Edge cho đám mây riêng tư phiên bản 4.19.01
Theo mặc định, bạn truy cập vào trải nghiệm New Edge qua HTTP bằng cách sử dụng địa chỉ IP hoặc tên DNS của nút trải nghiệm New Edge và cổng 3001. Ví dụ:
http://newue_IP:3001
Ngoài ra, bạn có thể định cấu hình quyền truy cập TLS vào phiên bản New Edge để có thể truy cập vào đó dưới dạng:
https://newue_IP:3001
Yêu cầu về TLS
Phiên bản New Edge chỉ hỗ trợ TLS phiên bản 1.2. Nếu bạn bật TLS trên phiên bản New Edge, thì người dùng phải kết nối với phiên bản New Edge bằng một trình duyệt tương thích với TLS phiên bản 1.2.
Thuộc tính cấu hình TLS
Thực thi lệnh sau để định cấu hình TLS cho trải nghiệm New Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Trong đó configFile là tệp cấu hình mà bạn đã dùng để cài đặt trải nghiệm New Edge.
Trước khi thực thi lệnh này, bạn phải chỉnh sửa tệp cấu hình để đặt các thuộc tính cần thiết kiểm soát TLS. Bảng sau đây mô tả các thuộc tính mà bạn dùng để định cấu hình TLS cho trải nghiệm New Edge:
Tài sản | Nội dung mô tả | Bắt buộc? |
---|---|---|
MANAGEMENT_UI_SCHEME
|
Đặt giao thức "http" hoặc "https" để truy cập vào trải nghiệm New Edge. Giá trị mặc định là "http". Đặt thành "https" để bật TLS: MANAGEMENT_UI_SCHEME=https |
Có |
MANAGEMENT_UI_TLS_OFFLOAD
|
Nếu giá trị là "n", nghĩa là các yêu cầu TLS đối với phiên bản New Edge sẽ bị chấm dứt trong phiên bản New Edge. Bạn phải đặt Nếu "y", chỉ định rằng các yêu cầu TLS đến phiên bản New Edge sẽ bị chấm dứt trên một trình cân bằng tải, và sau đó, trình cân bằng tải sẽ chuyển tiếp yêu cầu đó đến phiên bản New Edge bằng HTTP. Nếu bạn chấm dứt TLS trên trình cân bằng tải, thì phiên bản New Edge vẫn cần lưu ý rằng yêu cầu ban đầu đến qua TLS. Ví dụ: một số cookie đã đặt cờ Bảo mật. Bạn phải đặt MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y |
Có |
MANAGEMENT_UI_TLS_KEY_FILE
|
Nếu là MANAGEMENT_UI_TLS_OFFLOAD=n , hãy chỉ định đường dẫn tuyệt đối đến khoá TLS và các tệp chứng chỉ. Tệp phải được định dạng là tệp PEM mà không có cụm mật khẩu và phải do người dùng "apigee" sở hữu.
Vị trí đề xuất cho các tệp này là:
/opt/apigee/customer/application/edge-management-ui Nếu thư mục đó chưa tồn tại, hãy tạo nó. Nếu là |
Có nếu MANAGEMENT_UI_TLS_OFFLOAD=n
|
MANAGEMENT_UI_PUBLIC_URIS
|
Nếu là Thiết lập thuộc tính này dựa trên các thuộc tính khác trong tệp cấu hình. Ví dụ: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT Trong trường hợp:
Hãy xem bài viết Cài đặt trải nghiệm Edge mới để biết thêm thông tin về những tài sản này. Nếu
|
Có |
SHOEHORN_SCHEME
|
Trước khi cài đặt phiên bản New Edge, trước tiên, bạn cần cài đặt giao diện người dùng cơ sở của Edge, có tên là shoehorn. Tệp cấu hình cài đặt sử dụng thuộc tính sau để chỉ định giao thức "http" được dùng để truy cập vào giao diện người dùng Edge cơ sở: SHOEHORN_SCHEME=http Giao diện người dùng của Edge cơ sở không hỗ trợ TLS. Vì vậy, ngay cả khi bật TLS trong phiên bản New Edge, bạn vẫn phải đặt thuộc tính này thành "http". |
Có và đặt thành "http" |
Định cấu hình TLS
Cách định cấu hình quyền truy cập TLS vào phiên bản New Edge:
Tạo chứng chỉ và khoá TLS dưới dạng tệp PEM mà không cần cụm mật khẩu. Ví dụ:
mykey.pem mycert.pem
Có nhiều cách để tạo chứng chỉ và khoá TLS. Ví dụ: bạn có thể thực thi lệnh sau để tạo một chứng chỉ và khoá chưa được ký:
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
- Sao chép khoá và các tệp chứng chỉ vào thư mục
/opt/apigee/customer/application/edge-management-ui
. Nếu thư mục đó chưa tồn tại, hãy tạo nó. Đảm bảo chứng chỉ và khoá thuộc sở hữu của người dùng "apigee":
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
Chỉnh sửa tệp cấu hình bạn đã dùng để cài đặt phiên bản New Edge để thiết lập các thuộc tính TLS sau:
# Set to https to enable TLS. MANAGEMENT_UI_SCHEME=https # Do NOT terminate TLS on a load balancer. MANAGEMENT_UI_TLS_OFFLOAD=n # Specify the key and cert. MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem # Leave these properties set to the same values as when you installed the New Edge experience: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
Thực thi lệnh sau để định cấu hình TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Trong đó configFile là tên của tệp cấu hình.
Tập lệnh sẽ khởi động lại trải nghiệm New Edge.
Chạy các lệnh sau để thiết lập và khởi động lại taxhorn:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Sau khi khởi động lại, phiên bản New Edge sẽ hỗ trợ truy cập qua HTTPS. Nếu bạn không thể đăng nhập vào trải nghiệm New Edge sau khi bật TLS, hãy xoá bộ nhớ đệm của trình duyệt rồi thử đăng nhập lại.
Định cấu hình trải nghiệm New Edge khi TLS kết thúc trên trình cân bằng tải
Nếu có một trình cân bằng tải chuyển tiếp các yêu cầu đến trải nghiệm New Edge, thì bạn có thể chọn chấm dứt kết nối TLS trên trình cân bằng tải, sau đó yêu cầu trình cân bằng tải chuyển tiếp các yêu cầu đến trải nghiệm New Edge qua HTTP:
Cấu hình này được hỗ trợ, nhưng bạn cần định cấu hình trình cân bằng tải và trải nghiệm New Edge cho phù hợp.
Cách định cấu hình trải nghiệm New Edge khi TLS kết thúc trên trình cân bằng tải:
Chỉnh sửa tệp cấu hình bạn đã dùng để cài đặt phiên bản New Edge để đặt các thuộc tính TLS sau:
# Set to https to enable TLS MANAGEMENT_UI_SCHEME=https # Terminate TLS on a load balancer MANAGEMENT_UI_TLS_OFFLOAD=y # Set to the IP address or DNS name of the load balancer. MANAGEMENT_UI_IP=LB_IP_DNS # Set to the port number for the load balancer and New Edge experience. # The load balancer and the New Edge experience must use the same port number. MANAGEMENT_UI_IP=3001 # Leave these properties set to the same values as when you installed the New Edge experience: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
Nếu bạn thiết lập
MANAGEMENT_UI_TLS_OFFLOAD=y
, hãy bỏ quaMANAGEMENT_UI_TLS_KEY_FILE
vàMANAGEMENT_UI_TLS_CERT_FILE.
. Các yêu cầu này sẽ bị bỏ qua vì các yêu cầu đối với trải nghiệm New Edge đến qua HTTP.Thực thi lệnh sau để định cấu hình TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Trong đó configFile là tên của tệp cấu hình.
Tập lệnh sẽ khởi động lại trải nghiệm New Edge.
Chạy các lệnh sau để thiết lập và khởi động lại taxhorn:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Sau khi khởi động lại, phiên bản New Edge sẽ hỗ trợ truy cập qua HTTPS. Nếu bạn không thể đăng nhập vào trải nghiệm New Edge sau khi bật TLS, hãy xoá bộ nhớ đệm của trình duyệt rồi thử đăng nhập lại.
Tắt TLS trong trải nghiệm New Edge
Cách tắt TLS trên trải nghiệm New Edge:
Chỉnh sửa tệp cấu hình mà bạn đã dùng để cài đặt phiên bản New Edge để thiết lập thuộc tính TLS sau:
# Set to http to disable TLS. MANAGEMENT_UI_SCHEME=http # Only if you had terminated TLS on a load balancer, # reset to the IP address or DNS name of the New Edge experience. MANAGEMENT_UI_IP=newue_IP_DNS
Thực thi lệnh sau để tắt TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Trong đó configFile là tên của tệp cấu hình.
Tập lệnh sẽ khởi động lại trải nghiệm New Edge.
Chạy các lệnh sau để thiết lập và khởi động lại taxhorn:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Giờ đây, bạn có thể trải nghiệm New Edge qua HTTP. Nếu bạn không thể đăng nhập vào trải nghiệm New Edge sau khi tắt TLS, hãy xoá bộ nhớ đệm của trình duyệt rồi thử đăng nhập lại.