Cho phép giao diện người dùng Edge truy cập vào địa chỉ IP cục bộ

Edge for Private Cloud v4.18.01

Có một số trường hợp mà giao diện người dùng Edge có thể tìm cách truy cập địa chỉ IP cục bộ. Những địa chỉ IP cục bộ này có thể tương ứng với tài nguyên riêng tư hoặc tài nguyên được bảo vệ không nên để người dùng bên ngoài xem:

  • Công cụ Theo dõi trong giao diện người dùng Edge có thể gửi và nhận yêu cầu API đến mọi URL đã chỉ định. Trong một số trường hợp triển khai nhất định khi các thành phần Edge được lưu trữ cùng với các dịch vụ nội bộ khác, người dùng độc hại có thể lợi dụng sức mạnh của công cụ Theo dõi bằng cách gửi yêu cầu đến các địa chỉ IP riêng tư.
  • Khi tạo proxy API từ thông số kỹ thuật OpenAPI, thông số kỹ thuật sẽ mô tả các thành phần như vậy của API làm đường dẫn cơ sở, đường dẫn và động từ, tiêu đề, v.v. Trong quy cách này, người dùng độc hại có thể chỉ định một đường dẫn cơ sở của proxy dẫn đến một địa chỉ IP riêng tư.
  • Khi tạo proxy API từ một tệp WSDL trên hệ thống tệp cục bộ của bạn.

Vì lý do bảo mật, giao diện người dùng Edge không được tham chiếu đến địa chỉ IP riêng tư. Danh sách các địa chỉ IP riêng tư bao gồm:

  • Địa chỉ loopback (127.0.0.1 hoặc localhost)
  • Địa chỉ trang web địa phương (Đối với IPv4 - 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
  • Địa chỉ bất kỳ (địa chỉ nào phân giải đến máy chủ cục bộ).

Nếu bạn muốn cho phép giao diện người dùng Edge truy cập vào các địa chỉ IP riêng tư, hãy đặt các mã thông báo sau đây:

  • Đối với công cụ Theo dõi, thuộc tính conf_apigee-base_apigee.feature.enabletraceforinternaladdresses bị vô hiệu hoá theo mặc định. Hãy đặt giá trị này thành true để cho phép công cụ Trace truy cập vào các địa chỉ IP riêng tư.
  • Đối với thông số OpenAPI, thuộc tính conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses sẽ bị tắt theo mặc định. Hãy đặt giá trị này thành true để cho phép truy cập OpenAPI vào các địa chỉ IP riêng tư.
  • Đối với các tệp WSDL, thuộc tính conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses bị tắt theo mặc định. Hãy đặt giá trị này thành true để cho phép tải tệp WSDL lên từ các địa chỉ IP riêng tư.

Cách đặt các thuộc tính này thành true:

  1. Mở tệp ui.properties trong trình chỉnh sửa. Hãy tạo tệp nếu chưa có.
    > vi /opt/apigee/customer/application/ui.properties
  2. Đặt các thuộc tính sau thành true:
    conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
  3. Lưu các thay đổi đối với ui.properties.
  4. Đảm bảo tệp thuộc tính do người dùng 'apigee' sở hữu:
    > chown apigee:apigee /opt/apigee/customer/application/ui.properties
  5. Khởi động lại giao diện người dùng Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui khởi động lại

Giao diện người dùng Edge hiện có thể truy cập vào các địa chỉ IP cục bộ.