Edge UI 可能會在幾個地方嘗試存取本機 IP 位址。這些 本機 IP 位址可能會對應至私人或受保護資源 對外部使用者公開:
- Edge UI 中的追蹤工具可以傳送及接收 API 要求給任何 指定網址。在特定部署情境中,Edge 元件會與其他項目一起託管 內部服務時,惡意使用者可能會透過提出要求,濫用追蹤工具的功能 私人 IP 位址
- 根據 OpenAPI 規格建立 API Proxy 時,規格會說明 元素做為基本路徑、路徑和動詞、標頭等等。為此, 惡意使用者能夠指定參照私人 IP 的 Proxy 基本路徑 讓我們看看 DNS 解析 進一步探索內部和外部位址
- 使用本機檔案系統中的 WSDL 檔案建立 API Proxy 時。
基於安全性考量,Edge UI 預設不會參照私人 IP 讓我們看看 DNS 解析 進一步探索內部和外部位址私人 IP 位址清單包括:
- 回送位址 (127.0.0.1 或 localhost)
- 站臺本機位址 (如為 IPv4 至 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)
- 任何當地地址 (解析至 localhost 的任何位址)。
如要讓 Edge UI 存取私人 IP 位址,請設定下列選項: 符記:
- 對於追蹤記錄工具,
conf_apigee-base_apigee.feature.enabletraceforinternaladdresses屬性。設為 true,即可讓追蹤工具存取私人 IP 讓我們看看 DNS 解析 進一步探索內部和外部位址 - 如需 OpenAPI 規格,
conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses屬性。設為 true,即可啟用 OpenAPI 對私人 IP 位址的存取權。 - 如果是 WSDL 檔案,
conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses屬性。設為 true 即可從以下位置上傳 WSDL 檔案: 私人 IP 位址
如何將這些屬性設為 true:
- 在編輯器中開啟
ui.properties檔案。如果檔案不存在,請建立一個。vi /opt/apigee/customer/application/ui.properties
- 將下列屬性設為 true:
conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true" conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true" conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
- 將變更儲存至「
ui.properties」。 - 請確定屬性檔案的擁有者為「apigee」使用者:
chown apigee:apigee /opt/apigee/customer/application/ui.properties
- 重新啟動 Edge UI:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Edge UI 現在可以存取本機 IP 位址。