Per impostazione predefinita, si accede alla nuova UI perimetrale tramite HTTP utilizzando l'indirizzo IP o il nome DNS del nodo UI perimetrale e della porta 3001. Ad esempio:
http://newue_IP:3001
In alternativa, puoi configurare l'accesso TLS alla UI Edge in modo da potervi accedere nel formato:
https://newue_IP:3001
Requisiti TLS
La UI Edge supporta solo TLS v1.2. Se abiliti TLS sulla UI Edge, gli utenti devono connettersi alla UI Edge utilizzando un browser compatibile con TLS v1.2.
Proprietà di configurazione TLS
Esegui questo comando per configurare TLS per la UI Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Dove configFile è il file di configurazione che hai utilizzato per installare la UI Edge.
Prima di eseguire questo comando, devi modificare il file di configurazione per impostare le proprietà necessarie che controllano TLS. La tabella seguente descrive le proprietà che utilizzi per configurare TLS per la UI Edge:
Proprietà | Descrizione | Campo obbligatorio? |
---|---|---|
MANAGEMENT_UI_SCHEME
|
Imposta il protocollo, "http" o "https", utilizzato per accedere all'UI Edge. Il valore predefinito è "http". Impostalo su "https" per attivare TLS: MANAGEMENT_UI_SCHEME=https |
Sì |
MANAGEMENT_UI_TLS_OFFLOAD
|
Se "n", specifica che le richieste TLS alla UI perimetrale vengono terminate
nella UI perimetrale. Devi impostare Se il valore è "y", specifica che le richieste TLS alla UI perimetrale vengono terminate su un bilanciatore del carico e che quest'ultimo inoltra la richiesta alla UI perimetrale utilizzando HTTP. Se termini TLS sul bilanciatore del carico, la UI perimetrale deve comunque sapere che la richiesta originale è arrivata tramite TLS. Ad esempio, per alcuni cookie è impostato un flag di sicurezza. È necessario impostare MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y |
Sì |
MANAGEMENT_UI_TLS_KEY_FILE
|
Se MANAGEMENT_UI_TLS_OFFLOAD=n , specifica il percorso assoluto
ai file della chiave e del certificato TLS. I file devono essere formattati come file PEM senza passphrase e devono essere di proprietà dell'utente "apigee".
Il percorso consigliato per questi file è:
/opt/apigee/customer/application/edge-management-ui Se la directory non esiste, creala. Se |
Sì se MANAGEMENT_UI_TLS_OFFLOAD=n
|
MANAGEMENT_UI_PUBLIC_URIS
|
Se Imposta questa proprietà in base ad altre proprietà nel file di configurazione. Ad esempio: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT Dove:
Per saperne di più su queste proprietà, consulta Installare la nuova UI Edge. Se
|
Sì |
SHOEHORN_SCHEME
|
Prima di installare la nuova UI di Edge, devi installare la UI base di Edge, chiamata shoehorn. Il file di configurazione dell'installazione utilizza la seguente proprietà per specificare il protocollo "http", utilizzato per accedere alla UI di base perimetrale: SHOEHORN_SCHEME=http La UI di base di Edge non supporta TLS, quindi anche quando abiliti TLS sull'UI di Edge, questa proprietà deve comunque essere impostata su "http". |
Sì e impostalo su "http" |
Configura TLS
Per configurare l'accesso TLS all'interfaccia utente Edge:
Genera il certificato e la chiave TLS come file PEM senza passphrase. Ad esempio:
mykey.pem mycert.pem
Esistono molti modi per generare un certificato e una chiave TLS. Ad esempio, puoi eseguire questo comando per generare un certificato e una chiave non firmati:
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
- Copia i file della chiave e del certificato nella directory
/opt/apigee/customer/application/edge-management-ui
. Se la directory non esiste, creala. Assicurati che il certificato e la chiave siano di proprietà dell'utente "apigee":
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
Modifica il file di configurazione che hai utilizzato per installare l'interfaccia utente Edge per impostare le seguenti proprietà TLS:
# Set to https to enable TLS. MANAGEMENT_UI_SCHEME=https # Do NOT terminate TLS on a load balancer. MANAGEMENT_UI_TLS_OFFLOAD=n # Specify the key and cert. MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem # Leave these properties set to the same values as when you installed the Edge UI: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
Esegui questo comando per configurare TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
dove configFile è il nome del file di configurazione.
Lo script riavvia l'interfaccia utente Edge.
Esegui questi comandi per configurare e riavviare shoehorn:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Dopo il riavvio, l'interfaccia utente Edge supporta l'accesso tramite HTTPS. Se non riesci ad accedere all'interfaccia utente di Edge dopo aver abilitato TLS, svuota la cache del browser e riprova ad accedere.
Configura la UI perimetrale quando TLS termina sul bilanciatore del carico
Se disponi di un bilanciatore del carico che inoltra le richieste alla UI perimetrale, puoi scegliere di terminare la connessione TLS sul bilanciatore del carico, quindi fare in modo che il bilanciatore del carico inoltri le richieste alla UI perimetrale tramite HTTP:
Questa configurazione è supportata, ma devi configurare di conseguenza il bilanciatore del carico e la UI perimetrale.
Per configurare la UI perimetrale quando TLS termina sul bilanciatore del carico:
Modifica il file di configurazione che hai utilizzato per installare l'interfaccia utente Edge per impostare le seguenti proprietà TLS:
# Set to https to enable TLS MANAGEMENT_UI_SCHEME=https # Terminate TLS on a load balancer MANAGEMENT_UI_TLS_OFFLOAD=y # Set to the IP address or DNS name of the load balancer. MANAGEMENT_UI_IP=LB_IP_DNS # Set to the port number for the load balancer and Edge UI. # The load balancer and the Edge UI must use the same port number. MANAGEMENT_UI_IP=3001 # Leave these properties set to the same values as when you installed the Edge UI: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
Se imposti
MANAGEMENT_UI_TLS_OFFLOAD=y
, omettiMANAGEMENT_UI_TLS_KEY_FILE
eMANAGEMENT_UI_TLS_CERT_FILE.
. Vengono ignorati perché le richieste alla UI perimetrale arrivano tramite HTTP.Esegui questo comando per configurare TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
dove configFile è il nome del file di configurazione.
Lo script riavvia l'interfaccia utente Edge.
Esegui questi comandi per configurare e riavviare shoehorn:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Dopo il riavvio, l'interfaccia utente Edge supporta l'accesso tramite HTTPS. Se non riesci ad accedere all'interfaccia utente di Edge dopo aver abilitato TLS, svuota la cache del browser e riprova ad accedere.
Disabilita TLS sulla UI perimetrale
Per disattivare TLS sull'interfaccia utente Edge:
Modifica il file di configurazione che hai utilizzato per installare l'interfaccia utente Edge per impostare la seguente proprietà TLS:
# Set to http to disable TLS. MANAGEMENT_UI_SCHEME=http # Only if you had terminated TLS on a load balancer, # reset to the IP address or DNS name of the Edge UI. MANAGEMENT_UI_IP=newue_IP_DNS
Esegui questo comando per disabilitare TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
dove configFile è il nome del file di configurazione.
Lo script riavvia l'interfaccia utente Edge.
Esegui questi comandi per configurare e riavviare shoehorn:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Ora puoi accedere all'UI Edge tramite HTTP. Se non riesci ad accedere all'interfaccia utente di Edge dopo aver disabilitato TLS, svuota la cache del browser e prova ad accedere di nuovo.