Edge para nuvem privada v4.18.01
Há vários locais em que a IU do Edge tenta acessar um endereço IP local. Esses endereços IP locais podem corresponder a recursos privados ou protegidos que não podem ser expostos a usuários externos:
- A ferramenta Trace na IU do Edge pode enviar e receber solicitações de API para qualquer URL especificado. Em determinados cenários de implantação em que componentes do Edge são co-hospedados com outros serviços internos, um usuário mal-intencionado pode fazer uso indevido do poder da ferramenta Trace, fazendo solicitações para endereços IP privados.
- Ao criar um proxy de API a partir de uma especificação OpenAPI, a especificação descreve tais elementos de uma API como caminho base, caminhos e verbos, cabeçalhos e muito mais. Como parte da especificação, um usuário mal-intencionado pode especificar um caminho base do proxy que se refere a um endereço IP privado.
- Ao criar um proxy de API a partir de um arquivo WSDL localizado no sistema de arquivos local.
Por motivos de segurança, por padrão, a IU do Edge é impedida de referenciar endereços IP particulares. A lista de endereços IP privados inclui:
- Endereço de loopback (127.0.0.1 ou localhost)
- Endereços locais do site (para IPv4 - 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
- Qualquer endereço local (qualquer endereço que resolva como localhost).
Se você quiser permitir que a IU do Edge acesse endereços IP particulares, defina os seguintes tokens:
- Para a ferramenta Trace, a propriedade conf_apigee-base_apigee.feature.enabletraceforinternaladdresses é desativada por padrão. Defina-o como verdadeiro para permitir que a ferramenta Trace acesse endereços IP particulares.
- Para as especificações da OpenAPI, a propriedade conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses é desativada por padrão. Defina-o como verdadeiro para ativar um acesso OpenAPI a endereços IP privados.
- Para arquivos WSDL, a propriedade conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses é desativada por padrão. Defina-o como verdadeiro para ativar o upload de um arquivo WSDL a partir de endereços IP privados.
Para definir essas propriedades como verdadeiras:
- Abra o arquivo ui.properties em um editor. Se o arquivo não existir, crie-o.
> vi /opt/apigee/customer/application/ui.properties - Defina as seguintes propriedades como verdadeiras:
conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true"
conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true"
conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true" - Salve as alterações em ui.properties.
- Verifique se o arquivo de propriedades pertence ao usuário "apigee":
> chown apigee:apigee /opt/apigee/customer/application/ui.properties - Reinicie a IU do Edge:
> /opt/apigee/apigee-service/bin/Serviço-inicial da Apigee reinicia
A IU do Edge agora pode acessar endereços IP locais.