כברירת מחדל, אפשר לגשת לממשק המשתמש החדש של Edge באמצעות HTTP באמצעות כתובת ה-IP או שם ה-DNS של צומת ממשק המשתמש של Edge ויציאה 3001. לדוגמה:
http://newue_IP:3001
לחלופין, תוכלו להגדיר גישת TLS לממשק המשתמש של Edge כך שתוכלו לגשת אליה באמצעות הטופס:
https://newue_IP:3001
דרישות ל-TLS (אבטחת שכבת התעבורה)
ממשק המשתמש של Edge תומך רק ב-TLS (אבטחת שכבת התעבורה) בגרסה 1.2. אם מפעילים את TLS בממשק המשתמש של Edge, המשתמשים חייבים להתחבר לממשק המשתמש של Edge באמצעות דפדפן שתואם ל-TLS v1.2.
מאפייני תצורת TLS
כדי להגדיר TLS עבור ממשק המשתמש של Edge, מריצים את הפקודה הבאה:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
כאשר configFile הוא קובץ התצורה שבו השתמשת כדי להתקין את ממשק המשתמש של Edge.
לפני הרצת הפקודה הזו, צריך לערוך את קובץ התצורה כדי להגדיר את המאפיינים הנדרשים ששולטים ב-TLS. בטבלה הבאה מתוארים המאפיינים שמשמשים להגדרת TLS בממשק המשתמש של Edge:
נכס | התיאור | חובה? |
---|---|---|
MANAGEMENT_UI_SCHEME
|
מגדיר את הפרוטוקול המשמש לגישה לממשק המשתמש של Edge, "http" או "https". ערך ברירת המחדל הוא "http". הגדר אותו ל-"https" כדי להפעיל TLS: MANAGEMENT_UI_SCHEME=https |
כן |
MANAGEMENT_UI_TLS_OFFLOAD
|
אם הערך 'n' מציין שבקשות TLS לממשק המשתמש של Edge מסתיימות
בממשק המשתמש של Edge. צריך להגדיר את אם הערך "y" מציין שבקשות TLS לממשק המשתמש של Edge מסתיימות במאזן עומסים, ומאזן העומסים מעביר את הבקשה לממשק המשתמש של Edge באמצעות HTTP. גם אם סוגרים את ה-TLS במאזן העומסים, ממשק המשתמש של Edge עדיין צריך להיות מודע לכך שהבקשה המקורית הגיעה באמצעות TLS. לדוגמה, קובצי cookie מסוימים כוללים דגלי אבטחה. צריך להגדיר את MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y |
כן |
MANAGEMENT_UI_TLS_KEY_FILE
|
אם הפרמטר MANAGEMENT_UI_TLS_OFFLOAD=n מציין את הנתיב המוחלט
למפתח ה-TLS ולקובצי האישור. הקבצים חייבים להיות בפורמט של קובצי PEM ללא ביטוי סיסמה, ועליהם להיות בבעלות משתמש ה-APIgee.
המיקום המומלץ לקבצים האלה הוא:
/opt/apigee/customer/application/edge-management-ui אם הספרייה לא קיימת, יוצרים אותה. אם |
כן אם MANAGEMENT_UI_TLS_OFFLOAD=n
|
MANAGEMENT_UI_PUBLIC_URIS
|
אם המדיניות אפשר להגדיר את המאפיין הזה על סמך מאפיינים אחרים בקובץ התצורה. לדוגמה: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT כאשר:
מידע נוסף על המאפיינים האלה זמין במאמר התקנת ממשק המשתמש החדש של Edge. אם
|
כן |
MANAGEMENT_UI_TLS_ALLOWED_CIPHERS
|
מגדיר את הרשימה של הצפנות הזמינות של TLS כמחרוזת מופרדת בפסיקים או מופרדת ברווחים. מחרוזת שמופרדת בפסיקים: MANAGEMENT_UI_TLS_ALLOWED_CIPHERS=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 מחרוזת שמופרדת באמצעות רווח ומוקפת במירכאות כפולות:
MANAGEMENT_UI_TLS_ALLOWED_CIPHERS="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" |
|
SHOEHORN_SCHEME
|
לפני שמתקינים את ממשק המשתמש החדש של Edge, צריך להתקין את ממשק המשתמש הבסיסי של Edge, שנקרא shoehor. בקובץ תצורת ההתקנה נעשה שימוש במאפיין הבא כדי לציין את הפרוטוקול המשמש לגישה לממשק המשתמש הבסיסי של Edge, שנקרא "http": SHOEHORN_SCHEME=http ממשק המשתמש הבסיסי של Edge לא תומך ב-TLS, לכן גם כשמפעילים TLS בממשק המשתמש של Edge, המאפיין הזה עדיין צריך להיות מוגדר כ-"http". |
כן, מוגדר ל-http |
הגדרת TLS (אבטחת שכבת התעבורה)
כך מגדירים גישת TLS לממשק המשתמש של Edge:
ליצור את האישור והמפתח של ה-TLS כקובצי PEM ללא ביטוי סיסמה. לדוגמה:
mykey.pem mycert.pem
יש דרכים רבות ליצור אישור ומפתח TLS. לדוגמה, אפשר להריץ את הפקודה הבאה כדי ליצור אישור ומפתח לא חתומים:
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
- מעתיקים את המפתח ואת קובצי האישור לספרייה
/opt/apigee/customer/application/edge-management-ui
. אם הספרייה לא קיימת, יוצרים אותה. מוודאים שהאישור והמפתח הם בבעלות משתמש ה-APIgee:
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את מאפייני ה-TLS הבאים:
# Set to https to enable TLS. MANAGEMENT_UI_SCHEME=https # Do NOT terminate TLS on a load balancer. MANAGEMENT_UI_TLS_OFFLOAD=n # Specify the key and cert. MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem # Leave these properties set to the same values as when you installed the Edge UI: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
כדי להגדיר TLS, מריצים את הפקודה הבאה:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
כאשר configFile הוא השם של קובץ התצורה.
הסקריפט מפעיל מחדש את ממשק המשתמש של Edge.
מריצים את הפקודות הבאות כדי להגדיר ולהפעיל מחדש את shoern:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
אחרי ההפעלה מחדש, ממשק המשתמש של Edge תומך בגישה באמצעות HTTPS. אם לא הצלחת להתחבר לממשק המשתמש של Edge אחרי הפעלת ה-TLS (אבטחת שכבת התעבורה), צריך לנקות את המטמון של הדפדפן ולנסות להתחבר שוב.
הגדרת ממשק המשתמש של Edge כשמסתיימת TLS במאזן העומסים
אם יש לכם מאזן עומסים שמעביר בקשות לממשק המשתמש של Edge, אתם יכולים לסיים את חיבור ה-TLS במאזן העומסים, ואז לבקש להעביר בקשות ממאזן העומסים לממשק המשתמש של Edge באמצעות HTTP:
יש תמיכה בתצורה הזו, אבל צריך להגדיר את מאזן העומסים ואת ממשק המשתמש של Edge בהתאם.
כדי להגדיר את ממשק המשתמש של Edge כאשר TLS מסתיים במאזן העומסים:
עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את מאפייני ה-TLS הבאים:
# Set to https to enable TLS MANAGEMENT_UI_SCHEME=https # Terminate TLS on a load balancer MANAGEMENT_UI_TLS_OFFLOAD=y # Set to the IP address or DNS name of the load balancer. MANAGEMENT_UI_IP=LB_IP_DNS # Set to the port number for the load balancer and Edge UI. # The load balancer and the Edge UI must use the same port number. MANAGEMENT_UI_IP=3001 # Leave these properties set to the same values as when you installed the Edge UI: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
אם מגדירים את
MANAGEMENT_UI_TLS_OFFLOAD=y
, משמיטים את הערכיםMANAGEMENT_UI_TLS_KEY_FILE
ו-MANAGEMENT_UI_TLS_CERT_FILE.
כי הבקשות לממשק המשתמש של Edge מגיעות דרך HTTP.כדי להגדיר TLS, מריצים את הפקודה הבאה:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
כאשר configFile הוא השם של קובץ התצורה.
הסקריפט מפעיל מחדש את ממשק המשתמש של Edge.
מריצים את הפקודות הבאות כדי להגדיר ולהפעיל מחדש את shoern:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
אחרי ההפעלה מחדש, ממשק המשתמש של Edge תומך בגישה באמצעות HTTPS. אם לא הצלחת להתחבר לממשק המשתמש של Edge אחרי הפעלת ה-TLS (אבטחת שכבת התעבורה), צריך לנקות את המטמון של הדפדפן ולנסות להתחבר שוב.
השבתת TLS בממשק המשתמש של Edge
כדי להשבית TLS בממשק המשתמש של Edge:
עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את מאפיין ה-TLS הבא:
# Set to http to disable TLS. MANAGEMENT_UI_SCHEME=http # Only if you had terminated TLS on a load balancer, # reset to the IP address or DNS name of the Edge UI. MANAGEMENT_UI_IP=newue_IP_DNS
כדי להשבית TLS, מריצים את הפקודה הבאה:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
כאשר configFile הוא השם של קובץ התצורה.
הסקריפט מפעיל מחדש את ממשק המשתמש של Edge.
מריצים את הפקודות הבאות כדי להגדיר ולהפעיל מחדש את shoern:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
עכשיו אפשר לגשת לממשק המשתמש של Edge באמצעות HTTP. אם אתם לא מצליחים להתחבר לממשק המשתמש של Edge אחרי ההשבתה של TLS (אבטחת שכבת התעבורה), יש לנקות את המטמון של הדפדפן ולנסות להתחבר שוב.