Como permitir que a IU de borda acesse endereços IP locais

Edge para nuvem privada v. 4.17.09

Há vários locais em que a IU do Edge tenta acessar um endereço IP local. Esses endereços IP locais podem corresponder a recursos privados ou protegidos que não podem ser expostos a usuários externos:

  • A ferramenta Trace na IU do Edge pode enviar e receber solicitações de API para qualquer URL especificado. Em determinados cenários de implantação em que componentes do Edge são co-hospedados com outros serviços internos, um usuário mal-intencionado pode fazer uso indevido do poder da ferramenta Trace, fazendo solicitações para endereços IP privados.
  • Ao criar um proxy de API a partir de uma especificação OpenAPI, a especificação descreve tais elementos de uma API como caminho base, caminhos e verbos, cabeçalhos e muito mais. Como parte da especificação, um usuário mal-intencionado pode especificar um caminho base do proxy que se refere a um endereço IP privado.
  • Ao criar um proxy de API a partir de um arquivo WSDL localizado no sistema de arquivos local.

Por motivos de segurança, por padrão, a IU do Edge é impedida de referenciar endereços IP particulares. A lista de endereços IP privados inclui:

  • Endereço de loopback (127.0.0.1 ou localhost)
  • Endereços locais do site (para IPv4 - 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
  • Qualquer endereço local (qualquer endereço que resolva como localhost).

Se você quiser permitir que a IU do Edge acesse endereços IP particulares, defina os seguintes tokens:

  • Para a ferramenta Trace, a propriedade conf_apigee-base_apigee.feature.enabletraceforinternaladdresses é desativada por padrão. Defina-o como verdadeiro para permitir que a ferramenta Trace acesse endereços IP particulares.
  • Para as especificações da OpenAPI, a propriedade conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses é desativada por padrão. Defina-o como verdadeiro para ativar um acesso OpenAPI a endereços IP privados.
  • Para arquivos WSDL, a propriedade conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses é desativada por padrão. Defina-o como verdadeiro para ativar o upload de um arquivo WSDL a partir de endereços IP privados.

Para definir essas propriedades como verdadeiras:

  1. Abra o arquivo ui.properties em um editor. Se o arquivo não existir, crie-o.
    > vi /opt/apigee/customer/application/ui.properties
  2. Defina as seguintes propriedades como verdadeiras:
    conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
  3. Salve as alterações em ui.properties.
  4. Verifique se o arquivo de propriedades pertence ao usuário "apigee":
    > chown apigee:apigee /opt/apigee/customer/application/ui.properties
  5. Reinicie a IU do Edge:
    > /opt/apigee/apigee-service/bin/Serviço-inicial da Apigee reinicia

A IU do Edge agora pode acessar endereços IP locais.