기본적으로 Edge UI 노드의 IP 주소 또는 DNS 이름과 포트 3001을 사용하여 HTTP를 통해 새 Edge UI에 액세스합니다. 예를 들면 다음과 같습니다.
http://newue_IP:3001
또는 다음 형식으로 액세스할 수 있도록 Edge UI에 대한 TLS 액세스를 구성할 수 있습니다.
https://newue_IP:3001
TLS 요구사항
Edge UI는 TLS v1.2만 지원합니다. Edge UI에 TLS를 사용 설정하면 사용자는 TLS v1.2와 호환되는 브라우저를 사용하여 Edge UI에 연결해야 합니다.
TLS 구성 속성
다음 명령어를 실행하여 Edge UI의 TLS를 구성합니다.
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
여기서 configFile은 Edge UI를 설치하는 데 사용한 구성 파일입니다.
이 명령어를 실행하기 전에 구성 파일을 수정하여 TLS를 제어하는 데 필요한 속성을 설정해야 합니다. 다음 표에서는 Edge UI에 TLS를 구성하는 데 사용하는 속성을 설명합니다.
속성 | 설명 | 필수 여부 |
---|---|---|
MANAGEMENT_UI_SCHEME
|
Edge UI에 액세스하는 데 사용되는 프로토콜 'http' 또는 'https'를 설정합니다. 기본값은 'http'입니다. 다음과 같이 'https'로 설정하여 TLS를 사용 설정합니다. MANAGEMENT_UI_SCHEME=https |
지원됨 |
MANAGEMENT_UI_TLS_OFFLOAD
|
'n'이면 Edge UI에 대한 TLS 요청이 Edge UI에서 종료되도록 지정합니다. 'y'인 경우 Edge UI에 대한 TLS 요청이 부하 분산기에서 종료되고 부하 분산기가 HTTP를 사용하여 요청을 Edge UI로 전달하도록 지정합니다. 부하 분산기에서 TLS를 종료해도 Edge UI에서는 원래 요청이 TLS를 통해 수신되었음을 인식해야 합니다. 예를 들어 일부 쿠키에는 보안 플래그가 설정되어 있습니다.
MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y |
지원됨 |
MANAGEMENT_UI_TLS_KEY_FILE
|
MANAGEMENT_UI_TLS_OFFLOAD=n 인 경우 TLS 키 및 인증서 파일의 절대 경로를 지정합니다. 파일은 암호가 없는 PEM 파일 형식이어야 하며 'apigee' 사용자가 소유해야 합니다.
이러한 파일의 권장 위치는 다음과 같습니다.
/opt/apigee/customer/application/edge-management-ui 이 디렉터리가 없으면 새로 만듭니다.
|
예(MANAGEMENT_UI_TLS_OFFLOAD=n 인 경우)
|
MANAGEMENT_UI_PUBLIC_URIS
|
구성 파일의 다른 속성을 기반으로 이 속성을 설정합니다. 예를 들면 다음과 같습니다. MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT 각 항목의 의미는 다음과 같습니다.
이러한 속성에 대한 자세한 내용은 새 Edge UI 설치를 참고하세요.
|
지원됨 |
MANAGEMENT_UI_TLS_ALLOWED_CIPHERS
|
사용 가능한 TLS 암호화 목록을 쉼표 또는 공백으로 구분된 문자열로 정의합니다. 쉼표로 구분된 문자열: MANAGEMENT_UI_TLS_ALLOWED_CIPHERS=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 공백으로 구분된 문자열(큰따옴표로 묶음):
MANAGEMENT_UI_TLS_ALLOWED_CIPHERS="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" |
|
SHOEHORN_SCHEME
|
새 Edge UI를 설치하기 전에 먼저 shoehor이라는 기본 Edge UI를 설치합니다. 설치 구성 파일은 다음 속성을 사용하여 기본 Edge UI에 액세스하는 데 사용되는 'http' 프로토콜을 지정합니다. SHOEHORN_SCHEME=http 기본 Edge UI는 TLS를 지원하지 않으므로 Edge UI에서 TLS를 사용 설정해도 이 속성은 여전히 'http'로 설정되어야 합니다. |
예, 'http'로 설정합니다. |
TLS 구성
Edge UI에 TLS 액세스를 구성하려면 다음 안내를 따르세요.
TLS 인증서 및 키를 암호가 없는 PEM 파일로 생성합니다. 예를 들면 다음과 같습니다.
mykey.pem mycert.pem
TLS 인증서와 키를 생성하는 방법에는 여러 가지가 있습니다. 예를 들어 다음 명령어를 실행하여 서명되지 않은 인증서와 키를 생성할 수 있습니다.
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
- 키와 인증서 파일을
/opt/apigee/customer/application/edge-management-ui
디렉터리에 복사합니다. 이 디렉터리가 없으면 새로 만듭니다. 인증서와 키를 'apigee' 사용자가 소유해야 합니다.
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
Edge UI를 설치하는 데 사용한 구성 파일을 수정하여 다음 TLS 속성을 설정합니다.
# Set to https to enable TLS. MANAGEMENT_UI_SCHEME=https # Do NOT terminate TLS on a load balancer. MANAGEMENT_UI_TLS_OFFLOAD=n # Specify the key and cert. MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem # Leave these properties set to the same values as when you installed the Edge UI: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
다음 명령어를 실행하여 TLS를 구성합니다.
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
여기서 configFile은 구성 파일의 이름입니다.
스크립트가 Edge UI를 다시 시작합니다.
다음 명령어를 실행하여 슈혼을 설정하고 다시 시작합니다.
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
다시 시작한 후 Edge UI는 HTTPS를 통한 액세스를 지원합니다. TLS를 사용 설정한 후 Edge UI에 로그인할 수 없으면 브라우저 캐시를 지우고 다시 로그인해 보세요.
부하 분산기에서 TLS가 종료될 때 에지 UI 구성
요청을 Edge UI로 전달하는 부하 분산기가 있는 경우, 부하 분산기에서 TLS 연결을 종료한 후 부하 분산기가 HTTP를 통해 Edge UI로 요청을 전달하도록 선택할 수 있습니다.
이 구성은 지원되지만 이에 따라 부하 분산기와 Edge UI를 구성해야 합니다.
부하 분산기에서 TLS가 종료될 때 Edge UI를 구성하려면 다음 안내를 따르세요.
Edge UI를 설치하는 데 사용한 구성 파일을 수정하여 다음 TLS 속성을 설정합니다.
# Set to https to enable TLS MANAGEMENT_UI_SCHEME=https # Terminate TLS on a load balancer MANAGEMENT_UI_TLS_OFFLOAD=y # Set to the IP address or DNS name of the load balancer. MANAGEMENT_UI_IP=LB_IP_DNS # Set to the port number for the load balancer and Edge UI. # The load balancer and the Edge UI must use the same port number. MANAGEMENT_UI_IP=3001 # Leave these properties set to the same values as when you installed the Edge UI: MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT SHOEHORN_SCHEME=http
MANAGEMENT_UI_TLS_OFFLOAD=y
를 설정하면MANAGEMENT_UI_TLS_KEY_FILE
및MANAGEMENT_UI_TLS_CERT_FILE.
를 생략합니다. Edge UI에 대한 요청이 HTTP를 통해 들어오기 때문에 무시됩니다.다음 명령어를 실행하여 TLS를 구성합니다.
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
여기서 configFile은 구성 파일의 이름입니다.
스크립트가 Edge UI를 다시 시작합니다.
다음 명령어를 실행하여 슈혼을 설정하고 다시 시작합니다.
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
다시 시작한 후 Edge UI는 HTTPS를 통한 액세스를 지원합니다. TLS를 사용 설정한 후 Edge UI에 로그인할 수 없으면 브라우저 캐시를 지우고 다시 로그인해 보세요.
Edge UI에서 TLS 사용 중지
Edge UI에서 TLS를 사용 중지하려면 다음 안내를 따르세요.
Edge UI를 설치하는 데 사용한 구성 파일을 수정하여 다음 TLS 속성을 설정합니다.
# Set to http to disable TLS. MANAGEMENT_UI_SCHEME=http # Only if you had terminated TLS on a load balancer, # reset to the IP address or DNS name of the Edge UI. MANAGEMENT_UI_IP=newue_IP_DNS
다음 명령어를 실행하여 TLS를 사용 중지합니다.
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
여기서 configFile은 구성 파일의 이름입니다.
스크립트가 Edge UI를 다시 시작합니다.
다음 명령어를 실행하여 슈혼을 설정하고 다시 시작합니다.
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
이제 HTTP를 통해 Edge UI에 액세스할 수 있습니다. TLS를 사용 중지한 후 Edge UI에 로그인할 수 없으면 브라우저 캐시를 지우고 다시 로그인해 보세요.