Edge for Private Cloud v. 4.17.09
在很多情况下,Edge 界面可能会尝试访问本地 IP 地址。这些本地 IP 地址可能对应于不应向外部用户公开的私有资源或受保护的资源:
- 边缘界面中的跟踪工具能够向任何指定的网址发送和接收 API 请求。在某些部署场景中,边缘组件与其他内部服务共同托管,恶意用户可能会向专用 IP 地址发出请求,从而滥用 Trace 工具的功能。
- 根据 OpenAPI 规范创建 API 代理时,该规范将描述 API 的这些元素,作为其基本路径、路径和动词、标头等。根据该规范,恶意用户可以指定代理的专用路径,该路径指的是专用 IP 地址。
- 通过位于本地文件系统中的 WSDL 文件创建 API 代理时。
出于安全原因,系统会阻止边缘界面引用专用 IP 地址。专用 IP 地址列表包括:
- 环回地址(127.0.0.1 或 localhost)
- 网站本地地址(适用于 IPv4 - 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)
- 任何本地地址(解析为 localhost 的任何地址)。
如果您想允许 Edge 界面访问专用 IP 地址,请设置以下令牌:
- 对于 Trace 工具,conf_apigee-base_apigee.feature.enabletraceforinternaladdresses 属性默认处于停用状态。将其设置为 true 即可启用 Trace 工具访问专用 IP 地址。
- 对于 OpenAPI 规范,conf_apigee-base_apigee.featureenableopenapiforinternaladdresses 属性默认处于停用状态。将其设置为 true 即可允许 OpenAPI 访问专用 IP 地址。
- 对于 WSDL 文件,conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses 属性默认处于停用状态。将其设置为 true 可允许从专用 IP 地址上传 WSDL 文件。
要将这些属性设为 true,请按以下步骤操作:
- 在编辑器中打开 ui.properties 文件。如果该文件不存在,请创建该文件。
> vi /opt/apigee/customer/application/ui.properties - 将以下属性设为 true:
conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true"
conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true"
conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true" - 保存对 ui.properties 所做的更改。
- 确保属性文件归“apigee”用户所有:
> chown apigee:apigee /opt/apigee/customer/application/ui.properties - 重启边缘界面:
> /opt/apigee/apigee-service/bin/apigee-service edge-ui restart
边缘界面现在可以访问本地 IP 地址。