การกําหนดค่า TLS สําหรับประสบการณ์ Edge ใหม่

Edge สำหรับ Private Cloud เวอร์ชัน 4.19.01

โดยค่าเริ่มต้น คุณจะเข้าถึงประสบการณ์ Edge ใหม่ผ่าน HTTP โดยใช้ที่อยู่ IP หรือชื่อ DNS ของโหนดประสบการณ์การใช้งาน New Edge และพอร์ต 3001 เช่น

http://newue_IP:3001

หรือกำหนดค่าการเข้าถึง TLS สำหรับประสบการณ์ New Edge เพื่อให้คุณเข้าถึงผ่านแบบฟอร์มต่อไปนี้ได้

https://newue_IP:3001

ข้อกำหนดของ TLS

ประสบการณ์การใช้งาน New Edge รองรับเฉพาะ TLS v1.2 เท่านั้น หากคุณเปิดใช้ TLS ในการใช้งาน New Edge ผู้ใช้ต้องเชื่อมต่อกับประสบการณ์การใช้งาน New Edge โดยใช้เบราว์เซอร์ที่เข้ากันได้กับ TLS v1.2

พร็อพเพอร์ตี้การกำหนดค่า TLS

ใช้คำสั่งต่อไปนี้เพื่อกำหนดค่า TLS สำหรับประสบการณ์ New Edge

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

โดย configFile คือไฟล์การกำหนดค่าที่คุณใช้ติดตั้งประสบการณ์ New Edge

ก่อนเรียกใช้คำสั่งนี้ คุณต้องแก้ไขไฟล์การกำหนดค่าเพื่อตั้งค่าพร็อพเพอร์ตี้ที่จำเป็นซึ่งควบคุม TLS ตารางต่อไปนี้อธิบายพร็อพเพอร์ตี้ที่คุณใช้เพื่อกำหนดค่า TLS สำหรับประสบการณ์ New Edge

พร็อพเพอร์ตี้ คำอธิบาย จำเป็นหรือไม่
MANAGEMENT_UI_SCHEME

ตั้งค่าโปรโตคอล "http" หรือ "https" ที่ใช้ในการเข้าถึงประสบการณ์ New Edge ค่าเริ่มต้นคือ "http" ตั้งค่าเป็น "https" เพื่อเปิดใช้ TLS

MANAGEMENT_UI_SCHEME=https
มี
MANAGEMENT_UI_TLS_OFFLOAD

หากเป็น "n" ให้ระบุว่าคำขอ TLS ไปยังประสบการณ์ Edge ใหม่จะสิ้นสุดที่ประสบการณ์การใช้งาน New Edge คุณต้องตั้งค่า MANAGEMENT_UI_TLS_KEY_FILE และ MANAGEMENT_UI_TLS_CERT_FILE.

หากเป็น "y" ให้ระบุว่าคำขอ TLS ไปยังประสบการณ์ New Edge สิ้นสุดลงบนตัวจัดสรรภาระงาน และตัวจัดสรรภาระงานจะส่งต่อคำขอไปยังประสบการณ์การใช้งาน New Edge โดยใช้ HTTP

หากคุณสิ้นสุด TLS ในตัวจัดสรรภาระงาน ประสบการณ์ New Edge ยังคงต้องทราบว่าคำขอเดิมส่งเข้ามาทาง TLS เช่น คุกกี้บางรายการมีการตั้งค่าสถานะความปลอดภัย

คุณต้องตั้งค่า MANAGEMENT_UI_SCHEME เป็น "https" ไม่เช่นนั้นระบบจะไม่สนใจ MANAGEMENT_UI_TLS_OFFLOAD:

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y
มี
MANAGEMENT_UI_TLS_KEY_FILE

MANAGEMENT_UI_TLS_CERT_FILE

หากเป็น MANAGEMENT_UI_TLS_OFFLOAD=n ให้ระบุเส้นทางสัมบูรณ์ไปยังคีย์ TLS และไฟล์ใบรับรอง ไฟล์ต้องจัดรูปแบบเป็นไฟล์ PEM ที่ไม่มีรหัสผ่าน และผู้ใช้ "apigee" ต้องเป็นของผู้ใช้

ตำแหน่งที่แนะนำสำหรับไฟล์เหล่านี้คือ

/opt/apigee/customer/application/edge-management-ui

หากไม่มีไดเรกทอรีดังกล่าวอยู่ ให้สร้างไดเรกทอรี

หากเป็น MANAGEMENT_UI_TLS_OFFLOAD=y ให้ข้าม MANAGEMENT_UI_TLS_KEY_FILE และ MANAGEMENT_UI_TLS_CERT_FILE. เพราะคำขอไปยังประสบการณ์ Edge ใหม่จะส่งมาทาง HTTP

เคยหาก MANAGEMENT_UI_TLS_OFFLOAD=n
MANAGEMENT_UI_PUBLIC_URIS

หากเป็น MANAGEMENT_UI_TLS_OFFLOAD=n ให้ระบุ URL ของประสบการณ์ New Edge

ตั้งค่าพร็อพเพอร์ตี้นี้โดยอิงตามพร็อพเพอร์ตี้อื่นๆ ในไฟล์การกำหนดค่า เช่น

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

โดยที่

  • MANAGEMENT_UI_SCHEME ระบุโปรโตคอล "http" หรือ "https" ตามที่อธิบายไว้ข้างต้น
  • MANAGEMENT_UI_IP ระบุที่อยู่ IP หรือชื่อ DNS ของประสบการณ์ New Edge
  • MANAGEMENT_UI_PORT ระบุพอร์ตที่ใช้โดยประสบการณ์ New Edge

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับพร็อพเพอร์ตี้เหล่านี้ในการติดตั้งประสบการณ์การใช้งาน New Edge

หาก MANAGEMENT_UI_TLS_OFFLOAD=y:

  • MANAGEMENT_UI_IP จะระบุที่อยู่ IP หรือชื่อ DNS ของตัวจัดสรรภาระงาน ไม่ใช่ของประสบการณ์ New Edge
  • ตัวจัดสรรภาระงานและ UE ใหม่ต้องใช้หมายเลขพอร์ตเดียวกันสำหรับคำขอ เช่น 3001 ใช้ MANAGEMENT_UI_PORT เพื่อระบุหมายเลขพอร์ตบนตัวจัดสรรภาระงานและ UE ใหม่

มี

SHOEHORN_SCHEME

ก่อนที่จะติดตั้งประสบการณ์ New Edge คุณต้องติดตั้ง Edge UI พื้นฐานที่เรียกว่า shoehorn ก่อน ไฟล์การกำหนดค่าการติดตั้งใช้พร็อพเพอร์ตี้ต่อไปนี้ในการระบุโปรโตคอล "http" ซึ่งใช้ในการเข้าถึง Edge UI พื้นฐาน

SHOEHORN_SCHEME=http

Edge UI พื้นฐานไม่รองรับ TLS ดังนั้นแม้ว่าคุณจะเปิดใช้ TLS บน New Edge แล้ว คุณก็ยังต้องตั้งค่าพร็อพเพอร์ตี้นี้เป็น "http"

ใช่ และตั้งค่าเป็น "http"

กำหนดค่า TLS

วิธีกำหนดค่าการเข้าถึง TLS สำหรับประสบการณ์ New Edge

  1. สร้างคีย์และใบรับรอง TLS เป็นไฟล์ PEM โดยไม่ใช้รหัสผ่าน เช่น

    mykey.pem
    mycert.pem

    การสร้างใบรับรองและคีย์ TLS ทำได้หลายวิธี เช่น คุณอาจเรียกใช้คำสั่งต่อไปนี้เพื่อสร้างคีย์และใบรับรองที่ไม่ได้ลงนาม

    openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
  2. คัดลอกคีย์และไฟล์ใบรับรองไปยังไดเรกทอรี /opt/apigee/customer/application/edge-management-ui หากไม่มีไดเรกทอรีดังกล่าวอยู่ ให้สร้างไดเรกทอรี
  3. ตรวจสอบว่าผู้ใช้ "apigee" เป็นเจ้าของใบรับรองและคีย์ โดยทำดังนี้

    chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
  4. แก้ไขไฟล์การกำหนดค่าที่คุณใช้ติดตั้งประสบการณ์ New Edge เพื่อตั้งค่าพร็อพเพอร์ตี้ TLS ต่อไปนี้

    # Set to https to enable TLS.
    MANAGEMENT_UI_SCHEME=https 
    # Do NOT terminate TLS on a load balancer.
    MANAGEMENT_UI_TLS_OFFLOAD=n
    
    # Specify the key and cert. 
    MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
    MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem
    
    # Leave these properties set to the same values as when you installed the New Edge experience:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
  5. เรียกใช้คำสั่งต่อไปนี้เพื่อกำหนดค่า TLS

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    โดย configFile คือชื่อของไฟล์การกำหนดค่า

    สคริปต์จะรีสตาร์ทประสบการณ์ New Edge

  6. เรียกใช้คำสั่งต่อไปนี้เพื่อตั้งค่าและรีสตาร์ทเครื่องรองเท้า

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    หลังจากรีสตาร์ทแล้ว ประสบการณ์การใช้งาน New Edge จะรองรับการเข้าถึงผ่าน HTTPS ถ้าคุณเข้าสู่ระบบของ New Edge ไม่ได้หลังจากเปิดใช้ TLS ให้ล้างแคชของเบราว์เซอร์และลองเข้าสู่ระบบอีกครั้ง

กำหนดค่าประสบการณ์ New Edge เมื่อ TLS สิ้นสุดในตัวจัดสรรภาระงาน

หากมีตัวจัดสรรภาระงานที่ส่งต่อคำขอไปยังประสบการณ์ใหม่ใน Edge คุณอาจเลือกสิ้นสุดการเชื่อมต่อ TLS บนตัวจัดสรรภาระงาน จากนั้นจึงให้ตัวจัดสรรภาระงานส่งคำขอไปยังประสบการณ์การใช้งาน New Edge ผ่าน HTTP โดยทำดังนี้

สิ้นสุด TLS ในตัวจัดสรรภาระงาน

ระบบรองรับการกำหนดค่านี้ แต่คุณต้องกำหนดค่าตัวจัดสรรภาระงานและประสบการณ์การใช้งาน New Edge ให้สอดคล้องกัน

วิธีกำหนดค่าประสบการณ์ New Edge เมื่อ TLS สิ้นสุดในตัวจัดสรรภาระงาน

  1. แก้ไขไฟล์การกำหนดค่าที่คุณใช้ติดตั้งประสบการณ์ New Edge เพื่อตั้งค่าพร็อพเพอร์ตี้ TLS ต่อไปนี้

    # Set to https to enable TLS
    MANAGEMENT_UI_SCHEME=https
    # Terminate TLS on a load balancer
    MANAGEMENT_UI_TLS_OFFLOAD=y
    # Set to the IP address or DNS name of the load balancer.
    MANAGEMENT_UI_IP=LB_IP_DNS
    # Set to the port number for the load balancer and New Edge experience.
    # The load balancer and the New Edge experience must use the same port number.
    MANAGEMENT_UI_IP=3001
    
    # Leave these properties set to the same values as when you installed the New Edge experience:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
    

    ถ้าคุณตั้งค่า MANAGEMENT_UI_TLS_OFFLOAD=y ให้ยกเว้น MANAGEMENT_UI_TLS_KEY_FILE และ MANAGEMENT_UI_TLS_CERT_FILE. เนื่องจากระบบจะไม่สนใจคำขอเหล่านี้เนื่องจากคำขอไปยังประสบการณ์ New Edge จะส่งมาทาง HTTP

  2. เรียกใช้คำสั่งต่อไปนี้เพื่อกำหนดค่า TLS

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    โดย configFile คือชื่อของไฟล์การกำหนดค่า

    สคริปต์จะรีสตาร์ทประสบการณ์ New Edge

  3. เรียกใช้คำสั่งต่อไปนี้เพื่อตั้งค่าและรีสตาร์ทเครื่องรองเท้า

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    หลังจากรีสตาร์ทแล้ว ประสบการณ์การใช้งาน New Edge จะรองรับการเข้าถึงผ่าน HTTPS ถ้าคุณเข้าสู่ระบบของ New Edge ไม่ได้หลังจากเปิดใช้ TLS ให้ล้างแคชของเบราว์เซอร์และลองเข้าสู่ระบบอีกครั้ง

ปิดใช้ TLS บน New Edge

วิธีปิดใช้ TLS ในการใช้งาน New Edge

  1. แก้ไขไฟล์การกำหนดค่าที่คุณใช้ติดตั้งประสบการณ์ New Edge เพื่อตั้งค่าพร็อพเพอร์ตี้ TLS ต่อไปนี้

    # Set to http to disable TLS.
    MANAGEMENT_UI_SCHEME=http
    
    # Only if you had terminated TLS on a load balancer,
    # reset to the IP address or DNS name of the New Edge experience.
    MANAGEMENT_UI_IP=newue_IP_DNS
    
  2. เรียกใช้คำสั่งต่อไปนี้เพื่อปิดใช้ TLS

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    โดย configFile คือชื่อของไฟล์การกำหนดค่า

    สคริปต์จะรีสตาร์ทประสบการณ์ New Edge

  3. เรียกใช้คำสั่งต่อไปนี้เพื่อตั้งค่าและรีสตาร์ทเครื่องรองเท้า

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    ตอนนี้คุณสามารถเข้าถึงประสบการณ์ New Edge ผ่าน HTTP ได้แล้ว หากคุณลงชื่อเข้าสู่ระบบของ New Edge ไม่ได้หลังจากปิดใช้ TLS ให้ล้างแคชของเบราว์เซอร์แล้วลองเข้าสู่ระบบอีกครั้ง