Private Cloud용 Edge v4.18.05
기본적으로 관리 API에는 TLS가 사용 중지되어 있으며 관리 서버 노드의 IP 주소와 포트 8080을 사용하여 HTTP를 통해 Edge 관리 API에 액세스합니다. 예를 들면 다음과 같습니다.
http://ms_IP:8080
또는 다음 형식으로 액세스할 수 있도록 관리 API에 대한 TLS 액세스를 구성할 수 있습니다.
https://ms_IP:8443
이 예에서는 포트 8443을 사용하도록 TLS 액세스를 구성합니다. 하지만 이 포트 번호는 Edge에 필요하지 않습니다. 다른 포트 값을 사용하도록 관리 서버를 구성할 수 있습니다. 유일한 요구사항은 방화벽에서 지정된 포트를 통한 트래픽을 허용해야 한다는 점입니다.
관리 API와의 트래픽 암호화를 보장하려면 /opt/apigee/customer/application/management-server.properties 파일에서 설정을 구성합니다.
TLS 구성 외에도 management-server.properties 파일을 수정하여 비밀번호 유효성 검사 (비밀번호 길이 및 강도)를 제어할 수도 있습니다.
TLS 포트가 열려 있는지 확인
이 섹션의 절차에서는 관리 서버에서 포트 8443을 사용하도록 TLS를 구성합니다. 사용하는 포트에 관계없이 관리 서버에서 포트가 열려 있는지 확인해야 합니다. 예를 들어 다음 명령어를 사용하여 열 수 있습니다.
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
TLS 구성
/opt/apigee/customer/application/management-server.properties 파일을 수정하여 관리 API와의 트래픽에서 TLS 사용을 제어합니다. 이 파일이 없으면 만듭니다.
다음 절차에 따라 관리 API에 대한 TLS 액세스를 구성합니다.
- TLS 인증서와 비공개 키가 포함된 키 저장소 JKS 파일을 생성합니다. 자세한 내용은 온프레미스 Edge용 TLS/SSL 구성을 참고하세요.
- 키 저장소 JKS 파일을 관리 서버 노드의 디렉터리(예:
/opt/apigee/customer/application)에 복사합니다. - JKS 파일의 소유권을 apigee로 변경합니다.
chown apigee:apigee keystore.jks
여기서 keystore.jks은 키 저장소 파일의 이름입니다. /opt/apigee/customer/application/management-server.properties를 수정하여 다음 속성을 설정합니다. 이 파일이 없으면 다음과 같이 만듭니다.conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
여기서 keyStore.jks는 키 저장소 파일이고 obfuscatedPassword는 난독화된 키 저장소 비밀번호입니다. 난독화된 비밀번호를 생성하는 방법에 관한 자세한 내용은 Edge 온프레미스용 TLS/SSL 구성을 참고하세요.- 다음 명령어를 사용하여 Edge 관리 서버를 다시 시작합니다.
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
이제 관리 API에서 TLS를 통한 액세스를 지원합니다.
TLS를 사용하여 Edge API에 액세스하도록 Edge UI 구성
위 절차에서 Apigee는 Edge UI가 HTTP를 통해 계속 Edge API를 호출할 수 있도록 conf_webserver_http.turn.off=false를 그대로 두는 것이 좋습니다.
다음 절차에 따라 HTTPS를 통해서만 이러한 호출을 실행하도록 Edge UI를 구성합니다.
- 위에서 설명한 대로 관리 API에 대한 TLS 액세스를 구성합니다.
- 관리 API에서 TLS가 작동하는지 확인한 후
/opt/apigee/customer/application/management-server.properties를 수정하여 다음 속성을 설정합니다.conf_webserver_http.turn.off=true - 다음 명령어를 사용하여 Edge 관리 서버를 다시 시작합니다.
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
/opt/apigee/customer/application/ui.properties를 수정하여 Edge UI에 다음 속성을 설정합니다. 파일이 없으면 다음과 같이 만듭니다.conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"여기서 FQDN은 관리 서버의 인증서 주소에 따른 전체 도메인 이름이고 포트 번호는 위에conf_webserver_ssl.port로 지정된 포트입니다.- 위의 관리 API에 대한 TLS 액세스를 구성할 때 자체 서명 인증서 (프로덕션 환경에서는 권장하지 않음)를 사용한 경우에만 다음 속성을
ui.properties에 추가합니다.conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true그러지 않으면 Edge UI에서 자체 서명 인증서를 거부합니다. - 다음 명령어를 사용하여 Edge UI를 다시 시작합니다.
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
관리 서버의 TLS 속성
다음 표에는 management-server.properties에서 설정할 수 있는 모든 TLS/SSL 속성이 나와 있습니다.
|
속성 |
설명 |
|---|---|
|
|
기본값은 8080입니다. |
|
|
TLS/SSL을 사용 설정/사용 중지합니다. TLS/SSL이 사용 설정된 경우 (true) ssl.port 및 keystore.path 속성도 설정해야 합니다. |
|
|
https와 함께 http를 사용 설정/사용 중지합니다. HTTPS만 사용하려면 기본값을 |
|
|
TLS/SSL 포트입니다. TLS/SSL이 사용 설정된 경우 ( |
|
|
키 저장소 파일의 경로입니다. TLS/SSL이 사용 설정된 경우 ( |
|
|
OBF:xxxxxxxxxx 형식의 난독화된 비밀번호를 사용합니다. |
|
|
키 저장소 인증서 별칭(선택사항) |
|
|
키 관리자에 비밀번호가 있는 경우 OBF:xxxxxxxxxx 형식으로 난독화된 비밀번호를 입력합니다. |
|
|
신뢰 저장소의 설정을 구성합니다. 모든 TLS/SSL 인증서를 수락할지 결정합니다 (예: 비표준 유형 수락). 기본값은 |
|
|
포함하거나 제외할 암호화 모음을 표시합니다. 예를 들어 암호에서 취약점을 발견하면 여기에서 제외할 수 있습니다. 여러 개의 암호는 공백으로 구분합니다. 암호화 스위트 및 암호화 아키텍처에 대한 자세한 내용은 다음을 참고하세요. http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSE |
|
|
다음을 결정하는 정수:
|