Como permitir que a IU do Edge acesse os endereços IP locais

Edge para nuvem privada v4.19.01

Há vários lugares em que a interface do Edge pode tentar acessar um endereço IP local. Esses o endereço IP local pode corresponder a recursos privados ou protegidos de outra forma que não devem ser expostos a usuários externos:

  • A ferramenta Trace na interface do usuário do Edge pode enviar e receber solicitações de API a qualquer o URL especificado. Em determinados cenários de implantação em que os componentes do Edge são co-hospedados com outros serviços internos, um usuário mal-intencionado pode fazer uso indevido da ferramenta Trace a endereços IP particulares.
  • Ao criar um proxy de API a partir de uma especificação OpenAPI, a especificação descreve esses elementos de uma API como caminho base, caminhos e verbos, cabeçalhos e muito mais. Como parte da especificação, um usuário mal-intencionado pode especificar um caminho de base do proxy que se refere endereço IP.
  • Ao criar um proxy de API a partir de um arquivo WSDL localizado no sistema de arquivos local.

Por motivos de segurança, por padrão, a interface do Edge é impedida de referenciar IP particular endereços IP internos. A lista de endereços IP particulares inclui:

  • Endereço de loopback (127.0.0.1 ou localhost)
  • Endereços site-local (para IPv4: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
  • Qualquer endereço local (qualquer endereço resolvido para localhost).

Se você quiser permitir que a interface do Edge acesse endereços IP particulares, defina o seguinte: tokens:

  • Para a ferramenta Trace, o conf_apigee-base_apigee.feature.enabletraceforinternaladdresses está desativada por padrão. Defina-o como "true" para permitir que a ferramenta Trace acesse o IP particular. endereços IP internos.
  • Para especificações da OpenAPI, o conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses está desativada por padrão. Defina-o como verdadeiro para permitir que uma OpenAPI acesse endereços IP particulares.
  • Para arquivos WSDL, o conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses está desativada por padrão. Defina-o como verdadeiro para permitir o upload de um arquivo WSDL do com endereços IP particulares.
.

Para definir essas propriedades como verdadeiras:

  1. Abra o arquivo ui.properties em um editor. Crie o arquivo se ele não existir.
    vi /opt/apigee/customer/application/ui.properties
  2. Defina as seguintes propriedades como "true":
    conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
  3. Salve as alterações em ui.properties.
  4. Verifique se o arquivo de propriedades é de propriedade da Apigee usuário:
    chown apigee:apigee /opt/apigee/customer/application/ui.properties
  5. Reinicie a interface do Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

A interface do Edge agora pode acessar endereços IP locais.