Edge for Private Cloud גרסה 4.19.01
כברירת מחדל, אפשר לגשת לחוויית המשתמש החדשה של Edge באמצעות HTTP באמצעות כתובת ה-IP או שם ה-DNS של הצומת של ממשק New Edge ויציאה 3001. לדוגמה:
http://newue_IP:3001
לחלופין, תוכלו להגדיר גישה באמצעות TLS ל-New Edge באמצעות הטופס:
https://newue_IP:3001
דרישות ל-TLS (אבטחת שכבת התעבורה)
הגרסה החדשה של Edge תומכת רק ב-TLS (אבטחת שכבת התעבורה) בגרסה 1.2. כשמפעילים את TLS בממשק החדש של Edge, המשתמשים צריכים להתחבר לחוויית המשתמש החדשה באמצעות דפדפן שתואם ל-TLS (אבטחת שכבת התעבורה) בגרסה 1.2.
מאפייני תצורת TLS
מריצים את הפקודה הבאה כדי להגדיר TLS בממשק החדש של Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
כאשר configFile הוא קובץ התצורה שבו השתמשת כדי להתקין את הגרסה החדשה של Edge.
לפני הרצת הפקודה הזו, צריך לערוך את קובץ התצורה כדי להגדיר את המאפיינים הנדרשים ששולטים ב-TLS. בטבלה הבאה מתוארים המאפיינים שמשמשים להגדרת TLS בממשק החדש של Edge:
נכס | התיאור | חובה? |
---|---|---|
MANAGEMENT_UI_SCHEME
|
מגדיר את הפרוטוקול המשמש לגישה לממשק החדש של Edge, שנקרא http או https. ערך ברירת המחדל הוא "http". הגדר אותו ל-"https" כדי להפעיל TLS: MANAGEMENT_UI_SCHEME=https |
כן |
MANAGEMENT_UI_TLS_OFFLOAD
|
אם הערך 'n' מציין שבקשות TLS לממשק החדש של Edge מסתיימות
בממשק החדש של Edge. צריך להגדיר את אם הערך "y" מציין שבקשות TLS לממשק החדש של Edge מסתיימות במאזן עומסים, ומאזן העומסים מעביר את הבקשה לממשק New Edge באמצעות HTTP. גם אם סוגרים את ה-TLS במאזן העומסים, בממשק החדש של Edge עדיין צריך לשים לב שהבקשה המקורית הגיעה באמצעות TLS. לדוגמה, קובצי cookie מסוימים כוללים דגלי אבטחה. צריך להגדיר את MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y |
כן |
MANAGEMENT_UI_TLS_KEY_FILE
|
אם הפרמטר MANAGEMENT_UI_TLS_OFFLOAD=n מציין את הנתיב המוחלט
למפתח ה-TLS ולקובצי האישור. הקבצים חייבים להיות בפורמט של קובצי PEM ללא ביטוי סיסמה, ועליהם להיות בבעלות משתמש ה-APIgee.
המיקום המומלץ לקבצים האלה הוא:
/opt/apigee/customer/application/edge-management-ui אם הספרייה לא קיימת, יוצרים אותה. אם |
כן אם MANAGEMENT_UI_TLS_OFFLOAD=n
|
MANAGEMENT_UI_PUBLIC_URIS
|
אם המדיניות אפשר להגדיר את המאפיין הזה על סמך מאפיינים אחרים בקובץ התצורה. לדוגמה: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT כאשר:
אפשר לקרוא מידע נוסף על הנכסים האלה בקטע התקנת הממשק החדש של Edge. אם
|
כן |
SHOEHORN_SCHEME
|
לפני שמתקינים את הגרסה החדשה של Edge, צריך להתקין את ממשק המשתמש הבסיסי של Edge שנקרא shoehoe. בקובץ תצורת ההתקנה נעשה שימוש במאפיין הבא כדי לציין את הפרוטוקול המשמש לגישה לממשק המשתמש הבסיסי של Edge, שנקרא "http": SHOEHORN_SCHEME=http ממשק המשתמש הבסיסי של Edge לא תומך ב-TLS, לכן גם כשמפעילים את TLS בממשק החדש של Edge, המאפיין הזה עדיין צריך להיות מוגדר כ-"http". |
כן, מוגדר ל-http |
הגדרת TLS (אבטחת שכבת התעבורה)
כדי להגדיר גישת TLS לממשק החדש של Edge:
ליצור את האישור והמפתח של ה-TLS כקובצי PEM ללא ביטוי סיסמה. לדוגמה:
mykey.pem mycert.pem
יש דרכים רבות ליצור אישור ומפתח TLS. לדוגמה, אפשר להריץ את הפקודה הבאה כדי ליצור אישור ומפתח לא חתומים:
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
- מעתיקים את המפתח ואת קובצי האישור לספרייה
/opt/apigee/customer/application/edge-management-ui
. אם הספרייה לא קיימת, יוצרים אותה. מוודאים שהאישור והמפתח הם בבעלות משתמש ה-APIgee:
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את חוויית New Edge כדי להגדיר את מאפייני ה-TLS הבאים:
# Set to https to enable TLS. MANAGEMENT_UI_SCHEME=https # Do NOT terminate TLS on a load balancer. MANAGEMENT_UI_TLS_OFFLOAD=n # Specify the key and cert. MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem # Leave these properties set to the same values as when you installed the New Edge experience: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
כדי להגדיר TLS, מריצים את הפקודה הבאה:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
כאשר configFile הוא השם של קובץ התצורה.
הסקריפט מפעיל מחדש את חוויית Edge החדשה.
מריצים את הפקודות הבאות כדי להגדיר ולהפעיל מחדש את shoern:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
אחרי ההפעלה מחדש, הגרסה החדשה של Edge תתמוך בגישה באמצעות HTTPS. אם אתם לא מצליחים להתחבר לממשק New Edge אחרי שהפעלתם את TLS, מנקים את המטמון של הדפדפן ומנסים להתחבר שוב.
הגדרה של חוויית New Edge כשמסתיימת TLS במאזן העומסים
אם יש לכם מאזן עומסים שמעביר בקשות לממשק New Edge, אתם יכולים לסיים את חיבור ה-TLS במאזן העומסים, ואז לבקש ממאזן העומסים להעביר בקשות לממשק New Edge באמצעות HTTP:
יש תמיכה בתצורה הזו, אבל תצטרכו להגדיר את מאזן העומסים ואת ממשק New Edge בהתאם.
כדי להגדיר את חוויית New Edge כשה-TLS מסתיים במאזן העומסים:
עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את חוויית New Edge כדי להגדיר את מאפייני ה-TLS הבאים:
# Set to https to enable TLS MANAGEMENT_UI_SCHEME=https # Terminate TLS on a load balancer MANAGEMENT_UI_TLS_OFFLOAD=y # Set to the IP address or DNS name of the load balancer. MANAGEMENT_UI_IP=LB_IP_DNS # Set to the port number for the load balancer and New Edge experience. # The load balancer and the New Edge experience must use the same port number. MANAGEMENT_UI_IP=3001 # Leave these properties set to the same values as when you installed the New Edge experience: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
אם מגדירים את
MANAGEMENT_UI_TLS_OFFLOAD=y
, משמיטים את הערכיםMANAGEMENT_UI_TLS_KEY_FILE
ו-MANAGEMENT_UI_TLS_CERT_FILE.
כי הבקשות לממשק החדש של Edge לא מובאות בחשבון באמצעות HTTP.כדי להגדיר TLS, מריצים את הפקודה הבאה:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
כאשר configFile הוא השם של קובץ התצורה.
הסקריפט מפעיל מחדש את חוויית Edge החדשה.
מריצים את הפקודות הבאות כדי להגדיר ולהפעיל מחדש את shoern:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
אחרי ההפעלה מחדש, הגרסה החדשה של Edge תתמוך בגישה באמצעות HTTPS. אם אתם לא מצליחים להתחבר לממשק New Edge אחרי שהפעלתם את TLS, מנקים את המטמון של הדפדפן ומנסים להתחבר שוב.
השבתת TLS בממשק החדש של Edge
כדי להשבית TLS בממשק החדש של Edge:
עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את חוויית New Edge כדי להגדיר את מאפיין ה-TLS הבא:
# Set to http to disable TLS. MANAGEMENT_UI_SCHEME=http # Only if you had terminated TLS on a load balancer, # reset to the IP address or DNS name of the New Edge experience. MANAGEMENT_UI_IP=newue_IP_DNS
כדי להשבית TLS, מריצים את הפקודה הבאה:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
כאשר configFile הוא השם של קובץ התצורה.
הסקריפט מפעיל מחדש את חוויית Edge החדשה.
מריצים את הפקודות הבאות כדי להגדיר ולהפעיל מחדש את shoern:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
עכשיו אפשר לגשת לחוויית New Edge באמצעות HTTP. אם אתם לא מצליחים להתחבר לממשק New Edge אחרי ההשבתה של TLS (אבטחת שכבת התעבורה), יש לנקות את המטמון של הדפדפן ולנסות להתחבר שוב.