デフォルトでは、 新しい Edge UI HTTP 経由でアクセスします。その際、Edge UI ノードの IP アドレスまたは DNS 名とポート 3001 を使用します。例:
http://newue_IP:3001
または、Edge UI への TLS アクセスを構成して、 次の形式でアクセスできます。
https://newue_IP:3001
TLS の要件
Edge UI は TLS v1.2 のみをサポートしています。Edge UI で TLS を有効にすると、 TLS v1.2 と互換性のあるブラウザを使用して Edge UI に接続する必要があります。
TLS 構成プロパティ
次のコマンドを実行して、Edge UI に TLS を構成します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
ここで、configFile は、インストールに使用した構成ファイルです。 Edge UI。
このコマンドを実行する前に、構成ファイルを編集して TLS を制御する必要なプロパティを定義します。次の表に、 次のプロパティを使用します。
| プロパティ | 説明 | 必須 |
|---|---|---|
MANAGEMENT_UI_SCHEME
|
プロトコル「http」を設定します。または "https" です。 デフォルト値は「http」です。URL を「https」に設定TLS を有効にするには: MANAGEMENT_UI_SCHEME=https |
○ |
MANAGEMENT_UI_TLS_OFFLOAD
|
「n」の場合、Edge UI への TLS リクエストは終端されます。
確認できます。 「y」の場合、Edge UI への TLS リクエストは そのロードバランサがリクエストを Edge UI に転送することを確認します。 HTTP を使用します。 ロードバランサで TLS を終端しても、Edge UI は 元のリクエストが TLS で受信されたことに注意してください。たとえば、一部の Cookie には Secure フラグが設定されています。
MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y |
○ |
MANAGEMENT_UI_TLS_KEY_FILE
|
MANAGEMENT_UI_TLS_OFFLOAD=n の場合は、絶対パスを指定します
証明書ファイルに追加します。ファイルは PEM ファイルとしてフォーマットする必要があります。
パスフレーズはなく、「apigee」が所有している必要がありますできます。
これらのファイルは、次の場所に配置することをおすすめします。
/opt/apigee/customer/application/edge-management-ui このディレクトリが存在しない場合は作成します。
|
MANAGEMENT_UI_TLS_OFFLOAD=n の場合は必須
|
MANAGEMENT_UI_PUBLIC_URIS
|
このプロパティは、構成ファイル内の他のプロパティに基づいて設定します。例: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT ここで
これらのプロパティの詳細については、新しい Edge UI をインストールするをご覧ください。
|
○ |
MANAGEMENT_UI_TLS_ALLOWED_CIPHERS
|
使用可能な TLS 暗号のリストをカンマ区切りまたはスペース区切りの文字列として定義します。 カンマ区切り文字列: MANAGEMENT_UI_TLS_ALLOWED_CIPHERS=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 二重引用符で囲まれたスペース区切りの文字列:
MANAGEMENT_UI_TLS_ALLOWED_CIPHERS="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" |
|
SHOEHORN_SCHEME
|
新しい Edge UI をインストールする前に、 最初に「shoehorn」と呼ばれる基本 Edge UI をインストールします。インストール構成ファイルでは、 次のプロパティを使用して、基本 Edge UI へのアクセスに使用するプロトコル「http」を指定します。 SHOEHORN_SCHEME=http 基本の Edge UI は TLS をサポートしていないため、Edge UI で TLS を有効にしても、 このプロパティは引き続き「http」に設定する必要があります。 |
○(「http」に設定) |
TLS の構成
Edge UI への TLS アクセスを構成するには:
TLS 証明書と鍵をパスフレーズなしの PEM ファイルとして生成します。例:
mykey.pem mycert.pem
TLS 証明書と鍵を生成する方法は数多くあります。たとえば、次のコマンドを実行します。 コマンドを実行して、署名なしの証明書と鍵を生成します。
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
- 鍵ファイルと証明書ファイルを
/opt/apigee/customer/application/edge-management-uiディレクトリにコピーします。 このディレクトリが存在しない場合は作成します。 証明書と鍵の所有者が「apigee」であることを確認します。user:
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
Edge UI のインストールに使用した構成ファイルを編集して、 次の TLS プロパティを設定します。
# Set to https to enable TLS. MANAGEMENT_UI_SCHEME=https # Do NOT terminate TLS on a load balancer. MANAGEMENT_UI_TLS_OFFLOAD=n # Specify the key and cert. MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem # Leave these properties set to the same values as when you installed the Edge UI: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
次のコマンドを実行して TLS を構成します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
ここで、configFile は構成ファイルの名前です。
このスクリプトにより Edge UI が再起動されます。
次のコマンドを実行して、 Shorn をセットアップして再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart再起動すると、Edge UI で HTTPS 経由のアクセスがサポートされます。 TLS を有効にしても Edge UI にログインできない場合は、 再度ログインしてみてください。
TLS をロードバランサで終端させる場合に Edge UI を構成する
リクエストを Edge UI に転送するロードバランサがある場合は、 ロードバランサで TLS 接続を終端するよう選択し、 ロードバランサは、HTTP 経由で Edge UI にリクエストを転送します。
この構成はサポートされています それに応じてロードバランサと Edge UI を構成する必要があります。
TLS をロードバランサで終端させる場合に Edge UI を構成するには:
Edge UI のインストールに使用した構成ファイルを編集して、 次の TLS プロパティを設定します。
# Set to https to enable TLS MANAGEMENT_UI_SCHEME=https # Terminate TLS on a load balancer MANAGEMENT_UI_TLS_OFFLOAD=y # Set to the IP address or DNS name of the load balancer. MANAGEMENT_UI_IP=LB_IP_DNS # Set to the port number for the load balancer and Edge UI. # The load balancer and the Edge UI must use the same port number. MANAGEMENT_UI_IP=3001 # Leave these properties set to the same values as when you installed the Edge UI: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
MANAGEMENT_UI_TLS_OFFLOAD=yを設定する場合は、MANAGEMENT_UI_TLS_KEY_FILEを省略します。 およびMANAGEMENT_UI_TLS_CERT_FILE.Edge UI へのリクエストは HTTP 経由で受信されるため、これらは無視されます。次のコマンドを実行して TLS を構成します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
ここで、configFile は構成ファイルの名前です。
このスクリプトにより Edge UI が再起動されます。
次のコマンドを実行して、 Shorn をセットアップして再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart再起動すると、Edge UI で HTTPS 経由のアクセスがサポートされます。 TLS を有効にしても Edge UI にログインできない場合は、 再度ログインしてみてください。
Edge UI で TLS を無効にする
Edge UI で TLS を無効にするには:
Edge UI のインストールに使用した構成ファイルを編集して、 次の TLS プロパティが必要です。
# Set to http to disable TLS. MANAGEMENT_UI_SCHEME=http # Only if you had terminated TLS on a load balancer, # reset to the IP address or DNS name of the Edge UI. MANAGEMENT_UI_IP=newue_IP_DNS
次のコマンドを実行して TLS を無効にします。
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
ここで、configFile は構成ファイルの名前です。
このスクリプトにより Edge UI が再起動されます。
次のコマンドを実行して、 Shorn をセットアップして再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restartHTTP 経由で Edge UI にアクセスできるようになりました。 TLS を無効にした後に Edge UI にログインできない場合は、 再度ログインしてみてください。