Định cấu hình máy chủ ảo cho Đám mây

Bạn đang xem tài liệu về Apigee Edge.
Truy cập vào tài liệu Apigee X. Thông tin

Khách hàng Cloud có tài khoản trả phí có thể tạo một máy chủ ảo trong một tổ chức.

Đối tượng có thể tạo và sửa đổi máy chủ ảo trên Đám mây

Chỉ những tài khoản trả phí trong Edge Cloud mới có thể tạo và sửa đổi máy chủ ảo. Người dùng tạo máy chủ ảo phải có vai trò là quản trị viên tổ chức hoặc có vai trò tuỳ chỉnh có quyền sửa đổi máy chủ ảo. Người dùng có vai trò khác không có quyền tạo máy chủ lưu trữ ảo.

Ví dụ: khách hàng trả phí có thể:

  • Bật TLS một chiều và hai chiều
  • Chỉ định kho khoá/kho tin cậy mà máy chủ ảo sử dụng

Tài khoản miễn phí và tài khoản dùng thử không thể tạo hoặc sửa đổi máy chủ ảo và chỉ được phép sử dụng các máy chủ ảo được tạo cho họ tại thời điểm đăng ký Edge. Để biết thêm thông tin về các gói giá của Edge, hãy xem https://apigee.com/api-management/#/pricing.

Yêu cầu để định cấu hình máy chủ ảo cho Đám mây

Bảng sau đây tóm tắt các yêu cầu để tạo máy chủ ảo:

Danh mục Yêu cầu Nội dung mô tả
Loại tài khoản Đã thanh toán Tài khoản dùng thử và tài khoản miễn phí không thể tạo hoặc sửa đổi máy chủ ảo.
Vai trò của người dùng quản trị viên tổ chức Chỉ quản trị viên tổ chức mới có thể tạo máy chủ ảo hoặc người dùng có vai trò tuỳ chỉnh có quyền sửa đổi máy chủ ảo.
Số lượng máy chủ ảo Tối đa 20

Bạn chỉ có thể có tối đa 20 máy chủ ảo cho mỗi tổ chức/môi trường trên Đám mây.

Lưu ý: Không có giới hạn về số lượng máy chủ ảo trong Đám mây riêng.

Hầu hết các tổ chức/môi trường đều sử dụng 2 máy chủ ảo: một cho HTTP và một cho quyền truy cập HTTPS. Bạn có thể cần thêm máy chủ ảo nếu tổ chức/môi trường của bạn cho phép truy cập bằng nhiều tên miền.
URL cơ sở Bao gồm giao thức Khi xác định URL cơ sở cho máy chủ ảo, cho dù trong giao diện người dùng hay bằng API, bạn phải chỉ định giao thức (tức là "http://" hoặc "https://") trong URL.
Cổng 443

Bạn chỉ có thể tạo một máy chủ ảo trên cổng 443.

Xin lưu ý rằng bạn có thể tạo nhiều máy chủ ảo trên cổng 443 miễn là chúng có các bí danh máy chủ riêng biệt và tất cả đều hỗ trợ TLS.
TLS Bắt buộc

Bạn chỉ có thể tạo một máy chủ ảo hỗ trợ TLS qua HTTPS. Bạn phải tạo một kho khoá (và có thể là một kho tin cậy) chứa chứng chỉ và khoá TLS của bạn.

Bạn phải có chứng chỉ do một thực thể đáng tin cậy ký, chẳng hạn như Symantec hoặc VeriSign. Bạn không thể sử dụng chứng chỉ tự ký.

Nếu bạn cần quyền truy cập HTTP, hãy liên hệ với Nhóm hỗ trợ Apigee Edge.
Giao thức TLS TLS 1.2

Edge in the Cloud chỉ hỗ trợ TLS phiên bản 1.2.
Bí danh máy chủ lưu trữ Riêng biệt trong tổ chức và môi trường Không có bí danh máy chủ lưu trữ nào cho một tổ hợp tổ chức/môi trường khác.
Tên miền Do khách hàng sở hữu

Bạn phải sở hữu tên miền được chỉ định trong máy chủ lưu trữ ảo. Các chế độ kiểm tra cạnh để đảm bảo rằng tên miền, như được xác định bởi bí danh máy chủ lưu trữ, khớp với siêu dữ liệu trong chứng chỉ TLS.

Cụ thể, Edge sẽ kiểm tra những thông tin sau trong chứng chỉ:

  • CN – Tên phổ biến
  • SAN – Tên thay thế của chủ đề

Bạn có thể dùng ký tự đại diện trong SAN hoặc CN, ví dụ: *.myco.net.

Edge cũng xác thực rằng chứng chỉ chưa hết hạn.
Hỗ trợ SNI cho ứng dụng khách Tất cả ứng dụng khách truy cập vào máy chủ ảo đều phải hỗ trợ SNI.

Tất cả ứng dụng đều phải hỗ trợ SNI.

Tạo máy chủ ảo bằng trình duyệt

Hầu hết các ví dụ trong phần này đều sử dụng Edge API để tạo hoặc sửa đổi máy chủ ảo, nhưng bạn có thể tạo máy chủ ảo trong giao diện người dùng Edge.

Cách tạo máy chủ ảo bằng giao diện người dùng Edge:

  1. Đăng nhập vào apigee.com/edge.
  2. Chọn Admin > Virtual Hosts (Quản trị > Máy chủ ảo).
  3. Chọn môi trường, chẳng hạn như prod hoặc test.
  4. Chọn + Virtual Host (Máy chủ ảo) để tạo một máy chủ ảo hoặc chọn tên của một máy chủ ảo hiện có để chỉnh sửa.
  5. Hãy xem bảng trên để biết thông tin chi tiết về cách điền các trường máy chủ lưu trữ ảo.

Xác định máy chủ ảo cho TLS một chiều

Một đối tượng XML xác định máy chủ ảo. Ví dụ: đối tượng XML sau đây xác định một máy chủ ảo cho TLS một chiều:

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>api.myCompany.com</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
        <KeyStore>ref://myTestKeystoreRef</KeyStore>
        <KeyAlias>myKeyAlias</KeyAlias>
    </SSLInfo>
</VirtualHost>

Trong định nghĩa này, bạn:

  • Chỉ định namemyTLSVHost. Sử dụng tên này để tham chiếu máy chủ ảo trong một proxy API hoặc trong một lệnh gọi API.
  • Chỉ định bí danh máy chủapi.myCompany.com. Đây là miền công khai được dùng để truy cập vào các API của bạn theo định nghĩa DNS và bản ghi CNAME.
  • Chỉ định số cổng443. Nếu bạn bỏ qua, theo mặc định, cổng sẽ được đặt thành 443.
  • Bật TLS nếu cần.

    Phần tử <Enable> được đặt thành true để bật TLS một chiều, còn phần tử <KeyStore> chỉ định kho khoá và bí danh khoá mà kết nối TLS sử dụng.

    Để bật TLS hai chiều, hãy đặt <ClientAuthEnabled> thành true và chỉ định một truststore bằng cách sử dụng phần tử <TrustStore>. Truststore lưu trữ tổ chức phát hành chứng chỉ của ứng dụng và chuỗi CA của chứng chỉ (bắt buộc).

    Lưu ý: Vì Edge ban đầu hỗ trợ SSL, nên thẻ mà bạn dùng để định cấu hình TLS có tên là <SSLInfo>.

Xin lưu ý rằng bạn có thể thiết lập các thuộc tính khác trong máy chủ lưu trữ ảo. Để biết thông tin tham khảo về tất cả các thuộc tính, hãy xem Thông tin tham khảo về thuộc tính máy chủ ảo.

Quyết định cách chỉ định tên keystore và truststore trong máy chủ ảo

Khi định cấu hình một máy chủ ảo để hỗ trợ TLS, bạn chỉ định một kho khoá bằng cách sử dụng một tham chiếu. Tham chiếu là một biến chứa tên của kho khoá hoặc kho tin cậy, thay vì chỉ định trực tiếp tên kho khoá hoặc kho tin cậy, như minh hoạ dưới đây:

    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
        <KeyStore>ref://myTestKeystoreRef</KeyStore>
        <KeyAlias>myKeyAlias</KeyAlias>
    </SSLInfo>

Lợi ích của việc sử dụng một tham chiếu là bạn có thể thay đổi giá trị của tham chiếu để thay đổi kho khoá mà máy chủ ảo sử dụng, thường là do chứng chỉ trong kho khoá hiện tại sắp hết hạn. Bạn không cần phải khởi động lại Bộ định tuyến biên khi thay đổi giá trị của tham chiếu. Hãy xem phần Làm việc với các phần tham khảo để biết thêm thông tin về cách tạo và sửa đổi các phần tham khảo.

Bạn chỉ có thể sử dụng thông tin tham chiếu đến kho khoá và kho tin cậy; bạn không thể sử dụng thông tin tham chiếu đến bí danh. Khi bạn thay đổi thông tin tham chiếu đến một kho khoá, hãy đảm bảo rằng tên bí danh của chứng chỉ giống như trong kho khoá cũ.

Các hạn chế khi sử dụng các tham chiếu đến kho khoá và kho tin cậy

Bạn phải lưu ý đến hạn chế sau đây khi sử dụng các tham chiếu đến kho khoá và kho tin cậy:

  • Bạn chỉ có thể sử dụng các tham chiếu kho khoá và kho tin cậy trong máy chủ ảo nếu hỗ trợ SNI và bạn chấm dứt SSL trên Bộ định tuyến Apigee.
  • Nếu có một trình cân bằng tải trước các Bộ định tuyến Apigee và bạn chấm dứt TLS trên trình cân bằng tải, thì bạn không thể sử dụng các tham chiếu kho khoá và kho lưu trữ đáng tin cậy trong máy chủ ảo.

Xác định máy chủ ảo cho TLS hai chiều

Để bật TLS hai chiều, hãy đặt phần tử <ClientAuthEnabled> thành true và chỉ định một truststore bằng cách sử dụng một reference với phần tử <TrustStore>. Truststore lưu trữ tổ chức phát hành chứng chỉ của ứng dụng và chuỗi CA của chứng chỉ (bắt buộc). Máy khách cũng phải được định cấu hình chính xác cho TLS hai chiều.

Để tạo một máy chủ ảo cho TLS hai chiều, hãy tạo một đối tượng XML xác định máy chủ ảo:

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>api.myCompany.com</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>true</ClientAuthEnabled>
        <KeyStore>ref://myTestKeystoreRef</KeyStore>
        <KeyAlias>myKeyAlias</KeyAlias>
        <TrustStore>ref://myTestTruststoreRef</TrustStore>
    </SSLInfo>
</VirtualHost>

Trong định nghĩa này, bạn:

  • Bật TLS hai chiều bằng cách đặt <ClientAuthEnabled> thành true.
  • Chỉ định thông tin tham chiếu đến truststore bằng phần tử <TrustStore>. Truststore lưu trữ tổ chức phát hành chứng chỉ của ứng dụng và chuỗi CA của chứng chỉ (bắt buộc).

Xác định một máy chủ ảo sử dụng chứng chỉ và khoá dùng thử miễn phí của Apigee

Nếu có tài khoản Edge for Cloud trả phí và chưa có khoá và chứng chỉ TLS, bạn có thể tạo một máy chủ ảo sử dụng khoá và chứng chỉ dùng thử miễn phí của Apigee. Điều đó có nghĩa là bạn có thể tạo máy chủ ảo mà không cần tạo kho khoá trước.

Chứng chỉ dùng thử miễn phí của Apigee được xác định cho miền *.apigee.net. Do đó, <HostAlias> của máy chủ ảo cũng phải có dạng *.apigee.net.

Nếu đang thực hiện TLS hai chiều, bạn vẫn phải đặt phần tử <ClientAuthEnabled> thành true và chỉ định một truststore bằng cách sử dụng reference với phần tử <TrustStore> như mô tả ở trên trong phần Xác định máy chủ lưu trữ ảo cho TLS hai chiều.

Một đối tượng XML xác định máy chủ lưu trữ ảo bằng cách sử dụng chứng chỉ và khoá dùng thử miễn phí của Apigee sẽ bỏ qua các phần tử <KeyStore><KeyAlias>, đồng thời thay thế chúng bằng phần tử <UseBuiltInFreeTrialCert>, như minh hoạ dưới đây:

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>myapi.apigee.net</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
    </SSLInfo>
    <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>

Giá trị mặc định của phần tử <UseBuiltInFreeTrialCert> là false.

Đối với TLS hai chiều, hãy xác định máy chủ ảo như sau:

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>myapi.apigee.net</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>true</ClientAuthEnabled>
        <TrustStore>ref://myTestTruststoreRef</TrustStore>
    </SSLInfo>
    <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>

Trong giao diện người dùng Edge, hãy chọn mục Sử dụng chứng chỉ dùng thử miễn phí tích hợp sẵn khi tạo máy chủ ảo để sử dụng khoá và chứng chỉ Apigee miễn phí:

Chọn Sử dụng chứng chỉ dùng thử miễn phí tích hợp

Tạo máy chủ ảo

Hãy làm theo quy trình sau để tạo máy chủ ảo:

  1. Tạo một mục DNS và bản ghi CNAME cho miền công khai của bạn, api.myCompany.com trong ví dụ này, trỏ đến [org]-[environment].apigee.net.
  2. Tạo và định cấu hình một kho khoá có tên là myTestKeystore trong ví dụ này bằng cách sử dụng quy trình được mô tả tại đây: Tạo kho khoá và kho khoá tin cậy bằng giao diện người dùng Edge. Trong ví dụ này, hãy đảm bảo rằng kho khoá sử dụng tên bí danh là myKeyAlias cho chứng chỉ và khoá riêng tư.
  3. Tải chứng chỉ và khoá lên kho khoá. Đảm bảo rằng tên miền do chứng chỉ của bạn chỉ định khớp với bí danh máy chủ lưu trữ mà bạn muốn dùng cho máy chủ lưu trữ ảo.

  4. Tạo một tham chiếu đến kho khoá bằng cách sử dụng giao diện người dùng hoặc API Edge. Thông tin tham chiếu chỉ định tên của kho khoá và loại thông tin tham chiếu là KeyStore. Hãy xem phần Làm việc với các phần tham chiếu để biết thêm thông tin về cách tạo và sửa đổi các phần tham chiếu.

  5. Tạo máy chủ ảo bằng cách sử dụng API Tạo máy chủ ảo. Đảm bảo bạn chỉ định đúng thông tin tham chiếu kho khoá và bí danh khoá. Để sử dụng API, hãy dùng lệnh gọi API POST sau đây để tạo kho khoá có tên myTLSVHost: 
    curl -X POST -H "Content-Type:application/xml" \
  https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts \
  -d '<VirtualHost name="myTLSVHost">
    <HostAliases>
      <HostAlias>api.myCompany.com</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
      <Enabled>true</Enabled>
      <ClientAuthEnabled>false</ClientAuthEnabled>
      <KeyStore>ref://myTestKeystoreRef</KeyStore>
      <KeyAlias>myKeyAlias</KeyAlias>
    </SSLInfo>
  </VirtualHost>' \
  -u orgAdminEmail:password

    Nếu bạn đang thực hiện TLS hai chiều với ứng dụng, hãy đặt <ClientAuthEnabled> thành true và chỉ định truststore bằng phần tử <TrustStore>. Bạn phải định cấu hình máy khách đúng cách cho TLS hai chiều, tức là Edge có một truststore chứa chuỗi chứng chỉ và tổ chức phát hành chứng chỉ của máy khách. Tạo truststore bằng cách sử dụng quy trình được mô tả tại đây: Tạo kho khoá và truststore bằng giao diện người dùng Edge.

  6. Nếu bạn có bất kỳ proxy API hiện có nào, hãy thêm máy chủ ảo vào phần tử <HTTPConnection> trong ProxyEndpoint. Máy chủ ảo sẽ tự động được thêm vào tất cả các proxy API mới. Xem phần Định cấu hình một proxy API để sử dụng máy chủ lưu trữ ảo.

Sau khi cập nhật một proxy API để sử dụng máy chủ ảo, đồng thời tạo mục DNS và bản ghi CNAME cho bí danh máy chủ, bạn có thể truy cập vào proxy API như minh hoạ bên dưới:

https://api.myCompany.com/v1/{project-base-path}/{resource-path}

Ví dụ:

https://api.myCompany.com/v1/weather/forecastrss?w=12797282

Sửa đổi máy chủ ảo

Khách hàng Cloud trả phí thực hiện 2 tác vụ chính để sửa đổi máy chủ ảo hiện có:

  1. Sửa đổi giá trị của một tham chiếu đến kho khoá hoặc kho tin cậy.

    Lưu ý: Sau khi đặt <KeyStore> hoặc <TrustStore> để sử dụng một giá trị tham chiếu, bạn có thể thay đổi giá trị của giá trị tham chiếu đó bất cứ lúc nào. Tuy nhiên, nếu muốn thay đổi <KeyStore> hoặc <TrustStore> để sử dụng một thông tin tham chiếu khác, hoặc thay đổi <KeyAlias> để sử dụng một bí danh khác, bạn phải liên hệ với Nhóm hỗ trợ Apigee Edge.
  2. Sửa đổi các thuộc tính TLS của máy chủ ảo.

Sửa đổi giá trị của một tham chiếu

Bạn có thể sửa đổi giá trị của một tham chiếu để thay đổi kho khoá hoặc kho tin cậy mà máy chủ ảo sử dụng.

Trước khi bạn sửa đổi giá trị của thông tin tham khảo:

  1. Tạo một kho khoá mới và tải chứng chỉ cũng như khoá lên như mô tả trong phần Tạo kho khoá và kho khoá tin cậy bằng giao diện người dùng Edge. Trong kho khoá mới, hãy đảm bảo rằng bạn sử dụng cùng một tên cho bí danh khoá như tên đã dùng trong kho khoá hiện có.
  2. Nếu cần, hãy tạo một truststore mới và tải một chứng chỉ lên như mô tả trong phần Tạo kho khoá và truststore bằng giao diện người dùng Edge.
  3. Sửa đổi thông tin tham chiếu như mô tả trong phần Làm việc với thông tin tham chiếu.

Sửa đổi các thuộc tính TLS của máy chủ lưu trữ ảo

Khách hàng trả phí có thể sử dụng API Cập nhật máy chủ lưu trữ ảo để cập nhật máy chủ lưu trữ ảo. API này cho phép bạn đặt tất cả các thuộc tính cho máy chủ ảo được mô tả tại Tài liệu tham khảo về thuộc tính máy chủ ảo.

Khi bạn sửa đổi máy chủ ảo, Edge sẽ thực hiện một quy trình xác thực tương tự như khi bạn tạo một máy chủ ảo. Tức là khi bạn sửa đổi, Edge sẽ xác thực rằng:

  • Miền do bí danh máy chủ lưu trữ chỉ định không được dùng trong một tổ chức và môi trường khác.
  • Bạn sở hữu tên miền. Cụ thể, Edge sẽ kiểm tra để đảm bảo thông tin sau trong chứng chỉ khớp với bí danh máy chủ lưu trữ:
    • CN – Tên phổ biến
    • SAN – Tên thay thế của chủ đề
    • Edge xác thực rằng chứng chỉ chưa hết hạn.

Để sửa đổi một máy chủ lưu trữ ảo bằng Edge API, hãy thực hiện như sau:

  1. Cập nhật máy chủ ảo bằng cách sử dụng API Cập nhật máy chủ ảo. Khi sử dụng API này, bạn phải chỉ định định nghĩa đầy đủ về máy chủ ảo trong phần nội dung yêu cầu, chứ không chỉ các phần tử mà bạn muốn thay đổi. Trong ví dụ này, bạn đặt giá trị của thuộc tính proxy_read_timeout:

    curl -X PUT -H "Content-Type:application/xml" \
  https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts/{vhost_name} \
  -d '<VirtualHost name="myTLSVHost">
    <HostAliases>
      <HostAlias>api.myCompany.com</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
      <Enabled>true</Enabled>
      <ClientAuthEnabled>false</ClientAuthEnabled>
      <KeyStore>ref://myTestKeystoreRef</KeyStore>
      <KeyAlias>myKeyAlias</KeyAlias>
    </SSLInfo>
    <Properties>
       <Property name="proxy_read_timeout">50</Property>
         </Properties>
  </VirtualHost>' \
  -u orgAdminEmail:password

Sửa đổi máy chủ lưu trữ ảo để sử dụng các tham chiếu đến kho khoá và kho tin cậy

Tất cả máy chủ lưu trữ ảo mới cho Edge trong Đám mây đều sử dụng thông tin tham chiếu đến kho khoá và kho tin cậy. Các tham chiếu cho phép bạn thay đổi kho khoá và kho tin cậy mà không cần liên hệ với Nhóm hỗ trợ Apigee Edge.

Các máy chủ ảo cũ trên Apigee Edge có thể không được định cấu hình để sử dụng các tham chiếu cho kho khoá và kho tin cậy. Trong trường hợp này, bạn có thể cập nhật máy chủ ảo để sử dụng một tham chiếu.

Cập nhật máy chủ ảo để sử dụng một tham chiếu

Hãy làm theo quy trình sau để cập nhật máy chủ ảo:

  1. Nếu cần, hãy tạo một kho khoá mới và tải một chứng chỉ lên như mô tả trong phần Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge. Nếu đã có một kho khoá, bạn có thể định cấu hình một tham chiếu để trỏ đến kho khoá đó.
  2. Tạo một tệp tham chiếu mới cho kho khoá.
  3. Nếu cần, hãy tạo một kho lưu trữ đáng tin cậy mới và tải một chứng chỉ lên. Nếu đã có một truststore, bạn có thể định cấu hình một tham chiếu để trỏ đến truststore đó.
  4. Tạo một tài liệu tham khảo mới cho kho lưu trữ đáng tin cậy.
  5. Cập nhật máy chủ ảo để đặt kho khoá, bí danh, kho tin cậy và mọi thuộc tính TLS khác. Tải trọng cho lệnh gọi là: 
    curl -X PUT -H "Content-Type:application/xml" \
  https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts/{vhost_name} \
  -d '<VirtualHost  name="myTLSVHost">
        <HostAliases>
          <HostAlias>api.myCompany.com</HostAlias>
        </HostAliases>
        <Port>443</Port>
        <OCSPStapling>off</OCSPStapling>
        <SSLInfo>
          <Enabled>true</Enabled>
          <ClientAuthEnabled>true</ClientAuthEnabled>
          <KeyStore>ref://myKeyStore2Way</KeyStore>
          <KeyAlias>keyAlias</KeyAlias>
          <TrustStore>ref://myTrustStore2Way</TrustStore>
          <IgnoreValidationErrors>false</IgnoreValidationErrors>
        </SSLInfo>
      </VirtualHost>' \
    -u orgAdminEmail:pWord
  6. Hãy liên hệ với Nhóm hỗ trợ Apigee để khởi động lại Bộ định tuyến Edge nhằm hoàn tất quy trình.