Edge für Private Cloud v4.18.01
Es gibt mehrere Orte, an denen die Edge-UI möglicherweise versucht, auf eine lokale IP-Adresse zuzugreifen. Diese lokalen IP-Adressen können privaten oder anderweitig geschützten Ressourcen entsprechen, die externen Nutzern nicht zugänglich sein sollen:
- Das Trace-Tool in der Edge-Benutzeroberfläche kann API-Anfragen an jede angegebene URL senden und empfangen. In bestimmten Bereitstellungsszenarien, in denen Edge-Komponenten zusammen mit anderen internen Diensten gehostet werden, kann ein böswilliger Nutzer die Leistung des Trace-Tools missbrauchen, indem er Anfragen an private IP-Adressen sendet.
- Beim Erstellen eines API-Proxys aus einer OpenAPI-Spezifikation werden u. a. die entsprechenden Elemente einer API als Basispfad, Pfade und Verben sowie Header beschrieben. Im Rahmen der Spezifikation kann ein schädlicher Nutzer einen Basispfad des Proxys angeben, der auf eine private IP-Adresse verweist.
- Wenn Sie einen API-Proxy aus einer WSDL-Datei erstellen, die sich auf Ihrem lokalen Dateisystem befindet.
Aus Sicherheitsgründen wird standardmäßig verhindert, dass die Edge-UI auf private IP-Adressen verweist. Die Liste der privaten IP-Adressen enthält:
- Loopback-Adresse (127.0.0.1 oder localhost)
- Standort-lokale Adressen (für IPv4 – 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
- Alle lokalen Adressen (Adressen, die zu „localhost“ aufgelöst werden).
Wenn Sie die Edge-UI für den Zugriff auf private IP-Adressen aktivieren möchten, legen Sie die folgenden Tokens fest:
- Für das Trace-Tool ist die Eigenschaft conf_apigee-base_apigee.feature.enabletraceforinternaladdress standardmäßig deaktiviert. Setzen Sie die Einstellung auf „wahr“, um dem Trace-Tool Zugriff auf private IP-Adressen zu ermöglichen.
- Bei OpenAPI-Spezifikationen ist das Attribut conf_apigee-base_apigee.feature.enableapigeeforinternaladdress standardmäßig deaktiviert. Setzen Sie die Richtlinie auf „wahr“, um den OpenAPI-Zugriff auf private IP-Adressen zu aktivieren.
- Bei WSDL-Dateien ist das Attribut conf_apigee-base_apigee.feature.enablewsdlforinternaladdress standardmäßig deaktiviert. Setzen Sie den Wert auf „true“, um den Upload einer WSDL-Datei von privaten IP-Adressen zu ermöglichen.
So legen Sie die Eigenschaften auf „wahr“ fest:
- Öffnen Sie die Datei ui.properties in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.
> vi /opt/apigee/customer/application/ui.properties - Setzen Sie die folgenden Attribute auf „true“:
conf_apigee-base_apigee.feature.enabletraceforinternaladdress="true"
conf_apigee-base_apigee.feature.enableapigeeforinternaladdress="true"
conf_apigee-base_apigee.feature.enablewsdlforinternaladdress="true" - Speichern Sie die Änderungen an ui.properties.
- Prüfen Sie, ob die Datei „properties“ dem Nutzer „apigee“ gehört:
> chown apigee:apigee /opt/apigee/customer/application/ui.properties - Starten Sie die Edge-UI neu:
> /opt/apigee/apigee-service/bin/apigee-service Edge-ui-Neustart
Die Edge-UI kann jetzt auf lokale IP-Adressen zugreifen.