이 페이지는 Cloud Translation API를 통해 번역되었습니다.

관리 UI에 TLS 구성

Private Cloud용 Edge v. 4.17.05

기본적으로 관리 서버 노드의 IP 주소와 포트 9000을 사용하여 HTTP를 통해 Edge 관리 UI에 액세스합니다. 예를 들면 다음과 같습니다.

http://ms_IP:9000

또는 관리 UI에 대한 TLS 액세스를 구성하여 양식:

https://ms_IP:9443

이 예에서는 포트 9443을 사용하도록 TLS 액세스를 구성합니다. 그러나 해당 포트 번호는 다른 포트 값을 사용하도록 관리 서버를 구성할 수 있습니다. 유일한 방화벽이 지정된 포트를 통한 트래픽을 허용해야 합니다.

TLS 포트가 열려 있는지 확인

이 섹션의 절차에서는 관리 서버에서 포트 9443을 사용하도록 TLS를 구성합니다. 사용하는 포트에 관계없이 관리 서버에서 포트가 열려 있는지 확인해야 합니다. 예를 들어 다음 명령어를 사용하여 파일을 열 수 있습니다.

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

참고: 이 예에서는 일반적인 포트 443이 아닌 포트 9443을 TLS 포트로 사용합니다. 그 이유는 1024 미만의 포트는 일반적으로 운영체제에서 보호하며 이러한 포트에 액세스하는 프로세스에 루트 액세스 권한이 있어야 하기 때문입니다. Edge UI는 'apigee' 사용자로 실행되므로 일반적으로 1024 미만의 포트에 액세스할 수 없습니다.

한 가지 대안은 Edge UI에서 부하 분산기를 사용하고 부하 시 TLS를 종료하는 것입니다. 포트 443에 분산 부하를 분산할 수 있습니다 그런 다음 부하 분산기와 Edge UI 간에 HTTP 또는 HTTPS를 사용할 수 있습니다.

또 다른 방법은 iptables를 사용하여 요청을 포트 443으로 전달하는 것입니다. 포트 9443으로 설정합니다. 예를 들면 다음과 같습니다.

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS 구성

다음 절차에 따라 관리 UI에 대한 TLS 액세스를 구성합니다.

TLS 인증서와 비공개 키가 포함된 키 저장소 JKS 파일을 생성하고 사본을 관리 서버 노드로 보냅니다 자세한 내용은 Edge 온프레미스용 TLS/SSL 구성을 참고하세요.
다음 명령어를 실행하여 TLS를 구성합니다.
$ /opt/apigee/apigee-service/bin/apigee-service Edge-ui configuration-ssl
HTTPS 포트 번호(예: 9443)를 입력합니다.
관리 UI에 대한 HTTP 액세스를 사용 중지할지 지정합니다. 기본적으로 관리 UI는 포트 9000의 HTTP를 통해 액세스할 수 있습니다.
키 저장소 알고리즘을 입력합니다. 기본값은 JKS입니다.
키 저장소 JKS 파일의 절대 경로를 입력합니다.

스크립트는 파일을 관리 서버 노드의 /opt/apigee/customer/conf 디렉터리에 복사하고 파일의 소유권을 apigee로 변경합니다.
일반 텍스트 키 저장소 비밀번호를 입력합니다.
그러면 스크립트가 Edge 관리 UI를 다시 시작합니다. 다시 시작하면 관리 UI에서 TLS를 통한 액세스를 지원합니다.
/opt/apigee/etc/edge-ui.d/SSL.sh에서 이러한 설정을 확인할 수 있습니다.

프롬프트에 응답하는 대신 명령어에 구성 파일을 전달할 수도 있습니다. 구성 파일에는 다음 속성이 사용됩니다.

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

그런 다음 다음 명령어를 사용하여 Edge UI의 TLS를 구성합니다.

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

TLS 사용 시 Edge UI 구성 부하 분산기에서 종료되며

요청을 Edge UI로 전달하는 부하 분산기가 있는 경우 부하 분산기에서 TLS 연결을 종료한 다음 부하 분산기가 전달하도록 에지 UI에 대한 요청을 HTTP를 통해 전송합니다 이 구성은 지원되지만 부하 분산기와 Edge UI를 적절하게 구성해야 합니다.

Edge UI에서 설정을 위해 사용자에게 이메일을 보내는 경우 추가 구성이 필요합니다. 사용자가 생성되었을 때 또는 사용자가 분실한 비밀번호 재설정을 요청할 때 이 이메일에는 사용자가 비밀번호를 설정하거나 재설정하기 위해 선택하는 URL이 포함되어 있습니다. 기본적으로 Edge UI가 TLS를 사용하도록 구성되지 않은 경우 생성된 이메일의 URL은 HTTPS가 아닌 HTTP 프로토콜을 사용합니다. HTTPS를 사용하는 이메일 주소를 생성하도록 부하 분산기와 Edge UI를 구성해야 합니다.

부하 분산기를 구성하려면 전달된 요청에 다음 헤더가 설정되어 있는지 확인하세요. 제공합니다.

X-Forwarded-Proto: https

Edge UI를 구성하려면 다음 안내를 따르세요.

편집기에서 /opt/apigee/customer/application/ui.properties 파일을 엽니다. 파일이 없으면 만듭니다.
> vi /opt/apigee/customer/application/ui.properties
ui.properties에서 다음 속성을 설정합니다.
conf/application.conf+trustxforwarded=true
변경사항을 ui.properties에 저장합니다.
Edge UI를 다시 시작합니다.
> /opt/apigee/apigee-service/bin/apigee-service edge-ui restart