이 페이지는 Cloud Translation API를 통해 번역되었습니다.

관리 UI에 TLS 구성

Private Cloud용 Edge v4.18.01

기본적으로 관리 서버 노드의 IP 주소와 포트 9000을 사용하여 HTTP를 통해 에지 관리 UI에 액세스합니다. 예를 들면 다음과 같습니다.

http://ms_IP:9000

또는 다음 형식으로 액세스할 수 있도록 관리 UI에 대한 TLS 액세스를 구성할 수 있습니다.

https://ms_IP:9443

이 예에서는 포트 9443을 사용하도록 TLS 액세스를 구성합니다. 하지만 Edge에는 이 포트 번호가 필요하지 않습니다. 다른 포트 값을 사용하도록 관리 서버를 구성할 수 있습니다. 유일한 요구사항은 방화벽이 지정된 포트를 통한 트래픽을 허용하는 것입니다.

TLS 포트가 열려 있는지 확인합니다.

이 섹션의 절차에서는 관리 서버에서 포트 9443을 사용하도록 TLS를 구성합니다. 사용하는 포트에 관계없이 포트가 관리 서버에서 열려 있는지 확인해야 합니다. 예를 들어 다음 명령어를 사용하여 열 수 있습니다.

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

참고: 이 예시에서는 TLS 포트로 더 일반적인 포트 443이 아니라 포트 9443을 사용합니다. 1024 미만의 포트는 일반적으로 운영체제에 의해 보호되며 이 포트에 액세스하는 프로세스가 루트 액세스를 갖추어야 하기 때문입니다. Edge UI는 'apigee' 사용자로 실행되므로 일반적으로 1024 미만의 포트에 액세스할 수 없습니다.

한 가지 대안은 Edge UI로 부하 분산기를 사용하고 포트 443의 부하 분산기에서 TLS를 종료하는 방법입니다. 그런 다음 부하 분산기와 Edge UI 간에 HTTP 또는 HTTPS를 사용할 수 있습니다.

또 다른 방법은 iptables를 사용하여 포트 443의 요청을 포트 9443으로 전달하는 것입니다. 예를 들면 다음과 같습니다.

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS 구성

관리 UI에 대한 TLS 액세스를 구성하려면 다음 절차를 따르세요.

TLS 인증서와 비공개 키가 포함된 키 저장소 JKS 파일을 생성하여 관리 서버 노드에 복사합니다. 자세한 내용은 Edge On Premises의 TLS/SSL 구성을 참조하세요.
다음 명령어를 실행하여 TLS를 구성합니다.
$ /opt/apigee/apigee-service/bin/apigee-service Edge-uiconfigure-ssl
HTTPS 포트 번호(예: 9443)를 입력합니다.
관리 UI에 대한 HTTP 액세스를 사용 중지할지 지정합니다. 기본적으로 관리 UI는 포트 9000에서 HTTP를 통해 액세스할 수 있습니다.
키 저장소 알고리즘을 입력합니다. 기본값은 JKS입니다.
키 저장소 JKS 파일의 절대 경로를 입력하세요.

스크립트가 파일을 관리 서버 노드의 /opt/apigee/customer/conf 디렉터리에 복사하고 파일의 소유권을 apigee로 변경합니다.
일반 텍스트 키 저장소 비밀번호를 입력합니다.
그런 다음 스크립트가 에지 관리 UI를 다시 시작합니다. 재시작 후 관리 UI는 TLS를 통한 액세스를 지원합니다.
이 설정은 /opt/apigee/etc/edge-ui.d/SSL.sh에서 확인할 수 있습니다.

프롬프트에 응답하는 대신 구성 파일을 명령어에 전달할 수도 있습니다. 구성 파일에는 다음 속성이 포함됩니다.

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

그런 다음 다음 명령어를 사용하여 Edge UI의 TLS를 구성합니다.

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

부하 분산기에서 TLS가 종료될 때 Edge UI 구성

요청을 Edge UI로 전달하는 부하 분산기가 있다면 부하 분산기에서 TLS 연결을 종료한 후 부하 분산기가 HTTP를 통해 Edge UI로 요청을 전달하도록 선택할 수 있습니다. 이 구성은 지원되지만 이에 따라 부하 분산기와 Edge UI를 구성해야 합니다.

Edge UI가 사용자 생성 시 비밀번호를 설정하기 위해 사용자에게 이메일을 보내거나 사용자가 분실된 비밀번호 재설정을 요청하는 경우 추가 구성이 필요합니다. 이 이메일에는 사용자가 비밀번호를 설정하거나 재설정하기 위해 선택한 URL이 포함됩니다. 기본적으로 Edge UI가 TLS를 사용하도록 구성되지 않은 경우 생성된 이메일의 URL은 HTTPS가 아닌 HTTP 프로토콜을 사용합니다. HTTPS를 사용하는 이메일 주소를 생성하도록 부하 분산기와 Edge UI를 구성해야 합니다.

부하 분산기를 구성하려면 Edge UI로 전달되는 요청에 다음 헤더를 설정해야 합니다.

X-Forwarded-Proto: https

Edge UI를 구성하려면 다음 안내를 따르세요.

편집기에서 /opt/apigee/customer/application/ui.properties 파일을 엽니다. 파일이 존재하지 않으면 만듭니다.
> vi /opt/apigee/customer/application/ui.properties
ui.properties에 다음 속성을 설정합니다.
conf/application.conf+trustxforwarded=true
ui.properties의 변경사항을 저장합니다.
Edge UI를 다시 시작합니다.
> /opt/apigee/apigee-service/bin/apigee-serviceedge-ui restart

Edge UI에서 TLS 사용 중지

Edge UI에서 TLS를 사용 중지하려면 다음 명령어를 사용하세요.

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl