Korzystanie z TLS w Edge

Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X.
Informacje

Apigee Edge ma kilka punktów wejścia, które warto zabezpieczyć za pomocą protokołu TLS. Dodatkowo dodatki do Edge, takie jak portal usług dla programistów, mają punkty wejścia, które można skonfigurować do używania protokołu TLS.

Procedura konfiguracji Edge TLS zależy od tego, jak wdrożono Edge: Apigee Edge Cloud lub Apigee Edge dla Private Cloud.

Wdrożenie w chmurze

W przypadku wdrożenia Edge w chmurze odpowiadasz tylko za konfigurowanie dostępu TLS do serwerów proxy interfejsów API i docelowych punktów końcowych.

W przypadku wersji Cloud portalu usług dla programistów musisz skonfigurować protokół TLS na serwerze hostingowym Pantheon.

Więcej informacji znajdziesz w artykule o używaniu TLS w instalacji Edge w Google Cloud.

Wdrożenie w chmurze prywatnej

W przypadku instalacji portalu usług dla programistów usługi Apigee Edge for Private Cloud ponosisz całkowitą odpowiedzialność za skonfigurowanie protokołu TLS. Oznacza to, że musisz nie tylko uzyskać certyfikat TLS i klucz prywatny, ale musisz też skonfigurować Edge do używania protokołu TLS.

Więcej informacji znajdziesz w artykule o używaniu TLS w instalacji chmury prywatnej.

Obsługiwane wersje protokołu TLS

Obsługiwane wersje protokołu TLS zależą od tego, czy używasz Edge w Cloud, czy Edge dla Private Cloud:

  • Brzegowy w chmurze: obsługa TLS tylko w wersji 1.2. Obsługa TLS w wersjach 1.0 i 1.1 w Cloud została wycofana. Więcej informacji znajdziesz w artykule o wycofywaniu protokołów TLS 1.0 i 1.1.
  • Brzegowy chmury Private Cloud: obsługuje protokół TLS 1.0, 1.1 i 1.2.

Gdzie Edge używa TLS

Poniższe obrazy przedstawiają miejsca w instalacji Edge, w których można skonfigurować protokół TLS:

Miejsca w instalacji Edge, w których można skonfigurować protokół TLS

Klienci usługi Apigee Edge dla Private Cloud zwykle konfigurują wszystkie połączenia do używania TLS. Jednak w przypadku klientów Cloud Apigee obsługuje większość konfiguracji TLS i musi skonfigurować TLS tylko dla połączeń 3 i 4 widocznych na ilustracji.

Tabela poniżej zawiera opis tych połączeń TLS:

Źródło

Cel

Opis

1

Programista API

Interfejs zarządzania brzegiem

Interfejs zarządzania brzegiem sieci to narzędzie działające w przeglądarce, którego programiści API używają do wykonywania większości zadań niezbędnych do tworzenia i konfigurowania serwerów proxy interfejsów API oraz usług API oraz zarządzania nimi.

2

Programista API

Interfejs API zarządzania urządzeniami brzegowymi

Wszystkie usługi Edge można skonfigurować przy użyciu interfejsu Edge Management API, który jest oparty na interfejsie API REST. Oznacza to, że możesz używać tych interfejsów API do tworzenia i konfigurowania serwerów proxy API i usług API oraz zarządzania nimi, a także do tworzenia aplikacji i deweloperów aplikacji oraz do zarządzania nimi, a także do wykonywania wielu innych rodzajów operacji.

3

Klient API (aplikacja)

API

Aplikacje uzyskują dostęp do interfejsów API, wysyłając żądania do serwerów proxy interfejsów API przez hosty wirtualne w routerze brzegowym.

4

Edge

Docelowy punkt końcowy

Serwer proxy interfejsu API działa jako mapowanie publicznie dostępnego punktu końcowego w Edge na docelowy punkt końcowy, który jest często definiowany przez punkt końcowy usługi backendu. Procesor wiadomości brzegowych uzyskuje dostęp do usługi backendu w odpowiedzi na żądanie wysyłane do serwera proxy interfejsu API.

5

Router

procesor komunikatów

Router obsługuje cały ruch przychodzący na brzegu interfejsu API, określa serwer proxy interfejsu API, który obsługuje żądania, równoważy żądania pomiędzy dostępnymi procesorami wiadomości i wysyła je.

Wersja Edge działająca w chmurze jest zwykle konfigurowana w taki sposób, że wszystkie żądania z klienta interfejsu API są obsługiwane przez router. Klienci Private Cloud mogą używać systemu równoważenia obciążenia przed routerem do obsługi żądań. Poniższy obraz przedstawia scenariusz, w którym klient interfejsu API uzyskuje dostęp do Edge za pomocą systemu równoważenia obciążenia, a nie bezpośrednio do routera:

Klient interfejsu API wysyłający żądania za pomocą systemu równoważenia obciążenia.

W instalacji Private Cloud obecność systemu równoważenia obciążenia zależy od konfiguracji sieci Edge.

Jeśli korzystasz z systemu równoważenia obciążenia, możesz skonfigurować protokół TLS między klientem interfejsu API a systemem równoważenia obciążenia, a w razie potrzeby także między systemem równoważenia obciążenia a routerem zgodnie z poniższą tabelą:

Źródło

Cel

Opis

6

Klient API (aplikacja)

System równoważenia obciążenia

Aplikacje uzyskują dostęp do interfejsów API, wysyłając żądania do serwerów proxy interfejsów API za pomocą systemu równoważenia obciążenia. System równoważenia obciążenia przekazuje żądanie do routera brzegowego.

Protokół TLS możesz skonfigurować w punkcie wejścia systemu równoważenia obciążenia. Sposób konfigurowania protokołu TLS opiera się na systemie równoważenia obciążenia.

7

System równoważenia obciążenia

Router

W zależności od konfiguracji możesz skonfigurować dostęp TLS do routera z poziomu systemu równoważenia obciążenia. W takim przypadku skonfigurujesz TLS tak, jak gdyby system równoważenia obciążenia nie był obecny.

A jeśli system równoważenia obciążenia i router znajdują się w tej samej domenie zabezpieczeń, konfiguracja TLS może nie być wymagana. Zależy to jednak od konfiguracji sieci.

Gdzie portal usług dla deweloperów używa protokołu TLS

Na ilustracji poniżej widać 2 miejsca, w których portal używa protokołu TLS:

Portal używa TLS do obsługi żądań od dewelopera aplikacji i do wysyłania żądań do Edge

Klienci usługi Apigee Edge dla Private Cloud i Edge Cloud konfigurują protokół TLS w obu połączeniach. W tabeli poniżej znajdziesz bardziej szczegółowe informacje o tych połączeniach:

Źródło

Cel

Opis

1

Portal

Interfejs API zarządzania urządzeniami brzegowymi

Portal nie działa jako samodzielny system. Zamiast tego większość informacji używanych przez portal jest przechowywanych w Edge, która umożliwia wdrożenie Edge w chmurze lub Edge dla Private Cloud.

W tym scenariuszu portal działa jako klient TLS, wysyłając żądania do interfejsu Edge Management API. To serwer TLS odpowiada za skonfigurowanie protokołu TLS.

2

Programiści aplikacji

Portal

Deweloperzy logują się w portalu, aby zarejestrować aplikacje i otrzymać klucze interfejsu API. Połączenie wymaga od programisty podania danych logowania, a portalu wysyłania kluczy aplikacji, dlatego należy skonfigurować użycie TLS.

Więcej informacji o konfigurowaniu TLS w wersji portalu dla chmury i Apigee Edge dla wersji Private Cloud portalu znajdziesz w artykule o używaniu TLS w portalu.