שימוש ב-TLS עם Edge

אתה צופה בתיעוד של Apigee Edge.
הצג תיעוד של Apigee X.

ל-Apigee Edge יש כמה נקודות כניסה שכדאי לאבטח באמצעות TLS. בנוסף, לתוספים של Edge, כמו הפורטל של השירותים למפתחים, יש נקודות כניסה שאפשר להגדיר לשימוש ב-TLS.

הליך התצורה של TLS Edge תלוי באופן שבו פרסתם את Edge: Apigee Edge Cloud או Apigee Edge עבור ענן פרטי.

פריסה מבוססת-ענן

בפריסה מבוססת-ענן של Edge, אתם אחראים רק על הגדרת גישת TLS (אבטחת שכבת התעבורה) לשרתי proxy ועל נקודות הקצה של נקודות הקצה.

בגרסת Cloud לפורטל של שירותים למפתחים, מגדירים TLS בשרת האירוח של הפנתאון.

למידע נוסף, קראו את המאמר שימוש ב-TLS בהתקנת Edge מבוססת-ענן.

פריסה פרטית של ענן

באחריותכם להגדיר TLS (אבטחת שכבת התעבורה) ב-Apigee Edge לתשתית פרטית בענן של פורטל השירותים למפתחים. כלומר, לא רק שצריך לקבל את אישור ה-TLS והמפתח הפרטי, אלא צריך גם להגדיר את Edge כדי להשתמש ב-TLS.

מידע נוסף זמין במאמר שימוש ב-TLS (אבטחת שכבת התעבורה) בהתקנה פרטית בענן.

גרסאות נתמכות של TLS

הגרסאות הנתמכות של TLS משתנות בהתאם לשימוש ב-Edge ב-Cloud או ב-Edge בענן הפרטי:

  • קצה הענן: תמיכה ב-TLS בגרסה 1.2 בלבד. התמיכה בגרסאות TLS 1.0 ו-1.1 של Cloud הופסקה. למידע נוסף, תוכלו לקרוא על פרישה של TLS 1.0 ו-1.1.
  • קצה הענן הפרטי: תמיכה ב-TLS בגרסאות 1.0, 1.1 ו-1.2.

כאשר Edge משתמש ב-TLS

התמונות הבאות מציגות את המקומות בהתקנת Edge שבהם ניתן להגדיר TLS:

מקומות בהתקנת Edge שבהם ניתן להגדיר TLS (אבטחת שכבת התעבורה)

לקוחות Apigee Edge בדרך כלל מגדירים את כל החיבורים לשימוש ב-TLS (אבטחת שכבת התעבורה). עם זאת, עבור לקוחות Cloud, Apigee מטפלת ברוב ההגדרות של TLS עבורכם, וצריך להגדיר רק TLS לחיבורים 3 ו-4 שמוצגים בדמות.

הטבלה הבאה מתארת את חיבורי ה-TLS האלה:

מקור

יעד

תיאור

1

מפתח API

ממשק משתמש לניהול Edge

ממשק המשתמש לניהול Edge הוא כלי מבוסס-דפדפן שמפתחי API משתמשים בו כדי לבצע את רוב המשימות הנדרשות ליצירה, להגדרה ולניהול של שרתי proxy וממשקי API.

2

מפתח API

ממשק API לניהול Edge

ניתן להגדיר את כל השירותים של Edge באמצעות ממשק ה-API לניהול Edge, שהוא ממשק API מבוסס-REST. המשמעות היא שאפשר להשתמש בממשקי ה-API האלה כדי ליצור, להגדיר ולנהל שרתי proxy וממשקי API, ליצור ולנהל אפליקציות ומפתחי אפליקציות ולבצע פעולות רבות נוספות.

3

לקוח API (אפליקציה)

API

האפליקציות ניגשות לממשקי ה-API באמצעות שליחת בקשות לשרתי proxy דרך מארחים וירטואליים ב-Rout Router.

4

Edge

נקודת קצה (endpoint)

שרת proxy של API פועל כמיפוי של נקודת קצה (endpoint) שגלויה לכולם בנקודת הקצה (endpoint), שאותה פעמים רבות מגדירים נקודת קצה בשירות לקצה העורפי. מעבד ההודעות של Edge משתמש בשירות הקצה העורפי בתגובה לבקשה לשרת proxy של ממשק API.

5

נתב

מעבד בקשות

נתב מטפל בכל תעבורת הנתונים הנכנסת של Edge, קובע מי שרת ה-API שמטפל בבקשה, מאזן את הבקשות בין מעבדי הודעות זמינים ושולח את הבקשה.

הגרסה מבוססת-הענן של Edge מוגדרת בדרך כלל כך שכל הבקשות מלקוח ה-API יטופלו על ידי הנתב. לקוחות פרטיים בענן יכולים להשתמש במאזן עומסים לפני הנתב כדי לטפל בבקשות. התמונה הבאה מציגה תרחיש שבו לקוח ה-API ניגש ל-Edge באמצעות מאזן עומסים, ולא ישירות לנתב:

לקוח API ששולח בקשות באמצעות מאזן עומסים.

בהתקנה של הענן הפרטי, נוכחות של מאזן עומסים תלויה בתצורת הרשת של Edge.

כשמשתמשים במאזן עומסים, אפשר להגדיר TLS בין לקוח ה-API לבין מאזן העומסים, ואם צריך, גם בין מאזן העומסים לבין הנתב, כפי שמפורט בטבלה הבאה:

מקור

יעד

תיאור

6

לקוח API (אפליקציה)

מאזן עומסים

האפליקציות ניגשות לממשקי ה-API באמצעות שליחת בקשות לשרתי proxy דרך מאזן עומסים. מאזן העומסים מעביר את הבקשה לנתב קצה.

אפשר להגדיר TLS בנקודת הכניסה של מאזן העומסים. אופן ההגדרה של TLS מבוסס על מאזן העומסים.

7

מאזן עומסים

נתב

בהתאם להגדרה, אפשר להגדיר גישת TLS לנתב ממאזן העומסים. במקרה כזה, הגדרת TLS בדיוק כמו שמאזן העומסים לא קיים.

לחלופין, אם מאזן העומסים והנתב נמצאים באותו דומיין אבטחה, יכול להיות שאין צורך בהגדרת TLS. עם זאת, הדבר תלוי בתצורת הרשת.

בפורטל השירותים למפתחים נעשה שימוש ב-TLS

התמונה הבאה מציגה את שני המקומות שבהם הפורטל משתמש ב-TLS:

הפורטל משתמש ב-TLS כדי לטפל בבקשות ממפתח האפליקציה וכדי לשלוח בקשות ל-Edge

Apigee Edge ללקוחות Cloud Cloud ו-Edge Cloud מגדירים TLS בשני החיבורים. בטבלה הבאה מתוארים בפירוטים של החיבורים האלה:

מקור

יעד

תיאור

1

שער

ממשק API לניהול Edge

הפורטל לא פועל כמערכת עצמאית. במקום זאת, רוב המידע שנעשה בו שימוש בפורטל מאוחסן בפועל ב-Edge. במיקום הזה אפשר לפרוס את Edge ב-Cloud או ב-Edge for Cloud.

הפורטל משמש כלקוח TLS בתרחיש הזה על ידי שליחת בקשות ל-Edge Management API. בתור שרת TLS, הגדרת התצורה של TLS (אבטחת שכבת התעבורה) מוטלת על הקצה.

2

מפתחי אפליקציות

שער

מפתחים מתחברים לפורטל כדי לרשום אפליקציות ולקבל מפתחות API. כי החיבור דורש מהמפתח להעביר פרטי כניסה, וכדי שהפורטל ישלח מפתחות אפליקציה, יש להגדיר אותו לשימוש ב-TLS.

במאמר שימוש ב-TLS בפורטל מפורט מידע נוסף על הגדרת TLS (אבטחת שכבת התעבורה) עבור הגרסה מבוססת-הענן ועל Apigee Edge לגרסת הענן הפרטי.