הגדרת TLS לממשק החדש של Edge

Edge for Private Cloud גרסה 4.19.01

כברירת מחדל, אפשר לגשת לחוויית המשתמש החדשה של Edge באמצעות HTTP באמצעות כתובת ה-IP או שם ה-DNS של הצומת של ממשק New Edge ויציאה 3001. לדוגמה:

http://newue_IP:3001

לחלופין, תוכלו להגדיר גישה באמצעות TLS ל-New Edge באמצעות הטופס:

https://newue_IP:3001

דרישות ל-TLS (אבטחת שכבת התעבורה)

הגרסה החדשה של Edge תומכת רק ב-TLS (אבטחת שכבת התעבורה) בגרסה 1.2. כשמפעילים את TLS בממשק החדש של Edge, המשתמשים צריכים להתחבר לחוויית המשתמש החדשה באמצעות דפדפן שתואם ל-TLS (אבטחת שכבת התעבורה) בגרסה 1.2.

מאפייני תצורת TLS

מריצים את הפקודה הבאה כדי להגדיר TLS בממשק החדש של Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

כאשר configFile הוא קובץ התצורה שבו השתמשת כדי להתקין את הגרסה החדשה של Edge.

לפני הרצת הפקודה הזו, צריך לערוך את קובץ התצורה כדי להגדיר את המאפיינים הנדרשים ששולטים ב-TLS. בטבלה הבאה מתוארים המאפיינים שמשמשים להגדרת TLS בממשק החדש של Edge:

MANAGEMENT_UI_SCHEME=https

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y

/opt/apigee/customer/application/edge-management-ui

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

SHOEHORN_SCHEME=http

הגדרת TLS (אבטחת שכבת התעבורה)

כדי להגדיר גישת TLS לממשק החדש של Edge:

1. ליצור את האישור והמפתח של ה-TLS כקובצי PEM ללא ביטוי סיסמה. לדוגמה:

   mykey.pem
   mycert.pem

   יש דרכים רבות ליצור אישור ומפתח TLS. לדוגמה, אפשר להריץ את הפקודה הבאה כדי ליצור אישור ומפתח לא חתומים:

   openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'

2. מעתיקים את המפתח ואת קובצי האישור לספרייה /opt/apigee/customer/application/edge-management-ui. אם הספרייה לא קיימת, יוצרים אותה.

3. מוודאים שהאישור והמפתח הם בבעלות משתמש ה-APIgee:

   chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem

4. עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את חוויית New Edge כדי להגדיר את מאפייני ה-TLS הבאים:

   # Set to https to enable TLS.
   MANAGEMENT_UI_SCHEME=https 
   # Do NOT terminate TLS on a load balancer.
   MANAGEMENT_UI_TLS_OFFLOAD=n
   
   # Specify the key and cert. 
   MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
   MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem
   
   # Leave these properties set to the same values as when you installed the New Edge experience:
   MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
   SHOEHORN_SCHEME=http

5. כדי להגדיר TLS, מריצים את הפקודה הבאה:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

   כאשר configFile הוא השם של קובץ התצורה.

   הסקריפט מפעיל מחדש את חוויית Edge החדשה.

6. מריצים את הפקודות הבאות כדי להגדיר ולהפעיל מחדש את shoern:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
   /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

   אחרי ההפעלה מחדש, הגרסה החדשה של Edge תתמוך בגישה באמצעות HTTPS. אם אתם לא מצליחים להתחבר לממשק New Edge אחרי שהפעלתם את TLS, מנקים את המטמון של הדפדפן ומנסים להתחבר שוב.

הגדרה של חוויית New Edge כשמסתיימת TLS במאזן העומסים

אם יש לכם מאזן עומסים שמעביר בקשות לממשק New Edge, אתם יכולים לסיים את חיבור ה-TLS במאזן העומסים, ואז לבקש ממאזן העומסים להעביר בקשות לממשק New Edge באמצעות HTTP:

יש תמיכה בתצורה הזו, אבל תצטרכו להגדיר את מאזן העומסים ואת ממשק New Edge בהתאם.

כדי להגדיר את חוויית New Edge כשה-TLS מסתיים במאזן העומסים:

1. עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את חוויית New Edge כדי להגדיר את מאפייני ה-TLS הבאים:

   # Set to https to enable TLS
   MANAGEMENT_UI_SCHEME=https
   # Terminate TLS on a load balancer
   MANAGEMENT_UI_TLS_OFFLOAD=y
   # Set to the IP address or DNS name of the load balancer.
   MANAGEMENT_UI_IP=LB_IP_DNS
   # Set to the port number for the load balancer and New Edge experience.
   # The load balancer and the New Edge experience must use the same port number.
   MANAGEMENT_UI_IP=3001
   
   # Leave these properties set to the same values as when you installed the New Edge experience:
   MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
   SHOEHORN_SCHEME=http
   

   אם מגדירים את MANAGEMENT_UI_TLS_OFFLOAD=y, משמיטים את הערכים MANAGEMENT_UI_TLS_KEY_FILE ו-MANAGEMENT_UI_TLS_CERT_FILE. כי הבקשות לממשק החדש של Edge לא מובאות בחשבון באמצעות HTTP.

2. כדי להגדיר TLS, מריצים את הפקודה הבאה:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

   כאשר configFile הוא השם של קובץ התצורה.

   הסקריפט מפעיל מחדש את חוויית Edge החדשה.

3. מריצים את הפקודות הבאות כדי להגדיר ולהפעיל מחדש את shoern:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
   /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

   אחרי ההפעלה מחדש, הגרסה החדשה של Edge תתמוך בגישה באמצעות HTTPS. אם אתם לא מצליחים להתחבר לממשק New Edge אחרי שהפעלתם את TLS, מנקים את המטמון של הדפדפן ומנסים להתחבר שוב.

השבתת TLS בממשק החדש של Edge

כדי להשבית TLS בממשק החדש של Edge:

1. עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את חוויית New Edge כדי להגדיר את מאפיין ה-TLS הבא:

   # Set to http to disable TLS.
   MANAGEMENT_UI_SCHEME=http
   
   # Only if you had terminated TLS on a load balancer,
   # reset to the IP address or DNS name of the New Edge experience.
   MANAGEMENT_UI_IP=newue_IP_DNS
   

2. כדי להשבית TLS, מריצים את הפקודה הבאה:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

   כאשר configFile הוא השם של קובץ התצורה.

   הסקריפט מפעיל מחדש את חוויית Edge החדשה.

3. מריצים את הפקודות הבאות כדי להגדיר ולהפעיל מחדש את shoern:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
   /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

   עכשיו אפשר לגשת לחוויית New Edge באמצעות HTTP. אם אתם לא מצליחים להתחבר לממשק New Edge אחרי ההשבתה של TLS (אבטחת שכבת התעבורה), יש לנקות את המטמון של הדפדפן ולנסות להתחבר שוב.