Mengonfigurasi TLS untuk pengalaman Edge Baru

Edge for Private Cloud v4.19.01

Secara default, Anda mengakses pengalaman Edge Baru melalui HTTP dengan menggunakan alamat IP atau nama DNS dari node pengalaman New Edge dan port 3001. Contoh:

http://newue_IP:3001

Atau, Anda bisa mengonfigurasi akses TLS ke pengalaman New Edge sehingga Anda dapat mengaksesnya di formulir:

https://newue_IP:3001

Persyaratan TLS

Pengalaman New Edge hanya mendukung TLS v1.2. Jika Anda mengaktifkan TLS pada pengalaman New Edge, pengguna harus terhubung ke pengalaman New Edge menggunakan browser yang kompatibel dengan TLS v1.2.

Properti konfigurasi TLS

Jalankan perintah berikut guna mengonfigurasi TLS untuk pengalaman Edge Baru:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

Dengan configFile adalah file konfigurasi yang Anda gunakan untuk menginstal Pengalaman Edge baru.

Sebelum menjalankan perintah ini, Anda harus mengedit file konfigurasi untuk mengatur properti yang diperlukan yang mengontrol TLS. Tabel berikut menjelaskan yang digunakan untuk mengonfigurasi TLS untuk pengalaman New Edge:

Properti Deskripsi Wajib?
MANAGEMENT_UI_SCHEME

Menetapkan protokol, "http" atau "https", digunakan untuk mengakses pengalaman New Edge. Nilai defaultnya adalah "http". Tetapkan ke "https" untuk mengaktifkan TLS:

MANAGEMENT_UI_SCHEME=https
Ya
MANAGEMENT_UI_TLS_OFFLOAD

Jika "n", menentukan bahwa permintaan TLS ke pengalaman Edge Baru akan dihentikan di pengalaman New Edge. Anda harus menetapkan MANAGEMENT_UI_TLS_KEY_FILE dan MANAGEMENT_UI_TLS_CERT_FILE.

Jika "y", menentukan bahwa permintaan TLS ke pengalaman Edge Baru dihentikan pada load balancer, dan load balancer kemudian meneruskan permintaan ke pengalaman New Edge menggunakan HTTP.

Jika Anda menghentikan TLS pada load balancer, pengalaman New Edge masih harus perlu diketahui bahwa permintaan asli masuk melalui TLS. Misalnya, beberapa cookie memiliki set tanda Aman.

Anda harus menetapkan MANAGEMENT_UI_SCHEME ke "https" atau MANAGEMENT_UI_TLS_OFFLOAD akan diabaikan:

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y
Ya
MANAGEMENT_UI_TLS_KEY_FILE

MANAGEMENT_UI_TLS_CERT_FILE

Jika MANAGEMENT_UI_TLS_OFFLOAD=n, tentukan jalur absolut ke file kunci dan sertifikat TLS. File harus diformat sebagai file PEM dengan tidak ada frasa sandi, dan harus dimiliki oleh "apigee" .

Lokasi yang direkomendasikan untuk file ini adalah:

/opt/apigee/customer/application/edge-management-ui

Jika direktori tersebut tidak ada, buatlah direktori tersebut.

Jika MANAGEMENT_UI_TLS_OFFLOAD=y, hapus MANAGEMENT_UI_TLS_KEY_FILE dan MANAGEMENT_UI_TLS_CERT_FILE. Keduanya akan diabaikan karena permintaan ke Pengalaman Edge baru hadir melalui HTTP.

Ya jika MANAGEMENT_UI_TLS_OFFLOAD=n
MANAGEMENT_UI_PUBLIC_URIS

Jika MANAGEMENT_UI_TLS_OFFLOAD=n, tentukan URL pengalaman New Edge.

Tetapkan properti ini berdasarkan properti lain dalam file konfigurasi. Contoh:

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

Dengan keterangan:

  • MANAGEMENT_UI_SCHEME menentukan protokol, "http" atau "https", seperti yang dijelaskan di atas.
  • MANAGEMENT_UI_IP menentukan alamat IP atau nama DNS pengalaman New Edge.
  • MANAGEMENT_UI_PORT menentukan port yang digunakan oleh pengalaman New Edge.

Lihat Menginstal Pengalaman Edge Baru untuk mengetahui lebih lanjut tentang properti ini.

Jika MANAGEMENT_UI_TLS_OFFLOAD=y:

  • MANAGEMENT_UI_IP menentukan alamat IP atau nama DNS load balancer, bukan pengalaman New Edge.
  • Load balancer dan UE Baru harus menggunakan nomor port yang sama untuk permintaan, misalnya 3001. Gunakan MANAGEMENT_UI_PORT untuk menentukan nomor port di load balancer dan di UE Baru.

Ya

SHOEHORN_SCHEME

Sebelum menginstal pengalaman Edge Baru, Anda menginstal UI Edge dasar terlebih dahulu, yang disebut shoehorn. File konfigurasi penginstalan menggunakan properti berikut untuk menentukan protokol, "http", yang digunakan untuk mengakses UI Edge dasar:

SHOEHORN_SCHEME=http

UI Edge dasar tidak mendukung TLS, jadi meskipun Anda mengaktifkan TLS pada pengalaman New Edge, properti ini tetap harus ditetapkan ke "http".

Ya dan tetapkan ke "http"

Mengonfigurasi TLS

Untuk mengonfigurasi akses TLS ke pengalaman New Edge:

  1. Buat sertifikat dan kunci TLS sebagai file PEM tanpa frasa sandi. Contoh:

    mykey.pem
    mycert.pem

    Ada banyak cara untuk membuat sertifikat dan kunci TLS. Misalnya, Anda dapat menjalankan perintah untuk menghasilkan sertifikat dan kunci yang tidak ditandatangani:

    openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
  2. Salin file kunci dan sertifikat ke direktori /opt/apigee/customer/application/edge-management-ui. Jika direktori tersebut tidak ada, buatlah direktori tersebut.
  3. Pastikan sertifikat dan kunci dimiliki oleh "apigee" pengguna:

    chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
  4. Edit file konfigurasi yang Anda gunakan untuk menginstal pengalaman New Edge untuk tetapkan properti TLS berikut:

    # Set to https to enable TLS.
    MANAGEMENT_UI_SCHEME=https 
    # Do NOT terminate TLS on a load balancer.
    MANAGEMENT_UI_TLS_OFFLOAD=n
    
    # Specify the key and cert. 
    MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
    MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem
    
    # Leave these properties set to the same values as when you installed the New Edge experience:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
  5. Jalankan perintah berikut untuk mengonfigurasi TLS:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    Dengan configFile adalah nama file konfigurasi.

    Skrip akan memulai ulang pengalaman New Edge.

  6. Jalankan perintah berikut untuk menyiapkan dan memulai ulang shoehorn:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    Setelah dimulai ulang, pengalaman New Edge mendukung akses melalui HTTPS. Jika Anda tidak dapat masuk ke pengalaman New Edge setelah mengaktifkan TLS, hapus {i>cache browser<i} dan coba masuk lagi.

Mengonfigurasi pengalaman New Edge saat TLS dihentikan pada load balancer

Jika Anda memiliki load balancer yang meneruskan permintaan ke pengalaman Edge Baru, Anda mungkin memilih untuk menghentikan koneksi TLS pada load balancer, load balancer meneruskan permintaan ke pengalaman New Edge melalui HTTP:

Menghentikan TLS pada load balancer

Konfigurasi ini didukung tetapi Anda perlu mengonfigurasi load balancer dan pengalaman New Edge.

Untuk mengonfigurasi pengalaman New Edge saat TLS dihentikan pada load balancer:

  1. Edit file konfigurasi yang Anda gunakan untuk menginstal pengalaman New Edge untuk tetapkan properti TLS berikut:

    # Set to https to enable TLS
    MANAGEMENT_UI_SCHEME=https
    # Terminate TLS on a load balancer
    MANAGEMENT_UI_TLS_OFFLOAD=y
    # Set to the IP address or DNS name of the load balancer.
    MANAGEMENT_UI_IP=LB_IP_DNS
    # Set to the port number for the load balancer and New Edge experience.
    # The load balancer and the New Edge experience must use the same port number.
    MANAGEMENT_UI_IP=3001
    
    # Leave these properties set to the same values as when you installed the New Edge experience:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
    

    Jika Anda menetapkan MANAGEMENT_UI_TLS_OFFLOAD=y, hapus MANAGEMENT_UI_TLS_KEY_FILE dan MANAGEMENT_UI_TLS_CERT_FILE. Keduanya diabaikan karena permintaan ke pengalaman New Edge masuk melalui HTTP.

  2. Jalankan perintah berikut untuk mengonfigurasi TLS:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    Dengan configFile adalah nama file konfigurasi.

    Skrip akan memulai ulang pengalaman New Edge.

  3. Jalankan perintah berikut untuk menyiapkan dan memulai ulang shoehorn:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    Setelah dimulai ulang, pengalaman New Edge mendukung akses melalui HTTPS. Jika Anda tidak dapat masuk ke pengalaman New Edge setelah mengaktifkan TLS, hapus {i>cache browser<i} dan coba masuk lagi.

Nonaktifkan TLS di pengalaman New Edge

Untuk menonaktifkan TLS di pengalaman New Edge:

  1. Edit file konfigurasi yang Anda gunakan untuk menginstal pengalaman New Edge agar dapat disetel properti TLS berikut:

    # Set to http to disable TLS.
    MANAGEMENT_UI_SCHEME=http
    
    # Only if you had terminated TLS on a load balancer,
    # reset to the IP address or DNS name of the New Edge experience.
    MANAGEMENT_UI_IP=newue_IP_DNS
    
  2. Jalankan perintah berikut untuk menonaktifkan TLS:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    Dengan configFile adalah nama file konfigurasi.

    Skrip akan memulai ulang pengalaman New Edge.

  3. Jalankan perintah berikut untuk menyiapkan dan memulai ulang shoehorn:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    Anda kini dapat mengakses pengalaman New Edge melalui HTTP. Jika Anda tidak dapat masuk ke pengalaman New Edge setelah menonaktifkan TLS, hapus {i>cache browser<i} dan coba masuk lagi.