이 페이지는 Cloud Translation API를 통해 번역되었습니다.

관리 UI에 TLS 구성

Private Cloud용 Edge v. 4.17.01

기본적으로 관리 서버 노드의 IP 주소와 포트 9000을 사용하여 HTTP를 통해 에지 관리 UI에 액세스합니다. 예를 들면 다음과 같습니다.

http://ms_IP:9000

또는 다음과 같은 형식으로 관리 UI에 액세스할 수 있도록 관리 UI에 대한 TLS 액세스를 구성할 수 있습니다.

https://ms_IP:9443

이 예에서는 포트 9443을 사용하도록 TLS 액세스를 구성합니다. 하지만 이 포트 번호는 Edge에 필요하지 않습니다. 다른 포트 값을 사용하도록 관리 서버를 구성할 수 있습니다. 유일한 요구사항은 지정된 포트를 통한 트래픽을 방화벽이 허용하는 것입니다.

TLS 포트가 열려 있는지 확인

이 섹션의 절차는 관리 서버에서 포트 9443을 사용하도록 TLS를 구성합니다. 사용하는 포트에 관계없이 관리 서버에서 포트가 열려 있는지 확인해야 합니다. 예를 들어 다음 명령어를 사용하여 열 수 있습니다.

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

참고: 이 예에서는 일반적인 포트 443이 아닌 포트 9443을 TLS 포트로 사용합니다. 그 이유는 1024 미만의 포트는 일반적으로 운영체제에서 보호하며 이러한 포트에 액세스하는 프로세스에 루트 액세스 권한이 있어야 하기 때문입니다. Edge UI는 'apigee' 사용자로 실행되므로 일반적으로 1024 미만의 포트에 액세스할 수 없습니다.

Edge UI와 함께 부하 분산기를 사용하고 포트 443의 부하 분산기에서 TLS를 종료하는 것도 한 가지 방법입니다. 그런 다음 부하 분산기와 Edge UI 간에 HTTP 또는 HTTPS를 사용할 수 있습니다.

다른 방법으로는 iptables를 사용하여 포트 443의 요청을 포트 9443으로 전달하는 것입니다. 예를 들면 다음과 같습니다.

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS 구성

관리 UI에 대한 TLS 액세스를 구성하려면 다음 절차를 따르세요.

TLS 인증서와 비공개 키가 포함된 키 저장소 JKS 파일을 생성하고 이를 관리 서버 노드에 복사합니다. 자세한 내용은 Edge 온프레미스용 TLS/SSL 구성을 참고하세요.
다음 명령어를 실행하여 TLS를 구성합니다.
$ /opt/apigee/apigee-service/bin/apigee-service Edge-ui configuration-ssl
HTTPS 포트 번호(예: 9443)를 입력합니다.
관리 UI에 대한 HTTP 액세스를 사용 중지할지 지정합니다. 기본적으로 관리 UI는 포트 9000의 HTTP를 통해 액세스할 수 있습니다.
키 저장소 알고리즘을 입력합니다. 기본값은 JKS입니다.
키 저장소 JKS 파일의 절대 경로를 입력합니다.

스크립트는 파일을 관리 서버 노드의 /opt/apigee/customer/conf 디렉터리에 복사하고 파일의 소유권을 apigee로 변경합니다.
일반 텍스트 키 저장소 비밀번호를 입력합니다.
그러면 스크립트가 Edge 관리 UI를 다시 시작합니다. 다시 시작하면 관리 UI에서 TLS를 통한 액세스를 지원합니다.
/opt/apigee/etc/edge-ui.d/SSL.sh에서 이러한 설정을 확인할 수 있습니다.

프롬프트에 응답하는 대신 구성 파일을 명령어에 전달할 수도 있습니다. 구성 파일은 다음 속성을 사용합니다.

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

그런 다음 다음 명령어를 사용하여 Edge UI의 TLS를 구성합니다.

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

부하 분산기에서 TLS가 종료될 때 Edge UI 구성

요청을 Edge UI로 전달하는 부하 분산기가 있는 경우 부하 분산기에서 TLS 연결을 종료한 후 부하 분산기가 HTTP를 통해 요청을 Edge UI로 전달하도록 할 수 있습니다. 이 구성은 지원되지만 부하 분산기와 Edge UI를 적절하게 구성해야 합니다.

Edge UI에서 사용자가 생성될 때 또는 사용자가 분실한 비밀번호 재설정을 요청할 때 비밀번호를 설정하라는 이메일을 사용자에게 전송하는 경우 추가 구성이 필요합니다. 이 이메일에는 사용자가 비밀번호를 설정하거나 재설정하기 위해 선택하는 URL이 포함되어 있습니다. 기본적으로 Edge UI가 TLS를 사용하도록 구성되지 않은 경우 생성된 이메일의 URL은 HTTPS가 아닌 HTTP 프로토콜을 사용합니다. HTTPS를 사용하는 이메일 주소를 생성하도록 부하 분산기 및 Edge UI를 구성해야 합니다.

부하 분산기를 구성하려면 Edge UI로 전달된 요청에 다음 헤더를 설정해야 합니다.

X-Forwarded-Proto: https

Edge UI를 구성하려면 다음 단계를 따르세요.

편집기에서 /opt/apigee/customer/application/ui.properties 파일을 엽니다. 파일이 없으면 만듭니다.
> vi /opt/apigee/customer/application/ui.properties
ui.properties에서 다음 속성을 설정합니다.
conf/application.conf+trustxforwarded=true
변경사항을 ui.properties에 저장합니다.
Edge UI를 다시 시작합니다.
> /opt/apigee/apigee-service/bin/apigee-service edge-ui restart