Edge for Private Cloud w wersji 4.17.05
Domyślnie dostęp do interfejsu zarządzania brzegiem jest uzyskiwany przez HTTP przy użyciu adresu IP Węzeł serwera zarządzania i port 9000. Na przykład:
http://ms_IP:9000
Możesz też skonfigurować dostęp TLS do interfejsu zarządzania, aby mieć do niego dostęp w formularz:
https://ms_IP:9443
W tym przykładzie skonfigurujesz dostęp TLS tak, aby używał portu 9443. Ten numer portu nie jest jednak wymagane przez serwer Edge – możesz skonfigurować serwer zarządzania tak, aby używał innych wartości portów. Jedyna wymaganiem jest, aby zapora sieciowa zezwalała na ruch przez określony port.
Sprawdź, czy port TLS jest otwarty
Procedura opisana w tej sekcji konfiguruje TLS do korzystania z portu 9443 na serwerze zarządzania. Niezależnie od używanego portu musisz sprawdzić, czy port jest otwarty w sekcji zarządzania Serwer Możesz na przykład otworzyć je za pomocą tego polecenia:
$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
Konfigurowanie TLS
Aby skonfigurować dostęp TLS do interfejsu zarządzania:
- Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS, klucz prywatny i kopię go do węzła serwera zarządzania. Więcej informacji znajdziesz w artykule Konfigurowanie TLS/SSL dla usługi Edge On.
- Aby skonfigurować TLS, uruchom to polecenie:
$ /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl - Wpisz numer portu HTTPS, np. 9443.
- Określ, czy chcesz wyłączyć dostęp HTTP do interfejsu zarządzania. Domyślnie interfejs zarządzania jest dostępny przez HTTP na porcie 9000.
- Wpisz algorytm magazynu kluczy. Wartość domyślna to JKS.
- Wpisz ścieżkę bezwzględną do pliku JKS magazynu kluczy.
Skrypt kopiuje plik do katalogu /opt/apigee/customer/conf w węzła serwera zarządzania i zmienia własność pliku na apigee. - Wpisz hasło magazynu kluczy zwykłego tekstu.
- Następnie skrypt ponownie uruchamia interfejs zarządzania Edge. Po ponownym uruchomieniu interfejs zarządzania będzie obsługiwał dostęp przez TLS.
Znajdziesz te ustawienia pod adresem /opt/apigee/etc/edge-ui.d/SSL.sh.
Zamiast odpowiadać na prompty, możesz też przekazać do polecenia plik konfiguracyjny. Plik konfiguracji zawiera te właściwości:
HTTPSPORT=9443 DISABLE_HTTP=y KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
Następnie użyj tego polecenia, aby skonfigurować TLS interfejsu Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
Konfigurowanie interfejsu Edge przy korzystaniu z protokołu TLS kończy się w systemie równoważenia obciążenia
Jeśli masz system równoważenia obciążenia, który przekierowuje żądania do interfejsu Edge, możesz zakończyć połączenie TLS w systemie równoważenia obciążenia, a następnie przekierować żądania do interfejsu Edge przez HTTP. Ta konfiguracja jest obsługiwana, ale musisz odpowiednio skonfigurować system równoważenia obciążenia i interfejs użytkownika Edge.
Dodatkowa konfiguracja jest wymagana, gdy interfejs Edge wysyła użytkownikom e-maile w celu określenia ich po utworzeniu użytkownika lub po wysłaniu przez niego prośby o zresetowanie utraconego hasła. Ten e-mail zawiera adres URL, który użytkownik wybiera, aby ustawić lub zresetować hasło. Domyślnie, jeśli interfejs Edge nie jest skonfigurowany do używania TLS, adres URL w wygenerowanym e-mailu używa protokołu HTTP, a nie HTTPS. Musisz skonfigurować system równoważenia obciążenia i interfejs Edge, aby generował adres e-mail, który używa HTTPS.
Aby skonfigurować system równoważenia obciążenia, upewnij się, że ustawia on ten nagłówek w żądaniach przekierowanych do interfejsu Edge:
X-Forwarded-Proto: https
Aby skonfigurować interfejs Edge:
- Otwórz /opt/apigee/customer/application/ui.properties
w edytorze. Jeśli plik nie istnieje, utwórz go:
> vi /opt/apigee/customer/application/ui.properties - Ustaw tę właściwość w pliku ui.properties:
conf/application.conf+trustxforwarded=true - Zapisz zmiany w pliku ui.properties.
- Uruchom ponownie interfejs Edge:
> /opt/apigee/apigee-service/bin/apigee-service edge-ui restart