新しい Edge UI の TLS の構成

デフォルトでは、 新しい Edge UI HTTP 経由でアクセスします。その際、Edge UI ノードの IP アドレスまたは DNS 名とポート 3001 を使用します。例:

http://newue_IP:3001

または、Edge UI への TLS アクセスを構成して、 次の形式でアクセスできます。

https://newue_IP:3001

TLS の要件

Edge UI は TLS v1.2 のみをサポートしています。Edge UI で TLS を有効にすると、 TLS v1.2 と互換性のあるブラウザを使用して Edge UI に接続する必要があります。

TLS 構成プロパティ

次のコマンドを実行して、Edge UI に TLS を構成します。

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

ここで、configFile は、インストールに使用した構成ファイルです。 Edge UI。

このコマンドを実行する前に、構成ファイルを編集して TLS を制御する必要なプロパティを定義します。次の表に、 次のプロパティを使用します。

プロパティ 説明 必須
MANAGEMENT_UI_SCHEME

プロトコル「http」を設定します。または "https" です。 デフォルト値は「http」です。URL を「https」に設定TLS を有効にするには:

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD

「n」の場合、Edge UI への TLS リクエストは終端されます。 確認できます。MANAGEMENT_UI_TLS_KEY_FILEMANAGEMENT_UI_TLS_CERT_FILE.

「y」の場合、Edge UI への TLS リクエストは そのロードバランサがリクエストを Edge UI に転送することを確認します。 HTTP を使用します。

ロードバランサで TLS を終端しても、Edge UI は 元のリクエストが TLS で受信されたことに注意してください。たとえば、一部の Cookie には Secure フラグが設定されています。

MANAGEMENT_UI_SCHEME を「https」に設定する必要がありますそれ以外の場合、MANAGEMENT_UI_TLS_OFFLOAD は無視されます。

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y
MANAGEMENT_UI_TLS_KEY_FILE

MANAGEMENT_UI_TLS_CERT_FILE

MANAGEMENT_UI_TLS_OFFLOAD=n の場合は、絶対パスを指定します 証明書ファイルに追加します。ファイルは PEM ファイルとしてフォーマットする必要があります。 パスフレーズはなく、「apigee」が所有している必要がありますできます。

これらのファイルは、次の場所に配置することをおすすめします。

/opt/apigee/customer/application/edge-management-ui

このディレクトリが存在しない場合は作成します。

MANAGEMENT_UI_TLS_OFFLOAD=y の場合は、MANAGEMENT_UI_TLS_KEY_FILE を省略します。 および MANAGEMENT_UI_TLS_CERT_FILE. これらは無視されるため、 Edge UI は HTTP で提供されます。

MANAGEMENT_UI_TLS_OFFLOAD=n の場合は必須
MANAGEMENT_UI_PUBLIC_URIS

MANAGEMENT_UI_TLS_OFFLOAD=n の場合は、Edge UI の URL を指定します。

このプロパティは、構成ファイル内の他のプロパティに基づいて設定します。例:

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

ここで

  • MANAGEMENT_UI_SCHEME には、プロトコル「http」を指定します。または「https」で接続します。
  • MANAGEMENT_UI_IP には、Edge UI の IP アドレスまたは DNS 名を指定します。
  • MANAGEMENT_UI_PORT には、Edge UI で使用されるポートを指定します。

これらのプロパティの詳細については、新しい Edge UI をインストールするをご覧ください。

MANAGEMENT_UI_TLS_OFFLOAD=y の場合:

  • MANAGEMENT_UI_IP には、ロードバランサの IP アドレスまたは DNS 名を指定します。 Edge UI ではありません
  • ロードバランサと New UE は、リクエストに対して同じポート番号(3001 など)を使用する必要がありますMANAGEMENT_UI_PORT を使用して、ロードバランサと New UE のポート番号を指定します。

SHOEHORN_SCHEME

新しい Edge UI をインストールする前に、 最初に「shoehorn」と呼ばれる基本 Edge UI をインストールします。インストール構成ファイルでは、 次のプロパティを使用して、基本 Edge UI へのアクセスに使用するプロトコル「http」を指定します。

SHOEHORN_SCHEME=http

基本の Edge UI は TLS をサポートしていないため、Edge UI で TLS を有効にしても、 このプロパティは引き続き「http」に設定する必要があります。

○(「http」に設定)

TLS の構成

Edge UI への TLS アクセスを構成するには:

  1. TLS 証明書と鍵をパスフレーズなしの PEM ファイルとして生成します。例:

    mykey.pem
    mycert.pem

    TLS 証明書と鍵を生成する方法は数多くあります。たとえば、次のコマンドを実行します。 コマンドを実行して、署名なしの証明書と鍵を生成します。

    openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
  2. 鍵ファイルと証明書ファイルを /opt/apigee/customer/application/edge-management-ui ディレクトリにコピーします。 このディレクトリが存在しない場合は作成します。
  3. 証明書と鍵の所有者が「apigee」であることを確認します。user:

    chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
  4. Edge UI のインストールに使用した構成ファイルを編集して、 次の TLS プロパティを設定します。

    # Set to https to enable TLS.
    MANAGEMENT_UI_SCHEME=https 
    # Do NOT terminate TLS on a load balancer.
    MANAGEMENT_UI_TLS_OFFLOAD=n
    
    # Specify the key and cert. 
    MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
    MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
  5. 次のコマンドを実行して TLS を構成します。

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    ここで、configFile は構成ファイルの名前です。

    このスクリプトにより Edge UI が再起動されます。

  6. 次のコマンドを実行して、 Shorn をセットアップして再起動します。

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    再起動すると、Edge UI で HTTPS 経由のアクセスがサポートされます。 TLS を有効にしても Edge UI にログインできない場合は、 再度ログインしてみてください。

TLS をロードバランサで終端させる場合に Edge UI を構成する

リクエストを Edge UI に転送するロードバランサがある場合は、 ロードバランサで TLS 接続を終端するよう選択し、 ロードバランサは、HTTP 経由で Edge UI にリクエストを転送します。

ロードバランサで TLS を終端する

この構成はサポートされています それに応じてロードバランサと Edge UI を構成する必要があります。

TLS をロードバランサで終端させる場合に Edge UI を構成するには:

  1. Edge UI のインストールに使用した構成ファイルを編集して、 次の TLS プロパティを設定します。

    # Set to https to enable TLS
    MANAGEMENT_UI_SCHEME=https
    # Terminate TLS on a load balancer
    MANAGEMENT_UI_TLS_OFFLOAD=y
    # Set to the IP address or DNS name of the load balancer.
    MANAGEMENT_UI_IP=LB_IP_DNS
    # Set to the port number for the load balancer and Edge UI.
    # The load balancer and the Edge UI must use the same port number.
    MANAGEMENT_UI_IP=3001
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
    

    MANAGEMENT_UI_TLS_OFFLOAD=y を設定する場合は、MANAGEMENT_UI_TLS_KEY_FILE を省略します。 および MANAGEMENT_UI_TLS_CERT_FILE. Edge UI へのリクエストは HTTP 経由で受信されるため、これらは無視されます。

  2. 次のコマンドを実行して TLS を構成します。

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    ここで、configFile は構成ファイルの名前です。

    このスクリプトにより Edge UI が再起動されます。

  3. 次のコマンドを実行して、 Shorn をセットアップして再起動します。

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    再起動すると、Edge UI で HTTPS 経由のアクセスがサポートされます。 TLS を有効にしても Edge UI にログインできない場合は、 再度ログインしてみてください。

Edge UI で TLS を無効にする

Edge UI で TLS を無効にするには:

  1. Edge UI のインストールに使用した構成ファイルを編集して、 次の TLS プロパティが必要です。

    # Set to http to disable TLS.
    MANAGEMENT_UI_SCHEME=http
    
    # Only if you had terminated TLS on a load balancer,
    # reset to the IP address or DNS name of the Edge UI.
    MANAGEMENT_UI_IP=newue_IP_DNS
    
  2. 次のコマンドを実行して TLS を無効にします。

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    ここで、configFile は構成ファイルの名前です。

    このスクリプトにより Edge UI が再起動されます。

  3. 次のコマンドを実行して、 Shorn をセットアップして再起動します。

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    HTTP 経由で Edge UI にアクセスできるようになりました。 TLS を無効にした後に Edge UI にログインできない場合は、 再度ログインしてみてください。