Edge for Private Cloud バージョン 4.17.09
デフォルトでは、Management Server ノードの IP アドレスとポート 9000 を使用して、HTTP で Edge 管理 UI にアクセスします。例:
http://ms_IP:9000
また、次の形式で管理 UI にアクセスできるように、管理 UI への TLS アクセスを構成することもできます。
https://ms_IP:9443
この例では、ポート 9443 を使用するように TLS アクセスを構成します。ただし、Edge では、このポート番号は必要ありません。他のポート番号を使用するように Management Server を構成できます。唯一の要件は、ファイアウォールが指定されたポートでトラフィックを許可することです。
TLS ポートが開いていることを確認する
このセクションの手順では、Management Server でポート 9443 を使用するように TLS を構成します。使用するポートに関係なく、Management Server でポートが開いている必要があります。たとえば、次のコマンドを使用して開くことができます。
$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
TLS の構成
管理 UI への TLS アクセスを構成するには、次の操作を行います。
- TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成し、Management Server ノードにコピーします。詳細については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。
- 次のコマンドを実行して TLS を構成します。
$ /opt/apigee/apigee-service/bin/apigee-service edge-uiconfigure-ssl - HTTPS ポート番号を入力します(例: 9443)。
- 管理 UI への HTTP アクセスを無効にするかどうかを指定します。デフォルトでは、管理 UI には HTTP 経由でポート 9000 でアクセスできます。
- キーストア アルゴリズムを入力します。デフォルトは JKS です。
- キーストア JKS ファイルへの絶対パスを入力します。
このスクリプトは、Management Server ノードの /opt/apigee/customer/conf ディレクトリにファイルをコピーし、ファイルの所有権を apigee に変更します。 - クリアテキストのキーストアのパスワードを入力します。
- その後、このスクリプトにより Edge 管理 UI が再起動されます。再起動後、管理 UI で TLS 経由のアクセスがサポートされます。
これらの設定は、/opt/apigee/etc/edge-ui.d/SSL.sh で確認できます。
プロンプトに応答する代わりに、構成ファイルをコマンドに渡すこともできます。構成ファイルには次のプロパティがあります。
HTTPSPORT=9443 DISABLE_HTTP=y KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
その後、次のコマンドを使用して Edge UI の TLS を構成します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
TLS がロードバランサで終端する場合の Edge UI の構成
Edge UI にリクエストを転送するロードバランサがある場合は、ロードバランサで TLS 接続を終端し、ロードバランサから HTTP 経由で Edge UI にリクエストを転送することもできます。この構成はサポートされていますが、それに応じてロードバランサと Edge UI を構成する必要があります。
ユーザーが作成されたとき、またはユーザーが紛失したパスワードのリセットをリクエストしたときに、Edge UI からユーザーにパスワード設定のメールが送信される場合は、追加の構成が必要です。このメールには、ユーザーがパスワードの設定または再設定のために選択した URL が記載されています。デフォルトでは、Edge UI が TLS を使用するように構成されていない場合、生成されるメールの URL は HTTPS ではなく HTTP プロトコルを使用します。HTTPS を使用するメールアドレスを生成するように、ロードバランサと Edge UI を構成する必要があります。
ロードバランサを構成するには、Edge UI に転送されるリクエストに次のヘッダーを設定します。
X-Forwarded-Proto: https
Edge UI を構成するには:
- エディタで /opt/apigee/customer/application/ui.properties ファイルを開きます。ファイルが存在しない場合は作成します。
> vi /opt/apigee/customer/application/ui.properties - ui.properties に次のプロパティを設定します。
conf/application.conf+trustxforwarded=true - ui.properties に変更を保存します。
- Edge UI を再起動します。
> /opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Edge UI で TLS を無効にする
Edge UI で TLS を無効にするには、次のコマンドを使用します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl