Cài đặt giao diện người dùng Edge mới

Tài liệu này mô tả cách cài đặt giao diện người dùng Edge cho Apigee Edge cho Private Cloud. Giao diện người dùng Edge là thế hệ giao diện người dùng tiếp theo cho Edge.

Điều kiện tiên quyết

Để dùng thử giao diện người dùng Edge mới trong quá trình cài đặt Apigee Edge cho Private Cloud, bạn phải:

• Cài đặt giao diện người dùng Edge trên nút riêng. Bạn không thể cài đặt mã này trên một nút chứa các thành phần Edge khác, bao gồm cả nút chứa Giao diện người dùng cổ điển hiện có. Việc này sẽ khiến người dùng không thể đăng nhập vào giao diện người dùng cũ.

  Nút của giao diện người dùng Edge phải đáp ứng các yêu cầu sau:

  • JAVA 1.8
  • 4 GByte RAM
  • 2 nhân
  • Dung lượng ổ đĩa 60 GB
  • Trước tiên, bạn phải cài đặt phiên bản 4.51.00 của tiện ích apigee-setup trên nút như mô tả trong phần Cài đặt tiện ích thiết lập apigee Edge.
  • Cổng 3001 phải đang mở. Đây là cổng mặc định dùng cho các yêu cầu đến giao diện người dùng Edge. Nếu bạn thay đổi cổng bằng cách sử dụng các thuộc tính được mô tả trong Tệp cấu hình UE mới, hãy đảm bảo rằng cổng đó đang mở.
• Bật IDP bên ngoài trên Edge. Giao diện người dùng Edge hỗ trợ SAML hoặc LDAP làm cơ chế xác thực.
• (Chỉ dành cho IDP SAML) Giao diện người dùng Edge chỉ hỗ trợ TLS phiên bản 1.2. Vì bạn kết nối với IDP SAML qua TLS, nên nếu bạn sử dụng SAML, IDP của bạn phải hỗ trợ TLS phiên bản 1.2.

Để biết thêm về giao diện người dùng Edge, hãy xem bài viết Giao diện người dùng Edge mới cho đám mây riêng.

Tổng quan về quá trình cài đặt

Nhìn chung, quy trình cài đặt giao diện người dùng Edge cho Apigee Edge cho Private Cloud như sau:

• Thêm một nút mới vào cụm
• Đăng nhập vào nút mới
• Tải tiện ích apigee-setup xuống
• Tạo tệp cấu hình và sửa đổi tệp đó bằng chế độ cài đặt
• Thực thi tiện ích apigee-setup
• Đăng nhập và kiểm thử cho UE mới

Khi được thực thi trên nút mới, tiện ích apigee-setup:

• Cài đặt giao diện người dùng Cổ điển cơ sở, được gọi là shoehorn và định cấu hình giao diện người dùng Cổ điển để sử dụng IDP bên ngoài nhằm xác thực bằng Edge.
• Cài đặt giao diện người dùng Edge mới và định cấu hình giao diện người dùng Edge nhằm sử dụng IDP bên ngoài để xác thực với Edge.

Những điều cần cân nhắc trước khi cài đặt giao diện người dùng mới của Edge

Như mô tả ở trên trong phần điều kiện tiên quyết, giao diện người dùng Edge yêu cầu bạn bật một IDP bên ngoài trên Edge. Tức là quy trình xác thực người dùng sẽ do IDP kiểm soát. Theo đó, bạn có thể định cấu hình để IDP sử dụng địa chỉ email làm mã nhận dạng người dùng. Do đó, tất cả người dùng giao diện người dùng Edge phải được đăng ký trong IDP.

Giao diện người dùng cũ (giao diện người dùng mặc định mà bạn đã cài đặt bằng Apigee Edge cho Private Cloud) không yêu cầu nhà cung cấp danh tính (IDP) bên ngoài. Phương thức này có thể sử dụng IDP hoặc phương thức xác thực cơ bản. Điều này có nghĩa là bạn có thể:

• Bật tính năng hỗ trợ IDP bên ngoài trên Edge và trên cả Giao diện người dùng cổ điển và Giao diện người dùng Edge.

  Trong trường hợp này, tất cả người dùng giao diện người dùng cổ điển và giao diện người dùng Edge đều được đăng ký trong IDP. Để biết thông tin về cách thêm người dùng mới vào IDP, hãy xem phần Đăng ký người dùng Edge mới.

• Bật tính năng hỗ trợ nhà cung cấp danh tính (IDP) bên ngoài trên Edge, nhưng vẫn bật tính năng Xác thực cơ bản. Giao diện người dùng Edge sử dụng IDP và Giao diện người dùng cổ điển vẫn sử dụng phương thức xác thực cơ bản.

  Trong trường hợp này, tất cả người dùng Giao diện người dùng cổ điển đều đăng nhập bằng thông tin xác thực cơ bản, trong đó thông tin xác thực của họ được lưu trữ trong cơ sở dữ liệu Edge OpenLDAP. Người dùng giao diện người dùng Edge được đăng ký trong IDP và đăng nhập bằng SAML hoặc LDAP.

  Tuy nhiên, người dùng Giao diện người dùng cổ điển không thể đăng nhập vào Giao diện người dùng Edge cho đến khi bạn thêm người dùng đó vào IDP như mô tả trong phần Đăng ký người dùng mới trên Edge.

Các thay đổi về cấu hình cài đặt so với các bản phát hành trước

Lưu ý những thay đổi sau đây đối với quy trình cài đặt trong các bản phát hành Beta của giao diện người dùng Edge.

MANAGEMENT_UI_SSO_PUBLIC_KEY_CACHE_HOURS

# Shoehorn/Classic UI configurations.
SHOEHORN_SCHEME
SHOEHORN_IP
SHOEHORN_PORT

# Classic UI configurations.
CLASSIC_UI_SCHEME
CLASSIC_UI_IP
CLASSIC_UI_PORT

# Information about Edge SSO module.
MANAGEMENT_UI_SKIP_VERIFY

ROUTES_SHOEHORN
ROUTES_CLASSICUI

MANAGEMENT_UI_USE_HTTPS

MANAGEMENT_UI_SCHEME

Tệp cấu hình giao diện người dùng Edge mới

Tệp cấu hình sau đây chứa tất cả thông tin cần thiết để cài đặt và định cấu hình giao diện người dùng Edge mới. Bạn có thể sử dụng cùng một tệp cấu hình để cài đặt và định cấu hình cả giao diện người dùng cổ điển/cũ và giao diện người dùng Edge.

# IP of the Edge Management Server.
# This node also hosts the Apigee SSO module and the current, or Classic, UI.
IP1=management_server_IP

# IP of the Edge UI node.
IP2=edge_UI_server_IP

# Edge sys admin credentials.
ADMIN_EMAIL=your@email.com
APIGEE_ADMINPW=your_password    # If omitted, you are prompted for it.

# Edge Management Server information.
APIGEE_PORT_HTTP_MS=8080
MSIP=$IP1
MS_SCHEME=http

#
# Edge UI configuration.
#

# Enable the Edge UI.
EDGEUI_ENABLE_UNIFIED_UI=y
# Specify IP and port for the Edge UI.
# The management UI port must be open for requests to the Edge UI
MANAGEMENT_UI_PORT=3001
MANAGEMENT_UI_IP=$IP2
# Set to 'OPDK' to specify a Private Cloud deployment.
MANAGEMENT_UI_APP_ENV=OPDK
# Disable TLS on the Edge UI.
MANAGEMENT_UI_SCHEME=http

# Location of Edge UI.
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
MANAGEMENT_UI_SSO_REGISTERED_PUBLIC_URIS=$MANAGEMENT_UI_PUBLIC_URIS
MANAGEMENT_UI_SSO_CSRF_SECRET=YOUR_CSRF_SECRET
# Duration of CSRF token.
MANAGEMENT_UI_SSO_CSRF_EXPIRATION_HOURS=24
# Defaults to 8760 hours, or 365 days.
MANAGEMENT_UI_SSO_STRICT_TRANSPORT_SECURITY_AGE_HOURS=8760

## SSO configuration for the Edge UI.
MANAGEMENT_UI_SSO_ENABLED=y

# Only required if MANAGEMENT_UI_SSO_ENABLED is 'y'
MANAGEMENT_UI_SSO_CLIENT_OVERWRITE=y

MANAGEMENT_UI_SSO_CLIENT_ID=newueclient
MANAGEMENT_UI_SSO_CLIENT_SECRET=your_client_sso_secret

#
# Shoehorn UI configuration
#
# Set to http even if you enable TLS on the Edge UI.
SHOEHORN_SCHEME=http
SHOEHORN_IP=$MANAGEMENT_UI_IP
SHOEHORN_PORT=9000

#
# Edge Classic UI configuration.
# Some settings are for the Classic UI, but are still required to configure the Edge UI.
#

# These settings assume that Classic UI is installed on the Management Server.
CLASSIC_UI_IP=$MSIP
CLASSIC_UI_PORT=9000
CLASSIC_UI_SCHEME=http
EDGEUI_PUBLIC_URIS=$CLASSIC_UI_SCHEME://$CLASSIC_UI_IP:$CLASSIC_UI_PORT

# Information about publicly accessible URL for Classic UI.
EDGEUI_SSO_REGISTERED_PUBLIC_URIS=$EDGEUI_PUBLIC_URIS

# Enable SSO
EDGEUI_SSO_ENABLED=y

# The name of the OAuth client used to connect to apigee-sso.
# The default client name is 'edgeui'.
# Apigee recommends that you use the same settings as you used
# when enabling your IDP on the Classic UI.
EDGEUI_SSO_CLIENT_NAME=edgeui
# Oauth client password using uppercase, lowercase, number, and special chars.
EDGEUI_SSO_CLIENT_SECRET=ssoClient123
# If set, existing EDGEUI client will deleted and new one will be created.
EDGEUI_SSO_CLIENT_OVERWRITE=y

# Apigee SSO Component configuration
# Externally accessible IP or DNS of Edge SSO module.
SSO_PUBLIC_URL_HOSTNAME=$IP1
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on the Apigee SSO module.
# If Apigee SSO uses a self-signed cert, you must also set MANAGEMENT_UI_SKIP_VERIFY to "y".
SSO_PUBLIC_URL_SCHEME=http
# MANAGEMENT_UI_SKIP_VERIFY=y
# SSO admin credentials as set when you installed Apigee SSO module.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=your_sso_admin_secret

#
##      SSO Configuration (define external IDP)           #
#
# Use one of the following configuration blocks to        #
# define your IDP settings:                               #
#  - SAML configuration properties                        #
#  - LDAP Direct Binding configuration properties         #
#  - LDAP Indirect Binding configuration properties       #

INSERT_IDP_CONFIG_BLOCK_HERE (SAML, LDAP direct, or LDAP indirect)

## SMTP Configuration (required)
#
SKIP_SMTP=n       # Skip now and configure later by specifying "y".
SMTPHOST=smtp.gmail.com
SMTPUSER=your@email.com
SMTPPASSWORD=your_email_password
SMTPSSL=y
SMTPPORT=465      # If no SSL, use a different port, such as 25.
SMTPMAILFROM="My Company myco@company.com"

Cài đặt giao diện người dùng Edge

Sau khi tạo và sửa đổi tệp cấu hình, bạn có thể cài đặt giao diện người dùng Edge mới trên nút mới đó.

Cách cài đặt giao diện người dùng Edge:

1. Thêm một nút mới vào cụm của bạn.
2. Đăng nhập vào nút mới với tư cách quản trị viên.
3. Cài đặt phiên bản 4.51.00 của tiện ích apigee-setup trên nút, như mô tả trong phần Cài đặt tiện ích thiết lập apigee Edge.
4. Xoá tất cả thông tin đã lưu trong bộ nhớ đệm bằng Yum bằng cách thực thi lệnh sau:

   sudo yum clean all

5. Tạo tệp cấu hình như mô tả trong Tệp cấu hình Giao diện người dùng mới của Edge và đảm bảo tệp đó thuộc sở hữu của người dùng "api" (api):

   chown apigee:apigee configFile

   Hãy nhớ chỉnh sửa tệp cấu hình như sau:

   • Thay đổi giá trị của thuộc tính MANAGEMENT_UI_SSO_CSRF_SECRET trong tệp cấu hình thành mã thông báo bí mật CSRF.
   • Định cấu hình Edge để sử dụng một trong những cách sau (giao diện người dùng Edge mới yêu cầu một IDP bên ngoài):
     • SAML
     • LDAP

     Để biết thêm thông tin, hãy xem phần Tổng quan về xác thực IDP bên ngoài.

6. Định cấu hình IDP bên ngoài với những người dùng mà bạn muốn cấp quyền truy cập vào giao diện người dùng Edge. Để biết thêm thông tin, hãy xem phần Đăng ký người dùng Edge mới.
7. Trên nút mới, hãy thực thi lệnh sau:

   /opt/apigee/apigee-setup/bin/setup.sh -p ue -f configFile

   Tiện ích apigee-setup sẽ cài đặt Giao diện người dùng cổ điển. Ngoài Giao diện người dùng cổ điển, trình cài đặt sẽ cài đặt Giao diện người dùng Edge.

8. Đăng nhập vào giao diện người dùng Edge bằng cách mở URL sau trong trình duyệt:

   http://new_edge_UI_IP:3001

   Trong đó, new_edge_UI_IP là địa chỉ IP của nút lưu trữ giao diện người dùng Edge mới.

   Edge sẽ nhắc bạn nhập thông tin xác thực của IDP bên ngoài.

9. Nhập thông tin xác thực của bạn.

   Giao diện người dùng Edge mới sẽ xuất hiện. Để biết thông tin về cách sử dụng giao diện người dùng Edge, hãy xem bài viết Giao diện người dùng Edge mới cho đám mây riêng.

   Nếu giao diện người dùng Edge không hiển thị, hãy đảm bảo rằng cổng 3001 đang mở cho các kết nối bên ngoài.

Gỡ cài đặt giao diện người dùng mới

Để gỡ cài đặt giao diện người dùng mới khỏi nút của giao diện đó, bạn phải gỡ cài đặt cả giao diện người dùng Edge mới và giao diện người dùng Cổ điển cơ sở (shoehorn) đã được cài đặt trên nút trong quá trình cài đặt giao diện người dùng.

Cách gỡ cài đặt giao diện người dùng Edge mới:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui uninstall

Cách gỡ cài đặt giao diện người dùng cổ điển cơ bản (shoehorn):

/opt/apigee/apigee-service/bin/apigee-service edge-ui uninstall

Cách xoá tất cả thành phần Edge khỏi nút:

1. Dừng tất cả dịch vụ Edge đang chạy trên máy:

   /opt/apigee/apigee-service/bin/apigee-all stop

2. Xoá bộ nhớ đệm yum:

   sudo yum clean all

3. Xoá tất cả RPM Apigee:

   sudo rpm -e $(rpm -qa | egrep "(apigee-|edge-)")

4. Xoá thư mục gốc của bản cài đặt:

   sudo rm -rf /opt/apigee