デフォルトでは、新しい Edge UI へのアクセスには HTTP 経由で Edge UI ノードの IP アドレスまたは DNS 名とポート 3001 を使用します。例:
http://newue_IP:3001
また、次の形式で Edge UI にアクセスできるように、TLS アクセスを Edge UI に構成することもできます。
https://newue_IP:3001
TLS の要件
Edge UI は TLS v1.2 のみをサポートしています。Edge UI で TLS を有効にする場合、ユーザーは TLS v1.2 と互換性のあるブラウザを使用して Edge UI に接続する必要があります。
TLS 構成プロパティ
次のコマンドを実行して、Edge UI の TLS を構成します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
ここで、configFile は Edge UI のインストールに使用した構成ファイルです。
このコマンドを実行する前に、構成ファイルを編集して TLS の制御に必要なプロパティを設定する必要があります。次の表に、Edge UI の TLS の構成に使用するプロパティを示します。
| プロパティ | 説明 | 必須 / 任意 |
|---|---|---|
MANAGEMENT_UI_SCHEME
|
Edge UI へのアクセスに使用されるプロトコル(「http」または「https」)を設定します。デフォルト値は「http」です。「https」に設定して TLS を有効にします。 MANAGEMENT_UI_SCHEME=https |
○ |
MANAGEMENT_UI_TLS_OFFLOAD
|
「n」に設定すると、Edge UI への TLS リクエストが Edge UI で終端されます。 「y」に設定すると、Edge UI への TLS リクエストがロードバランサで終端し、ロードバランサが HTTP を使用してリクエストを Edge UI に転送します。 ロードバランサで TLS を終端する場合でも、元のリクエストが TLS で受信されたことを Edge UI で認識する必要があります。たとえば、一部の Cookie には Secure フラグが設定されています。
MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y |
○ |
MANAGEMENT_UI_TLS_KEY_FILE
|
MANAGEMENT_UI_TLS_OFFLOAD=n の場合、TLS 鍵ファイルと証明書ファイルへの絶対パスを指定します。ファイルはパスフレーズのない PEM ファイルとしてフォーマットし、「apigee」ユーザーが所有する必要があります。
これらのファイルの推奨保存場所は次のとおりです。
/opt/apigee/customer/application/edge-management-ui このディレクトリが存在しない場合は作成します。
|
MANAGEMENT_UI_TLS_OFFLOAD=n の場合は ○
|
MANAGEMENT_UI_PUBLIC_URIS
|
構成ファイル内の他のプロパティに基づいて、このプロパティを設定します。例: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT ここで
これらのプロパティの詳細については、新しい Edge UI のインストールをご覧ください。
|
○ |
MANAGEMENT_UI_TLS_ALLOWED_CIPHERS
|
使用可能な TLS 暗号のリストを、カンマ区切りまたはスペース区切りの文字列として定義します。 カンマ区切り文字列: MANAGEMENT_UI_TLS_ALLOWED_CIPHERS=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 二重引用符で囲まれたスペース区切りの文字列:
MANAGEMENT_UI_TLS_ALLOWED_CIPHERS="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" |
|
SHOEHORN_SCHEME
|
新しい Edge UI をインストールする前に、まず「shoehorn」と呼ばれる基本の Edge UI をインストールします。インストール構成ファイルでは、次のプロパティを使用して、基本の Edge UI へのアクセスに使用するプロトコル「http」を指定します。 SHOEHORN_SCHEME=http 基本 Edge UI は TLS をサポートしていないため、Edge UI で TLS を有効にする場合でも、このプロパティを「http」に設定する必要があります。 |
○(「http」に設定) |
TLS の構成
Edge UI への TLS アクセスを構成するには:
TLS 証明書と鍵をパスフレーズなしの PEM ファイルとして生成します。例:
mykey.pem mycert.pem
TLS 証明書と鍵を生成する方法はたくさんあります。たとえば、次のコマンドを実行すると、未署名の証明書と鍵を生成できます。
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
- 鍵ファイルと証明書ファイルを
/opt/apigee/customer/application/edge-management-uiディレクトリにコピーします。このディレクトリが存在しない場合は作成します。 証明書と鍵の所有者を「apigee」ユーザーにします。
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
Edge UI のインストールに使用した構成ファイルを編集して、次の TLS プロパティを設定します。
# Set to https to enable TLS. MANAGEMENT_UI_SCHEME=https # Do NOT terminate TLS on a load balancer. MANAGEMENT_UI_TLS_OFFLOAD=n # Specify the key and cert. MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem # Leave these properties set to the same values as when you installed the Edge UI: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
次のコマンドを実行して TLS を構成します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
ここで、configFile は構成ファイルの名前です。
このスクリプトは Edge UI を再起動します。
shoehorn をセットアップして再起動するには、次のコマンドを実行します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart再起動後、Edge UI で HTTPS 経由のアクセスがサポートされるようになります。TLS を有効にしてから Edge UI にログインできない場合は、ブラウザ キャッシュをクリアしてからもう一度ログインしてみてください。
TLS がロードバランサで終端する場合の Edge UI の構成
Edge UI にリクエストを転送するロードバランサがある場合は、ロードバランサで TLS 接続を終端し、ロードバランサから HTTP 経由で Edge UI にリクエストを転送することもできます。
この構成はサポートされていますが、それに応じてロードバランサと Edge UI を構成する必要があります。
TLS がロードバランサで終端する場合の Edge UI を構成するには:
Edge UI のインストールに使用した構成ファイルを編集して、次の TLS プロパティを設定します。
# Set to https to enable TLS MANAGEMENT_UI_SCHEME=https # Terminate TLS on a load balancer MANAGEMENT_UI_TLS_OFFLOAD=y # Set to the IP address or DNS name of the load balancer. MANAGEMENT_UI_IP=LB_IP_DNS # Set to the port number for the load balancer and Edge UI. # The load balancer and the Edge UI must use the same port number. MANAGEMENT_UI_IP=3001 # Leave these properties set to the same values as when you installed the Edge UI: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
MANAGEMENT_UI_TLS_OFFLOAD=yを設定する場合は、MANAGEMENT_UI_TLS_KEY_FILEとMANAGEMENT_UI_TLS_CERT_FILE.を省略します。Edge UI へのリクエストは HTTP 経由で送られるため、これらは無視されます。次のコマンドを実行して TLS を構成します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
ここで、configFile は構成ファイルの名前です。
このスクリプトは Edge UI を再起動します。
shoehorn をセットアップして再起動するには、次のコマンドを実行します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart再起動後、Edge UI で HTTPS 経由のアクセスがサポートされるようになります。TLS を有効にしてから Edge UI にログインできない場合は、ブラウザ キャッシュをクリアしてからもう一度ログインしてみてください。
Edge UI で TLS を無効にする
Edge UI で TLS を無効にするには:
Edge UI のインストールに使用した構成ファイルを編集して、次の TLS プロパティを設定します。
# Set to http to disable TLS. MANAGEMENT_UI_SCHEME=http # Only if you had terminated TLS on a load balancer, # reset to the IP address or DNS name of the Edge UI. MANAGEMENT_UI_IP=newue_IP_DNS
次のコマンドを実行して TLS を無効にします。
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
ここで、configFile は構成ファイルの名前です。
このスクリプトは Edge UI を再起動します。
shoehorn をセットアップして再起動するには、次のコマンドを実行します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restartこれで、HTTP 経由で Edge UI にアクセスできるようになりました。TLS を無効にしてから Edge UI にログインできない場合は、ブラウザ キャッシュをクリアしてからもう一度ログインしてみてください。