Edge for Private Cloud גרסה 4.17.09
כברירת מחדל, אפשר לגשת לממשק המשתמש לניהול Edge באמצעות HTTP באמצעות כתובת ה-IP של הצומת של שרת הניהול ושל היציאה 9000. לדוגמה:
http://ms_IP:9000
לחלופין, אפשר להגדיר גישת TLS לממשק המשתמש של הניהול, כך שתוכלו לגשת אליה באמצעות הטופס:
https://ms_IP:9443
בדוגמה הזו מגדירים גישה ל-TLS (אבטחת שכבת התעבורה) לשימוש ביציאה 9443. אבל ל-Edge אין דרישה למספר היציאה הזה, אבל אפשר להגדיר לשרת הניהול להשתמש בערכי יציאות אחרים. הדרישה היחידה היא שחומת האש תאפשר תעבורה דרך היציאה שצוינה.
בדיקה שיציאת ה-TLS (אבטחת שכבת התעבורה) פתוחה
בקטע הזה מגדירים את TLS להשתמש ביציאה 9443 בשרת הניהול. ללא קשר ליציאה שבה אתם משתמשים, עליכם לוודא שהיציאה פתוחה בשרת הניהול. לדוגמה, כדי לפתוח אותו, אפשר להשתמש בפקודה הבאה:
$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
הגדרת TLS (אבטחת שכבת התעבורה)
כדי להגדיר גישת TLS לממשק המשתמש של הניהול, משתמשים בתהליך הבא:
- יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי ומעתיקים אותו לצומת של שרת הניהול. למידע נוסף, ראה הגדרת TLS/SSL עבור Edge On Premises.
- כדי להגדיר TLS (אבטחת שכבת התעבורה), מריצים את הפקודה הבאה:
$ /opt/apigee/apigee-service/bin/apigee-service edge-ui configuration-ssl - צריך להזין את מספר יציאת ה-HTTPS, לדוגמה, 9443.
- מציינים אם רוצים להשבית את גישת HTTP לממשק המשתמש של הניהול. כברירת מחדל, אפשר לגשת לממשק המשתמש לניהול באמצעות HTTP ביציאה 9000.
- מזינים את האלגוריתם של מאגר המפתחות. ברירת המחדל היא JKS.
- צריך להזין את הנתיב המוחלט לקובץ ה-JKS של מאגר המפתחות.
הסקריפט מעתיק את הקובץ לספרייה /opt/apigee/customer/conf בצומת של שרת הניהול, ומשנה את הבעלות על הקובץ ל-apigee. - מזינים את הסיסמה של מאגר המפתחות בטקסט נקי.
- הסקריפט יפעיל מחדש את ממשק המשתמש לניהול Edge. אחרי ההפעלה מחדש, ממשק המשתמש לניהול תומך בגישה באמצעות TLS.
אפשר לראות את ההגדרות האלה בכתובת /opt/apigee/etc/edge-ui.d/SSL.sh.
אפשר גם להעביר לפקודה קובץ תצורה במקום להגיב להנחיות. קובץ התצורה מקבל את המאפיינים הבאים:
HTTPSPORT=9443 DISABLE_HTTP=y KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
לאחר מכן משתמשים בפקודה הבאה כדי להגדיר TLS בממשק המשתמש של Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
הגדרת ממשק המשתמש של Edge כשמסתיימת TLS במאזן העומסים
אם יש לך מאזן עומסים שמעביר בקשות לממשק המשתמש של Edge, אפשר לבחור לסיים את חיבור ה-TLS במאזן העומסים, ואז לבקש ממאזן העומסים להעביר בקשות לממשק המשתמש של Edge באמצעות HTTP. יש תמיכה בתצורה הזו, אבל צריך להגדיר את מאזן העומסים ואת ממשק המשתמש של Edge בהתאם.
ההגדרה הנוספת נדרשת כשממשק המשתמש של Edge שולח למשתמשים אימיילים להגדרת הסיסמה שלהם, כשהמשתמשים נוצרים או כשהמשתמשים מבקשים לאפס סיסמה שאבדה. האימייל הזה מכיל כתובת URL שהמשתמש בוחר כדי להגדיר או לאפס סיסמה. כברירת מחדל, אם ממשק המשתמש של Edge לא מוגדר לשימוש ב-TLS (אבטחת שכבת התעבורה), כתובת ה-URL באימייל שנוצר תשתמש בפרוטוקול HTTP ולא ב-HTTPS. צריך להגדיר את מאזן העומסים ואת ממשק המשתמש של Edge כדי ליצור כתובת אימייל שמשתמשת ב-HTTPS.
כדי להגדיר את מאזן העומסים, צריך להקפיד להגדיר את הכותרת הבאה בבקשות שמועברות לממשק המשתמש של Edge:
X-Forwarded-Proto: https
כך מגדירים את ממשק המשתמש של Edge:
- פותחים את הקובץ /opt/apigee/customer/application/ui.properties
בעורך. אם הקובץ לא קיים, יוצרים אותו:
> vi /opt/apigee/customer/application/ui.properties - מגדירים את המאפיין הבא ב-ui.properties:
conf/application.conf+trustxforwarded=true. - שומרים את השינויים ב-ui.properties.
- מפעילים מחדש את ממשק המשתמש של Edge:
> /opt/apigee/apigee-service/bin/apigee-service edge-ui הפעלה מחדש
השבתת TLS בממשק המשתמש של Edge
כדי להשבית TLS בממשק המשתמש של Edge, משתמשים בפקודה הבאה:
/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl