הרשאת גישה לממשק המשתמש של Edge לכתובות IP מקומיות

Edge for Private Cloud v. 4.17.05

יש כמה מקומות שבהם ממשק המשתמש של Edge עשוי לנסות לגשת לכתובת IP מקומית. כתובת ה-IP המקומית הזו עשויה להתאים למשאבים פרטיים או מוגנים אחרים שלא צריכים להיות גלויים למשתמשים חיצוניים:

  • כלי המעקב בממשק המשתמש של Edge יכול לשלוח בקשות API ולקבל אותן לכל כתובת URL שצוינה. בתרחישי פריסה מסוימים שבהם רכיבי Edge מתארחים יחד עם שירותים פנימיים אחרים, משתמש זדוני עלול לנצל לרעה את כוחו של כלי המעקב כדי לשלוח בקשות לכתובות IP פרטיות.
  • כשיוצרים שרת proxy מ-API ממפרט OpenAPI, המפרט מתאר רכיבים כאלה של API כנתיב הבסיס, הנתיבים והפעלים, הכותרות ועוד. כחלק מהמפרט, משתמש זדוני יכול לציין נתיב בסיסי של שרת ה-proxy שמפנה לכתובת IP פרטית.
  • בעת יצירת שרת proxy ל-API מקובץ WSDL שנמצא במערכת הקבצים המקומית שלכם.

מטעמי אבטחה, כברירת מחדל ממשק המשתמש של Edge לא יכול להפנות לכתובות IP פרטיות. הרשימה של כתובות ה-IP הפרטיות כוללת:

  • כתובת לולאה חוזרת (127.0.0.1 או מארח מקומי)
  • כתובות מקומיות-מקומיות (ב-IPv4 - 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
  • כל כתובת מקומית (כל כתובת שמסתיימת ב-localhost).

אם אתם רוצים לאפשר לממשק המשתמש של Edge לגשת לכתובות IP פרטיות, עליכם להגדיר את האסימונים הבאים:

  • בכלי המעקב, המאפיין conf_apigee-base_apigee.feature.enabletraceforinternaladdresses מושבת כברירת מחדל. יש להגדיר את הערך כ-True כדי לאפשר לכלי Trace לגשת לכתובות IP פרטיות.
  • במפרטים של OpenAPI, המאפיין conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses מושבת כברירת מחדל. יש להגדיר את הערך כ-True כדי לאפשר גישת OpenAPI לכתובות IP פרטיות.
  • בקובצי WSDL, המאפיין conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses מושבת כברירת מחדל. יש להגדיר אותו כ-true כדי לאפשר העלאה של קובץ WSDL מכתובות IP פרטיות.

כדי להגדיר את הנכסים האלה כ-true:

  1. פותחים את הקובץ ui.properties בעורך. אם הקובץ לא קיים, יוצרים אותו.
    > vi /opt/apigee/customer/application/ui.properties
  2. מגדירים את המאפיינים הבאים כ-true:
    conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
  3. שומרים את השינויים שביצעתם ב-ui.properties.
  4. יש לוודא שקובץ המאפיינים הוא בבעלות המשתמש 'apigee':
    > chown apigee:apigee /opt/apigee/customer/application/ui.properties
  5. מפעילים מחדש את ממשק המשתמש של Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui start

ממשק המשתמש של Edge יכול עכשיו לגשת לכתובות IP מקומיות.