為新的 Edge 體驗設定傳輸層安全標準 (TLS)

Private Cloud v4.19.01 版

根據預設,您會存取 New Edge 體驗 使用 New Edge 體驗節點的 IP 位址或 DNS 名稱以及通訊埠 3001。例如:

http://newue_IP:3001

您也可以設定新版 Edge 體驗的 TLS 存取權 請使用以下格式存取:

https://newue_IP:3001

TLS 需求

新版邊緣服務僅支援 TLS 1.2 版,如果在新版 Edge 服務中啟用 TLS 使用者必須使用與 TLS v1.2 相容的瀏覽器來連線至新版 Edge 服務。

TLS 設定屬性

執行下列指令,為全新邊緣體驗設定 TLS:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

其中 configFile 是用於安裝 全新 Edge 體驗

執行這個指令之前,您必須先編輯設定檔 控管 TLS 的必要屬性下表說明 您用於設定新 Edge 體驗 TLS 的屬性:

屬性 說明 必填與否
MANAGEMENT_UI_SCHEME

設定通訊協定「http」或「https」進行存取。 預設值為「http」。設定為「https」如何啟用 TLS:

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD

如果設為「n」,表示傳送至新版邊緣服務的 TLS 要求會終止 新 Edge 體驗您必須設定 MANAGEMENT_UI_TLS_KEY_FILEMANAGEMENT_UI_TLS_CERT_FILE.

如為「y」,表示對 New Edge 體驗提出的 TLS 要求會終止 負載平衡器,再讓負載平衡器使用 HTTP 將要求轉送至新版 Edge 服務。

如果您在負載平衡器上終止 TLS,則新版 Edge 服務仍需要 請注意,原始要求是透過傳輸層安全標準 (TLS) 傳送。舉例來說,某些 Cookie 會設定安全標記。

您必須將 MANAGEMENT_UI_SCHEME 設為「https」否則系統會忽略 MANAGEMENT_UI_TLS_OFFLOAD

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y
MANAGEMENT_UI_TLS_KEY_FILE

MANAGEMENT_UI_TLS_CERT_FILE

如果為 MANAGEMENT_UI_TLS_OFFLOAD=n,則指定絕對路徑 傳送至 TLS 金鑰和憑證檔案您必須使用 PEM 檔案格式, 沒有通關密語,且擁有者必須是「apigee」內容。

這些檔案的建議位置為: 

/opt/apigee/customer/application/edge-management-ui

如果該目錄不存在,請建立該目錄。

如果值為 MANAGEMENT_UI_TLS_OFFLOAD=y,則省略 MANAGEMENT_UI_TLS_KEY_FILEMANAGEMENT_UI_TLS_CERT_FILE. 它們會被忽略,因為對 全新 Edge 體驗透過 HTTP 實現。

 MANAGEMENT_UI_TLS_OFFLOAD=n
MANAGEMENT_UI_PUBLIC_URIS

如果為 MANAGEMENT_UI_TLS_OFFLOAD=n,會指定 New Edge 體驗的網址。

請根據設定檔中的其他屬性設定這個屬性。例如:

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

在此情況下:

  • MANAGEMENT_UI_SCHEME 會指定通訊協定「http」「https」
  • MANAGEMENT_UI_IP 會指定 New Edge 體驗的 IP 位址或 DNS 名稱。
  • MANAGEMENT_UI_PORT 會指定 New Edge 體驗使用的通訊埠。

請參閱安裝新版邊緣體驗

如果為 MANAGEMENT_UI_TLS_OFFLOAD=y

  • MANAGEMENT_UI_IP 會指定負載平衡器的 IP 位址或 DNS 名稱。 而「不是」新版 Edge 服務
  • 負載平衡器和新 UE 必須使用相同的通訊埠號碼來處理要求,例如 3001。 使用 MANAGEMENT_UI_PORT 指定負載平衡器和新 UE 的通訊埠編號。

SHOEHORN_SCHEME

安裝新版 Edge 服務之前, 首先安裝名為「shoehorn」的基本 Edge UI。安裝設定檔會使用 下列屬性可指定用於存取基本邊緣 UI 的通訊協定「http」:

SHOEHORN_SCHEME=http

基礎 Edge UI 不支援 TLS,因此即使您在新版 Edge 服務中啟用 TLS, 此屬性仍必須設為「http」。

 是,設定為「http」

設定 TLS

如何設定新版 Edge 服務的 TLS 存取權:

  1. 以不使用通關密語的 PEM 檔案的方式產生 TLS 憑證和金鑰。例如:

    mykey.pem
mycert.pem

    產生 TLS 憑證和金鑰的方法有很多種,舉例來說,您可以執行以下動作 指令產生未簽署的憑證和金鑰:

    openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
  2. 將金鑰和憑證檔案複製到 /opt/apigee/customer/application/edge-management-ui 目錄。 如果該目錄不存在,請建立該目錄。

  3. 請確定憑證和金鑰的擁有者為「apigee」使用者:

    chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem

  4. 編輯用於安裝 New Edge 體驗的設定檔, 設定下列 TLS 屬性

    # Set to https to enable TLS.
MANAGEMENT_UI_SCHEME=https 
# Do NOT terminate TLS on a load balancer.
MANAGEMENT_UI_TLS_OFFLOAD=n

# Specify the key and cert. 
MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem

# Leave these properties set to the same values as when you installed the New Edge experience:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http

  5. 執行下列指令來設定 TLS:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    其中 configFile 是設定檔的名稱。

    指令碼會重新啟動新版 Edge 服務。

  6. 執行下列指令,設定並重新啟動鞋帶:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    重新啟動後,New Edge 體驗支援透過 HTTPS 存取。 如果啟用 TLS 後仍無法登入新版 Edge 服務,請清除 瀏覽器快取,然後嘗試重新登入。

在負載平衡器上終止 TLS 時,設定新的邊緣服務

如果負載平衡器將要求轉送至 New Edge 服務,您可以 終止負載平衡器的 TLS 連線 負載平衡器透過 HTTP 將要求轉送至 New Edge 服務:

終止負載平衡器中的 TLS

支援這項設定 但您必須據此設定負載平衡器和新版 Edge 體驗。

如要在傳輸層安全標準 (TLS) 終止負載平衡器時設定新版邊緣服務,請按照下列步驟操作:

  1. 編輯用於安裝 New Edge 體驗的設定檔, 設定下列 TLS 屬性

    # Set to https to enable TLS
MANAGEMENT_UI_SCHEME=https
# Terminate TLS on a load balancer
MANAGEMENT_UI_TLS_OFFLOAD=y
# Set to the IP address or DNS name of the load balancer.
MANAGEMENT_UI_IP=LB_IP_DNS
# Set to the port number for the load balancer and New Edge experience.
# The load balancer and the New Edge experience must use the same port number.
MANAGEMENT_UI_IP=3001

# Leave these properties set to the same values as when you installed the New Edge experience:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http

    如果設定 MANAGEMENT_UI_TLS_OFFLOAD=y,請省略 MANAGEMENT_UI_TLS_KEY_FILE 由於向 New Edge 體驗發出的要求是透過 HTTP 傳送,因此系統會忽略 MANAGEMENT_UI_TLS_CERT_FILE.

  2. 執行下列指令來設定 TLS:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    其中 configFile 是設定檔的名稱。

    指令碼會重新啟動新版 Edge 服務。

  3. 執行下列指令,設定並重新啟動鞋帶:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    重新啟動後,New Edge 體驗支援透過 HTTPS 存取。 如果啟用 TLS 後仍無法登入新版 Edge 服務,請清除 瀏覽器快取,然後嘗試重新登入。

停用新版 Edge 服務的 TLS

如何在新版 Edge 服務中停用 TLS:

  1. 編輯用於安裝 New Edge 體驗的設定檔 下列傳輸層安全標準 (TLS) 屬性

    # Set to http to disable TLS.
MANAGEMENT_UI_SCHEME=http

# Only if you had terminated TLS on a load balancer,
# reset to the IP address or DNS name of the New Edge experience.
MANAGEMENT_UI_IP=newue_IP_DNS

  2. 執行下列指令來停用 TLS:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    其中 configFile 是設定檔的名稱。

    指令碼會重新啟動新版 Edge 服務。

  3. 執行下列指令,設定並重新啟動鞋帶:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    您現在可以透過 HTTP 存取 New Edge 服務。 如果您在停用 TLS 後無法登入新版邊緣服務,請清除 瀏覽器快取,然後嘗試重新登入。