Domyślnie dostęp do nowego interfejsu użytkownika Edge możesz uzyskać przez HTTP przy użyciu adresu IP lub nazwy DNS węzła UI Edge i portu 3001. Na przykład:
http://newue_IP:3001
Możesz też skonfigurować dostęp TLS do interfejsu Edge, aby uzyskać do niego dostęp w tej formie:
https://newue_IP:3001
Wymagania TLS
Interfejs Edge obsługuje tylko protokół TLS 1.2. Jeśli włączysz protokół TLS w interfejsie użytkownika Edge, użytkownicy będą musieli łączyć się z tym interfejsem przy użyciu przeglądarki zgodnej z TLS 1.2.
Właściwości konfiguracji TLS
Uruchom to polecenie, aby skonfigurować protokół TLS w interfejsie użytkownika Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Gdzie configFile to plik konfiguracyjny użyty do zainstalowania interfejsu użytkownika Edge.
Zanim wykonasz to polecenie, musisz zmodyfikować plik konfiguracji, aby ustawić niezbędne właściwości sterujące protokołem TLS. W poniższej tabeli opisano właściwości używane do konfigurowania protokołu TLS w interfejsie użytkownika Edge:
Właściwość | Opis | Wymagana? |
---|---|---|
MANAGEMENT_UI_SCHEME
|
Ustawia protokół „http” lub „https” używany do uzyskiwania dostępu do interfejsu Edge. Wartością domyślną jest „http”. Aby włączyć TLS, ustaw wartość „https”: MANAGEMENT_UI_SCHEME=https |
Tak |
MANAGEMENT_UI_TLS_OFFLOAD
|
Wartość „n” wskazuje, że żądania TLS wysyłane do interfejsu Edge są zamykane w interfejsie Edge. Musisz ustawić Jeśli wartość „y” wskazuje, że żądania TLS wysyłane do interfejsu Edge są zakończone w systemie równoważenia obciążenia oraz że system równoważenia obciążenia przekierowuje żądanie do interfejsu Edge przy użyciu protokołu HTTP. Jeśli wyłączysz protokół TLS w systemie równoważenia obciążenia, interfejs użytkownika Edge nadal musi mieć świadomość, że pierwotne żądanie pochodziło z protokołu TLS. Na przykład niektóre pliki cookie mają ustawioną flagę Secure. Musisz ustawić MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y |
Tak |
MANAGEMENT_UI_TLS_KEY_FILE
|
Jeśli ma wartość MANAGEMENT_UI_TLS_OFFLOAD=n , określa ścieżkę bezwzględną do klucza TLS i plików certyfikatu. Pliki muszą być sformatowane jako pliki PEM bez hasła i muszą należeć do użytkownika „apigee”.
Zalecana lokalizacja tych plików to:
/opt/apigee/customer/application/edge-management-ui Jeśli katalog nie istnieje, utwórz go. Jeśli ustawiona jest wartość |
Tak, jeśli MANAGEMENT_UI_TLS_OFFLOAD=n
|
MANAGEMENT_UI_PUBLIC_URIS
|
Jeśli ma wartość Ustaw tę właściwość na podstawie innych właściwości w pliku konfiguracyjnym. Na przykład: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT Gdzie:
Więcej informacji o tych właściwościach znajdziesz w artykule Instalowanie nowego interfejsu Edge. Jeśli
|
Tak |
MANAGEMENT_UI_TLS_ALLOWED_CIPHERS
|
Definiuje listę dostępnych mechanizmów szyfrowania TLS w postaci ciągu rozdzielanego przecinkami lub spacjami. Ciąg rozdzielany przecinkami: MANAGEMENT_UI_TLS_ALLOWED_CIPHERS=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 Ciąg znaków w cudzysłowie rozdzielany spacjami:
MANAGEMENT_UI_TLS_ALLOWED_CIPHERS="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" |
|
SHOEHORN_SCHEME
|
Zanim zainstalujesz nowy interfejs użytkownika Edge, musisz najpierw zainstalować podstawowy interfejs Edge o nazwie shoehorn. Plik konfiguracji instalacji używa tej właściwości do określenia protokołu „http” używanego do uzyskiwania dostępu do podstawowego interfejsu użytkownika Edge: SHOEHORN_SCHEME=http Podstawowy interfejs użytkownika Edge nie obsługuje TLS, więc nawet po włączeniu TLS w tym interfejsie ta właściwość musi być nadal ustawiona na „http”. |
Tak i ustaw na „http” |
Konfigurowanie TLS
Aby skonfigurować dostęp TLS do interfejsu Edge:
Wygeneruj certyfikat i klucz TLS jako pliki PEM bez hasła. Na przykład:
mykey.pem mycert.pem
Certyfikat i klucz TLS można wygenerować na wiele sposobów. Możesz na przykład wykonać to polecenie, aby wygenerować niepodpisany certyfikat i klucz:
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
- Skopiuj plik klucza i certyfikatu do katalogu
/opt/apigee/customer/application/edge-management-ui
. Jeśli katalog nie istnieje, utwórz go. Upewnij się, że certyfikat i klucz należą do użytkownika „apigee”:
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
Edytuj plik konfiguracji użyty do zainstalowania interfejsu Edge, aby ustawić te właściwości TLS:
# Set to https to enable TLS. MANAGEMENT_UI_SCHEME=https # Do NOT terminate TLS on a load balancer. MANAGEMENT_UI_TLS_OFFLOAD=n # Specify the key and cert. MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem # Leave these properties set to the same values as when you installed the Edge UI: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
Aby skonfigurować protokół TLS, uruchom to polecenie:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Gdzie configFile to nazwa pliku konfiguracyjnego.
Skrypt ponownie uruchamia interfejs Edge.
Uruchom te polecenia, aby skonfigurować i uruchomić ponownie Shoehorn:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Po ponownym uruchomieniu interfejs Edge obsługuje dostęp przez HTTPS. Jeśli po włączeniu protokołu TLS nie możesz zalogować się do interfejsu Edge, wyczyść pamięć podręczną przeglądarki i spróbuj zalogować się ponownie.
Skonfiguruj interfejs Edge po zakończeniu TLS w systemie równoważenia obciążenia
Jeśli masz system równoważenia obciążenia, który przekazuje żądania do interfejsu Edge, możesz zakończyć połączenie TLS w systemie równoważenia obciążenia, a następnie ustawić przez system równoważenia obciążenia przekazywanie żądań do interfejsu Edge przez HTTP:
Ta konfiguracja jest obsługiwana, ale musisz odpowiednio skonfigurować system równoważenia obciążenia i interfejs użytkownika Edge.
Aby skonfigurować interfejs użytkownika Edge po zakończeniu TLS w systemie równoważenia obciążenia:
Edytuj plik konfiguracji użyty do zainstalowania interfejsu Edge, aby ustawić te właściwości TLS:
# Set to https to enable TLS MANAGEMENT_UI_SCHEME=https # Terminate TLS on a load balancer MANAGEMENT_UI_TLS_OFFLOAD=y # Set to the IP address or DNS name of the load balancer. MANAGEMENT_UI_IP=LB_IP_DNS # Set to the port number for the load balancer and Edge UI. # The load balancer and the Edge UI must use the same port number. MANAGEMENT_UI_IP=3001 # Leave these properties set to the same values as when you installed the Edge UI: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
Jeśli ustawisz
MANAGEMENT_UI_TLS_OFFLOAD=y
, pomiń wartościMANAGEMENT_UI_TLS_KEY_FILE
iMANAGEMENT_UI_TLS_CERT_FILE.
. Są one ignorowane, ponieważ żądania do interfejsu Edge przychodzą przez HTTP.Aby skonfigurować protokół TLS, uruchom to polecenie:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Gdzie configFile to nazwa pliku konfiguracyjnego.
Skrypt ponownie uruchamia interfejs Edge.
Uruchom te polecenia, aby skonfigurować i uruchomić ponownie Shoehorn:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Po ponownym uruchomieniu interfejs Edge obsługuje dostęp przez HTTPS. Jeśli po włączeniu protokołu TLS nie możesz zalogować się do interfejsu Edge, wyczyść pamięć podręczną przeglądarki i spróbuj zalogować się ponownie.
Wyłącz TLS w interfejsie użytkownika Edge
Aby wyłączyć TLS w interfejsie użytkownika Edge:
Edytuj plik konfiguracyjny użyty do zainstalowania interfejsu Edge do ustawienia tej właściwości TLS:
# Set to http to disable TLS. MANAGEMENT_UI_SCHEME=http # Only if you had terminated TLS on a load balancer, # reset to the IP address or DNS name of the Edge UI. MANAGEMENT_UI_IP=newue_IP_DNS
Aby wyłączyć protokół TLS, uruchom następujące polecenie:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
Gdzie configFile to nazwa pliku konfiguracyjnego.
Skrypt ponownie uruchamia interfejs Edge.
Uruchom te polecenia, aby skonfigurować i uruchomić ponownie Shoehorn:
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Możesz teraz uzyskać dostęp do interfejsu Edge przez HTTP. Jeśli po wyłączeniu TLS nie możesz zalogować się do interfejsu Edge, wyczyść pamięć podręczną przeglądarki i spróbuj zalogować się ponownie.