורת הרשת. |
בפורטל השירותים למפתחים נעשה שימוש ב-TLS
התמונה הבאה מציגה את שני המקומות שבהם הפורטל משתמש ב-TLS:
Apigee Edge ללקוחות Cloud Cloud ו-Edge Cloud מגדירים TLS בשני החיבורים. בטבלה הבאה מתוארים בפירוטים של החיבורים האלה:
מקור |
יעד |
תיאור |
|
---|---|---|---|
1 |
שער |
ממשק API לניהול Edge |
הפורטל לא פועל כמערכת עצמאית. במקום זאת, רוב המידע שנעשה בו שימוש בפורטל מאוחסן בפועל ב-Edge. במיקום הזה אפשר לפרוס את Edge ב-Cloud או ב-Edge for Cloud. הפורטל משמש כלקוח TLS בתרחיש הזה על ידי שליחת בקשות ל-Edge Management API. בתור שרת TLS, הגדרת התצורה של TLS (אבטחת שכבת התעבורה) מוטלת על הקצה. |
2 |
מפתחי אפליקציות |
שער |
מפתחים מתחברים לפורטל כדי לרשום אפליקציות ולקבל מפתחות API. כי החיבור דורש מהמפתח להעביר פרטי כניסה, וכדי שהפורטל ישלח מפתחות אפליקציה, יש להגדיר אותו לשימוש ב-TLS. |
במאמר שימוש ב-TLS בפורטל מפורט מידע נוסף על הגדרת TLS (אבטחת שכבת התעבורה) עבור הגרסה מבוססת-הענן ועל Apigee Edge לגרסת הענן הפרטי.