New Edge エクスペリエンスに対する TLS の構成

Edge for Private Cloud v4.19.01

デフォルトでは、New Edge エクスペリエンスには HTTP 経由でアクセスする際に、New Edge エクスペリエンス ノードの IP アドレスまたは DNS 名とポート 3001 を使用します。例:

http://newue_IP:3001

また、New Edge エクスペリエンスへの TLS アクセスを構成して、次の形式でアクセスできるようにすることもできます。

https://newue_IP:3001

TLS の要件

New Edge エクスペリエンスでは TLS v1.2 のみがサポートされます。New Edge エクスペリエンスで TLS を有効にする場合、ユーザーは TLS v1.2 と互換性のあるブラウザを使用して New Edge エクスペリエンスに接続する必要があります。

TLS 構成プロパティ

次のコマンドを実行して、New Edge エクスペリエンスの TLS を構成します。

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

ここで、configFile は New Edge エクスペリエンスのインストールに使用した構成ファイルです。

このコマンドを実行する前に、構成ファイルを編集して TLS の制御に必要なプロパティを設定する必要があります。次の表に、New Edge エクスペリエンスの TLS の構成に使用するプロパティを示します。

プロパティ 説明 必須 / 任意
MANAGEMENT_UI_SCHEME

New Edge エクスペリエンスへのアクセスに使用するプロトコル(「http」または「https」)を設定します。デフォルト値は「http」です。「https」に設定して TLS を有効にします。

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD

「n」に設定した場合、New Edge エクスペリエンスへの TLS リクエストが New Edge エクスペリエンスで終端されます。MANAGEMENT_UI_TLS_KEY_FILEMANAGEMENT_UI_TLS_CERT_FILE. を設定する必要があります。

「y」に設定すると、New Edge エクスペリエンスへの TLS リクエストはロードバランサで終端し、ロードバランサが HTTP を使用して New Edge エクスペリエンスにリクエストを転送します。

ロードバランサで TLS を終端する場合、New Edge エクスペリエンスでは、元のリクエストが TLS で送信されたことを引き続き認識する必要があります。たとえば、一部の Cookie には Secure フラグが設定されています。

MANAGEMENT_UI_SCHEME を「https」に設定する必要があります。設定していない場合、MANAGEMENT_UI_TLS_OFFLOAD は無視されます。

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y
MANAGEMENT_UI_TLS_KEY_FILE

MANAGEMENT_UI_TLS_CERT_FILE

MANAGEMENT_UI_TLS_OFFLOAD=n の場合、TLS 鍵ファイルと証明書ファイルへの絶対パスを指定します。ファイルはパスフレーズのない PEM ファイルとしてフォーマットし、「apigee」ユーザーが所有する必要があります。

これらのファイルの推奨保存場所は次のとおりです。

/opt/apigee/customer/application/edge-management-ui

このディレクトリが存在しない場合は作成します。

MANAGEMENT_UI_TLS_OFFLOAD=y の場合、MANAGEMENT_UI_TLS_KEY_FILEMANAGEMENT_UI_TLS_CERT_FILE. は省略します。New Edge エクスペリエンスに対するリクエストは HTTP 経由で受信されるため、これらは無視されます。

MANAGEMENT_UI_TLS_OFFLOAD=n の場合は ○
MANAGEMENT_UI_PUBLIC_URIS

MANAGEMENT_UI_TLS_OFFLOAD=n の場合、New Edge エクスペリエンスの URL を指定します。

構成ファイル内の他のプロパティに基づいて、このプロパティを設定します。例:

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

ここで

  • MANAGEMENT_UI_SCHEME には、前述のプロトコル(「http」または「https」)を指定します。
  • MANAGEMENT_UI_IP には、New Edge エクスペリエンスの IP アドレスまたは DNS 名を指定します。
  • MANAGEMENT_UI_PORT には、New Edge エクスペリエンスで使用されるポートを指定します。

これらのプロパティの詳細については、New Edge Experience のインストールをご覧ください。

MANAGEMENT_UI_TLS_OFFLOAD=y の場合:

  • MANAGEMENT_UI_IP には、New Edge エクスペリエンスではなく、ロードバランサの IP アドレスまたは DNS 名を指定します。
  • ロードバランサと New UE は、リクエストに同じポート番号(3001 など)を使用する必要がありますMANAGEMENT_UI_PORT を使用して、ロードバランサと New UE のポート番号を指定します。

SHOEHORN_SCHEME

New Edge エクスペリエンスをインストールする前に、まず「shoehorn」と呼ばれる基本 Edge UI をインストールします。インストール構成ファイルでは、次のプロパティを使用して、基本の Edge UI へのアクセスに使用するプロトコル「http」を指定します。

SHOEHORN_SCHEME=http

基本 Edge UI は TLS をサポートしていないため、New Edge エクスペリエンスで TLS を有効にする場合でも、このプロパティは「http」に設定する必要があります。

○(「http」に設定)

TLS の構成

New Edge エクスペリエンスへの TLS アクセスを構成するには:

  1. TLS 証明書と鍵をパスフレーズなしの PEM ファイルとして生成します。例:

    mykey.pem
    mycert.pem

    TLS 証明書と鍵を生成する方法はたくさんあります。たとえば、次のコマンドを実行すると、未署名の証明書と鍵を生成できます。

    openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
  2. 鍵ファイルと証明書ファイルを /opt/apigee/customer/application/edge-management-ui ディレクトリにコピーします。このディレクトリが存在しない場合は作成します。
  3. 証明書と鍵の所有者を「apigee」ユーザーにします。

    chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
  4. New Edge エクスペリエンスのインストールに使用した構成ファイルを編集して、次の TLS プロパティを設定します。

    # Set to https to enable TLS.
    MANAGEMENT_UI_SCHEME=https 
    # Do NOT terminate TLS on a load balancer.
    MANAGEMENT_UI_TLS_OFFLOAD=n
    
    # Specify the key and cert. 
    MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
    MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem
    
    # Leave these properties set to the same values as when you installed the New Edge experience:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
  5. 次のコマンドを実行して TLS を構成します。

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    ここで、configFile は構成ファイルの名前です。

    このスクリプトにより、New Edge エクスペリエンスが再起動されます。

  6. shoehorn をセットアップして再起動するには、次のコマンドを実行します。

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    再起動後、New Edge エクスペリエンスで HTTPS 経由のアクセスがサポートされます。TLS を有効にしてから New Edge エクスペリエンスにログインできない場合は、ブラウザのキャッシュを削除してからもう一度ログインしてみてください。

TLS がロードバランサで終端する場合の New Edge エクスペリエンスを構成する

New Edge エクスペリエンスにリクエストを転送するロードバランサがある場合は、ロードバランサで TLS 接続を終端し、ロードバランサで HTTP 経由で New Edge エクスペリエンスにリクエストを転送することもできます。

ロードバランサで TLS を終端する

この構成はサポートされていますが、それに応じてロードバランサと New Edge エクスペリエンスを構成する必要があります。

TLS がロードバランサで終端する場合の New Edge エクスペリエンスを構成するには:

  1. New Edge エクスペリエンスのインストールに使用した構成ファイルを編集して、次の TLS プロパティを設定します。

    # Set to https to enable TLS
    MANAGEMENT_UI_SCHEME=https
    # Terminate TLS on a load balancer
    MANAGEMENT_UI_TLS_OFFLOAD=y
    # Set to the IP address or DNS name of the load balancer.
    MANAGEMENT_UI_IP=LB_IP_DNS
    # Set to the port number for the load balancer and New Edge experience.
    # The load balancer and the New Edge experience must use the same port number.
    MANAGEMENT_UI_IP=3001
    
    # Leave these properties set to the same values as when you installed the New Edge experience:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
    

    MANAGEMENT_UI_TLS_OFFLOAD=y を設定する場合は、MANAGEMENT_UI_TLS_KEY_FILEMANAGEMENT_UI_TLS_CERT_FILE. を省略します。New Edge エクスペリエンスへのリクエストは HTTP 経由で受信されるため、これらは無視されます。

  2. 次のコマンドを実行して TLS を構成します。

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    ここで、configFile は構成ファイルの名前です。

    このスクリプトにより、New Edge エクスペリエンスが再起動されます。

  3. shoehorn をセットアップして再起動するには、次のコマンドを実行します。

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    再起動後、New Edge エクスペリエンスで HTTPS 経由のアクセスがサポートされます。TLS を有効にしてから New Edge エクスペリエンスにログインできない場合は、ブラウザのキャッシュを削除してからもう一度ログインしてみてください。

New Edge エクスペリエンスで TLS を無効にする

New Edge エクスペリエンスで TLS を無効にするには:

  1. New Edge エクスペリエンスのインストールに使用した構成ファイルを編集して、次の TLS プロパティを設定します。

    # Set to http to disable TLS.
    MANAGEMENT_UI_SCHEME=http
    
    # Only if you had terminated TLS on a load balancer,
    # reset to the IP address or DNS name of the New Edge experience.
    MANAGEMENT_UI_IP=newue_IP_DNS
    
  2. 次のコマンドを実行して TLS を無効にします。

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    ここで、configFile は構成ファイルの名前です。

    このスクリプトにより、New Edge エクスペリエンスが再起動されます。

  3. shoehorn をセットアップして再起動するには、次のコマンドを実行します。

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    HTTP 経由で New Edge エクスペリエンスにアクセスできるようになりました。TLS を無効にしてから New Edge エクスペリエンスにログインできなくなった場合は、ブラウザのキャッシュを削除してからもう一度ログインしてみてください。