Edge para nuvem privada v4.19.01
Há vários lugares em que a interface do Edge pode tentar acessar um endereço IP local. Esses o endereço IP local pode corresponder a recursos privados ou protegidos de outra forma que não devem ser expostos a usuários externos:
- A ferramenta Trace na interface do usuário do Edge pode enviar e receber solicitações de API a qualquer o URL especificado. Em determinados cenários de implantação em que os componentes do Edge são co-hospedados com outros serviços internos, um usuário mal-intencionado pode fazer uso indevido da ferramenta Trace a endereços IP particulares.
- Ao criar um proxy de API a partir de uma especificação OpenAPI, a especificação descreve esses elementos de uma API como caminho base, caminhos e verbos, cabeçalhos e muito mais. Como parte da especificação, um usuário mal-intencionado pode especificar um caminho de base do proxy que se refere endereço IP.
- Ao criar um proxy de API a partir de um arquivo WSDL localizado no sistema de arquivos local.
Por motivos de segurança, por padrão, a interface do Edge é impedida de referenciar IP particular endereços IP internos. A lista de endereços IP particulares inclui:
- Endereço de loopback (127.0.0.1 ou localhost)
- Endereços site-local (para IPv4: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
- Qualquer endereço local (qualquer endereço resolvido para localhost).
Se você quiser permitir que a interface do Edge acesse endereços IP particulares, defina o seguinte: tokens:
- Para a ferramenta Trace, o
conf_apigee-base_apigee.feature.enabletraceforinternaladdresses
está desativada por padrão. Defina-o como "true" para permitir que a ferramenta Trace acesse o IP particular. endereços IP internos. - Para especificações da OpenAPI, o
conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses
está desativada por padrão. Defina-o como verdadeiro para permitir que uma OpenAPI acesse endereços IP particulares. - Para arquivos WSDL, o
conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses
está desativada por padrão. Defina-o como verdadeiro para permitir o upload de um arquivo WSDL do com endereços IP particulares.
Para definir essas propriedades como verdadeiras:
- Abra o arquivo
ui.properties
em um editor. Crie o arquivo se ele não existir.vi /opt/apigee/customer/application/ui.properties
- Defina as seguintes propriedades como "true":
conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true" conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true" conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
- Salve as alterações em
ui.properties
. - Verifique se o arquivo de propriedades é de propriedade da Apigee usuário:
chown apigee:apigee /opt/apigee/customer/application/ui.properties
- Reinicie a interface do Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
A interface do Edge agora pode acessar endereços IP locais.