このページは Cloud Translation API によって翻訳されました。

管理 UI の TLS の構成

Edge for Private Cloud バージョン 4.16.09

デフォルトでは、Management Server ノードの IP アドレスとポート 9000 を使用して、HTTP で Edge 管理 UI にアクセスします。例:

http://ms_IP:9000

また、次の形式で管理 UI にアクセスできるように、管理 UI への TLS アクセスを構成することもできます。

https://ms_IP:9443

この例では、ポート 9443 を使用するように TLS アクセスを構成します。ただし、Edge では、このポート番号は必要ありません。他のポート番号を使用するように Management Server を構成できます。唯一の要件は、ファイアウォールが指定されたポートでトラフィックを許可することです。

TLS ポートが開いていることを確認する

このセクションの手順では、Management Server でポート 9443 を使用するように TLS を構成します。使用するポートに関係なく、Management Server でポートが開いている必要があります。たとえば、次のコマンドを使用して開くことができます。

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

注: この例では、TLS ポートにポート 9443 を使用し、より一般的なポート 443 を使用しません。通常、1024 未満のポートはオペレーティングシステムによって保護されており、ポートにアクセスするプロセスには root アクセス権が必要であるためです。Edge UI は「apigee」ユーザーとして実行されるため、通常は 1024 未満のポートにアクセスできません。

別の方法として、Edge UI でロードバランサを使用し、TLS をロードバランサ上でポート 443 で終端させることができます。これにより、ロードバランサと Edge UI の間で HTTP または HTTPS のいずれかを使用できます。

また、iptables を使用して、ポート 443 へのリクエストをポート 9443 に転送する方法もあります。例:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS の構成

管理 UI への TLS アクセスを構成するには、次の操作を行います。

TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成し、Management Server ノードにコピーします。詳細については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。
次のコマンドを実行して TLS を構成します。
$ /opt/apigee/apigee-service/bin/apigee-service edge-uiconfigure-ssl
HTTPS ポート番号を入力します（例: 9443）。
管理 UI への HTTP アクセスを無効にするかどうかを指定します。デフォルトでは、管理 UI には HTTP 経由でポート 9000 でアクセスできます。
キーストアアルゴリズムを入力します。デフォルトは JKS です。
キーストア JKS ファイルへの絶対パスを入力します。

このスクリプトは、Management Server ノードの /opt/apigee/customer/conf ディレクトリにファイルをコピーし、ファイルの所有権を apigee に変更します。
クリアテキストのキーストアのパスワードを入力します。
その後、このスクリプトにより Edge 管理 UI が再起動されます。再起動後、管理 UI で TLS 経由のアクセスがサポートされます。
これらの設定は、/opt/apigee/etc/edge-ui.d/SSL.sh で確認できます。

プロンプトに応答する代わりに、構成ファイルをコマンドに渡すこともできます。構成ファイルには次のプロパティがあります。

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

その後、次のコマンドを使用して Edge UI の TLS を構成します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

TLS がロードバランサで終端する場合の Edge UI の構成

Edge UI にリクエストを転送するロードバランサがある場合は、ロードバランサで TLS 接続を終端し、ロードバランサから HTTP 経由で Edge UI にリクエストを転送することもできます。この構成はサポートされていますが、それに応じてロードバランサと Edge UI を構成する必要があります。

ユーザーが作成されたとき、またはユーザーが紛失したパスワードのリセットをリクエストしたときに、Edge UI からユーザーにパスワード設定のメールが送信される場合は、追加の構成が必要です。このメールには、ユーザーがパスワードの設定または再設定のために選択した URL が記載されています。デフォルトでは、Edge UI が TLS を使用するように構成されていない場合、生成されるメールの URL は HTTPS ではなく HTTP プロトコルを使用します。HTTPS を使用するメールアドレスを生成するように、ロードバランサと Edge UI を構成する必要があります。

ロードバランサを構成するには、Edge UI に転送されるリクエストに次のヘッダーを設定します。

X-Forwarded-Proto: https

Edge UI を構成するには:

エディタで /opt/apigee/customer/application/ui.properties ファイルを開きます。ファイルが存在しない場合は作成します。
> vi /opt/apigee/customer/application/ui.properties
ui.properties に次のプロパティを設定します。
conf/application.conf+trustxforwarded=true
ui.properties に変更を保存します。
Edge UI を再起動します。
> /opt/apigee/apigee-service/bin/apigee-service edge-ui restart