Edge pour Private Cloud version 4.17.09
Par défaut, vous accédez à l'interface utilisateur de gestion Edge via HTTP en utilisant l'adresse IP du Nœud de serveur de gestion et port 9000. Exemple :
http://ms_IP:9000
Vous pouvez également configurer l'accès TLS à l'interface utilisateur de gestion pour y accéder dans au format suivant:
https://ms_IP:9443
Dans cet exemple, vous configurez l'accès TLS pour utiliser le port 9443. Cependant, ce numéro de port n'est pas requis par Edge. Vous pouvez configurer le serveur de gestion pour qu'il utilise d'autres valeurs de port. La seule condition est que votre pare-feu autorise le trafic sur le port spécifié.
Vérifiez que votre port TLS est ouvert
La procédure décrite dans cette section permet de configurer le protocole TLS afin qu'il utilise le port 9443 sur le serveur de gestion. Quel que soit le port que vous utilisez, vous devez vous assurer qu'il est ouvert sur la console Google Cloud. Par exemple, vous pouvez utiliser la commande suivante pour l'ouvrir:
$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose<ph type="x-smartling-placeholder">
Configurer TLS
Pour configurer l'accès TLS à l'interface utilisateur de gestion, procédez comme suit:
- Générez le fichier JKS du keystore contenant votre certification TLS, votre clé privée et votre copie vers le nœud du serveur de gestion. Pour plus d'informations, consultez la rubrique Configuration de TLS/SSL pour Edge On. Locaux.
- Exécutez la commande suivante pour configurer le protocole TLS:
$ /opt/apigee/apigee-service/bin/apigee-service périphérique-ui configure-ssl - Saisissez le numéro de port HTTPS, par exemple 9443.
- Indiquez si vous souhaitez désactiver l'accès HTTP à l'interface utilisateur de gestion. Par défaut, l'administrateur L'interface utilisateur est accessible via HTTP sur le port 9000.
- Saisissez l'algorithme du keystore. La valeur par défaut est JKS.
- Saisissez le chemin absolu vers le fichier JKS du keystore.
Le script copie le fichier dans le répertoire /opt/apigee/customer/conf sur le du serveur de gestion, et change la propriété du fichier à apigee. - Saisissez le mot de passe du keystore en texte clair.
- Le script redémarre ensuite l'interface utilisateur de gestion Edge. Après le redémarrage, l'UI de gestion
prend en charge l'accès via TLS.
Vous pouvez voir ces paramètres dans /opt/apigee/etc/edge-ui.d/SSL.sh.
Vous pouvez également transmettre un fichier de configuration à la commande au lieu de répondre aux invites. La configuration prend les propriétés suivantes:
HTTPSPORT=9443 DISABLE_HTTP=y KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
Utilisez ensuite la commande suivante pour configurer le protocole TLS de l'interface utilisateur Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
Configurer l'interface utilisateur Edge lorsque TLS se termine sur l'équilibreur de charge
Si vous disposez d'un équilibreur de charge qui transfère les requêtes à l'interface utilisateur Edge, vous pouvez choisir de mettre fin à la connexion TLS sur l'équilibreur de charge, puis faire en sorte que l'équilibreur de charge transfère à l'interface utilisateur Edge via HTTP. Cette configuration est prise en charge, mais vous devez configurer et l'interface utilisateur Edge en conséquence.
La configuration supplémentaire est requise lorsque l'interface utilisateur Edge envoie des e-mails aux utilisateurs pour définir leur mot de passe lorsque l’utilisateur est créé ou lorsque l’utilisateur demande la réinitialisation d’un mot de passe perdu. Cette adresse e-mail contient une URL que l'utilisateur sélectionne pour définir ou réinitialiser un mot de passe. Par défaut, si l'interface utilisateur Edge est s'il n'est pas configuré pour utiliser le protocole TLS, l'URL figurant dans l'e-mail généré utilise le protocole HTTP, et non HTTPS. Vous devez configurer l'équilibreur de charge et l'interface utilisateur Edge pour générer une adresse e-mail qui utilise HTTPS
Pour configurer l'équilibreur de charge, assurez-vous qu'il définit l'en-tête suivant pour les requêtes transférées à l'interface utilisateur Edge:
X-Forwarded-Proto: https
Pour configurer l'interface utilisateur Edge:
- Ouvrez le fichier /opt/apigee/customer/application/ui.properties
dans un éditeur. Si le fichier n'existe pas, créez-le:
> vi /opt/apigee/customer/application/ui.properties - Définissez la propriété suivante dans ui.properties:
conf/application.conf+trustxforwarded=true - Enregistrez les modifications apportées à ui.properties.
- Redémarrez l'interface utilisateur Edge:
> /opt/apigee/apigee-service/bin/apigee-service redémarrage de l'interface utilisateur périphérique
Désactiver TLS sur l'interface utilisateur Edge
Pour désactiver TLS sur l'interface utilisateur Edge, utilisez la commande suivante:
/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl