Como permitir que a IU de borda acesse endereços IP locais

Edge para nuvem privada v. 4.16.09

Há vários lugares em que a IU do Edge tenta acessar um endereço IP local:

  • A ferramenta Trace na IU do Edge pode enviar e receber solicitações de API para qualquer URL especificado. Em determinados cenários de implantação em que componentes do Edge são co-hospedados com outros serviços internos, um usuário mal-intencionado pode fazer uso indevido do poder da ferramenta Trace, fazendo solicitações para endereços IP privados.
  • Ao criar um proxy de API a partir de uma especificação OpenAPI, a especificação descreve tais elementos de uma API como caminho base, caminhos e verbos, cabeçalhos e muito mais. Como parte da especificação, é possível especificar um caminho base do proxy que se refere a um endereço IP particular.
  • Ao criar um proxy de API a partir de um arquivo WSDL localizado no sistema de arquivos local.

Por padrão, a IU do Edge não pode referenciar endereços IP particulares. A lista de endereços IP privados inclui:

  • Endereço de loopback (127.0.0.1 ou localhost)
  • Endereços locais do site (para IPv4 - 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
  • Qualquer endereço local (qualquer endereço que resolva como localhost).

Se você quiser permitir que a IU do Edge acesse endereços IP particulares, defina os seguintes tokens:

  • Para a ferramenta Trace, a propriedade conf_apigee-base_apigee.feature.enabletraceforinternaladdresses é desativada por padrão. Defina-o como verdadeiro para permitir que a ferramenta Trace acesse endereços IP particulares.
  • Para as especificações da OpenAPI, a propriedade conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses é desativada por padrão. Defina-o como verdadeiro para ativar um acesso OpenAPI a endereços IP privados. Requer Edge 4.16.09.01. Para mais informações, consulte 4.16.09.01 - Notas de lançamento do Edge para nuvem privada.
  • Para arquivos WSDL, a propriedade conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses é desativada por padrão. Defina-o como verdadeiro para ativar o upload de um arquivo WSDL a partir de endereços IP privados.

Para definir essas propriedades como verdadeiras:

  1. Abra o arquivo ui.properties em um editor. Se o arquivo não existir, crie-o.
    > vi /<inst_root>/apigee/customer/application/ui.properties
  2. Defina as seguintes propriedades como verdadeiras:
    conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
  3. Salve as alterações em ui.properties.
  4. Reinicie a IU do Edge:
    > /<inst_root>/apigee/apigee-service/bin/apigee-service reiniciação de IU

A IU do Edge agora pode acessar endereços IP locais.