การกำหนดค่า TLS สำหรับ UI ของ Edge ใหม่

โดยค่าเริ่มต้น คุณจะเข้าถึง EDGE UI ใหม่ ผ่าน HTTP โดยใช้ที่อยู่ IP หรือชื่อ DNS ของโหนด Edge UI และพอร์ต 3001 เช่น

http://newue_IP:3001

อีกวิธีหนึ่งคือ คุณสามารถกำหนดค่าการเข้าถึง TLS สำหรับ Edge UI เพื่อให้ คุณสามารถเข้าถึงเครื่องมือนี้ได้ในแบบฟอร์ม:

https://newue_IP:3001

ข้อกำหนด TLS

Edge UI รองรับเฉพาะ TLS v1.2 เท่านั้น หากคุณเปิดใช้ TLS ใน Edge UI ผู้ใช้ต้องเชื่อมต่อกับ Edge UI โดยใช้เบราว์เซอร์ที่เข้ากันได้กับ TLS v1.2

พร็อพเพอร์ตี้การกำหนดค่า TLS

เรียกใช้คำสั่งต่อไปนี้เพื่อกำหนดค่า TLS สำหรับ Edge UI

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

โดยที่ configFile คือไฟล์การกำหนดค่าที่คุณใช้ติดตั้ง Edge UI

ก่อนที่คุณจะเรียกใช้คำสั่งนี้ คุณต้องแก้ไขไฟล์การกำหนดค่าเพื่อตั้งค่า พร็อพเพอร์ตี้ที่จำเป็นซึ่งควบคุม TLS ตารางต่อไปนี้อธิบาย พร็อพเพอร์ตี้ที่คุณใช้เพื่อกำหนดค่า TLS สำหรับ Edge UI

พร็อพเพอร์ตี้ คำอธิบาย จำเป็นหรือไม่
MANAGEMENT_UI_SCHEME

ตั้งค่าโปรโตคอล "http" หรือ "https" ซึ่งใช้ในการเข้าถึง Edge UI ค่าเริ่มต้นคือ "http" ตั้งค่าเป็น "https" ในการเปิดใช้งาน TLS ให้ทำดังนี้

MANAGEMENT_UI_SCHEME=https
ใช่
MANAGEMENT_UI_TLS_OFFLOAD

หากเป็น "n" แสดงว่าคำขอ TLS ไปยัง Edge UI ถูกยกเลิก ที่ Edge UI คุณต้องตั้งค่า MANAGEMENT_UI_TLS_KEY_FILE และ วันที่ MANAGEMENT_UI_TLS_CERT_FILE.

หากเป็น "y" แสดงว่าคำขอ TLS ไปยัง Edge UI ถูกยกเลิก ตัวจัดสรรภาระงาน และตัวจัดสรรภาระงานจะส่งต่อคำขอไปยัง Edge UI โดยใช้ HTTP

หากคุณสิ้นสุด TLS บนตัวจัดสรรภาระงาน Edge UI ยังคงต้อง โปรดทราบว่าคำขอเดิมเข้ามาทาง TLS เช่น คุกกี้บางรายการมีการตั้งค่าตัวบ่งชี้ความปลอดภัย

คุณต้องตั้งค่า MANAGEMENT_UI_SCHEME เป็น "https" หรือมิฉะนั้น MANAGEMENT_UI_TLS_OFFLOAD จะถูกละเว้น:

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y
ใช่
MANAGEMENT_UI_TLS_KEY_FILE

MANAGEMENT_UI_TLS_CERT_FILE

หากเป็น MANAGEMENT_UI_TLS_OFFLOAD=n ให้ระบุเส้นทางสัมบูรณ์ ลงในคีย์ TLS และไฟล์ใบรับรอง ไฟล์ดังกล่าวต้องจัดรูปแบบเป็นไฟล์ PEM ด้วย ไม่มีรหัสผ่าน และต้องเป็นของ "Apigee" ผู้ใช้

ตำแหน่งที่แนะนำสำหรับไฟล์เหล่านี้คือ

/opt/apigee/customer/application/edge-management-ui

หากไม่มีไดเรกทอรีดังกล่าว ให้สร้างไดเรกทอรีดังกล่าว

หากเป็น MANAGEMENT_UI_TLS_OFFLOAD=y ให้ละเว้น MANAGEMENT_UI_TLS_KEY_FILE และ MANAGEMENT_UI_TLS_CERT_FILE. รายการเหล่านี้จะถูกละเว้นเนื่องจากคำขอไปยัง Edge UI เข้ามาผ่าน HTTP

ได้ MANAGEMENT_UI_TLS_OFFLOAD=n
MANAGEMENT_UI_PUBLIC_URIS

หากเป็น MANAGEMENT_UI_TLS_OFFLOAD=n ให้ระบุ URL ของ Edge UI

ตั้งค่าพร็อพเพอร์ตี้นี้โดยอิงตามพร็อพเพอร์ตี้อื่นๆ ในไฟล์การกำหนดค่า เช่น

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

สถานที่:

  • MANAGEMENT_UI_SCHEME ระบุโปรโตคอล "http" หรือ "https" ตามที่อธิบายไว้ด้านบน
  • MANAGEMENT_UI_IP จะระบุที่อยู่ IP หรือชื่อ DNS ของ Edge UI
  • MANAGEMENT_UI_PORT ระบุพอร์ตที่ Edge UI ใช้

โปรดดูติดตั้ง Edge UI ใหม่สำหรับข้อมูลเพิ่มเติมเกี่ยวกับพร็อพเพอร์ตี้เหล่านี้

หาก MANAGEMENT_UI_TLS_OFFLOAD=y:

  • MANAGEMENT_UI_IP ระบุที่อยู่ IP หรือชื่อ DNS ของตัวจัดสรรภาระงาน ไม่ใช่ของ Edge UI
  • ตัวจัดสรรภาระงานและ UE ใหม่ต้องใช้หมายเลขพอร์ตเดียวกันสำหรับคำขอ เช่น 3001 ใช้ MANAGEMENT_UI_PORT เพื่อระบุหมายเลขพอร์ตบนตัวจัดสรรภาระงานและ UE ใหม่

ใช่

SHOEHORN_SCHEME

ก่อนที่คุณจะติดตั้ง Edge UI ใหม่ คุณติดตั้ง Edge UI พื้นฐานเป็นครั้งแรกโดยใช้ shoehorn ไฟล์การกำหนดค่าการติดตั้งใช้ พร็อพเพอร์ตี้ต่อไปนี้เพื่อระบุโปรโตคอล ซึ่งก็คือ "http" ที่ใช้ในการเข้าถึง Edge UI พื้นฐาน

SHOEHORN_SCHEME=http

Edge UI พื้นฐานไม่รองรับ TLS ดังนั้นแม้ว่าคุณจะเปิดใช้ TLS ใน Edge UI ก็ตาม พร็อพเพอร์ตี้นี้ยังคงต้องตั้งค่าเป็น "http"

ใช่ และตั้งค่าเป็น "http"

กำหนดค่า TLS

วิธีกำหนดค่าการเข้าถึง TLS ใน Edge UI

  1. สร้างใบรับรอง TLS และคีย์เป็นไฟล์ PEM โดยไม่ต้องใช้รหัสผ่าน เช่น

    mykey.pem
    mycert.pem

    การสร้างใบรับรองและคีย์ TLS ทำได้หลายวิธี ตัวอย่างเช่น คุณสามารถดำเนินการต่อไปนี้ เพื่อสร้างใบรับรองและคีย์ที่ไม่ได้ลงชื่อ:

    openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
  2. คัดลอกไฟล์คีย์และไฟล์ใบรับรองไปยังไดเรกทอรี /opt/apigee/customer/application/edge-management-ui หากไม่มีไดเรกทอรีดังกล่าว ให้สร้างไดเรกทอรีดังกล่าว
  3. ตรวจสอบว่า "Apigee" เป็นเจ้าของใบรับรองและคีย์ ผู้ใช้:

    chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
  4. แก้ไขไฟล์การกำหนดค่าที่คุณใช้ติดตั้ง Edge UI ให้ตั้งค่าพร็อพเพอร์ตี้ TLS ต่อไปนี้

    # Set to https to enable TLS.
    MANAGEMENT_UI_SCHEME=https 
    # Do NOT terminate TLS on a load balancer.
    MANAGEMENT_UI_TLS_OFFLOAD=n
    
    # Specify the key and cert. 
    MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
    MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
  5. เรียกใช้คำสั่งต่อไปนี้เพื่อกำหนดค่า TLS

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    โดยที่ configFile คือชื่อของไฟล์การกำหนดค่า

    สคริปต์จะรีสตาร์ท Edge UI

  6. เรียกใช้คำสั่งต่อไปนี้เพื่อตั้งค่าและรีสตาร์ท shoehorn

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    หลังจากรีสตาร์ท Edge UI จะรองรับการเข้าถึงผ่าน HTTPS หากเข้าสู่ระบบ Edge UI ไม่ได้หลังจากเปิดใช้ TLS ให้ล้าง แคชของเบราว์เซอร์ และลองเข้าสู่ระบบอีกครั้ง

กำหนดค่า Edge UI เมื่อ TLS สิ้นสุดบนตัวจัดสรรภาระงาน

หากคุณมีตัวจัดสรรภาระงานที่ส่งต่อคำขอไปยัง Edge UI คุณอาจ เลือกสิ้นสุดการเชื่อมต่อ TLS บนตัวจัดสรรภาระงาน จากนั้น ตัวจัดสรรภาระงานส่งต่อคำขอไปยัง Edge UI ผ่าน HTTP:

สิ้นสุด TLS บนตัวจัดสรรภาระงาน

รองรับการกำหนดค่านี้ แต่คุณต้องกำหนดค่าตัวจัดสรรภาระงานและ Edge UI ให้สอดคล้องกัน

วิธีกำหนดค่า Edge UI เมื่อ TLS สิ้นสุดบนตัวจัดสรรภาระงานมีดังนี้

  1. แก้ไขไฟล์การกำหนดค่าที่คุณใช้ติดตั้ง Edge UI ให้ตั้งค่าพร็อพเพอร์ตี้ TLS ต่อไปนี้

    # Set to https to enable TLS
    MANAGEMENT_UI_SCHEME=https
    # Terminate TLS on a load balancer
    MANAGEMENT_UI_TLS_OFFLOAD=y
    # Set to the IP address or DNS name of the load balancer.
    MANAGEMENT_UI_IP=LB_IP_DNS
    # Set to the port number for the load balancer and Edge UI.
    # The load balancer and the Edge UI must use the same port number.
    MANAGEMENT_UI_IP=3001
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
    

    หากคุณตั้งค่า MANAGEMENT_UI_TLS_OFFLOAD=y ให้ข้าม MANAGEMENT_UI_TLS_KEY_FILE และMANAGEMENT_UI_TLS_CERT_FILE.ระบบจะไม่สนใจคำขอเหล่านี้เนื่องจากคำขอไปยัง Edge UI ส่งมาผ่าน HTTP

  2. เรียกใช้คำสั่งต่อไปนี้เพื่อกำหนดค่า TLS

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    โดยที่ configFile คือชื่อของไฟล์การกำหนดค่า

    สคริปต์จะรีสตาร์ท Edge UI

  3. เรียกใช้คำสั่งต่อไปนี้เพื่อตั้งค่าและรีสตาร์ท shoehorn

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    หลังจากรีสตาร์ท Edge UI จะรองรับการเข้าถึงผ่าน HTTPS หากเข้าสู่ระบบ Edge UI ไม่ได้หลังจากเปิดใช้ TLS ให้ล้าง แคชของเบราว์เซอร์ และลองเข้าสู่ระบบอีกครั้ง

ปิดใช้ TLS ใน Edge UI

วิธีปิดใช้ TLS ใน Edge UI

  1. แก้ไขไฟล์การกำหนดค่าที่คุณใช้ติดตั้ง Edge UI เพื่อตั้งค่า คุณสมบัติ TLS ต่อไปนี้

    # Set to http to disable TLS.
    MANAGEMENT_UI_SCHEME=http
    
    # Only if you had terminated TLS on a load balancer,
    # reset to the IP address or DNS name of the Edge UI.
    MANAGEMENT_UI_IP=newue_IP_DNS
    
  2. เรียกใช้คำสั่งต่อไปนี้เพื่อปิดใช้ TLS

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    โดยที่ configFile คือชื่อของไฟล์การกำหนดค่า

    สคริปต์จะรีสตาร์ท Edge UI

  3. เรียกใช้คำสั่งต่อไปนี้เพื่อตั้งค่าและรีสตาร์ท shoehorn

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    ตอนนี้คุณเข้าถึง Edge UI ผ่าน HTTP ได้แล้ว หากเข้าสู่ระบบ Edge UI ไม่ได้หลังจากปิดใช้ TLS ให้ล้าง แคชของเบราว์เซอร์ และลองเข้าสู่ระบบอีกครั้ง