এই পৃষ্ঠাটি Cloud Translation API অনুবাদ করেছে।

ব্যবস্থাপনা UI এর জন্য TLS কনফিগার করা হচ্ছে

ডিফল্টরূপে, আপনি ম্যানেজমেন্ট সার্ভার নোড এবং পোর্ট 9000 এর আইপি ঠিকানা ব্যবহার করে HTTP-এর মাধ্যমে এজ UI অ্যাক্সেস করতে পারেন। উদাহরণস্বরূপ:

http://ms_IP:9000

বিকল্পভাবে, আপনি এজ UI-তে TLS অ্যাক্সেস কনফিগার করতে পারেন যাতে আপনি ফর্মটিতে এটি অ্যাক্সেস করতে পারেন:

https://ms_IP:9443

এই উদাহরণে, আপনি পোর্ট 9443 ব্যবহার করার জন্য TLS অ্যাক্সেস কনফিগার করেন। যাইহোক, এই পোর্ট নম্বরটি এজ-এর দ্বারা প্রয়োজন হয় না - আপনি অন্যান্য পোর্ট মান ব্যবহার করতে ম্যানেজমেন্ট সার্ভার কনফিগার করতে পারেন। শুধুমাত্র প্রয়োজন হল যে আপনার ফায়ারওয়াল নির্দিষ্ট পোর্টের উপর ট্রাফিকের অনুমতি দেয়।

আপনার TLS পোর্ট খোলা আছে তা নিশ্চিত করুন

এই বিভাগের পদ্ধতিটি ম্যানেজমেন্ট সার্ভারে পোর্ট 9443 ব্যবহার করার জন্য TLS-কে কনফিগার করে। আপনি যে পোর্ট ব্যবহার করেন না কেন, আপনাকে অবশ্যই নিশ্চিত করতে হবে যে পোর্টটি ম্যানেজমেন্ট সার্ভারে খোলা আছে। উদাহরণস্বরূপ, আপনি এটি খুলতে নিম্নলিখিত কমান্ড ব্যবহার করতে পারেন:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

দ্রষ্টব্য: এই উদাহরণটি TLS পোর্টের জন্য পোর্ট 9443 ব্যবহার করে, এবং আরও সাধারণ পোর্ট 443 নয়। কারণ হল যে 1024-এর নীচের পোর্টগুলি সাধারণত অপারেটিং সিস্টেম দ্বারা সুরক্ষিত থাকে এবং রুট অ্যাক্সেসের জন্য তাদের অ্যাক্সেস করার প্রক্রিয়ার প্রয়োজন হয়। এজ UI "apigee" ব্যবহারকারী হিসাবে চলে এবং তাই সাধারণত 1024 এর নিচে পোর্টগুলিতে অ্যাক্সেস থাকে না।

একটি বিকল্প হল এজ UI এর সাথে একটি লোড ব্যালেন্সার ব্যবহার করা এবং পোর্ট 443-এ লোড ব্যালেন্সারে TLS বন্ধ করা। তারপর আপনি লোড ব্যালেন্সার এবং এজ UI এর মধ্যে HTTP বা HTTPS ব্যবহার করতে পারেন।

আরেকটি বিকল্প হল পোর্ট 443 থেকে 9443 পোর্টে অনুরোধ ফরওয়ার্ড করার জন্য iptables ব্যবহার করা। উদাহরণস্বরূপ:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS কনফিগার করুন

ব্যবস্থাপনা UI-তে TLS অ্যাক্সেস কনফিগার করতে নিম্নলিখিত পদ্ধতিটি ব্যবহার করুন:

আপনার TLS সার্টিফিকেশন এবং ব্যক্তিগত কী সম্বলিত কীস্টোর JKS ফাইল তৈরি করুন এবং ম্যানেজমেন্ট সার্ভার নোডে অনুলিপি করুন। আরও তথ্যের জন্য, এজ অন প্রিমিসেসের জন্য TLS/SSL কনফিগার করা দেখুন।
TLS কনফিগার করতে নিম্নলিখিত কমান্ডটি চালান:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
```
HTTPS পোর্ট নম্বর লিখুন, উদাহরণস্বরূপ, 9443।
আপনি ম্যানেজমেন্ট UI-তে HTTP অ্যাক্সেস অক্ষম করতে চান কিনা তা নির্দিষ্ট করুন। ডিফল্টরূপে, ব্যবস্থাপনা UI পোর্ট 9000-এ HTTP-এর মাধ্যমে অ্যাক্সেসযোগ্য।
কীস্টোর অ্যালগরিদম লিখুন। ডিফল্ট JKS.
কীস্টোর JKS ফাইলের পরম পথ প্রবেশ করান।
স্ক্রিপ্ট ম্যানেজমেন্ট সার্ভার নোডের /opt/apigee/customer/conf ডিরেক্টরিতে ফাইলটিকে কপি করে এবং ফাইলের মালিকানা "apigee" এ পরিবর্তন করে।
পরিষ্কার পাঠ্য কীস্টোর পাসওয়ার্ড লিখুন।
স্ক্রিপ্ট তারপর এজ ম্যানেজমেন্ট UI পুনরায় আরম্ভ করে। পুনঃসূচনা করার পরে, ব্যবস্থাপনা UI টিএলএস-এ অ্যাক্সেস সমর্থন করে।
আপনি এই সেটিংস /opt/apigee/etc/edge-ui.d/SSL.sh এ দেখতে পারেন।

TLS কনফিগার করার জন্য একটি কনফিগার ফাইল ব্যবহার করে

উপরের পদ্ধতির বিকল্প হিসাবে, আপনি পদ্ধতির ধাপ 2 এ কমান্ডে একটি কনফিগার ফাইল পাস করতে পারেন। আপনি যদি ঐচ্ছিক TLS বৈশিষ্ট্য সেট করতে চান তাহলে আপনাকে এই পদ্ধতিটি ব্যবহার করতে হবে।

একটি কনফিগার ফাইল ব্যবহার করতে, একটি নতুন ফাইল তৈরি করুন এবং নিম্নলিখিত বৈশিষ্ট্য যোগ করুন:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

আপনি চান যে কোনো নাম দিয়ে একটি স্থানীয় ডিরেক্টরিতে ফাইল সংরক্ষণ করুন। তারপর TLS কনফিগার করতে নিম্নলিখিত কমান্ডটি ব্যবহার করুন:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

যেখানে configFile হল আপনার সেভ করা ফাইলের সম্পূর্ণ পথ।

লোড ব্যালেন্সারে TLS বন্ধ হয়ে গেলে এজ UI কনফিগার করুন

যদি আপনার কাছে একটি লোড ব্যালেন্সার থাকে যা এজ UI-তে অনুরোধগুলি ফরোয়ার্ড করে, আপনি লোড ব্যালেন্সারে TLS সংযোগ বন্ধ করতে বেছে নিতে পারেন এবং তারপর HTTP-এর মাধ্যমে এজ UI-তে লোড ব্যালেন্সার ফরোয়ার্ড করার অনুরোধ করতে পারেন। এই কনফিগারেশনটি সমর্থিত কিন্তু আপনাকে সেই অনুযায়ী লোড ব্যালেন্সার এবং এজ UI কনফিগার করতে হবে।

অতিরিক্ত কনফিগারেশনের প্রয়োজন হয় যখন এজ UI ব্যবহারকারীদের তাদের পাসওয়ার্ড সেট করার জন্য ইমেল পাঠায় যখন ব্যবহারকারী তৈরি হয় বা যখন ব্যবহারকারী একটি হারিয়ে যাওয়া পাসওয়ার্ড পুনরায় সেট করার অনুরোধ করে। এই ইমেলটিতে একটি URL রয়েছে যা ব্যবহারকারী একটি পাসওয়ার্ড সেট বা রিসেট করতে নির্বাচন করে। ডিফল্টরূপে, যদি TLS ব্যবহার করার জন্য Edge UI কনফিগার করা না থাকে, তাহলে জেনারেট করা ইমেলের URL HTTP প্রোটোকল ব্যবহার করে, HTTPS নয়। HTTPS ব্যবহার করে এমন একটি ইমেল ঠিকানা তৈরি করতে আপনাকে অবশ্যই লোড ব্যালেন্সার এবং এজ UI কনফিগার করতে হবে।

লোড ব্যালেন্সার কনফিগার করতে, নিশ্চিত করুন যে এটি এজ UI-তে ফরোয়ার্ড করা অনুরোধের উপর নিম্নলিখিত শিরোনাম সেট করে:

X-Forwarded-Proto: https

এজ UI কনফিগার করতে:

একটি সম্পাদকে /opt/apigee/customer/application/ui.properties ফাইলটি খুলুন। ফাইলটি বিদ্যমান না থাকলে, এটি তৈরি করুন:
```
vi /opt/apigee/customer/application/ui.properties
```
ui.properties এ নিম্নলিখিত প্রপার্টি সেট করুন:
```
conf/application.conf+trustxforwarded=true
```
ui.properties এ আপনার পরিবর্তনগুলি সংরক্ষণ করুন।

এজ UI পুনরায় চালু করুন:

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

ঐচ্ছিক TLS বৈশিষ্ট্য সেট করা হচ্ছে

এজ UI ঐচ্ছিক TLS কনফিগারেশন বৈশিষ্ট্য সমর্থন করে যা আপনি নিম্নলিখিত সেট করতে ব্যবহার করতে পারেন:

ডিফল্ট TLS প্রোটোকল
সমর্থিত TLS প্রোটোকলের তালিকা
সমর্থিত TLS অ্যালগরিদম
সমর্থিত TLS সাইফার

এই ঐচ্ছিক পরামিতিগুলি শুধুমাত্র তখনই পাওয়া যায় যখন আপনি একটি কনফিগারেশন ফাইলে নিম্নলিখিত কনফিগারেশন প্রপার্টি সেট করেন, যেমনটি TLS কনফিগার করার জন্য একটি কনফিগারেশন ফাইল ব্যবহার করে বর্ণনা করা হয়েছে:

TLS_CONFIGURE=y

দ্রষ্টব্য: আপনি শুধুমাত্র apigee-service edge-ui configure-ssl কমান্ডে পাস করা একটি কনফিগার ফাইলে এই ঐচ্ছিক পরামিতিগুলি সেট করতে পারেন। আপনি ইন্টারেক্টিভ কমান্ড ব্যবহার করে এই বৈশিষ্ট্যগুলি সেট করতে পারবেন না।

নিম্নলিখিত সারণী এই বৈশিষ্ট্যগুলি বর্ণনা করে:

সম্পত্তি	বর্ণনা
`TLS_PROTOCOL`	এজ UI এর জন্য ডিফল্ট TLS প্রোটোকল সংজ্ঞায়িত করে। ডিফল্টরূপে, এটি TLS 1.2। বৈধ মান হল TLSv1.2, TLSv1.1, TLSv1।
`TLS_ENABLED_PROTOCOL`	একটি কমা-বিচ্ছিন্ন অ্যারে হিসাবে সক্রিয় প্রোটোকলের তালিকা সংজ্ঞায়িত করে। উদাহরণ স্বরূপ: TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"] লক্ষ্য করুন যে আপনাকে "অক্ষর থেকে বাঁচতে হবে। ডিফল্টরূপে সমস্ত প্রোটোকল সক্রিয় করা হয়।
`TLS_DISABLED_ALGO`	অক্ষম সাইফার স্যুটগুলিকে সংজ্ঞায়িত করে এবং TLS হ্যান্ডশেকিংয়ের জন্য ছোট কী আকারগুলিকে প্রতিরোধ করতেও ব্যবহার করা যেতে পারে৷ এর কোন পূর্ব মূল্য নেই। `TLS_DISABLED_ALGO` তে পাস করা মানগুলি এখানে বর্ণিত `jdk.tls.disabledAlgorithms` এর জন্য অনুমোদিত মানগুলির সাথে মিলে যায়। যাইহোক, `TLS_DISABLED_ALGO` সেট করার সময় আপনাকে অবশ্যই স্পেস অক্ষর এড়িয়ে যেতে হবে : TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048
`TLS_ENABLED_CIPHERS`	উপলব্ধ TLS সাইফারের তালিকাকে একটি কমা-বিচ্ছিন্ন অ্যারে হিসাবে সংজ্ঞায়িত করে। উদাহরণ স্বরূপ: TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\", \"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"] লক্ষ্য করুন যে আপনাকে "অক্ষর থেকে বাঁচতে হবে। সক্রিয় সাইফারের ডিফল্ট তালিকা হল: "TLS_DHE_RSA_WITH_AES_256_CBC_SHA", "TLS_DHE_RSA_WITH_AES_128_CBC_SHA", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_AES_128_CBC_SHA", "SSL_RSA_WITH_RC4_128_SHA", "SSL_RSA_WITH_RC4_128_MD5", "TLS_EMPTY_RENEGOTIATION_INFO_SCSV" এখানে উপলব্ধ সাইফারের তালিকা খুঁজুন।

TLS প্রোটোকল অক্ষম করা হচ্ছে

TLS প্রোটোকল নিষ্ক্রিয় করতে, আপনাকে কনফিগার ফাইলটি সম্পাদনা করতে হবে, যা TLS কনফিগার করার জন্য একটি কনফিগার ফাইল ব্যবহার করে বর্ণিত হয়েছে, নিম্নরূপ:

একটি সম্পাদকে কনফিগার ফাইলটি খুলুন।
একটি একক TLS প্রোটোকল নিষ্ক্রিয় করতে-উদাহরণস্বরূপ, TLSv1.0- কনফিগারেশন ফাইলে নিম্নলিখিত যোগ করুন:
```
TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1"
```
একাধিক প্রোটোকল নিষ্ক্রিয় করতে-উদাহরণস্বরূপ, TLSv1.0 এবং TLSv1.1- কনফিগার ফাইলে নিম্নলিখিত যোগ করুন:
```
TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
```
কনফিগার ফাইলে আপনার পরিবর্তনগুলি সংরক্ষণ করুন।
TLS কনফিগার করতে নিম্নলিখিত কমান্ডটি চালান:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
```
যেখানে configFile কনফিগার ফাইলের সম্পূর্ণ পথ।

এজ UI পুনরায় চালু করুন:

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

নিরাপদ কুকিজ ব্যবহার করুন

ব্যক্তিগত ক্লাউডের জন্য Apigee এজ এজ UI থেকে প্রতিক্রিয়ার জন্য Set-Cookie হেডারে secure পতাকা যোগ করা সমর্থন করে। যদি এই পতাকাটি উপস্থিত থাকে, তাহলে কুকি শুধুমাত্র TLS-সক্ষম চ্যানেলগুলিতে পাঠানো যেতে পারে। যদি এটি উপস্থিত না থাকে, তাহলে কুকি যে কোনো চ্যানেলে পাঠানো যেতে পারে, তা নিরাপদ হোক বা না হোক।

secure পতাকা ছাড়া কুকিগুলি সম্ভাব্যভাবে আক্রমণকারীকে কুকি ক্যাপচার এবং পুনরায় ব্যবহার করতে বা একটি সক্রিয় সেশন হাইজ্যাক করার অনুমতি দিতে পারে৷ অতএব, সর্বোত্তম অনুশীলন হল এই সেটিংটি সক্ষম করা।

এজ UI কুকিজের জন্য secure পতাকা সেট করতে:

একটি পাঠ্য সম্পাদকে নিম্নলিখিত ফাইলটি খুলুন:
```
/opt/apigee/customer/application/ui.properties
```
যদি ফাইলটি বিদ্যমান না থাকে তবে এটি তৈরি করুন।
ui.properties ফাইলে conf_application_session.secure প্রপার্টিটিকে true হিসাবে সেট করুন, যেমনটি নিম্নলিখিত উদাহরণটি দেখায়:
```
conf_application_session.secure=true
```
আপনার পরিবর্তন সংরক্ষণ করুন.
apigee-serice ইউটিলিটি ব্যবহার করে Edge UI পুনরায় চালু করুন, যেমনটি নিম্নলিখিত উদাহরণটি দেখায়:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```

পরিবর্তনটি কাজ করছে তা নিশ্চিত করতে, curl এর মতো একটি ইউটিলিটি ব্যবহার করে এজ UI থেকে প্রতিক্রিয়া শিরোনামগুলি পরীক্ষা করুন; উদাহরণ স্বরূপ:

curl -i -v https://edge_UI_URL

হেডারে একটি লাইন থাকা উচিত যা নিচের মত দেখাচ্ছে:

Set-Cookie: secure; ...

এজ UI এ TLS অক্ষম করুন

এজ UI এ TLS অক্ষম করতে, নিম্নলিখিত কমান্ডটি ব্যবহার করুন:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl