Autorizzazione dell'accesso alla UI perimetrale agli indirizzi IP locali

Edge per il cloud privato versione 4.17.09

L'interfaccia utente di Edge potrebbe tentare di accedere a un indirizzo IP locale in diversi punti. Questi indirizzi IP locali potrebbero corrispondere a risorse private o altrimenti protette che non devono essere esposte a utenti esterni:

  • Lo strumento Trace nell'interfaccia utente perimetrale è in grado di inviare e ricevere una richiesta API a qualsiasi URL specificato. In alcuni scenari di deployment in cui i componenti di Edge sono co-ospitati con altri servizi interni, un utente dannoso può abusare della potenza dello strumento Trace inviando richieste a indirizzi IP privati.
  • Quando crei un proxy API da una specifica OpenAPI, questa specifica descrive gli elementi di un'API come percorso di base, percorsi e verbi, intestazioni e altro ancora. Nell'ambito delle specifiche, un utente malintenzionato può specificare un percorso di base del proxy che fa riferimento a un indirizzo IP privato.
  • Quando crei un proxy API da un file WSDL posizionato nel tuo file system locale.

Per motivi di sicurezza, per impostazione predefinita la UI di Edge non può fare riferimento a indirizzi IP privati. L'elenco di indirizzi IP privati include:

  • Indirizzo loopback (127.0.0.1 o localhost)
  • Indirizzi locali del sito (per IPv4 - 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
  • Qualsiasi indirizzo locale (qualsiasi indirizzo che indirizzi a localhost).

Se vuoi abilitare la UI perimetrale per accedere agli indirizzi IP privati, imposta i seguenti token:

  • Per lo strumento Trace, la proprietà conf_apigee-base_apigee.feature.enabletraceforinternaladdresses è disattivata per impostazione predefinita. Impostalo su vero per abilitare l'accesso dello strumento Trace agli indirizzi IP privati.
  • Per le specifiche OpenAPI, la proprietà conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses è disattivata per impostazione predefinita. Impostalo su true per abilitare un accesso OpenAPI agli indirizzi IP privati.
  • Per i file WSDL, la proprietà conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses è disattivata per impostazione predefinita. Impostalo su true per abilitare il caricamento di un file WSDL da indirizzi IP privati.

Per impostare queste proprietà su true:

  1. Apri il file ui.properties in un editor. Se il file non esiste, crealo.
    > vi /opt/apigee/customer/application/ui.properties
  2. Imposta le seguenti proprietà su true:
    conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
  3. Salva le modifiche apportate a ui.properties.
  4. Assicurati che il file delle proprietà sia di proprietà dell'utente " Apigee":
    > chown Apigee:Apigee /opt/apigee/customer/application/ui.properties
  5. Riavvia l'interfaccia utente di Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui riavvia

Ora la UI di Edge può accedere agli indirizzi IP locali.