새 에지 환경에 TLS 구성

Private Cloud용 Edge v4.19.01

기본적으로 새로운 Edge 환경에 액세스합니다. 새 에지 환경 노드와 포트 3001의 IP 주소나 DNS 이름을 사용하여 예를 들면 다음과 같습니다.

http://newue_IP:3001

또는 새 Edge 환경에 대한 TLS 액세스를 구성하여 다음 형식으로 액세스할 수 있습니다.

https://newue_IP:3001

TLS 요구사항

새로운 Edge 환경은 TLS v1.2만 지원합니다. 새 Edge 환경에서 TLS를 사용 설정하는 경우 TLS v1.2와 호환되는 브라우저를 사용하여 New Edge 환경에 연결해야 합니다.

TLS 구성 속성

다음 명령어를 실행하여 새로운 Edge 환경의 TLS를 구성합니다.

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

여기서 configFile는 다음을 설치하는 데 사용한 구성 파일입니다. 새로운 Edge 환경

이 명령어를 실행하기 전에 필수 속성입니다. 다음 표에서는 새 Edge 환경의 TLS를 구성하는 데 사용하는 속성은 다음과 같습니다.

속성 설명 필수 여부
MANAGEMENT_UI_SCHEME

프로토콜을 'http'로 설정합니다. 새로운 Edge 환경에 액세스하는 데 사용됩니다. 기본값은 'http'입니다. 'https'로 설정합니다. TLS를 사용 설정합니다.

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD

'n'인 경우 새 Edge 환경에 대한 TLS 요청이 종료되도록 지정합니다. 새로운 엣지 환경을 경험해 보세요 MANAGEMENT_UI_TLS_KEY_FILEMANAGEMENT_UI_TLS_CERT_FILE.를 설정해야 합니다.

'y'인 경우 새 Edge 환경에 대한 TLS 요청이 다음 시간에서 종료되도록 지정합니다. 부하 분산기에서 HTTP를 사용하여 새 에지 환경으로 요청을 전달합니다.

부하 분산기에서 TLS를 종료해도 새 Edge 환경에서는 원래 요청이 TLS를 통해 수신되었다는 것을 알 수 있습니다. 예를 들어 일부 쿠키에는 보안 플래그가 설정되어 있습니다.

MANAGEMENT_UI_SCHEME을 'https'로 설정해야 합니다. 그렇지 않으면 MANAGEMENT_UI_TLS_OFFLOAD가 무시됩니다.

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y
MANAGEMENT_UI_TLS_KEY_FILE

MANAGEMENT_UI_TLS_CERT_FILE

MANAGEMENT_UI_TLS_OFFLOAD=n인 경우 절대 경로를 지정합니다. 를 전달합니다. 파일은 다음 항목이 포함된 PEM 파일 형식이어야 합니다. 암호가 없으며 'Apigee'가 소유해야 합니다. 있습니다.

이러한 파일의 권장 위치는 다음과 같습니다.

/opt/apigee/customer/application/edge-management-ui

이 디렉터리가 없으면 새로 만듭니다.

MANAGEMENT_UI_TLS_OFFLOAD=y인 경우 MANAGEMENT_UI_TLS_KEY_FILE를 생략합니다. 및 MANAGEMENT_UI_TLS_CERT_FILE.는 새로운 Edge 환경은 HTTP를 통해 제공됩니다.

MANAGEMENT_UI_TLS_OFFLOAD=n인 경우 예
MANAGEMENT_UI_PUBLIC_URIS

MANAGEMENT_UI_TLS_OFFLOAD=n인 경우 새 Edge 환경의 URL을 지정합니다.

구성 파일의 다른 속성을 기반으로 이 속성을 설정합니다. 예를 들면 다음과 같습니다.

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

각 항목의 의미는 다음과 같습니다.

  • MANAGEMENT_UI_SCHEME는 'http' 프로토콜을 지정합니다. 또는 'https'로 시작해야 합니다.
  • MANAGEMENT_UI_IP은 새 에지 환경의 IP 주소 또는 DNS 이름을 지정합니다.
  • MANAGEMENT_UI_PORT은 새 Edge 환경에서 사용하는 포트를 지정합니다.

새로운 에지 환경 설치를 참조하세요. 를 참조하세요.

MANAGEMENT_UI_TLS_OFFLOAD=y인 경우:

  • MANAGEMENT_UI_IP부하 분산기의 IP 주소 또는 DNS 이름을 지정합니다. 아닙니다.
  • 부하 분산기와 새 UE는 요청에 동일한 포트 번호(예: 3001)를 사용해야 합니다. MANAGEMENT_UI_PORT를 사용하여 부하 분산기와 새 UE의 포트 번호를 지정합니다.

SHOEHORN_SCHEME

새 Edge 환경을 설치하기 전에 다음 안내를 따르세요. 먼저 슈혼이라는 기본 Edge UI를 설치합니다. 설치 구성 파일은 다음 속성을 사용하여 기본 Edge UI에 액세스하는 데 사용되는 'http' 프로토콜을 지정합니다.

SHOEHORN_SCHEME=http

기본 Edge UI는 TLS를 지원하지 않으므로 새 Edge 환경에서 TLS를 사용 설정해도 이 속성은 계속 'http'로 설정해야 합니다.

예, 'http'로 설정

TLS 구성

새로운 Edge 환경에 대한 TLS 액세스를 구성하려면 다음 안내를 따르세요.

  1. TLS 인증서와 키를 암호가 없는 PEM 파일로 생성합니다. 예를 들면 다음과 같습니다.

    mykey.pem
    mycert.pem

    TLS 인증서와 키를 생성하는 방법에는 여러 가지가 있습니다. 예를 들어 다음을 실행할 수 있습니다. 명령어를 사용하여 서명되지 않은 인증서와 키를 생성합니다.

    openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
  2. 키와 인증서 파일을 /opt/apigee/customer/application/edge-management-ui 디렉터리에 복사합니다. 이 디렉터리가 없으면 새로 만듭니다.
  3. 인증서와 키가 'Apigee'의 소유인지 확인하세요. 사용자:

    chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
  4. 새 Edge 환경을 설치하는 데 사용한 구성 파일을 수정하여 다음 TLS 속성을 설정합니다.

    # Set to https to enable TLS.
    MANAGEMENT_UI_SCHEME=https 
    # Do NOT terminate TLS on a load balancer.
    MANAGEMENT_UI_TLS_OFFLOAD=n
    
    # Specify the key and cert. 
    MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
    MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem
    
    # Leave these properties set to the same values as when you installed the New Edge experience:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
  5. 다음 명령어를 실행하여 TLS를 구성합니다.

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    여기서 configFile은 구성 파일의 이름입니다.

    스크립트에서 New Edge 환경을 다시 시작합니다.

  6. 다음 명령어를 실행하여 슈혼을 설정하고 다시 시작합니다.

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    다시 시작한 후에는 New Edge 환경에서 HTTPS를 통한 액세스를 지원합니다. TLS를 사용 설정한 후 새 Edge 환경에 로그인할 수 없는 경우 삭제하고 다시 로그인해 보세요.

부하 분산기에서 TLS가 종료될 때 새로운 Edge 환경 구성

요청을 새 Edge 환경으로 전달하는 부하 분산기가 있는 경우 부하 분산기에서 TLS 연결을 종료한 다음 부하 분산기는 HTTP를 통해 새 에지 환경으로 요청을 전달합니다.

부하 분산기에서 TLS 종료

이 구성은 지원됨 부하 분산기와 New Edge 환경을 적절히 구성해야 합니다.

부하 분산기에서 TLS가 종료될 때 새 Edge 환경을 구성하려면 다음 안내를 따르세요.

  1. 새 Edge 환경을 설치하는 데 사용한 구성 파일을 수정하여 다음 TLS 속성을 설정합니다.

    # Set to https to enable TLS
    MANAGEMENT_UI_SCHEME=https
    # Terminate TLS on a load balancer
    MANAGEMENT_UI_TLS_OFFLOAD=y
    # Set to the IP address or DNS name of the load balancer.
    MANAGEMENT_UI_IP=LB_IP_DNS
    # Set to the port number for the load balancer and New Edge experience.
    # The load balancer and the New Edge experience must use the same port number.
    MANAGEMENT_UI_IP=3001
    
    # Leave these properties set to the same values as when you installed the New Edge experience:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
    

    MANAGEMENT_UI_TLS_OFFLOAD=y를 설정하는 경우 MANAGEMENT_UI_TLS_KEY_FILE를 생략합니다. 및 MANAGEMENT_UI_TLS_CERT_FILE.는 새 Edge 환경에 대한 요청이 HTTP를 통해 수신되기 때문에 무시됩니다.

  2. 다음 명령어를 실행하여 TLS를 구성합니다.

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    여기서 configFile은 구성 파일의 이름입니다.

    스크립트에서 New Edge 환경을 다시 시작합니다.

  3. 다음 명령어를 실행하여 슈혼을 설정하고 다시 시작합니다.

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    다시 시작한 후에는 New Edge 환경에서 HTTPS를 통한 액세스를 지원합니다. TLS를 사용 설정한 후 새 Edge 환경에 로그인할 수 없는 경우 삭제하고 다시 로그인해 보세요.

새로운 Edge 환경에서 TLS 사용 중지

새로운 Edge 환경에서 TLS를 사용 중지하려면 다음 단계를 따르세요.

  1. 설정할 새 Edge 환경을 설치하는 데 사용한 구성 파일을 수정합니다. 다음 TLS 속성을 사용합니다.

    # Set to http to disable TLS.
    MANAGEMENT_UI_SCHEME=http
    
    # Only if you had terminated TLS on a load balancer,
    # reset to the IP address or DNS name of the New Edge experience.
    MANAGEMENT_UI_IP=newue_IP_DNS
    
  2. 다음 명령어를 실행하여 TLS를 사용 중지합니다.

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    여기서 configFile은 구성 파일의 이름입니다.

    스크립트에서 New Edge 환경을 다시 시작합니다.

  3. 다음 명령어를 실행하여 슈혼을 설정하고 다시 시작합니다.

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    이제 HTTP를 통해 New Edge 환경에 액세스할 수 있습니다. TLS를 사용 중지한 후 새 Edge 환경에 로그인할 수 없는 경우 삭제하고 다시 로그인해 보세요.