Cho phép giao diện người dùng Edge truy cập vào các địa chỉ IP cục bộ

Có một số nơi mà giao diện người dùng Edge có thể tìm cách truy cập vào địa chỉ IP cục bộ. Các địa chỉ IP cục bộ có thể tương ứng với các tài nguyên riêng tư hoặc tài nguyên được bảo vệ không được phép tiếp xúc với người dùng bên ngoài:

  • Công cụ Theo dõi trong giao diện người dùng Edge có thể gửi và nhận yêu cầu API đến bất kỳ URL được chỉ định. Trong một số trường hợp triển khai mà các thành phần Edge được đồng lưu trữ với các thành phần khác dịch vụ nội bộ, người dùng có ý đồ xấu có thể sử dụng sai trái sức mạnh của Công cụ theo dõi bằng cách đưa ra các yêu cầu đối với địa chỉ IP riêng tư.
  • Khi tạo proxy API từ thông số kỹ thuật OpenAPI, thông số kỹ thuật mô tả như các phần tử của API làm đường dẫn cơ sở, đường dẫn và động từ, tiêu đề, v.v. Là một phần của thông số kỹ thuật, người dùng độc hại có thể chỉ định một đường dẫn cơ sở của proxy tham chiếu đến một IP riêng tư của bạn.
  • Khi tạo proxy API từ tệp WSDL nằm trên hệ thống tệp cục bộ.

Vì lý do bảo mật, theo mặc định, giao diện người dùng Edge không được tham chiếu đến IP riêng tư của bạn. Danh sách địa chỉ IP riêng tư bao gồm:

  • Địa chỉ Loopback (127.0.0.1 hoặc localhost)
  • Địa chỉ trang web-cục bộ (Đối với IPv4 - 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
  • Địa chỉ cục bộ bất kỳ (mọi địa chỉ phân giải thành localhost).

Nếu bạn muốn cho phép giao diện người dùng Edge truy cập địa chỉ IP riêng tư, hãy đặt các tuỳ chọn sau mã thông báo:

  • Đối với công cụ Theo dõi, conf_apigee-base_apigee.feature.enabletraceforinternaladdresses thuộc tính bị vô hiệu hoá theo mặc định. Đặt chính sách này thành true để cho phép Công cụ theo dõi truy cập vào IP riêng tư của bạn.
  • Đối với thông số kỹ thuật OpenAPI, conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses thuộc tính bị vô hiệu hoá theo mặc định. Hãy đặt giá trị này là true để cho phép truy cập OpenAPI vào địa chỉ IP riêng tư.
  • Đối với các tệp WSDL, conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses thuộc tính bị vô hiệu hoá theo mặc định. Đặt giá trị này thành true để cho phép tải tệp WSDL lên từ địa chỉ IP riêng tư.

Cách đặt các thuộc tính này thành true:

  1. Mở tệp ui.properties trong trình chỉnh sửa. Nếu tệp không tồn tại, hãy tạo tệp đó.
    vi /opt/apigee/customer/application/ui.properties
  2. Đặt các thuộc tính sau thành true:
    conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
  3. Lưu các thay đổi vào ui.properties.
  4. Đảm bảo rằng tệp thuộc tính thuộc sở hữu của "apigee" người dùng:
    chown apigee:apigee /opt/apigee/customer/application/ui.properties
  5. Khởi động lại giao diện người dùng Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Giờ đây, giao diện người dùng Edge có thể truy cập vào địa chỉ IP cục bộ.