Edge for Private Cloud v4.18.05
Secara default, Anda mengakses UI pengelolaan Edge melalui HTTP menggunakan alamat IP node Server Pengelolaan dan port 9000. Contoh:
http://ms_IP:9000
Atau, Anda dapat mengonfigurasi akses TLS ke UI pengelolaan sehingga dapat mengaksesnya dalam bentuk:
https://ms_IP:9443
Dalam contoh ini, Anda akan mengonfigurasi akses TLS untuk menggunakan port 9443. Namun, nomor port tersebut tidak diperlukan oleh Edge - Anda dapat mengonfigurasi Server Pengelolaan untuk menggunakan nilai port lain. Satu-satunya persyaratan adalah firewall Anda mengizinkan traffic melalui port yang ditentukan.
Pastikan port TLS Anda terbuka
Prosedur di bagian ini mengonfigurasi TLS untuk menggunakan port 9443 di Server Pengelolaan. Terlepas dari port yang Anda gunakan, Anda harus memastikan bahwa port tersebut terbuka di Server Pengelolaan. Misalnya, Anda dapat menggunakan perintah berikut untuk membukanya:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
Mengonfigurasi TLS
Gunakan prosedur berikut untuk mengonfigurasi akses TLS ke UI pengelolaan:
- Buat file JKS keystore yang berisi sertifikat TLS dan kunci pribadi Anda, lalu salin ke node Server Pengelolaan. Untuk informasi selengkapnya, lihat Mengonfigurasi TLS/SSL untuk Edge On Premises.
- Jalankan perintah berikut untuk mengonfigurasi TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
- Masukkan nomor port HTTPS, misalnya, 9443.
- Tentukan apakah Anda ingin menonaktifkan akses HTTP ke UI pengelolaan. Secara default, UI manajemen dapat diakses melalui HTTP di port 9000.
- Masukkan algoritma keystore. Defaultnya adalah JKS.
- Masukkan jalur absolut ke file JKS keystore.
Skrip menyalin file ke direktori
/opt/apigee/customer/conf
di node Server Pengelolaan, dan mengubah kepemilikan file menjadi "apigee". - Masukkan sandi keystore dalam teks biasa.
- Kemudian, skrip akan memulai ulang UI pengelolaan Edge. Setelah dimulai ulang, UI pengelolaan
mendukung akses melalui TLS.
Anda dapat melihat setelan ini di
/opt/apigee/etc/edge-ui.d/SSL.sh
.
Anda juga dapat meneruskan file konfigurasi ke perintah, bukan merespons perintah. File konfigurasi menggunakan properti berikut:
HTTPSPORT=9443 DISABLE_HTTP=y KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
Kemudian, gunakan perintah berikut untuk mengonfigurasi TLS UI Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
Mengonfigurasi UI Edge saat TLS dihentikan di load balancer
Jika memiliki load balancer yang meneruskan permintaan ke UI Edge, Anda dapat memilih untuk menghentikan koneksi TLS di load balancer, lalu meminta load balancer meneruskan permintaan ke UI Edge melalui HTTP. Konfigurasi ini didukung, tetapi Anda perlu mengonfigurasi load balancer dan UI Edge dengan semestinya.
Konfigurasi tambahan diperlukan saat UI Edge mengirim email kepada pengguna untuk menetapkan sandi mereka saat pengguna dibuat atau saat pengguna meminta untuk mereset sandi yang hilang. Email ini berisi URL yang dipilih pengguna untuk menetapkan atau mereset sandi. Secara default, jika UI Edge tidak dikonfigurasi untuk menggunakan TLS, URL dalam email yang dihasilkan akan menggunakan protokol HTTP, bukan HTTPS. Anda harus mengonfigurasi load balancer dan UI Edge untuk membuat alamat email yang menggunakan HTTPS.
Untuk mengonfigurasi load balancer, pastikan load balancer menetapkan header berikut pada permintaan yang diteruskan ke UI Edge:
X-Forwarded-Proto: https
Untuk mengonfigurasi UI Edge:
- Buka file
/opt/apigee/customer/application/ui.properties
di editor. Jika file tidak ada, buat file tersebut:vi /opt/apigee/customer/application/ui.properties
- Tetapkan properti berikut di
ui.properties
:conf/application.conf+trustxforwarded=true
- Simpan perubahan ke
ui.properties
. - Mulai ulang UI Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Menonaktifkan TLS di UI Edge
Untuk menonaktifkan TLS di UI Edge, gunakan perintah berikut:
/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl