将 TLS 与 Edge 搭配使用

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档
信息

Apigee Edge 有多个入口点,您可能希望使用 TLS 保护它们。此外,边缘插件(例如开发者服务门户)具有可配置为使用 TLS 的入口点。

Edge TLS 配置过程取决于您部署 Edge:Apigee Edge Cloud适用于私有云的 Apigee Edge

基于云的部署

在基于云的 Edge 部署中,您仅负责配置对 API 代理和目标端点的 TLS 访问。

对于云版本的开发者服务门户,您可以在 Pantheon 托管服务器上配置 TLS。

如需了解详情,请参阅在云端边缘安装中使用 TLS

私有云部署

在为开发者服务门户安装适用于私有云的 Apigee Edge 时,您全权负责配置 TLS。这意味着,您不仅需要获得 TLS 证书和私钥,还必须将 Edge 配置为使用 TLS。

如需了解详情,请参阅在私有云安装中使用 TLS

支持的 TLS 版本

支持的 TLS 版本取决于您使用的是云端 Edge 还是私有云的 Edge:

  • 云端边缘:仅支持 TLS 1.2 版。我们已停止支持 Google Cloud 的 TLS 1.0 版和 1.1 版。如需了解详情,请参阅弃用 TLS 1.0 和 1.1
  • 针对私有云的 Edge:支持 TLS 1.0、1.1 和 1.2 版。

边缘使用 TLS 的情况

下图显示了 Edge 安装中您可以在其中配置 TLS 的位置:

在 Edge 安装中配置 TLS 的位置

适用于私有云的 Apigee Edge 客户通常会将所有连接配置为使用 TLS。 不过,对于 Cloud 客户,Apigee 会为您处理大多数 TLS 配置,您只需为图中所示的连接 3 和 4 配置 TLS。

下表介绍了这些 TLS 连接:

来源

目标位置

说明

1

API 开发者

边缘管理界面

Edge 管理界面是一款基于浏览器的工具,API 开发者可使用它执行创建、配置和管理 API 代理和 API 产品所需的大多数任务。

2

API 开发者

边缘管理 API

所有 Edge 服务都可以通过 Edge Management API 进行配置,这是一个基于 REST 的 API。这意味着,您可以使用这些 API 来创建、配置和管理 API 代理和 API 产品、创建和管理应用开发者以及应用开发者,以及执行许多其他类型的操作。

3

API 客户端(应用)

API

应用通过边缘路由器上的虚拟主机向 API 代理发出请求,以访问您的 API。

4

Edge

目标端点

API 代理的作用是将 Edge 上的公开可用端点映射到目标端点,目标端点通常由后端服务上的端点定义。边缘消息处理器会访问您的后端服务以响应对 API 代理的请求。

5

路由器

消息处理器

路由器会处理所有 Edge 传入 API 流量,确定处理请求的 API 代理,在可用消息处理器之间平衡请求,并分派请求。

云端版本的 Edge 通常配置为让路由器处理来自 API 客户端的所有请求。私有云客户可以在路由器之前使用负载平衡器来处理请求。下图展示了 API 客户端通过负载平衡器访问 Edge 而不是直接访问路由器的场景:

通过负载平衡器发出请求的 API 客户端。

在 Private Cloud 安装中,负载平衡器的存在取决于您的 Edge 网络配置。

使用负载平衡器时,您可以在 API 客户端和负载平衡器之间配置 TLS,并根据需要在负载平衡器和路由器之间配置 TLS,如下表所述:

来源

目标位置

说明

6

API 客户端(应用)

负载均衡器

应用通过负载平衡器向 API 代理发出请求,从而访问您的 API。该负载平衡器将请求转发到边缘路由器。

您可以在负载平衡器的入口点配置 TLS。配置 TLS 的方式取决于负载平衡器。

7

负载均衡器

路由器

根据您的配置,您可以配置从负载平衡器对路由器的 TLS 访问。在这种情况下,您可以像负载平衡器不存在一样配置 TLS。

或者,如果负载平衡器和路由器位于同一安全网域中,则可能不需要 TLS 配置。不过,这取决于您的网络配置。

开发者服务门户使用 TLS 的情况

下图显示了该门户使用 TLS 的两个位置:

该门户使用 TLS 处理来自应用开发者的请求以及向 Edge 发出请求

适用于私有云的 Apigee Edge 和 Edge Cloud 客户在这两个连接上都配置 TLS。下表更详细地介绍了这些连接:

来源

目标位置

说明

1

门户

边缘管理 API

门户并非独立系统运行。相反,门户使用的大部分信息实际上存储在 Edge 上,Edge 可以部署在 Cloud 中,也可以部署在 Edge for Private Cloud 中。

在此场景中,门户通过向 Edge Management API 发出请求来充当 TLS 客户端。作为 TLS 服务器,由边缘来配置 TLS。

2

应用开发者

门户

开发者登录门户以注册应用并接收 API 密钥。由于连接需要开发者传递登录凭据,并且需要门户发送应用密钥,因此应将其配置为使用 TLS。

如需详细了解如何为云端版本和适用于私有云的 Apigee Edge 门户配置 TLS,请参阅在门户上使用 TLS