Edge for Private Cloud v4.19.01
デフォルトでは、New Edge エクスペリエンスには、New Edge エクスペリエンスノードの IP アドレスまたは DNS 名とポート 3001 を使用して HTTP でアクセスします。次に例を示します。
http://newue_IP:3001
別の方法として、TLS を使用して New Edge エクスペリエンスにアクセスするよう構成できます。その場合は次の形式を使用します。
https://newue_IP:3001
TLS の要件
New Edge エクスペリエンスでは TLS v1.2 のみがサポートされます。New Edge エクスペリエンスで TLS を有効にした場合、ユーザーは TLS v1.2 に対応しているブラウザを使用して New Edge エクスペリエンスに接続する必要があります。
TLS 構成プロパティ
New Edge エクスペリエンスに対して TLS を構成するには、次のコマンドを実行します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
ここで、configFile は New Edge エクスペリエンスのインストールに使用した構成ファイルです。
このコマンドを実行する前に、構成ファイルを編集して TLS の制御に必要なプロパティを設定する必要があります。次の表に、New Edge エクスペリエンスに対する TLS の構成に使用するプロパティを示します。
| プロパティ | 説明 | 必須 |
|---|---|---|
MANAGEMENT_UI_SCHEME
|
New Edge エクスペリエンスへのアクセスに使用するプロトコル(「http」または「https」)を設定します。デフォルト値は「http」です。TLS を有効にする場合は、次のように「https」に設定します。 MANAGEMENT_UI_SCHEME=https |
○ |
MANAGEMENT_UI_TLS_OFFLOAD
|
「n」に設定した場合、New Edge エクスペリエンスに対する TLS リクエストは New Edge エクスペリエンスで終端します。 「y」に設定した場合、New Edge エクスペリエンスに対する TLS リクエストはロードバランサで終端し、ロードバランサーが HTTP を使用してリクエストを New Edge エクスペリエンスに転送します。 TLS をロードバランサで終端させる場合でも、New Edge エクスペリエンスは元のリクエストが TLS で届いたことを認識する必要があります。たとえば、一部の Cookie に Secure フラグを設定できます。
MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y
|
○ |
MANAGEMENT_UI_TLS_KEY_FILE
|
MANAGEMENT_UI_TLS_OFFLOAD=n の場合、TLS 鍵ファイルと証明書ファイルの絶対パスを指定します。これらのファイルはパスフレーズなしの PEM 形式で、所有者が「apigee」ユーザーである必要があります。
これらのファイルは次の場所に配置することをおすすめします。
/opt/apigee/customer/application/edge-management-ui このディレクトリが存在しない場合は作成します。
|
MANAGEMENT_UI_TLS_OFFLOAD=n の場合は必須
|
MANAGEMENT_UI_PUBLIC_URIS
|
このプロパティは、構成ファイル内の他のプロパティに基づいて設定します。次に例を示します。 MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT ここで
これらのプロパティの詳細については、New Edge エクスペリエンスのインストールをご覧ください。
|
○ |
SHOEHORN_SCHEME
|
New Edge エクスペリエンスをインストールする前に、まず「shoehorn」と呼ばれる基本 Edge UI をインストールします。インストール構成ファイルでは、次のプロパティを使用して、基本 Edge UI へのアクセスに使用するプロトコル「http」を指定します。 SHOEHORN_SCHEME=http 基本 Edge UI は TLS をサポートしていないため、New Edge エクスペリエンスで TLS を有効にする場合でも、このプロパティは引き続き「http」に設定しておく必要があります。 |
○(「http」に設定する) |
TLS の構成
New Edge エクスペリエンスに対する TLS アクセスを構成するには:
TLS 証明書と TLS 鍵をパスフレーズなしの PEM ファイルとして生成します。次に例を示します。
mykey.pem mycert.pemTLS 証明書と TLS 鍵を生成する方法は多数あります。たとえば、次のコマンドを実行して署名なしの証明書と鍵を生成できます。
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
- 鍵ファイルと証明書ファイルを
/opt/apigee/customer/application/edge-management-uiディレクトリにコピーします。このディレクトリが存在しない場合は作成します。 証明書と鍵の所有者を「apigee」ユーザーにします。
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
New Edge エクスペリエンスのインストールに使用した構成ファイルを編集し、次の TLS プロパティを設定します。
# Set to https to enable TLS. MANAGEMENT_UI_SCHEME=https # Do NOT terminate TLS on a load balancer. MANAGEMENT_UI_TLS_OFFLOAD=n # Specify the key and cert. MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem # Leave these properties set to the same values as when you installed the New Edge experience: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http次のコマンドを実行して TLS を構成します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
ここで、configFile は構成ファイルの名前です。
このスクリプトを実行すると、New Edge エクスペリエンスが再起動します。
次のコマンドを実行し、shoehorn をセットアップして再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile/opt/apigee/apigee-service/bin/apigee-service edge-ui restart再起動した後、New Edge エクスペリエンスに HTTPS でアクセスできるようになります。TLS を有効にした後、New Edge エクスペリエンスにログインできなくなった場合は、ブラウザのキャッシュをクリアしてログインを再試行してください。
TLS をロードバランサで終端させる場合の New Edge エクスペリエンスの構成
リクエストを New Edge エクスペリエンスに転送するロードバランサを配置している場合、TLS 接続をロードバランサで終端させ、ロードバランサから HTTP で New Edge エクスペリエンスにリクエストを転送することができます。
この構成はサポートされていますが、ロードバランサと New Edge エクスペリエンスをそれに応じて構成する必要があります。
TLS をロードバランサで終端させる場合の New Edge エクスペリエンスの構成手順:
New Edge エクスペリエンスのインストールに使用した構成ファイルを編集し、次の TLS プロパティを設定します。
# Set to https to enable TLS MANAGEMENT_UI_SCHEME=https # Terminate TLS on a load balancer MANAGEMENT_UI_TLS_OFFLOAD=y # Set to the IP address or DNS name of the load balancer. MANAGEMENT_UI_IP=LB_IP_DNS # Set to the port number for the load balancer and New Edge experience. # The load balancer and the New Edge experience must use the same port number. MANAGEMENT_UI_IP=3001 # Leave these properties set to the same values as when you installed the New Edge experience: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=httpMANAGEMENT_UI_TLS_OFFLOAD=yに設定する場合、MANAGEMENT_UI_TLS_KEY_FILEとMANAGEMENT_UI_TLS_CERT_FILE.は省略します。New Edge エクスペリエンスへのリクエストは HTTP で送られるため、これらのプロパティは無視されます。次のコマンドを実行して TLS を構成します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
ここで、configFile は構成ファイルの名前です。
このスクリプトを実行すると、New Edge エクスペリエンスが再起動します。
次のコマンドを実行し、shoehorn をセットアップして再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile/opt/apigee/apigee-service/bin/apigee-service edge-ui restart再起動した後、New Edge エクスペリエンスに HTTPS でアクセスできるようになります。TLS を有効にした後、New Edge エクスペリエンスにログインできなくなった場合は、ブラウザのキャッシュをクリアしてログインを再試行してください。
New Edge エクスペリエンスで TLS を無効にする
New Edge エクスペリエンスで TLS を無効にするには:
New Edge エクスペリエンスのインストールに使用した構成ファイルを編集し、次の TLS プロパティを設定します。
# Set to http to disable TLS. MANAGEMENT_UI_SCHEME=http # Only if you had terminated TLS on a load balancer, # reset to the IP address or DNS name of the New Edge experience. MANAGEMENT_UI_IP=newue_IP_DNS次のコマンドを実行して TLS を無効にします。
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
ここで、configFile は構成ファイルの名前です。
このスクリプトを実行すると、New Edge エクスペリエンスが再起動します。
次のコマンドを実行し、shoehorn をセットアップして再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile/opt/apigee/apigee-service/bin/apigee-service edge-ui restartこれで、New Edge エクスペリエンスに HTTP でアクセスできるようになります。TLS を無効にした後、New Edge エクスペリエンスにログインできなくなった場合は、ブラウザのキャッシュをクリアしてログインを再試行してください。