查看 Apigee Edge 說明文件。
前往
Apigee X說明文件。 資訊
Cloud 客戶使用付費帳戶,即可在機構中建立虛擬主機。
瞭解詳情:
誰可以建立及修改虛擬專案 Cloud 中的主機
只有 Edge Cloud 中的付費帳戶能建立及修改虛擬主機。 建立虛擬主機的使用者必須是機構管理員角色,或 具備修改虛擬主機權限的自訂角色。其他角色的使用者沒有 具備建立虛擬主機的授權。
舉例來說,付費客戶可以:
- 啟用單向與雙向 TLS
- 指定虛擬主機使用的 KeyStore/truststore
免費試用和試用帳戶無法建立或修改虛擬主機,且僅適用於虛擬主機 系統會在邊緣註冊時為他們建立專屬帳戶如要進一步瞭解 Edge 定價方案,請參閱 https://apigee.com/api-management/#/pricing.
為 Cloud 設定虛擬主機的需求條件
下表摘要說明建立虛擬主機的需求條件:
類別 | 規定 | 說明 |
---|---|---|
帳戶類型 | 付費 | 免費試用和試用帳戶無法建立或修改虛擬主機。 |
使用者角色 | 機構管理員 | 只有機構管理員可以建立虛擬主機,或具備具備 具備修改虛擬主機的權限。 |
虛擬主機數量 | 最多 20 個 |
每個專案最多只能有 20 個虛擬主機 機構/環境 注意:私人的虛擬主機數量沒有上限 Cloud 上精進自己的技能。 大部分的機構/環境使用兩個虛擬主機,分別用於 HTTP 和 HTTPS 資源存取權如果貴機構/環境允許,可能需要其他虛擬主機 使用不同的網域名稱存取存取權 |
基準網址 | 包含通訊協定 | 透過 UI 或 API 定義虛擬主機的基準網址時, 必須在網址中指定通訊協定 (例如「http://」或「https://」)。 |
通訊埠 | 443 |
您只能透過通訊埠 443 建立虛擬主機。 請注意,只要這些主機具有 不重複的主機別名,以及所有支援 TLS。 |
TLS | 必填 |
您只能建立透過 HTTPS 支援 TLS 的虛擬主機。您必須已經 會建立一個 KeyStore (也可選擇建立信任存放區),當中包含您的傳輸層安全標準 (TLS) 憑證和金鑰。 您必須擁有由可信實體 (例如 Symantec 或 VeriSign) 簽署的憑證。 您無法使用自行簽署的憑證。 如需 HTTP 存取權,請與 Apigee Edge 支援團隊聯絡。 |
傳輸層安全標準 (TLS) 通訊協定 | TLS 1.2 |
Cloud 中的 Edge 僅支援 TLS 1.2 版。 |
主機別名 | 僅限機構與環境中的獨特機構 | 其他機構/環境組合沒有主機別名。 |
網域名稱 | 客戶擁有 |
您必須擁有虛擬主機中指定的網域名稱。邊緣檢查 主機名稱 (由主機別名定義) 與 TLS 中繼資料相符 憑證 具體而言,Edge 會檢查憑證中的下列資訊:
SAN 或 CN 可使用萬用字元,例如 Edge 也會驗證憑證是否尚未過期。 |
用戶端應用程式 SNI 支援 | 所有存取虛擬主機的用戶端應用程式都必須支援 SNI。 |
所有應用程式都必須支援 SNI。 |
使用瀏覽器建立虛擬主機
本節的大多數範例都使用 Edge API 建立或修改虛擬主機,但 也可以在 Edge UI 中建立虛擬主機
如何透過 Edge UI 建立虛擬主機:
- 登入 apigee.com/edge。
- 依序選取「管理員」>虛擬主機。
- 選取環境,例如「prod」或「test」。
- 選取「+ 虛擬主機」來建立虛擬主機,或是選取 編輯現有虛擬主機。
- 如要進一步瞭解如何填入虛擬主機欄位,請參閱上表。
定義單向 TLS 的虛擬主機
定義虛擬主機的 XML 物件,舉例來說,下列 XML 物件會定義 單向 TLS 的虛擬主機:
<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>api.myCompany.com</HostAlias> </HostAliases> <Port>443</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>false</ClientAuthEnabled> <KeyStore>ref://myTestKeystoreRef</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> </SSLInfo> </VirtualHost>
在這個定義中,您:
- 將「名稱」指定為 myTLSVHost。使用名稱做為參照 API Proxy 或 API 呼叫中的虛擬主機。
- 將「主機別名」設為 api.myCompany.com。這是 用來存取您 API 的公開網域 (由 DNS 定義和 CNAME 定義) 。
- 將 port 號碼指定為 443。如果省略此值,系統會依預設 通訊埠設為 443
- 視需要啟用 TLS。
<Enable>
元素 設為 true 以啟用單向 TLS,而<KeyStore>
元素會指定 傳輸層安全標準 (TLS) 連線使用的 KeyStore 和金鑰別名。
如要啟用雙向 TLS,請將<ClientAuthEnabled>
設為 true,並 請使用<TrustStore>
元素指定信任儲存庫。信任儲存庫 保存用戶端憑證核發者和憑證的 CA 鏈結 (這是必要的)。
注意:由於 Edge 原先支援 SSL,因此您用來設定的標記 TLS 名稱為<SSLInfo>
,
請注意,您可以在虛擬主機中設定其他屬性。換 所有屬性的參考資料,請參閱虛擬主機屬性參考資料。
決定如何在虛擬主機中指定 KeyStore 和信任儲存庫名稱
將虛擬主機設為支援 TLS 時,您必須使用 reference:參照是包含 KeyStore 名稱或 而不要直接指定 KeyStore 或信任儲存庫名稱,如下所示:
<SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>false</ClientAuthEnabled> <KeyStore>ref://myTestKeystoreRef</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> </SSLInfo>
使用參照的好處是,您可以變更參考檔案的值來變更 因為目前 KeyStore 中的憑證 有幾項要求如要變更參照的值,則不必重新啟動。 以及邊緣路由器如需相關資訊,請參閱使用參考資料一文 ,進一步瞭解如何建立及修改參照。
您只能使用 KeyStore 和信任儲存庫的參照。您無法在 別名。變更 KeyStore 的參照時,請確認憑證的別名名稱是 與舊的 KeyStore 一樣
使用 KeyStore 和信任儲存庫的參照限制
使用 KeyStore 和 信任儲存庫:
- 只有在支援 SNI 和 您將在 Apigee 路由器上終止 SSL
- 如果在 Apigee 路由器的前方設有負載平衡器,且您在 就無法在虛擬主機中使用 KeyStore 和信任儲存庫參照。
定義雙向傳輸層安全標準 (TLS) 的虛擬主機
如要啟用雙向 TLS,請將 <ClientAuthEnabled>
元素設為
true
,然後將
藉由搭配 <TrustStore>
元素的參照使用。信任儲存庫
保存用戶端憑證核發者和憑證的 CA 鏈結 (這是必要的)。此外,用戶端也必須
已正確設定雙向 TLS
如要建立雙向傳輸層安全標準 (TLS) 的虛擬主機,請建立 XML 物件來定義 主機:
<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>api.myCompany.com</HostAlias> </HostAliases> <Port>443</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>true</ClientAuthEnabled> <KeyStore>ref://myTestKeystoreRef</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> <TrustStore>ref://myTestTruststoreRef</TrustStore> </SSLInfo> </VirtualHost>
在這個定義中,您:
- 將
<ClientAuthEnabled>
設為 true,即可啟用雙向 TLS。 - 使用
<TrustStore>
元素指定信任儲存庫的參照。信任儲存庫 保存用戶端憑證核發者和憑證的 CA 鏈結 (這是必要的)。
定義使用 Apigee 免費試用憑證和金鑰的虛擬主機
如果您使用 Cloud 付費 Edge 帳戶,但尚未取得 TLS 憑證和金鑰,請 使用 Apigee 免費試用憑證和金鑰的虛擬主機。這表示您可以建立 不必先建立 KeyStore
Apigee 免費試用憑證的定義為 *.apigee.net
網域。因此,
虛擬主機的 <HostAlias>
格式也必須為 *.apigee.net
。
如果您執行雙向傳輸層安全標準 (TLS),您仍須將 <ClientAuthEnabled>
元素設為
true
,並使用帶有 <TrustStore>
元素的參照來指定信任儲存庫
,如同上方「定義雙向傳輸層安全標準 (TLS) 的虛擬主機」一節所述。
一種 XML 物件,會使用 Apigee 免費試用憑證定義虛擬主機,且在這類物件中會省略
<KeyStore>
和 <KeyAlias>
元素,並替換成
<UseBuiltInFreeTrialCert>
元素,如下所示:
<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>myapi.apigee.net</HostAlias> </HostAliases> <Port>443</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>false</ClientAuthEnabled> </SSLInfo> <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert> </VirtualHost>
<UseBuiltInFreeTrialCert>
元素的預設值為 false。
針對雙向 TLS,請將虛擬主機定義為:
<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>myapi.apigee.net</HostAlias> </HostAliases> <Port>443</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>true</ClientAuthEnabled> <TrustStore>ref://myTestTruststoreRef</TrustStore> </SSLInfo> <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert> </VirtualHost>
在 Edge UI 中,選取「使用內建免費試用憑證」選項 以使用免費的 Apigee 憑證和金鑰來建立虛擬主機時:
建立虛擬主機
請按照下列程序建立虛擬主機:
- 為公開網域 (
api.myCompany.com
) 建立 DNS 項目和 CNAME 記錄, 指向[org]-[environment].apigee.net
。 - 建立及設定 KeyStore (本例中名為 myTestKeystore), 使用 Edge UI 建立 KeyStore 和信任存放區。在本例中 確保 KeyStore 使用 myKeyAlias 的別名名稱做為憑證, 私密金鑰
- 將憑證和金鑰上傳至 KeyStore。請確定 憑證符合您要用於虛擬主機的主機別名。
-
使用 Edge UI 或 API 建立 KeyStore 參照。參考資料 將 KeyStore 名稱和參照類型指定為
KeyStore
。 如需相關資訊,請參閱使用參考資料一文 ,進一步瞭解如何建立及修改參照。 - 使用建立
Virtual Host API。請務必指定正確的 KeyStore 參照和金鑰別名。
如要使用 API,請使用下列 POST API 呼叫建立 KeyStore
名稱為 myTLSVHost:
curl -X POST -H "Content-Type:application/xml" \ https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts \ -d '<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>api.myCompany.com</HostAlias> </HostAliases> <Port>443</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>false</ClientAuthEnabled> <KeyStore>ref://myTestKeystoreRef</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> </SSLInfo> </VirtualHost>' \ -u orgAdminEmail:password
如果您透過用戶端執行雙向 TLS,請將
<ClientAuthEnabled>
設為 true 並使用<TrustStore>
元素指定信任儲存庫用戶端 您必須為雙向傳輸層安全標準 (TLS) 正確設定,這代表 Edge 的信任儲存庫包含 用戶端的憑證核發者和憑證鏈結使用描述的程序建立信任儲存庫 此處: 使用 Edge UI 建立 KeyStore 和信任儲存庫。 如果有現有的 API Proxy,請將虛擬主機加進
<HTTPConnection>
ProxyEndpoint。系統會自動將虛擬主機新增至所有新的 API Proxy。 詳情請參閱 設定 API Proxy 以使用虛擬主機。
更新 API Proxy 以使用虛擬主機後,建立 DNS 項目和 CNAME 記錄中,您就可以使用 API Proxy,如下所示:
https://api.myCompany.com/v1/{project-base-path}/{resource-path}
例如:
https://api.myCompany.com/v1/weather/forecastrss?w=12797282
修改虛擬主機
付費使用 Cloud 的客戶要修改現有的虛擬主機時,必須執行兩項主要工作:
- 修改 KeyStore 或信任儲存庫的參照值。
注意:在您設定<KeyStore>
或<TrustStore>
使用參照,您可以變更參考檔案的值 。但如果您希望變更<KeyStore>
或 請<TrustStore>
以使用其他參考資料,或者將 如要使用其他別名,<KeyAlias>
,請洽詢 Apigee Edge 支援團隊。 - 修改虛擬主機的 TLS 屬性。
修改 參照
您可以修改參照的值,變更虛擬的 KeyStore 或信任儲存庫 主機。
修改參照值之前:
- 建立新的 KeyStore,並上傳憑證和金鑰,如所述 使用 Edge UI 建立 KeyStore 和信任儲存庫。在新的 KeyStore 中 請確定您使用的金鑰別名名稱,與現有金鑰中使用的名稱相同 商店。
- 如有需要,請建立新的信任存放區,並依照 的說明上傳憑證 使用 Edge UI 建立 KeyStore 和信任儲存庫。
- 按照「使用參照」一節的說明修改參考資料。
修改 虛擬主機
付費客戶可以使用 更新 Virtual Host API 以更新虛擬主機。這個 API 可讓您設定 安裝額外資源 虛擬主機屬性參考資料。
修改虛擬主機時,Edge 執行的驗證作業類似於您在建立虛擬機器時 虛擬主機也就是說,修改完畢後,Edge 會驗證:
- 主機別名指定的網域未用於其他機構; 環境。
- 您擁有這個網域名稱。具體而言,Edge 會檢查
憑證與主機別名相符:
- CN - 一般名稱
- SAN - 主體別名
- Edge 會驗證憑證尚未過期。
如要使用 Edge API 修改虛擬主機,請執行以下操作:
使用 更新虛擬主機 更新 Virtual Host API。使用 API 時,您必須指定 要求主體中的虛擬主機,而不只是您要變更的元素。在本 例如,您可設定
proxy_read_timeout
屬性的值:curl -X PUT -H "Content-Type:application/xml" \ https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts/{vhost_name} \ -d '<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>api.myCompany.com</HostAlias> </HostAliases> <Port>443</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>false</ClientAuthEnabled> <KeyStore>ref://myTestKeystoreRef</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> </SSLInfo> <Properties> <Property name="proxy_read_timeout">50</Property> </Properties> </VirtualHost>' \ -u orgAdminEmail:password
修改 使用 KeyStore 和信任儲存庫參照的虛擬主機
Cloud 中所有新的 Edge 虛擬主機都會使用 KeyStore 和信任儲存庫的參照。 參照可讓您變更 KeyStore 和信任存放區,無須聯絡 Apigee Edge 支援。
Apigee Edge 中的舊版虛擬主機可能未設為使用 KeyStore 和 信任存放區在這種情況下,您可以更新虛擬主機使用參照。
將虛擬主機更新為使用 參照
請按照下列步驟更新虛擬主機:
- 如有需要,請建立新的 KeyStore,並依照 的說明上傳憑證 使用 Edge UI 建立 KeyStore 和信任儲存庫。如果已有 KeyStore 之後,您可以設定指向該 KeyStore 的參照。
- 建立 KeyStore 的新參照。
- 如有需要,請建立新的信任存放區並上傳憑證。如果已有信任存放區 那麼您可以設定指向該物件的參照
- 建立信任儲存庫的新參照。
- 更新虛擬主機以設定 KeyStore、別名、信任儲存庫和其他任何傳輸層安全標準 (TLS)
資源。呼叫的酬載為:
curl -X PUT -H "Content-Type:application/xml" \ https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts/{vhost_name} \ -d '<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>api.myCompany.com</HostAlias> </HostAliases> <Port>443</Port> <OCSPStapling>off</OCSPStapling> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>true</ClientAuthEnabled> <KeyStore>ref://myKeyStore2Way</KeyStore> <KeyAlias>keyAlias</KeyAlias> <TrustStore>ref://myTrustStore2Way</TrustStore> <IgnoreValidationErrors>false</IgnoreValidationErrors> </SSLInfo> </VirtualHost>' \ -u orgAdminEmail:pWord
- 與 Apigee 聯絡 支援:重新啟動 Edge Router 以完成程序。