Ta strona została przetłumaczona przez Cloud Translation API.

Konfigurowanie protokołu TLS w interfejsie zarządzania

Edge for Private Cloud w wersji 4.18.05

Domyślnie dostęp do interfejsu zarządzania Edge uzyskujesz przez HTTP, używając adresu IP węzła serwera zarządzania i portu 9000. Na przykład:

http://ms_IP:9000

Możesz też skonfigurować dostęp TLS do interfejsu zarządzania, aby uzyskać do niego dostęp w postaci:

https://ms_IP:9443

W tym przykładzie konfigurujesz dostęp TLS, aby używać portu 9443. Ten numer portu nie jest jednak wymagany przez Edge – możesz skonfigurować serwer zarządzający tak, aby używał innych wartości portu. Jedynym wymaganiem jest to, aby zapora sieciowa zezwalała na ruch przez określony port.

Sprawdź, czy port TLS jest otwarty

Procedura opisana w tej sekcji konfiguruje TLS do korzystania z portu 9443 na serwerze zarządzania. Niezależnie od używanego portu musisz się upewnić, że jest on otwarty na serwerze zarządzania. Aby go otworzyć, możesz użyć tego polecenia:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

Uwaga: w tym przykładzie port TLS to port 9443, a nie bardziej typowy port 443. Dzieje się tak, ponieważ porty poniżej 1024 są zwykle chronione przez system operacyjny i wymagają, aby proces, który do nich sięga, miał dostęp roota. Interfejs Edge działa jako użytkownik „apigee” i dlatego zazwyczaj nie ma dostępu do portów poniżej 1024.

Alternatywą jest użycie systemu równoważenia obciążenia z interfejsem Edge UI i zakończenie szyfrowania TLS w systemie równoważenia obciążenia na porcie 443. Następnie możesz używać protokołu HTTP lub HTTPS między systemem równoważenia obciążenia a interfejsem użytkownika w chmurze.

Inną opcją jest użycie iptables do przekierowywania żądań z portu 443 na port 9443. Na przykład:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

Konfigurowanie TLS

Aby skonfigurować dostęp TLS do interfejsu zarządzania:

Wygeneruj plik magazynu kluczy JKS zawierający certyfikat TLS i klucz prywatny, a następnie skopiuj go do węzła serwera zarządzania. Więcej informacji znajdziesz w artykule Konfigurowanie TLS/SSL w przypadku usługi Edge On Premises.

Aby skonfigurować TLS, uruchom to polecenie:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl

Wpisz numer portu HTTPS, np. 9443.
Określ, czy chcesz wyłączyć dostęp HTTP do interfejsu zarządzania. Domyślnie interfejs zarządzania jest dostępny przez HTTP na porcie 9000.
Wpisz algorytm magazynu kluczy. Wartość domyślna to JKS.
Wpisz ścieżkę bezwzględną do pliku JKS magazynu kluczy.
Skrypt kopiuje plik do katalogu /opt/apigee/customer/conf na węźle serwera zarządzania i zmienia jego właściciela na „apigee”.
Wpisz hasło do magazynu kluczy w postaci zwykłego tekstu.
Następnie skrypt ponownie uruchamia interfejs zarządzania Edge. Po ponownym uruchomieniu interfejs zarządzania będzie obsługiwał dostęp przez TLS.
Te ustawienia znajdziesz w /opt/apigee/etc/edge-ui.d/SSL.sh.

Zamiast odpowiadać na prompty, możesz też przekazać plik konfiguracji do polecenia. Plik konfiguracji przyjmuje te właściwości:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Następnie użyj tego polecenia, aby skonfigurować TLS interfejsu Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Konfigurowanie interfejsu Edge, gdy szyfrowanie TLS kończy się w systemie równoważenia obciążenia

Jeśli masz system równoważenia obciążenia, który przekierowuje żądania do interfejsu Edge, możesz zakończyć połączenie TLS w systemie równoważenia obciążenia, a następnie przekierować żądania do interfejsu Edge przez HTTP. Ta konfiguracja jest obsługiwana, ale musisz odpowiednio skonfigurować system równoważenia obciążenia i interfejs użytkownika Edge.

Dodatkowa konfiguracja jest wymagana, gdy interfejs Edge wysyła e-maile z prośbą o ustawienie hasła po utworzeniu użytkownika lub gdy użytkownik poprosi o zresetowanie hasła. Ten e-mail zawiera adres URL, który użytkownik wybiera, aby ustawić lub zresetować hasło. Jeśli interfejs Edge nie jest skonfigurowany do używania TLS, domyślnie adres URL w wygenerowanym e-mailu używa protokołu HTTP, a nie HTTPS. Musisz skonfigurować system równoważenia obciążenia i interfejs Edge, aby generował adres e-mail, który używa HTTPS.

Aby skonfigurować system równoważenia obciążenia, upewnij się, że ustawia on ten nagłówek w żądaniach przekierowanych do interfejsu Edge:

X-Forwarded-Proto: https

Aby skonfigurować interfejs Edge:

Otwórz plik /opt/apigee/customer/application/ui.properties w edytorze. Jeśli plik nie istnieje, utwórz go:
```
vi /opt/apigee/customer/application/ui.properties
```
Ustaw te właściwości w sekcji ui.properties:
```
conf/application.conf+trustxforwarded=true
```
Zapisz zmiany w pliku ui.properties.

Ponownie uruchom interfejs Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Wyłączanie TLS w interfejsie Edge

Aby wyłączyć TLS w interfejsie Edge, użyj tego polecenia:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl