Edge for Private Cloud w wersji 4.17.09
Domyślnie dostęp do interfejsu zarządzania brzegiem jest uzyskiwany przez HTTP przy użyciu adresu IP Węzeł serwera zarządzania i port 9000. Na przykład:
http://ms_IP:9000
Możesz też skonfigurować dostęp TLS do interfejsu zarządzania, aby mieć do niego dostęp w formularz:
https://ms_IP:9443
W tym przykładzie skonfigurujesz dostęp TLS tak, aby używał portu 9443. Ten numer portu nie jest jednak wymagane przez serwer Edge – możesz skonfigurować serwer zarządzania tak, aby używał innych wartości portów. Jedyna wymaganiem jest, aby zapora sieciowa zezwalała na ruch przez określony port.
Sprawdź, czy port TLS jest otwarty
Procedura opisana w tej sekcji pozwala skonfigurować protokół TLS tak, aby używał portu 9443 na serwerze zarządzania. Niezależnie od używanego portu musisz sprawdzić, czy port jest otwarty w sekcji zarządzania Serwer Możesz na przykład otworzyć je za pomocą tego polecenia:
$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
Konfigurowanie TLS
Aby skonfigurować dostęp TLS do interfejsu zarządzania, wykonaj czynności opisane poniżej:
- Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS, klucz prywatny i kopię go do węzła serwera zarządzania. Więcej informacji znajdziesz w artykule Konfigurowanie TLS/SSL dla usługi Edge On.
- Uruchom to polecenie, aby skonfigurować TLS:
$ /opt/apigee/apigee-service/bin/apigee-service Edge-ui configure-ssl - Wpisz numer portu HTTPS, na przykład 9443.
- Określ, czy chcesz wyłączyć dostęp HTTP do interfejsu zarządzania. Domyślnie funkcja zarządzania Interfejs użytkownika jest dostępny przez HTTP na porcie 9000.
- Wpisz algorytm magazynu kluczy. Wartość domyślna to JKS.
- Wpisz ścieżkę bezwzględną do pliku JKS magazynu kluczy.
Skrypt kopiuje plik do katalogu /opt/apigee/customer/conf w węzła serwera zarządzania i zmienia własność pliku na apigee. - Wpisz hasło magazynu kluczy zwykłego tekstu.
- Następnie skrypt ponownie uruchomi interfejs zarządzania brzegiem. Po ponownym uruchomieniu interfejs zarządzania
obsługuje dostęp przez TLS.
Znajdziesz te ustawienia pod adresem /opt/apigee/etc/edge-ui.d/SSL.sh.
Zamiast odpowiadać na prompty, możesz też przekazać do polecenia plik konfiguracyjny. Konfiguracja ma następujące właściwości:
HTTPSPORT=9443 DISABLE_HTTP=y KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
Następnie użyj tego polecenia, aby skonfigurować protokół TLS w interfejsie Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
Konfigurowanie interfejsu Edge przy korzystaniu z protokołu TLS kończy się w systemie równoważenia obciążenia
Jeśli masz system równoważenia obciążenia, który przekazuje żądania do interfejsu Edge, możesz wybrać zakończyć połączenie TLS w systemie równoważenia obciążenia, a następnie ustawić przekierowanie do interfejsu Edge przez HTTP. Ta konfiguracja jest obsługiwana, ale musisz skonfigurować systemu równoważenia obciążenia i interfejsu Edge.
Dodatkowa konfiguracja jest wymagana, gdy interfejs Edge wysyła użytkownikom e-maile w celu określenia ich po utworzeniu użytkownika lub po wysłaniu przez niego prośby o zresetowanie utraconego hasła. Ten e-mail zawiera adres URL, który użytkownik wybiera, aby ustawić lub zresetować hasło. Domyślnie, jeśli interfejs Edge nie jest skonfigurowany do używania TLS, adres URL w wygenerowanym e-mailu używa protokołu HTTP, a nie HTTPS. Musisz skonfigurować system równoważenia obciążenia i interfejs użytkownika Edge tak, aby generowały adres e-mail wykorzystujący HTTPS.
Aby skonfigurować system równoważenia obciążenia, upewnij się, że w przypadku przekazywanych żądań ustawia ten nagłówek w interfejsie Edge:
X-Forwarded-Proto: https
Aby skonfigurować interfejs użytkownika Edge:
- Otwórz /opt/apigee/customer/application/ui.properties
w edytorze. Jeśli plik nie istnieje, utwórz go:
> vi /opt/apigee/customer/application/ui.properties - Ustaw tę właściwość w pliku ui.properties:
conf/application.conf+trustxforwarded=true - Zapisz zmiany w pliku ui.properties.
- Uruchom ponownie interfejs Edge:
> /opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Wyłączenie TLS w interfejsie Edge
Aby wyłączyć TLS w interfejsie Edge, użyj tego polecenia:
/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl