Edge for Private Cloud phiên bản 4.19.01
Theo mặc định, bạn có thể truy cập vào trải nghiệm Edge mới qua HTTP bằng cách sử dụng địa chỉ IP hoặc tên DNS của nút trải nghiệm New Edge và cổng 3001. Ví dụ:
http://newue_IP:3001
Ngoài ra, bạn có thể định cấu hình quyền truy cập TLS vào phiên bản New Edge để bạn có thể truy cập vào báo cáo này trong biểu mẫu:
https://newue_IP:3001
Yêu cầu đối với TLS
Phiên bản New Edge chỉ hỗ trợ TLS phiên bản 1.2. Nếu bạn bật TLS trên phiên bản New Edge, người dùng phải kết nối với trải nghiệm Edge mới bằng một trình duyệt tương thích với TLS phiên bản 1.2.
Thuộc tính cấu hình TLS
Thực thi lệnh sau để định cấu hình TLS cho trải nghiệm New Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Trong đó configFile là tệp cấu hình mà bạn đã dùng để cài đặt Trải nghiệm Edge mới.
Trước khi thực thi lệnh này, bạn phải chỉnh sửa tệp cấu hình để đặt các thuộc tính cần thiết kiểm soát TLS. Bảng sau đây mô tả các thuộc tính mà bạn sử dụng để định cấu hình TLS trong phiên bản New Edge:
| Thuộc tính | Mô tả | Bắt buộc? |
|---|---|---|
MANAGEMENT_UI_SCHEME
|
Thiết lập giao thức, "http" hoặc "https", dùng để truy cập vào trải nghiệm New Edge. Giá trị mặc định là "http". Đặt thành "https" để bật TLS: MANAGEMENT_UI_SCHEME=https |
Có |
MANAGEMENT_UI_TLS_OFFLOAD
|
Nếu là "n", thì tức là các yêu cầu TLS đối với phiên bản Edge mới sẽ bị chấm dứt
trải nghiệm New Edge. Bạn phải đặt Nếu giá trị là "y", thì tức là các yêu cầu TLS đối với phiên bản Edge mới sẽ bị chấm dứt vào trình cân bằng tải và trình cân bằng tải sau đó sẽ chuyển tiếp yêu cầu đến phiên bản New Edge thông qua HTTP. Nếu bạn chấm dứt TLS trên trình cân bằng tải, phiên bản New Edge vẫn cần xin lưu ý rằng yêu cầu ban đầu đến qua TLS. Ví dụ: một số cookie có cờ Bảo mật được thiết lập. Bạn phải đặt MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y |
Có |
MANAGEMENT_UI_TLS_KEY_FILE
|
Nếu là MANAGEMENT_UI_TLS_OFFLOAD=n, hãy chỉ định đường dẫn tuyệt đối
vào khoá TLS và tệp chứng chỉ. Các tệp phải được định dạng như tệp PEM với
không có cụm mật khẩu và phải do "apigee" sở hữu người dùng.
Vị trí được đề xuất cho các tệp này là:
/opt/apigee/customer/application/edge-management-ui Nếu thư mục đó chưa tồn tại, hãy tạo thư mục. Nếu là |
Có nếu MANAGEMENT_UI_TLS_OFFLOAD=n
|
MANAGEMENT_UI_PUBLIC_URIS
|
Nếu là Đặt thuộc tính này dựa trên các thuộc tính khác trong tệp cấu hình. Ví dụ: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT Trong trường hợp:
Xem Cài đặt trải nghiệm Edge mới để tìm hiểu thêm về các thuộc tính này. Nếu giá trị là
|
Có |
SHOEHORN_SCHEME
|
Trước khi bạn cài đặt trải nghiệm Edge mới, trước tiên, bạn phải cài đặt giao diện người dùng Edge cơ sở, được gọi là shoehorn. Tệp cấu hình cài đặt sử dụng thuộc tính sau để chỉ định giao thức, "http", dùng để truy cập vào giao diện người dùng Edge cơ sở: SHOEHORN_SCHEME=http Giao diện người dùng Edge cơ sở không hỗ trợ TLS, vì vậy, ngay cả khi bạn bật TLS trong trải nghiệm Edge mới, bạn vẫn phải đặt thuộc tính này thành "http". |
Có và đặt thành "http" |
Định cấu hình TLS
Cách định cấu hình quyền truy cập TLS trong phiên bản Edge mới:
Tạo chứng chỉ và khoá TLS ở dạng tệp PEM mà không có cụm mật khẩu. Ví dụ:
mykey.pem mycert.pem
Có nhiều cách để tạo chứng chỉ và khoá TLS. Ví dụ: bạn có thể thực thi như sau để tạo chứng chỉ và khoá chưa ký:
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
- Sao chép các tệp khoá và chứng chỉ vào thư mục
/opt/apigee/customer/application/edge-management-ui. Nếu thư mục đó chưa tồn tại, hãy tạo thư mục. Đảm bảo chứng chỉ và khoá thuộc sở hữu của "api" người dùng:
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
Chỉnh sửa tệp cấu hình mà bạn đã dùng để cài đặt phiên bản Edge mới đặt các thuộc tính TLS sau:
# Set to https to enable TLS. MANAGEMENT_UI_SCHEME=https # Do NOT terminate TLS on a load balancer. MANAGEMENT_UI_TLS_OFFLOAD=n # Specify the key and cert. MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem # Leave these properties set to the same values as when you installed the New Edge experience: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
Thực thi lệnh sau để định cấu hình TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Trong đó configFile là tên của tệp cấu hình.
Tập lệnh sẽ khởi động lại trải nghiệm New Edge.
Chạy các lệnh sau để thiết lập và khởi động lại sạc giày:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restartSau khi khởi động lại, phiên bản Edge mới sẽ hỗ trợ truy cập qua HTTPS. Nếu bạn không thể đăng nhập vào phiên bản New Edge sau khi bật TLS, hãy xoá bộ nhớ đệm của trình duyệt và thử đăng nhập lại.
Định cấu hình trải nghiệm New Edge khi TLS chấm dứt trên trình cân bằng tải
Nếu có trình cân bằng tải chuyển tiếp yêu cầu đến phiên bản New Edge, bạn có thể chọn chấm dứt kết nối TLS trên trình cân bằng tải và sau đó đặt Chuyển tiếp các yêu cầu trong trình cân bằng tải đến phiên bản New Edge qua HTTP:
Cấu hình này được hỗ trợ nhưng bạn cần phải định cấu hình trình cân bằng tải và trải nghiệm New Edge cho phù hợp.
Cách định cấu hình phiên bản New Edge khi TLS chấm dứt trên trình cân bằng tải:
Chỉnh sửa tệp cấu hình mà bạn đã dùng để cài đặt phiên bản Edge mới đặt các thuộc tính TLS sau:
# Set to https to enable TLS MANAGEMENT_UI_SCHEME=https # Terminate TLS on a load balancer MANAGEMENT_UI_TLS_OFFLOAD=y # Set to the IP address or DNS name of the load balancer. MANAGEMENT_UI_IP=LB_IP_DNS # Set to the port number for the load balancer and New Edge experience. # The load balancer and the New Edge experience must use the same port number. MANAGEMENT_UI_IP=3001 # Leave these properties set to the same values as when you installed the New Edge experience: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
Nếu bạn đặt
MANAGEMENT_UI_TLS_OFFLOAD=y, hãy bỏ quaMANAGEMENT_UI_TLS_KEY_FILEvàMANAGEMENT_UI_TLS_CERT_FILE.Các yêu cầu này sẽ bị bỏ qua vì các yêu cầu đối với trải nghiệm New Edge được gửi qua HTTP.Thực thi lệnh sau để định cấu hình TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Trong đó configFile là tên của tệp cấu hình.
Tập lệnh sẽ khởi động lại trải nghiệm New Edge.
Chạy các lệnh sau để thiết lập và khởi động lại sạc giày:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restartSau khi khởi động lại, phiên bản Edge mới sẽ hỗ trợ truy cập qua HTTPS. Nếu bạn không thể đăng nhập vào phiên bản New Edge sau khi bật TLS, hãy xoá bộ nhớ đệm của trình duyệt và thử đăng nhập lại.
Tắt TLS trên phiên bản New Edge
Cách tắt TLS trên phiên bản New Edge:
Hãy chỉnh sửa tệp cấu hình mà bạn đã dùng để cài đặt phiên bản Edge mới để thiết lập thuộc tính TLS sau:
# Set to http to disable TLS. MANAGEMENT_UI_SCHEME=http # Only if you had terminated TLS on a load balancer, # reset to the IP address or DNS name of the New Edge experience. MANAGEMENT_UI_IP=newue_IP_DNS
Thực thi lệnh sau để vô hiệu hoá TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Trong đó configFile là tên của tệp cấu hình.
Tập lệnh sẽ khởi động lại trải nghiệm New Edge.
Chạy các lệnh sau để thiết lập và khởi động lại giày:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restartGiờ đây, bạn có thể truy cập vào giao diện New Edge qua HTTP. Nếu bạn không thể đăng nhập vào phiên bản New Edge sau khi tắt TLS, hãy xoá bộ nhớ đệm của trình duyệt và thử đăng nhập lại.