Como usar o TLS com o Edge

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X.
informações

O Apigee Edge tem vários pontos de entrada que podem ser protegidos com TLS. Além disso, os complementos do Edge, como o portal de serviços para desenvolvedores, têm pontos de entrada que podem ser configurados para usar o TLS.

O procedimento de configuração do Edge TLS depende de como você implantou o Edge: Apigee Edge Cloud ou Apigee Edge for Private Cloud.

Implantação baseada na nuvem

Em uma implantação do Edge baseada na nuvem, você é responsável apenas pela configuração do acesso TLS a proxies de API e endpoints de destino.

Para a versão do Cloud do portal de serviços para desenvolvedores, configure o TLS no servidor de hospedagem do Pantheon.

Para mais informações, consulte Como usar o TLS em uma instalação do Edge baseada na nuvem.

Implantação de nuvem privada

Em uma instalação do Apigee Edge para nuvem privada do portal de serviços para desenvolvedores, você é totalmente responsável pela configuração de TLS. Isso significa que, além de conseguir o certificado TLS e a chave privada, você também precisa configurar o Edge para usar o TLS.

Para mais informações, consulte Como usar o TLS em uma instalação de nuvem privada.

Versões compatíveis do TLS

As versões compatíveis do TLS dependem se você está usando o Edge na nuvem ou o Edge para a nuvem privada:

  • Edge in the Cloud: oferece suporte apenas à versão 1.2 do TLS. O suporte para as versões 1.0 e 1.1 do TLS para o Cloud foi descontinuado. Para mais informações, consulte Desativação do TLS 1.0 e 1.1.
  • Edge para a nuvem privada: dá suporte às versões 1.0, 1.1 e 1.2 do TLS.

Onde o Edge usa TLS

As imagens a seguir mostram os locais em uma instalação do Edge em que é possível configurar o TLS:

Lugares em uma instalação do Edge em que é possível configurar o TLS

Os clientes do Apigee Edge para nuvem privada normalmente configuram todas as conexões para usar TLS. No entanto, para clientes do Cloud, a Apigee lida com a maior parte da configuração de TLS para você e só precisa configurá-lo para as conexões 3 e 4 mostradas na figura.

A tabela a seguir descreve essas conexões TLS:

Origem

Destino

Descrição

1

Desenvolvedor de API

interface de gerenciamento de borda

A IU de gerenciamento de borda é uma ferramenta baseada no navegador que os desenvolvedores de API usam para executar a maioria das tarefas necessárias para criar, configurar e gerenciar proxies e produtos de API.

2

API Developer

API de gerenciamento de borda

Todos os serviços do Edge podem ser configurados com a API Edge Management, uma API baseada em REST. Isso significa que é possível usar essas APIs para criar, configurar e gerenciar proxies e produtos de API, criar e gerenciar apps e desenvolvedores de apps, além de realizar muitos outros tipos de operações.

3

Cliente da API (app)

API

Os apps acessam suas APIs fazendo solicitações a proxies de API por meio de hosts virtuais no roteador de borda.

4

Edge

Endpoint de destino

Um proxy de API funciona como um mapeamento de um endpoint disponível publicamente no Edge para um endpoint de destino, que geralmente é definido por um endpoint no serviço de back-end. O processador de mensagens de borda acessa seu serviço de back-end em resposta a uma solicitação para um proxy de API.

5

Roteador

processador de mensagens

Um roteador processa todo o tráfego da API de entrada do Edge, determina o proxy de API que processa a solicitação, equilibra as solicitações nos processadores de mensagens disponíveis e envia a solicitação.

A versão do Edge baseada na nuvem geralmente é configurada para que todas as solicitações do cliente da API sejam processadas pelo roteador. Os clientes da nuvem privada podem usar um balanceador de carga antes do roteador para lidar com solicitações. A imagem a seguir mostra um cenário em que o cliente da API acessa o Edge por um balanceador de carga, em vez de acessar o roteador diretamente:

Cliente de API fazendo solicitações por meio de um balanceador de carga.

Em uma instalação de nuvem privada, a presença de um balanceador de carga depende da configuração de rede do Edge.

Ao usar um balanceador de carga, é possível configurar o TLS entre o cliente da API e o balanceador de carga e, se necessário, entre o balanceador de carga e o roteador, conforme descrito na tabela a seguir:

Origem

Destino

Descrição

6

Cliente da API (app)

a um balanceador de carga HTTP.

Os apps acessam suas APIs fazendo solicitações a proxies de API com um balanceador de carga. O balanceador de carga encaminha a solicitação para um roteador de borda.

É possível configurar o TLS no ponto de entrada do balanceador de carga. A maneira de configurar o TLS é baseada no balanceador de carga.

7

a um balanceador de carga HTTP.

Roteador

Dependendo da sua configuração, é possível configurar o acesso TLS ao roteador a partir do balanceador de carga. Nesse caso, você configura o TLS como se o balanceador de carga não estivesse presente.

Ou, se o balanceador de carga e o roteador estiverem no mesmo domínio de segurança, a configuração do TLS poderá não ser necessária. No entanto, isso depende da configuração da sua rede.

Onde o portal de serviços para desenvolvedores usa TLS

A imagem a seguir mostra os dois locais em que o portal usa o TLS:

O portal usa o TLS para processar solicitações do desenvolvedor do app e fazer solicitações ao Edge.

Os clientes do Apigee Edge para nuvem privada e do Edge Cloud configuram o TLS nas duas conexões. A tabela a seguir descreve essas conexões em mais detalhes:

Origem

Destino

Descrição

1

Portal

API de gerenciamento de borda

O portal não funciona como um sistema independente. Em vez disso, grande parte das informações usadas pelo portal são armazenadas no Edge, onde o Edge pode ser implantado na nuvem ou no Edge para nuvem privada.

O portal atua como o cliente TLS nesse cenário, fazendo solicitações à API Edge Management. Como o servidor TLS, cabe ao Edge configurar o TLS.

2

Desenvolvedores de apps

Portal

Os desenvolvedores fazem login no portal para registrar apps e receber chaves de API. Como a conexão exige que o desenvolvedor transmita credenciais de login e, para que o portal envie chaves do app, ele precisa ser configurado para usar TLS.

Para mais informações sobre como configurar o TLS para a versão baseada na nuvem e a versão do Apigee Edge para nuvem privada do portal, consulte Como usar o TLS no portal.