新しい Edge UI をインストールする

このドキュメントでは、Apigee Edge for Private Cloud の Edge UI をインストールする方法について説明します。Edge UI は Edge の次世代 UI です。

前提条件

インストールされた Apigee Edge for Private Cloud で新しい Edge UI を試すには、次のことを行う必要があります。

  • Edge UI を専用のノードにインストールします。他の Edge コンポーネントが含まれるノード(既存の Classic UI が存在するノードなど)に Edge UI をインストールすることはできません。そうすると、ユーザーが Classic UI にログインできなくなります。

    Edge UI のノードは次の要件を満たしている必要があります。

    • JAVA 1.8
    • 4 GB の RAM
    • 2 コア
    • 60 GB のディスク容量
    • 最初に、Edge apigee-setup ユーティリティのインストールの説明に従って apigee-setup ユーティリティのバージョン 4.19.06 を対象ノードにインストールする必要があります。
    • ポート 3001 が開いている必要があります。これは Edge UI へのリクエストに使用されるデフォルトのポートです。New Edge UI 構成ファイルに示すプロパティを使用してポートを変更する場合は、そのポートが開いていることを確認します。
  • Edge で外部 IDP を有効にします。Edge UI は認証メカニズムとして SAML または LDAP をサポートしています。
  • (SAML IDP の場合のみ)Edge UI では TLS v1.2 のみがサポートされています。SAML IDP には TLS で接続するため、SAML を使用する場合は、ご利用の IDP が TLS v1.2 をサポートしている必要があります。

Edge UI の詳細については、Private Cloud 用の新しい Edge UI をご覧ください。

インストールの概要

Apigee Edge for Private Cloud の Edge UI をインストールする大まかな手順は次のとおりです。

  • 新しいノードをクラスタに追加する
  • 新しいノードにログインする
  • apigee-setup ユーティリティをダウンロードする
  • 構成ファイルを作成し、設定を適宜変更する
  • apigee-setup ユーティリティを実行する
  • Edge UI にログインしてテストする

新しいノードで apigee-setup ユーティリティを実行すると、次のことが行われます。

  • 「shoehorn」と呼ばれる基本 Classic UI がインストールされ、Edge での認証に外部 IDP を使用するよう Classic UI が構成されます。
  • 新しい Edge UI がインストールされ、Edge での認証に外部 IDP を使用するよう Edge UI が構成されます。

新しい Edge UI をインストールする前の考慮事項

上記の前提条件で説明したように、Edge UI を使用するには Edge で外部 IDP を有効にする必要があります。つまり、ユーザー認証はその IDP によって管理されます。IDP では、ユーザー ID としてメールアドレスを使用するように設定します。したがって、すべての Edge UI ユーザーを IDP に登録する必要があります。

Apigee Edge for Private Cloud とともにインストールされるデフォルト UI の Classic UI では、外部 IDP は必須ではありません。IDP と Basic 認証のどちらかを使用できます。つまり、次のどちらの方法をとることもできます。

  • Edge で外部 IDP のサポートを有効し、Classic UI と Edge UI の両方で外部 IDP のサポートを有効にする。

    このシナリオでは、すべての Classic UI ユーザーと Edge UI ユーザーを IDP に登録します。新しいユーザーを IDP に追加する方法については、新しい Edge ユーザーを登録するをご覧ください。

  • Edge で外部 IDP のサポートを有効にするが、Basic 認証も有効にしておく。この場合、Edge UI では IDP が使用され、Classic UI では引き続き Basic 認証が使用されます。

    このシナリオでは、Classic UI ユーザーはすべて Basic 認証情報でログインします。Classic UI ユーザーの認証情報は Edge OpenLDAP データベースに保存されます。Edge UI ユーザーは IDP に登録され、SAML または LDAP を使用してログインします。

    ただし、Classic UI ユーザーは、新しい Edge ユーザーを登録するの説明に従って IDP に追加されない限り、Edge UI にはログインできません。

以前のリリースからのインストール構成の変更点

以下に、Edge UI のベータ版リリースからのインストール手順の変更点を示します。

新しい Edge UI 構成ファイル

以下の構成ファイルには、新しい Edge UI のインストールと構成に必要なすべての情報が含まれています。同じ構成ファイルを使用して、shoehorn / Classic UI と Edge UI の両方をインストールして構成できます。

# IP of the Edge Management Server.
    # This node also hosts the Apigee SSO module and the current, or Classic, UI.
    IP1=management_server_IP

    # IP of the Edge UI node.
    IP2=edge_UI_server_IP

    # Edge sys admin credentials.
    ADMIN_EMAIL=your@email.com
    APIGEE_ADMINPW=your_password    # If omitted, you are prompted for it.

    # Edge Management Server information.
    APIGEE_PORT_HTTP_MS=8080
    MSIP=$IP1
    MS_SCHEME=http

    #
    # Edge UI configuration.
    #

    # Enable the Edge UI.
    EDGEUI_ENABLE_UNIFIED_UI=y
    # Specify IP and port for the Edge UI.
    # The management UI port must be open for requests to the Edge UI
    MANAGEMENT_UI_PORT=3001
    MANAGEMENT_UI_IP=$IP2
    # Set to 'OPDK' to specify a Private Cloud deployment.
    MANAGEMENT_UI_APP_ENV=OPDK
    # Disable TLS on the Edge UI.
    MANAGEMENT_UI_SCHEME=http

    # Location of Edge UI.
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    MANAGEMENT_UI_SSO_REGISTERED_PUBLIC_URIS=$MANAGEMENT_UI_PUBLIC_URIS
    MANAGEMENT_UI_SSO_CSRF_SECRET=YOUR_CSRF_SECRET
    # Duration of CSRF token.
    MANAGEMENT_UI_SSO_CSRF_EXPIRATION_HOURS=24
    # Defaults to 8760 hours, or 365 days.
    MANAGEMENT_UI_SSO_STRICT_TRANSPORT_SECURITY_AGE_HOURS=8760

    ## SSO configuration for the Edge UI.
    MANAGEMENT_UI_SSO_ENABLED=y

    # Only required if MANAGEMENT_UI_SSO_ENABLED is 'y'
    MANAGEMENT_UI_SSO_CLIENT_OVERWRITE=y

    MANAGEMENT_UI_SSO_CLIENT_ID=newueclient
    MANAGEMENT_UI_SSO_CLIENT_SECRET=your_client_sso_secret

    #
    # Shoehorn UI configuration
    #
    # Set to http even if you enable TLS on the Edge UI.
    SHOEHORN_SCHEME=http
    SHOEHORN_IP=$MANAGEMENT_UI_IP
    SHOEHORN_PORT=9000

    #
    # Edge Classic UI configuration.
    # Some settings are for the Classic UI, but are still required to configure the Edge UI.
    #

    # These settings assume that Classic UI is installed on the Management Server.
    CLASSIC_UI_IP=$MSIP
    CLASSIC_UI_PORT=9000
    CLASSIC_UI_SCHEME=http
    EDGEUI_PUBLIC_URIS=$CLASSIC_UI_SCHEME://$CLASSIC_UI_IP:$CLASSIC_UI_PORT

    # Information about publicly accessible URL for Classic UI.
    EDGEUI_SSO_REGISTERD_PUBLIC_URIS=$EDGEUI_PUBLIC_URIS

    # Enable SSO
    EDGEUI_SSO_ENABLED=y

    # The name of the OAuth client used to connect to apigee-sso.
    # The default client name is 'edgeui'.
    # Apigee recommends that you use the same settings as you used
    # when enabling your IDP on the Classic UI.
    EDGEUI_SSO_CLIENT_NAME=edgeui
    # Oauth client password using uppercase, lowercase, number, and special chars.
    EDGEUI_SSO_CLIENT_SECRET=ssoClient123
    # If set, existing EDGEUI client will deleted and new one will be created.
    EDGEUI_SSO_CLIENT_OVERWRITE=y

    # Apigee SSO Component configuration
    # Externally accessible IP or DNS of Edge SSO module.
    SSO_PUBLIC_URL_HOSTNAME=$IP1
    SSO_PUBLIC_URL_PORT=9099
    # Default is http. Set to https if you enabled TLS on the Apigee SSO module.
    # If Apigee SSO uses a self-signed cert, you must also set MANAGEMENT_UI_SKIP_VERIFY to "y".
    SSO_PUBLIC_URL_SCHEME=http
    # MANAGEMENT_UI_SKIP_VERIFY=y
    # SSO admin credentials as set when you installed Apigee SSO module.
    SSO_ADMIN_NAME=ssoadmin
    SSO_ADMIN_SECRET=your_sso_admin_secret

    #
    ##      SSO Configuration (define external IDP)           #
    #
    # Use one of the following configuration blocks to        #
    # define your IDP settings:                               #
    #  - SAML configuration properties                        #
    #  - LDAP Direct Binding configuration properties         #
    #  - LDAP Indirect Binding configuration properties       #

    INSERT_IDP_CONFIG_BLOCK_HERE (SAML, LDAP direct, or LDAP indirect)

    ## SMTP Configuration (required)
    #
    SKIP_SMTP=n       # Skip now and configure later by specifying "y".
    SMTPHOST=smtp.gmail.com
    SMTPUSER=your@email.com
    SMTPPASSWORD=your_email_password
    SMTPSSL=y
    SMTPPORT=465      # If no SSL, use a different port, such as 25.
    SMTPMAILFROM="My Company myco@company.com"

Edge UI をインストールする

構成ファイルを作成して変更したら、新しい Edge UI を新しいノードにインストールできます。

Edge UI をインストールするには:

  1. 新しいノードをクラスタに追加します。
  2. 新しいノードに管理者としてログインします。
  3. Edge apigee-setup ユーティリティのインストールの説明に従って、apigee-setup ユーティリティのバージョン 4.19.06 をノードにインストールします。
  4. 次のコマンドを実行して、Yum にキャッシュされているすべての情報を消去します。
    sudo yum clean all
  5. 新しい Edge UI 構成ファイルの説明に従って構成ファイルを作成し、ファイルの所有者を「apigee」ユーザーに変更します。
    chown apigee:apigee configFile

    必ず構成ファイルを次のように編集してください。

    • 構成ファイル内の MANAGEMENT_UI_SSO_CSRF_SECRET プロパティの値を CSRF シークレットに変更します。
    • Edge で次のいずれかが使用されるように設定します(新しい Edge UI には外部 LDP が必須です)。
      • SAML
      • LDAP

      詳細については、外部 IDP 認証の概要をご覧ください。

  6. Edge UI へのアクセス権を与えるユーザーを外部 IDP に登録します。詳細については、新しい Edge ユーザーを登録するをご覧ください。
  7. 新しいノードで次のコマンドを実行します。
    /opt/apigee/apigee-setup/bin/setup.sh -p ue -f configFile

    apigee-setup ユーティリティによって Classic UI がインストールされます。この Classic UI を基盤として Edge UI がインストールされます。

  8. ブラウザで次の URL を開いて Edge UI にログインします。
    http://new_edge_UI_IP:3001

    ここで、new_edge_UI_IP は新しい Edge UI をホストしているノードの IP アドレスです。

    外部 IDP の認証情報を入力するよう求められます。

  9. 認証情報を入力します。

    新しい Edge UI が表示されます。Edge UI の使用の詳細については、Private Cloud 用の新しい Edge UI をご覧ください。

    Edge UI が表示されない場合は、ポート 3001 が外部接続用に開いていることを確認します。

Classic UI をアンインストールする

Classic UI をそのノードからアンインストールするには、UI のインストール プロセス中にノードにインストールされた新しい Edge UI と基本 UI(shoehorn)の両方をアンインストールする必要があります。

新しい Edge UI をアンインストールするには:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui uninstall

基本 Classic UI(shoehorn)をアンインストールするには:

/opt/apigee/apigee-service/bin/apigee-service edge-ui uninstall

ノードからすべての Edge コンポーネントを削除するには:

  1. マシン上で稼働しているすべての Edge サービスを停止します。
    /opt/apigee/apigee-service/bin/apigee-all stop
  2. yum のキャッシュを消去します。
    sudo yum clean all
  3. Apigee RPM をすべて削除します。
    sudo rpm -e $(rpm -qa | egrep "(apigee-|edge-)")
  4. インストール ルート ディレクトリを削除します。
    sudo rm -rf /opt/apigee