이 페이지는 Cloud Translation API를 통해 번역되었습니다.

관리 UI에 TLS 구성

Private Cloud용 Edge v. 4.16.09

기본적으로 관리 서버 노드 및 포트 9000. 예를 들면 다음과 같습니다.

http://ms_IP:9000

또는 관리 UI에 대한 TLS 액세스를 구성하여 양식:

https://ms_IP:9443

이 예시에서는 포트 9443을 사용하도록 TLS 액세스를 구성합니다. 그러나 해당 포트 번호는 다른 포트 값을 사용하도록 관리 서버를 구성할 수 있습니다. 유일한 방화벽이 지정된 포트를 통한 트래픽을 허용해야 합니다.

TLS 포트가 열려 있는지 확인하세요.

이 섹션의 절차는 관리 서버에서 포트 9443을 사용하도록 TLS를 구성합니다. 사용하는 포트와 관계없이 관리에서 포트가 열려 있는지 확인해야 합니다. 서버. 예를 들어 다음 명령어를 사용하여 파일을 열 수 있습니다.

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

드림 <ph type="x-smartling-placeholder">

</ph> 참고: 이 예시에서는 TLS 포트에 대해 일반적인 포트 443이 아닌 포트 9443을 사용합니다. 그 이유는 1024 미만의 포트는 일반적으로 운영 체제에 의해 보호되며 루트 액세스 권한을 얻기 위해 액세스하는 프로세스입니다. Edge UI는 'Apigee'로 실행됩니다. 사용자와 일반적으로 1024 미만의 포트에 액세스할 수 없습니다.

한 가지 대안은 Edge UI에서 부하 분산기를 사용하고 부하 시 TLS를 종료하는 것입니다. 포트 443의 부하 분산기를 사용합니다 그런 다음 부하 분산기와 HTTP(S) 부하 분산기 사이에 HTTP 또는 HTTPS를 Edge UI입니다.

또 다른 방법은 iptables를 사용하여 요청을 포트 443으로 전달하는 것입니다. 포트 9443으로 설정합니다. 예를 들면 다음과 같습니다.

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS 구성

관리 UI에 대한 TLS 액세스를 구성하려면 다음 절차를 따르세요.

TLS 인증서와 비공개 키가 포함된 키 저장소 JKS 파일을 생성하고 사본을 관리 서버 노드로 보냅니다 자세한 내용은 Edge 온프레미스에 TLS/SSL 구성을 참조하세요.
다음 명령어를 실행하여 TLS를 구성합니다.
$ /opt/apigee/apigee-service/bin/apigee-service Edge-ui configure-ssl
HTTPS 포트 번호(예: 9443)를 입력합니다.
관리 UI에 대한 HTTP 액세스를 사용 중지할지 지정합니다. 기본적으로 관리는 UI는 포트 9000에서 HTTP를 통해 액세스할 수 있습니다.
키 저장소 알고리즘을 입력합니다. 기본값은 JKS입니다.
키 저장소 JKS 파일의 절대 경로를 입력하세요.

스크립트는 파일을 Google Cloud 프로젝트의 /opt/apigee/customer/conf 디렉터리에 관리 서버 노드로 이전하고 파일의 소유권을 apigee로 변경합니다.
일반 텍스트 키 저장소 비밀번호를 입력합니다.
그러면 스크립트가 Edge 관리 UI를 다시 시작합니다. 재시작 후 관리 UI TLS를 통한 액세스를 지원합니다
이 설정은 /opt/apigee/etc/edge-ui.d/SSL.sh에서 확인할 수 있습니다.

프롬프트에 응답하는 대신 명령어에 구성 파일을 전달할 수도 있습니다. 구성 파일에는 다음 속성이 사용됩니다.

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

그런 후 다음 명령어를 사용하여 Edge UI의 TLS를 구성합니다.

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

TLS 사용 시 Edge UI 구성 부하 분산기에서 종료되며

요청을 Edge UI로 전달하는 부하 분산기가 있는 경우 부하 분산기에서 TLS 연결을 종료한 다음 부하 분산기가 전달하도록 에지 UI에 대한 요청을 HTTP를 통해 전송합니다 이 구성은 지원되지만 에지 UI를 적절하게 설정합니다

Edge UI에서 설정을 위해 사용자에게 이메일을 보내는 경우 추가 구성이 필요합니다. 사용자가 생성되었을 때 또는 사용자가 분실한 비밀번호 재설정을 요청할 때 이 이메일 에는 사용자가 비밀번호를 설정하거나 재설정하기 위해 선택한 URL이 포함됩니다. 기본적으로 Edge UI가 구성되지 않은 경우 생성된 이메일의 URL은 HTTPS가 아닌 HTTP 프로토콜을 사용합니다. 부하 분산기 및 Edge UI를 구성하여 HTTPS를 사용합니다.

부하 분산기를 구성하려면 전달된 요청에 다음 헤더가 설정되어 있는지 확인하세요. 다음과 같이 Edge UI에 추가합니다.

X-Forwarded-Proto: https

Edge UI를 구성하려면 다음 안내를 따르세요.

/opt/apigee/customer/application/ui.properties를 엽니다. 파일을 편집할 수 있습니다. 파일이 존재하지 않으면 다음과 같이 만듭니다.
> 베트남어 /opt/apigee/customer/application/ui.properties
ui.properties:
에서 다음 속성을 설정합니다. conf/application.conf+trustxforwarded=true
ui.properties에 변경사항을 저장합니다.
Edge UI를 다시 시작합니다.
> /opt/apigee/apigee-service/bin/apigee-service Edge-ui 다시 시작