הגדרת TLS לממשק החדש של Edge

Edge for Private Cloud גרסה 4.19.01

כברירת מחדל, אתם ניגשים לממשק החדש של Edge ב-HTTP באמצעות כתובת ה-IP או שם ה-DNS של צומת חוויית המשתמש החדש והיציאה 3001. לדוגמה:

http://newue_IP:3001

לחלופין, אפשר להגדיר גישת TLS לממשק החדש של Edge כדי אפשר לגשת אליו דרך הטופס הבא:

https://newue_IP:3001

דרישות לגבי TLS

חוויית Edge החדשה תומכת רק ב-TLS v1.2. אם מפעילים TLS בממשק החדש של Edge, המשתמשים צריכים להתחבר לממשק החדש של Edge באמצעות דפדפן שתואם ל-TLS v1.2.

מאפייני תצורה של TLS

מריצים את הפקודה הבאה כדי להגדיר TLS לממשק החדש של Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

כאשר configFile הוא קובץ התצורה שבו השתמשתם כדי להתקין את חוויית Edge חדשה.

לפני שמריצים את הפקודה הזו, צריך לערוך את קובץ התצורה כדי להגדיר את המאפיינים הנחוצים ששולטים ב-TLS. הטבלה הבאה מתארת את המאפיינים שבהם משתמשים כדי להגדיר TLS לממשק החדש של Edge:

MANAGEMENT_UI_SCHEME=https

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y

/opt/apigee/customer/application/edge-management-ui

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

SHOEHORN_SCHEME=http

הגדרת TLS

כדי להגדיר גישה של TLS לממשק החדש של Edge:

1. יצירת אישור ומפתח TLS כקובצי PEM ללא ביטוי סיסמה. לדוגמה:

   mykey.pem
   mycert.pem

   יש הרבה דרכים ליצור אישור ומפתח TLS. לדוגמה, אפשר להריץ את הפקודה הבאה כדי ליצור אישור ומפתח לא חתומים:

   openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'

2. מעתיקים את קובצי המפתח והאישור לספרייה /opt/apigee/customer/application/edge-management-ui. אם הספרייה לא קיימת, יוצרים אותה.

3. צריך לוודא שהאישור והמפתח הם בבעלות ה-apigee user:

   chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem

4. עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק Edge החדש. מגדירים את מאפייני ה-TLS הבאים:

   # Set to https to enable TLS.
   MANAGEMENT_UI_SCHEME=https 
   # Do NOT terminate TLS on a load balancer.
   MANAGEMENT_UI_TLS_OFFLOAD=n
   
   # Specify the key and cert. 
   MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
   MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem
   
   # Leave these properties set to the same values as when you installed the New Edge experience:
   MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
   SHOEHORN_SCHEME=http

5. מריצים את הפקודה הבאה כדי להגדיר TLS:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

   כאשר configFile הוא השם של קובץ התצורה.

   הסקריפט מפעיל מחדש את הממשק החדש של Edge.

6. מריצים את הפקודות הבאות כדי להגדיר את shoehooורן ולהפעיל מחדש את:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
   /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

   לאחר ההפעלה מחדש, הממשק החדש של Edge תומך בגישה באמצעות HTTPS. אם לא ניתן להתחבר לממשק החדש של Edge אחרי הפעלת TLS, צריך למחוק את במטמון הדפדפן ולנסות להתחבר שוב.

הגדרת חוויית Edge החדשה כשה-TLS מסתיים במאזן העומסים

אם יש לכם מאזן עומסים שמעביר בקשות לממשק החדש של Edge, יכול להיות לסיים את חיבור ה-TLS במאזן העומסים, ואז בקשות להעברת מאזן עומסים לממשק החדש של Edge ב-HTTP:

ההגדרות האישיות האלה נתמכות אבל צריך להגדיר את מאזן העומסים ואת חוויית New Edge בהתאם.

כדי להגדיר את חוויית New Edge כשה-TLS מסתיים במאזן העומסים:

1. עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק Edge החדש. מגדירים את מאפייני ה-TLS הבאים:

   # Set to https to enable TLS
   MANAGEMENT_UI_SCHEME=https
   # Terminate TLS on a load balancer
   MANAGEMENT_UI_TLS_OFFLOAD=y
   # Set to the IP address or DNS name of the load balancer.
   MANAGEMENT_UI_IP=LB_IP_DNS
   # Set to the port number for the load balancer and New Edge experience.
   # The load balancer and the New Edge experience must use the same port number.
   MANAGEMENT_UI_IP=3001
   
   # Leave these properties set to the same values as when you installed the New Edge experience:
   MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
   SHOEHORN_SCHEME=http
   

   אם מגדירים MANAGEMENT_UI_TLS_OFFLOAD=y, צריך להשמיט את MANAGEMENT_UI_TLS_KEY_FILE ו-MANAGEMENT_UI_TLS_CERT_FILE. המערכת מתעלמת מהבקשות האלה כי בקשות לממשק החדש של Edge מגיעות דרך HTTP.

2. מריצים את הפקודה הבאה כדי להגדיר TLS:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

   כאשר configFile הוא השם של קובץ התצורה.

   הסקריפט מפעיל מחדש את הממשק החדש של Edge.

3. מריצים את הפקודות הבאות כדי להגדיר את shoehooורן ולהפעיל מחדש את:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
   /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

   לאחר ההפעלה מחדש, הממשק החדש של Edge תומך בגישה באמצעות HTTPS. אם לא ניתן להתחבר לממשק החדש של Edge אחרי הפעלת TLS, צריך למחוק את במטמון הדפדפן ולנסות להתחבר שוב.

השבתה של TLS בממשק החדש של Edge

כדי להשבית TLS בממשק החדש של Edge:

1. עליכם לערוך את קובץ התצורה שבו השתמשתם כדי להגדיר את הממשק החדש של Edge. מאפיין ה-TLS הבא:

   # Set to http to disable TLS.
   MANAGEMENT_UI_SCHEME=http
   
   # Only if you had terminated TLS on a load balancer,
   # reset to the IP address or DNS name of the New Edge experience.
   MANAGEMENT_UI_IP=newue_IP_DNS
   

2. מריצים את הפקודה הבאה כדי להשבית TLS:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

   כאשר configFile הוא השם של קובץ התצורה.

   הסקריפט מפעיל מחדש את הממשק החדש של Edge.

3. מריצים את הפקודות הבאות כדי להגדיר את shoehooורן ולהפעיל אותה מחדש:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
   /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

   עכשיו אפשר לגשת לממשק החדש של Edge באמצעות HTTP. אם לא ניתן להתחבר לממשק החדש של Edge אחרי השבתת ה-TLS, צריך למחוק את במטמון הדפדפן ולנסות להתחבר שוב.