允许边缘界面访问本地 IP 地址

Edge for Private Cloud v4.18.01

在很多情况下,Edge 界面可能会尝试访问本地 IP 地址。这些本地 IP 地址可能对应于不应向外部用户公开的私有资源或受保护的资源:

  • 边缘界面中的跟踪工具能够向任何指定的网址发送和接收 API 请求。在某些部署场景中,边缘组件与其他内部服务共同托管,恶意用户可能会向专用 IP 地址发出请求,从而滥用 Trace 工具的功能。
  • 根据 OpenAPI 规范创建 API 代理时,该规范将描述 API 的这些元素,作为其基本路径、路径和动词、标头等。根据该规范,恶意用户可以指定代理的基本路径,该路径指的是专用 IP 地址。
  • 通过位于本地文件系统中的 WSDL 文件创建 API 代理时。

出于安全原因,系统会阻止边缘界面引用专用 IP 地址。专用 IP 地址列表包括:

  • 环回地址(127.0.0.1 或 localhost)
  • 网站本地地址(适用于 IPv4 - 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)
  • 任何本地地址(解析为 localhost 的任何地址)。

如果您想允许 Edge 界面访问专用 IP 地址,请设置以下令牌:

  • 对于 Trace 工具,conf_apigee-base_apigee.feature.enabletraceforinternaladdresses 属性默认处于停用状态。将其设置为 true 即可启用 Trace 工具访问专用 IP 地址。
  • 对于 OpenAPI 规范,conf_apigee-base_apigee.featureenableopenapiforinternaladdresses 属性默认处于停用状态。将其设置为 true 即可允许 OpenAPI 访问专用 IP 地址。
  • 对于 WSDL 文件,conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses 属性默认处于停用状态。将此政策设置为 true 可允许从专用 IP 地址上传 WSDL 文件。

要将这些属性设为 true,请按以下步骤操作:

  1. 在编辑器中打开 ui.properties 文件。如果该文件不存在,请创建该文件。
    > vi /opt/apigee/customer/application/ui.properties
  2. 将以下属性设为 true:
    conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
  3. 保存对 ui.properties 所做的更改。
  4. 确保属性文件归“apigee”用户所有:
    > chown apigee:apigee /opt/apigee/customer/application/ui.properties
  5. 重启边缘界面:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

边缘界面现在可以访问本地 IP 地址。