Edge per il cloud privato versione 4.17.09
L'interfaccia utente di Edge potrebbe tentare di accedere a un indirizzo IP locale in diversi punti. Questi indirizzi IP locali potrebbero corrispondere a risorse private o altrimenti protette che non devono essere esposte a utenti esterni:
- Lo strumento Trace nell'interfaccia utente perimetrale è in grado di inviare e ricevere una richiesta API a qualsiasi URL specificato. In alcuni scenari di deployment in cui i componenti di Edge sono co-ospitati con altri servizi interni, un utente dannoso può abusare della potenza dello strumento Trace inviando richieste a indirizzi IP privati.
- Quando crei un proxy API da una specifica OpenAPI, questa specifica descrive gli elementi di un'API come percorso di base, percorsi e verbi, intestazioni e altro ancora. Nell'ambito delle specifiche, un utente malintenzionato può specificare un percorso di base del proxy che fa riferimento a un indirizzo IP privato.
- Quando crei un proxy API da un file WSDL posizionato nel tuo file system locale.
Per motivi di sicurezza, per impostazione predefinita la UI di Edge non può fare riferimento a indirizzi IP privati. L'elenco di indirizzi IP privati include:
- Indirizzo loopback (127.0.0.1 o localhost)
- Indirizzi locali del sito (per IPv4 - 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
- Qualsiasi indirizzo locale (qualsiasi indirizzo che indirizzi a localhost).
Se vuoi abilitare la UI perimetrale per accedere agli indirizzi IP privati, imposta i seguenti token:
- Per lo strumento Trace, la proprietà conf_apigee-base_apigee.feature.enabletraceforinternaladdresses è disattivata per impostazione predefinita. Impostalo su vero per abilitare l'accesso dello strumento Trace agli indirizzi IP privati.
- Per le specifiche OpenAPI, la proprietà conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses è disattivata per impostazione predefinita. Impostalo su true per abilitare un accesso OpenAPI agli indirizzi IP privati.
- Per i file WSDL, la proprietà conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses è disattivata per impostazione predefinita. Impostalo su true per abilitare il caricamento di un file WSDL da indirizzi IP privati.
Per impostare queste proprietà su true:
- Apri il file ui.properties in un editor. Se il file non esiste, crealo.
> vi /opt/apigee/customer/application/ui.properties - Imposta le seguenti proprietà su true:
conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true"
conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true"
conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true" - Salva le modifiche apportate a ui.properties.
- Assicurati che il file delle proprietà sia di proprietà dell'utente " Apigee":
> chown Apigee:Apigee /opt/apigee/customer/application/ui.properties - Riavvia l'interfaccia utente di Edge:
> /opt/apigee/apigee-service/bin/apigee-service edge-ui riavvia
Ora la UI di Edge può accedere agli indirizzi IP locali.