Edge pour Private Cloud v. 4.17.01
Par défaut, vous accédez à l'UI de gestion Edge via HTTP à l'aide de l'adresse IP du nœud du serveur de gestion et du port 9000. Exemple :
http://ms_IP:9000
Vous pouvez également configurer l'accès TLS à l'UI de gestion afin d'y accéder sous la forme suivante:
https://ms_IP:9443
Dans cet exemple, vous configurez l'accès TLS pour utiliser le port 9443. Cependant, ce numéro de port n'est pas requis par Edge. Vous pouvez configurer le serveur de gestion pour utiliser d'autres valeurs de port. La seule condition requise est que votre pare-feu autorise le trafic sur le port spécifié.
Assurez-vous que votre port TLS est ouvert
La procédure de cette section configure TLS pour qu'il utilise le port 9443 sur le serveur de gestion. Quel que soit le port que vous utilisez, vous devez vous assurer qu'il est ouvert sur le serveur de gestion. Par exemple, vous pouvez utiliser la commande suivante pour l'ouvrir:
$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
Configurer TLS
Pour configurer l'accès TLS à l'UI de gestion, procédez comme suit:
- Générez le fichier JKS du keystore contenant votre certification TLS et votre clé privée, puis copiez-le sur le nœud du serveur de gestion. Pour en savoir plus, consultez Configurer TLS/SSL pour Edge sur site.
- Exécutez la commande suivante pour configurer TLS:
$ /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl - Saisissez le numéro de port HTTPS, par exemple 9443.
- Indiquez si vous souhaitez désactiver l'accès HTTP à l'interface utilisateur de gestion. Par défaut, l'UI de gestion est accessible via HTTP sur le port 9000.
- Saisissez l'algorithme du keystore. La valeur par défaut est JKS.
- Saisissez le chemin absolu vers le fichier JKS du keystore.
Le script copie le fichier dans le répertoire /opt/apigee/customer/conf sur le nœud du serveur de gestion et attribue la propriété du fichier à apigee. - Saisissez le mot de passe du keystore en texte clair.
- Le script redémarre ensuite l'UI de gestion Edge. Après le redémarrage, l'UI de gestion est compatible avec l'accès via TLS.
Vous pouvez consulter ces paramètres dans /opt/apigee/etc/edge-ui.d/SSL.sh.
Vous pouvez également transmettre un fichier de configuration à la commande au lieu de répondre aux invites. Le fichier de configuration accepte les propriétés suivantes:
HTTPSPORT=9443 DISABLE_HTTP=y KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
Exécutez ensuite la commande suivante pour configurer TLS de l'UI Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
Configurer l'UI Edge lorsque TLS se termine sur l'équilibreur de charge
Si vous disposez d'un équilibreur de charge qui transfère les requêtes vers l'UI Edge, vous pouvez choisir de mettre fin à la connexion TLS sur l'équilibreur de charge, puis de demander à l'équilibreur de charge de transférer les requêtes vers l'UI Edge via HTTP. Cette configuration est compatible, mais vous devez configurer l'équilibreur de charge et l'interface utilisateur Edge en conséquence.
La configuration supplémentaire est requise lorsque l'UI Edge envoie aux utilisateurs des e-mails pour définir leur mot de passe lors de leur création ou lorsqu'ils demandent à réinitialiser un mot de passe perdu. Cet e-mail contient une URL que l'utilisateur sélectionne pour définir ou réinitialiser un mot de passe. Par défaut, si l'interface utilisateur Edge n'est pas configurée pour utiliser TLS, l'URL dans l'e-mail généré utilise le protocole HTTP et non HTTPS. Vous devez configurer l'équilibreur de charge et l'interface utilisateur Edge pour générer une adresse e-mail qui utilise HTTPS.
Pour configurer l'équilibreur de charge, assurez-vous qu'il définit l'en-tête suivant sur les requêtes transférées à l'UI Edge:
X-Forwarded-Proto: https
Pour configurer l'interface utilisateur Edge:
- Ouvrez le fichier /opt/apigee/customer/application/ui.properties dans un éditeur. Si le fichier n'existe pas, créez-le:
> vi /opt/apigee/customer/application/ui.properties - Définissez la propriété suivante dans ui.properties:
conf/application.conf+trustxforwarded=true - Enregistrez les modifications apportées à ui.properties.
- Redémarrez l'interface utilisateur Edge:
> /opt/apigee/apigee-service/bin/apigee-service Edge-ui restart