Edge para nuvem privada v4.19.01
Por padrão, você acessa a nova experiência do Edge por HTTP usando o endereço IP ou o nome DNS do nó da nova experiência do Edge e da porta 3001. Exemplo:
http://newue_IP:3001
Também é possível configurar o acesso TLS à nova experiência do Edge para acessá-la pelo formulário:
https://newue_IP:3001
Requisitos de TLS
A nova experiência do Edge só é compatível com o TLS v1.2. Se você ativar o TLS na nova experiência do Edge, os usuários precisarão se conectar a ela usando um navegador compatível com o TLS v1.2.
Propriedades de configuração de TLS
Execute o seguinte comando para configurar o TLS para a nova experiência do Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Em que configFile é o arquivo de configuração usado para instalar a nova experiência do Edge.
Antes de executar esse comando, edite o arquivo de configuração para definir as propriedades necessárias que controlam o TLS. Na tabela a seguir, descrevemos as propriedades que você usa para configurar o TLS para a nova experiência do Edge:
Propriedade | Descrição | Obrigatório? |
---|---|---|
MANAGEMENT_UI_SCHEME
|
Define o protocolo, "http" ou "https", usado para acessar a experiência da nova borda. O valor padrão é "http". Defina-o como "https" para ativar o TLS: MANAGEMENT_UI_SCHEME=https |
Sim |
MANAGEMENT_UI_TLS_OFFLOAD
|
Se "n", especifica que as solicitações TLS para a nova experiência do Edge serão encerradas
na nova experiência. É preciso definir Se "y", especifica que as solicitações TLS para a nova experiência do Edge serão encerradas em um balanceador de carga e que o balanceador de carga encaminhará a solicitação para a experiência do novo Edge usando HTTP. Se você encerrar o TLS no balanceador de carga, a nova experiência do Edge ainda precisará estar ciente de que a solicitação original veio por TLS. Por exemplo, alguns cookies têm um sinalizador de segurança definido. Defina MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y |
Sim |
MANAGEMENT_UI_TLS_KEY_FILE
|
Se for MANAGEMENT_UI_TLS_OFFLOAD=n , especifica o caminho absoluto
para os arquivos de chave e certificado TLS. Os arquivos precisam ser formatados como arquivos PEM sem senha longa e ser de propriedade do usuário "apigee".
O local recomendado para esses arquivos é:
/opt/apigee/customer/application/edge-management-ui Se o diretório não existir, crie-o. Se |
Sim, se MANAGEMENT_UI_TLS_OFFLOAD=n
|
MANAGEMENT_UI_PUBLIC_URIS
|
Se Defina essa propriedade com base em outras no arquivo de configuração. Exemplo: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT Em que:
Consulte Como instalar a nova experiência do Edge para saber mais sobre essas propriedades. Se
|
Sim |
SHOEHORN_SCHEME
|
Antes de instalar a nova experiência do Edge, instale a interface básica do Edge chamada shoehorn. O arquivo de configuração de instalação usa a seguinte propriedade para especificar o protocolo "http", usado para acessar a interface básica do Edge: SHOEHORN_SCHEME=http A interface básica do Edge não é compatível com TLS. Portanto, mesmo quando você ativar o TLS na nova experiência do Edge, essa propriedade ainda vai precisar ser definida como "http". |
Sim e definir como "http" |
Configurar a TLS
Para configurar o acesso TLS à nova experiência do Edge:
Gere o certificado e a chave TLS como arquivos PEM sem senha longa. Exemplo:
mykey.pem mycert.pem
Há várias maneiras de gerar um certificado e uma chave TLS. Por exemplo, é possível executar o seguinte comando para gerar um certificado e uma chave não assinados:
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
- Copie os arquivos de chave e de certificado para o diretório
/opt/apigee/customer/application/edge-management-ui
. Se o diretório não existir, crie-o. Verifique se o certificado e a chave são de propriedade do usuário "apigee":
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
Edite o arquivo de configuração usado para instalar a nova experiência do Edge para definir as seguintes propriedades de TLS:
# Set to https to enable TLS. MANAGEMENT_UI_SCHEME=https # Do NOT terminate TLS on a load balancer. MANAGEMENT_UI_TLS_OFFLOAD=n # Specify the key and cert. MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem # Leave these properties set to the same values as when you installed the New Edge experience: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
Execute o seguinte comando para configurar o TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Em que configFile é o nome do arquivo de configuração.
O script reinicia a nova experiência do Edge.
Execute os seguintes comandos para configurar e reiniciar o Shoehorn:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Após a reinicialização, será possível acessar a nova experiência do Edge por HTTPS. Se não for possível fazer login na nova experiência do Edge depois de ativar o TLS, limpe o cache do navegador e tente fazer login de novo.
Configurar a nova experiência de borda quando o TLS for encerrado no balanceador de carga
Se você tiver um balanceador de carga que encaminha solicitações para a nova experiência do Edge, poderá optar por encerrar a conexão TLS no balanceador de carga e, em seguida, fazer que ele encaminhe solicitações para a nova experiência do Edge por HTTP:
Essa configuração é compatível, mas você precisa configurar o balanceador de carga e a nova experiência do Edge de acordo.
Para configurar a nova experiência do Edge quando o TLS for encerrado no balanceador de carga:
Edite o arquivo de configuração usado para instalar a nova experiência do Edge para definir as seguintes propriedades de TLS:
# Set to https to enable TLS MANAGEMENT_UI_SCHEME=https # Terminate TLS on a load balancer MANAGEMENT_UI_TLS_OFFLOAD=y # Set to the IP address or DNS name of the load balancer. MANAGEMENT_UI_IP=LB_IP_DNS # Set to the port number for the load balancer and New Edge experience. # The load balancer and the New Edge experience must use the same port number. MANAGEMENT_UI_IP=3001 # Leave these properties set to the same values as when you installed the New Edge experience: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
Se você definir
MANAGEMENT_UI_TLS_OFFLOAD=y
, omitaMANAGEMENT_UI_TLS_KEY_FILE
eMANAGEMENT_UI_TLS_CERT_FILE.
. Eles são ignorados porque as solicitações para a nova experiência de borda chegam por HTTP.Execute o seguinte comando para configurar o TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Em que configFile é o nome do arquivo de configuração.
O script reinicia a nova experiência do Edge.
Execute os seguintes comandos para configurar e reiniciar o Shoehorn:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Após a reinicialização, será possível acessar a nova experiência do Edge por HTTPS. Se não for possível fazer login na nova experiência do Edge depois de ativar o TLS, limpe o cache do navegador e tente fazer login de novo.
Desativar o TLS na nova experiência do Edge
Para desativar o TLS na nova experiência do Edge, faça o seguinte:
Edite o arquivo de configuração usado para instalar a nova experiência do Edge para definir a seguinte propriedade de TLS:
# Set to http to disable TLS. MANAGEMENT_UI_SCHEME=http # Only if you had terminated TLS on a load balancer, # reset to the IP address or DNS name of the New Edge experience. MANAGEMENT_UI_IP=newue_IP_DNS
Execute o seguinte comando para desativar o TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Em que configFile é o nome do arquivo de configuração.
O script reinicia a nova experiência do Edge.
Execute os seguintes comandos para configurar e reiniciar o Shoehorn:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Agora você pode acessar a nova experiência do Edge por HTTP. Se você não conseguir fazer login na nova experiência do Edge após desativar o TLS, limpe o cache do navegador e tente fazer login de novo.