Cloud için sanal ana makineleri yapılandırma

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. bilgi

Ücretli hesabı olan bir Cloud müşterisi, bir kuruluşta sanal ana makine oluşturabilir.

Daha fazla bilgi:

• Sanal ana makineler hakkında
• Sanal ana makineleri yapılandırma
• TLS'yi yapılandırma
• Anahtar depoları ve güven depoları

Cloud'da sanal ana makineler oluşturup bunları değiştirebilecek kişiler

Sanal ana makine oluşturma ve değiştirme, yalnızca Edge Cloud'daki ücretli hesaplarda kullanılabilir. Sanal ana makineyi oluşturan kullanıcı, kuruluş yöneticisi rolünde veya sanal ana makineyi değiştirme izinlerine sahip özel bir rolde olmalıdır. Diğer rollerdeki kullanıcılar, sanal ana makine oluşturma yetkisine sahip değildir.

Örneğin, ücretli müşteriler:

• Tek yönlü ve iki yönlü TLS'yi etkinleştirme
• Sanal ana makine tarafından kullanılan anahtar deposunu/güven deposunu belirtin

Ücretsiz hesaplar ve deneme hesapları, sanal ana makineler oluşturamaz veya bunları değiştiremez. Bu hesaplar, Edge kayıt zamanında bunlar için oluşturulan sanal ana makinelerle sınırlıdır. Edge fiyatlandırma planları hakkında daha fazla bilgi için https://apigee.com/api-management/#/pricing sayfasını inceleyin.

Cloud için sanal ana makine yapılandırma gereksinimleri

Aşağıdaki tabloda sanal ana makine oluşturma gereksinimleri özetlenmektedir:

Kategori	Koşul	Açıklama
Hesap türü	Ücretli	Ücretsiz hesaplar ve deneme hesapları, sanal ana makineler oluşturamaz veya bunları değiştiremez.
Kullanıcı rolü	kuruluş yöneticisi	Yalnızca kuruluş yöneticileri sanal ana makine oluşturabilir veya sanal ana makineyi değiştirme izinlerine sahip özel roldeki bir kullanıcı oluşturabilir.
Sanal ana makine sayısı	Maksimum 20	Cloud'da kuruluş/ortam başına en fazla 20 sanal ana makine ile sınırlandırılırsınız. Not: Private Cloud'daki sanal ana makine sayısıyla ilgili bir sınır yoktur. Çoğu kuruluş/ortam, biri HTTP ve HTTPS erişimi için olmak üzere iki sanal ana makine kullanır. Kuruluşunuz/ortamınız farklı alan adları kullanarak erişime izin veriyorsa ek sanal ana makinelere ihtiyacınız olabilir.
Temel URL	Protokolü içerir	Kullanıcı arayüzünde veya API ile sanal ana makine için temel URL'yi tanımlarken URL'nin bir parçası olarak protokolü (ör. "http://" veya "https://") belirtmeniz gerekir.
Bağlantı noktası	443	Yalnızca 443 numaralı bağlantı noktasında sanal ana makine oluşturabilirsiniz. Benzersiz ana makine takma adlarına sahip oldukları ve tümü TLS'yi desteklediği sürece bağlantı noktası 443'te birden fazla sanal ana makine oluşturabilirsiniz.
TLS	Gerekli	Yalnızca HTTPS üzerinden TLS'yi destekleyen bir sanal ana makine oluşturabilirsiniz. Daha önce TLS sertifikanızı ve anahtarınızı içeren bir anahtar deposu ve isteğe bağlı olarak bir güven deposu oluşturmuş olmanız gerekir. Symantec veya VeriSign gibi güvenilir bir varlık tarafından imzalanmış bir sertifikanız olmalıdır. Kendinden imzalı sertifika kullanamazsınız. HTTP erişimine ihtiyacınız varsa Apigee Edge Destek Ekibi ile iletişime geçin.
TLS protokolü	TLS 1.2	Buluttaki Uç, yalnızca TLS 1.2 sürümünü destekler.
Ana makine takma adı	Kuruluşta ve ortamda benzersizdir	Ana makine takma adı başka bir kuruluş/ortam kombinasyonu için mevcut değil.
Alan adı	Müşteriye ait	Sanal ana makinede belirtilen alan adına sahip olmanız gerekir. Edge, ana makine takma adı tarafından tanımlandığı şekliyle alan adının, TLS sertifikasındaki meta verilerle eşleşip eşleşmediğini kontrol eder. Edge, özellikle sertifikada aşağıdaki bilgileri kontrol eder: CN - Ortak Ad SAN - Konu Alternatif Adı SAN veya CN'de joker karakterlere izin verilir (örneğin, *.myco.net). Edge, sertifikanın süresinin dolmadığını da doğrular.
İstemci uygulaması SNI desteği	Sanal ana makineye erişen tüm istemci uygulamaları SNI'yı desteklemelidir.	SNI desteği tüm uygulamalar için gereklidir.

Tarayıcı kullanarak sanal ana makine oluşturma

Bu bölümdeki örneklerin çoğunda, sanal ana makineler oluşturmak veya mevcut ana makineleri değiştirmek için Edge API kullanılır ancak Edge kullanıcı arayüzünde bir sanal ana makine oluşturabilirsiniz.

Edge kullanıcı arayüzünü kullanarak sanal ana makine oluşturmak için:

1. apigee.com/edge adresinde oturum açın.
2. Admin > Virtual Hosts (Yönetici > Sanal Ana Bilgisayarlar) seçeneğini belirleyin.
3. prod veya test gibi bir ortam seçin.
4. Sanal ana makine oluşturmak için + Sanal Ana Makine seçeneğini veya mevcut bir sanal ana makinenin adını seçerek düzenleyin.
5. Sanal ana makine alanlarını doldurma hakkında ayrıntılı bilgi için yukarıdaki tabloya bakın.

Tek yönlü TLS için sanal ana makine tanımlama

Sanal ana makineyi tanımlayan bir XML nesnesi. Örneğin, aşağıdaki XML nesnesi tek yönlü TLS için bir sanal ana makine tanımlar:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>api.myCompany.com</HostAlias> 
    </HostAliases> 
    <Port>443</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://myTestKeystoreRef</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

Bu tanımda:

• name'i myTLSVHost olarak belirtin. Bu adı, API proxy'sinde veya API çağrısında sanal ana makineye referans vermek için kullanın.
• Ana makine takma adını api.myCompany.com olarak belirtin. Bu, bir DNS tanımı ve CNAME kaydı tarafından tanımlandığı şekilde API'lerinize erişmek için kullanılan, herkese açık bir alandır.
• Bağlantı noktası numarasını 443 olarak belirtin. Atlanırsa bağlantı noktası varsayılan olarak 443'tür.
• TLS'yi gerektiği şekilde etkinleştirin.
  
  <Enable> öğesi, tek yönlü TLS'yi etkinleştirmek için true (doğru) değerine ayarlanır ve <KeyStore> öğeleri, TLS bağlantısı tarafından kullanılan anahtar deposunu ve anahtar takma adını belirtir.
  
  İki yönlü TLS'yi etkinleştirmek için <ClientAuthEnabled> değerini true olarak ayarlayın ve <TrustStore> öğesini kullanarak bir güven deposu belirtin. Truststore, istemcinin sertifika yayıncısını ve sertifikanın gerekli CA zincirini barındırır.
  
  Not: Edge orijinal olarak SSL'yi desteklediğinden TLS'yi yapılandırmak için kullandığınız etiketin adı <SSLInfo> olur.

Sanal ana makinede ayarlayabileceğiniz ek özellikler olduğunu unutmayın. Tüm mülklerin referansı için Sanal ana makine mülkü referansı konusuna bakın.

Sanal ana makinede anahtar deposu ve güven deposu adının nasıl belirtileceğine karar verme

TLS'yi destekleyecek bir sanal ana makine yapılandırırken referans kullanarak bir anahtar deposu belirtirsiniz. Referans, aşağıda gösterildiği gibi anahtar deposu veya güven deposu adını doğrudan belirtmek yerine, anahtar deposu veya güven deposu adını içeren bir değişkendir:

    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://myTestKeystoreRef</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>

Referans kullanmanın avantajı, sanal ana makine tarafından kullanılan anahtar deposunu değiştirmek için referansın değerini değiştirebilmenizdir. Bunun nedeni, genellikle geçerli anahtar deposundaki sertifikanın süresinin yakın gelecekte dolmasıdır. Referansın değerini değiştirmek, Edge Yönlendirici'yi yeniden başlatmanızı gerektirmez. Referans oluşturma ve değiştirme hakkında daha fazla bilgi için Referanslarla çalışma bölümüne bakın.

Yalnızca anahtar deposu ve güven deposu için bir referans kullanabilirsiniz; takma ad için referans kullanamazsınız. Referansı bir anahtar deposuna değiştirdiğinizde sertifikanın takma ad adının eski anahtar deposundakiyle aynı olduğundan emin olun.

Anahtar depoları ve güven deposu referanslarını kullanmayla ilgili kısıtlamalar

Anahtar depoları ve güven depolarına referansları kullanırken aşağıdaki kısıtlamayı dikkate almanız gerekir:

• Sanal ana makinelerde anahtar deposu ve güven deposu referanslarını yalnızca SNI'yı destekliyorsanız ve Apigee Yönlendiricilerinde SSL'yi sonlandırırsanız kullanabilirsiniz.
• Apigee Yönlendiricilerin önünde bir yük dengeleyiciniz varsa ve yük dengeleyicide TLS'yi sonlandırırsanız sanal ana makinelerde anahtar deposu ve güven deposu referanslarını kullanamazsınız.

İki yönlü TLS için sanal ana makine tanımlama

İki yönlü TLS'yi etkinleştirmek için <ClientAuthEnabled> öğesini true olarak ayarlayın ve <TrustStore> öğesiyle referans kullanarak bir güven deposu belirtin. Truststore, istemcinin sertifika yayıncısını ve sertifikanın gerekli CA zincirini barındırır. Ayrıca istemci, iki yönlü TLS için doğru şekilde yapılandırılmalıdır.

İki yönlü TLS için sanal ana makine oluşturmak isterseniz sanal ana makineyi tanımlayan bir XML nesnesi oluşturun:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>api.myCompany.com</HostAlias> 
    </HostAliases> 
    <Port>443</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://myTestKeystoreRef</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://myTestTruststoreRef</TrustStore> 
    </SSLInfo>
</VirtualHost>

Bu tanımda:

• <ClientAuthEnabled> değerini doğru değerine ayarlayarak iki yönlü TLS'yi etkinleştirin.
• <TrustStore> öğesini kullanarak güven deposu referansını belirtin. Truststore, istemcinin sertifika yayıncısını ve sertifikanın gerekli CA zincirini barındırır.

Apigee ücretsiz deneme sertifikasını ve anahtarını kullanan bir sanal ana makine tanımlama

Cloud için ücretli bir Edge hesabınız varsa ve henüz TLS sertifikanız ve anahtarınız yoksa Apigee ücretsiz deneme sertifikasını ve anahtarını kullanan bir sanal ana makine oluşturabilirsiniz. Bu, önce anahtar deposu oluşturmadan sanal ana makineyi oluşturabileceğiniz anlamına gelir.

Apigee ücretsiz deneme sertifikası, *.apigee.net alanı için tanımlanmıştır. Bu nedenle, sanal ana makinenin <HostAlias> değeri de *.apigee.net biçiminde olmalıdır.

İki yönlü TLS gerçekleştiriyorsanız <ClientAuthEnabled> öğesini yine de true olarak ayarlamanız ve yukarıdaki İki yönlü TLS için sanal ana makine tanımlama bölümünde açıklandığı gibi <TrustStore> öğesiyle bir referans kullanarak bir güven deposu belirtmeniz gerekir.

Aşağıda gösterildiği gibi, Apigee ücretsiz deneme sertifikasını kullanarak sanal ana makineyi tanımlayan ve anahtar ile <KeyStore> ve <KeyAlias> öğelerini atlayıp <UseBuiltInFreeTrialCert> öğesiyle değiştiren XML nesnesi:

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>myapi.apigee.net</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
    </SSLInfo>
    <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>

<UseBuiltInFreeTrialCert> öğesinin varsayılan değeri false'tur.

İki yönlü TLS için sanal ana makineyi şu şekilde tanımlayın:

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>myapi.apigee.net</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>true</ClientAuthEnabled>
        <TrustStore>ref://myTestTruststoreRef</TrustStore>
    </SSLInfo>
    <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>

Edge kullanıcı arayüzünde, ücretsiz Apigee sertifikasını ve anahtarını kullanmak için sanal ana makineyi oluştururken Yerleşik ücretsiz deneme sertifikasını kullan seçeneğini belirleyin:

Sanal ana makine oluşturma

Sanal ana bilgisayarı oluşturmak için aşağıdaki prosedürü kullanın:

1. Bu örnekte, herkese açık alanınız (api.myCompany.com) için [org]-[environment].apigee.net adresini işaret eden bir DNS girişi ve CNAME kaydı oluşturun.
2. Bu örnekte myTestKeystore adlı bir anahtar deposu oluşturup yapılandırın. Bunun için şurada açıklanan prosedürü kullanın: Edge kullanıcı arayüzünü kullanarak anahtar depoları ve güven deposu oluşturma. Bu örnekte, anahtar deposunun sertifika ve özel anahtar için myKeyAlias takma adını kullandığından emin olun.
3. Sertifikanızı ve anahtarınızı anahtar deposuna yükleyin. Sertifikanız tarafından belirtilen alan adının, sanal ana makine için kullanmak istediğiniz ana makine takma adıyla eşleştiğinden emin olun.

4. Edge kullanıcı arayüzünü veya API'yi kullanarak anahtar deposu için bir referans oluşturun. Referans, anahtar deposunun adını ve referans türünü KeyStore olarak belirtir. Referans oluşturma ve değiştirme hakkında daha fazla bilgi için Referanslarla çalışma bölümüne bakın.

5. Create a Virtual Host API'yi (Sanal Ana Makine Oluştur) kullanarak sanal ana makineyi oluşturun. Doğru anahtar deposu referansını ve anahtar takma adını belirttiğinizden emin olun. API'yi kullanmak için aşağıdaki POST API çağrısını kullanarak myTLSVHost adlı anahtar deposunu oluşturun:

   curl -X POST -H "Content-Type:application/xml" \
     https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts \
     -d '<VirtualHost name="myTLSVHost">
       <HostAliases>
         <HostAlias>api.myCompany.com</HostAlias>
       </HostAliases>
       <Port>443</Port>
       <SSLInfo>
         <Enabled>true</Enabled>
         <ClientAuthEnabled>false</ClientAuthEnabled>
         <KeyStore>ref://myTestKeystoreRef</KeyStore>
         <KeyAlias>myKeyAlias</KeyAlias>
       </SSLInfo>
     </VirtualHost>' \
     -u orgAdminEmail:password

   İstemci ile iki yönlü TLS gerçekleştiriyorsanız <ClientAuthEnabled> öğesini true olarak ayarlayın ve <TrustStore> öğesini kullanarak güven deposunu belirtin. İstemci, iki yönlü TLS için doğru şekilde yapılandırılmalıdır. Diğer bir deyişle, Edge'in istemcinin sertifika verenini ve sertifika zincirini içeren bir güven deposu vardır. Burada açıklanan prosedürü kullanarak güven deposu oluşturun: Edge kullanıcı arayüzünü kullanarak anahtar depoları ve güven deposu oluşturma.

6. Mevcut API proxy'leriniz varsa sanal ana makineyi ProxyEndpoint'teki <HTTPConnection> öğesine ekleyin. Sanal ana makine, tüm yeni API proxy'lerine otomatik olarak eklenir. Sanal ana makine kullanmak için API proxy'si yapılandırma bölümüne göz atın.

Bir API proxy'sini sanal ana makineyi kullanacak şekilde güncelledikten ve ana makine takma adı için DNS girişini ve CNAME kaydını oluşturduktan sonra API proxy'sine aşağıda gösterildiği şekilde erişebilirsiniz:

https://api.myCompany.com/v1/{project-base-path}/{resource-path}

Örneğin:

https://api.myCompany.com/v1/weather/forecastrss?w=12797282

Sanal ana makineyi değiştirme

Ücretli Cloud müşterilerinin mevcut bir sanal ana makineyi değiştirmek için gerçekleştirdiği iki ana görev vardır:

1. Anahtar deposu veya güven deposuna ilişkin bir referansın değerini değiştirme.
   
   Not: Referans kullanmak üzere bir <KeyStore> veya <TrustStore> ayarladıktan sonra, referansın değerini istediğiniz zaman değiştirebilirsiniz. Bununla birlikte, <KeyStore> veya <TrustStore> yerine farklı bir referans kullanmak ya da <KeyAlias> takma adını farklı bir takma ad kullanacak şekilde değiştirmek isterseniz Apigee Edge Destek Ekibi ile iletişime geçmeniz gerekir.
2. Sanal ana makinenin TLS özelliklerini değiştirme.

Referansın değerini değiştirme

Bir referansın değerini değiştirerek sanal ana makine tarafından kullanılan anahtar deposunu veya güven deposunu değiştirebilirsiniz.

Referansın değerini değiştirmeden önce:

1. Edge kullanıcı arayüzünü kullanarak anahtar depoları ve güven deposu oluşturma bölümünde açıklandığı gibi yeni bir anahtar deposu oluşturun ve bir sertifika ile anahtar yükleyin. Yeni anahtar deposunda, anahtar takma adı için mevcut anahtar deposunda kullanılanla aynı adı kullandığınızdan emin olun.
2. Gerekirse yeni bir güven deposu oluşturun ve Edge kullanıcı arayüzünü kullanarak anahtar depoları ve güven deposu oluşturma bölümünde açıklandığı gibi bir sertifika yükleyin.
3. Referansı, Referanslarla çalışma bölümünde açıklandığı şekilde değiştirin.

Sanal ana makinenin TLS özelliklerini değiştirme

Ücretli müşteriler bir sanal ana makineyi güncellemek için Update a Virtual Host API'yi (Sanal Ana Makine Güncelle) kullanabilir. Bu API, Sanal ana makine mülkü referansı bölümünde açıklanan sanal ana makine için tüm özellikleri ayarlamanızı sağlar.

Sanal ana makineyi değiştirdiğinizde Edge, sanal ana makine oluşturmanıza benzer bir doğrulama gerçekleştirir. Yani, bir değişiklik yapıldığında Edge şunları doğrular:

• Ana makine takma adı ile belirtilen alan adı başka bir kuruluşta ve ortamda kullanılmıyor.
• Alan adı size ait olmalıdır. Edge özellikle, sertifikadaki aşağıdaki bilgilerin ana makine takma adıyla eşleşip eşleşmediğini kontrol eder:
  • CN - Ortak Ad
  • SAN - Konu Alternatif Adı
  • Edge, sertifikanın süresinin dolmadığını doğrular.

Edge API'yi kullanarak bir sanal ana bilgisayarı değiştirmek için aşağıdakileri gerçekleştirin:

1. Virtual Host API'yi (Sanal Ana Makine Güncelle) kullanarak sanal ana makineyi güncelleyin. API'yi kullanırken, istek gövdesinde yalnızca değiştirmek istediğiniz öğeleri değil sanal ana makinenin tam tanımını belirtmeniz gerekir. Bu örnekte, proxy_read_timeout özelliğinin değerini ayarladınız:

   curl -X PUT -H "Content-Type:application/xml" \
     https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts/{vhost_name} \
     -d '<VirtualHost name="myTLSVHost">
       <HostAliases>
         <HostAlias>api.myCompany.com</HostAlias>
       </HostAliases>
       <Port>443</Port>
       <SSLInfo>
         <Enabled>true</Enabled>
         <ClientAuthEnabled>false</ClientAuthEnabled>
         <KeyStore>ref://myTestKeystoreRef</KeyStore>
         <KeyAlias>myKeyAlias</KeyAlias>
       </SSLInfo>
       <Properties>
          <Property name="proxy_read_timeout">50</Property>
            </Properties>
     </VirtualHost>' \
     -u orgAdminEmail:password

Anahtar deposu ve güven deposu referanslarını kullanmak için sanal ana makineyi değiştirme

Cloud'da Edge için tüm yeni sanal ana makineler, anahtar deposu ve güven deposuna referans kullanır. Referanslar, Apigee Edge Desteği ile iletişime geçmeden anahtar deposunu ve güven deposunu değiştirmenize olanak tanır.

Apigee Edge'deki eski sanal ana makineler, anahtar depoları ve güven depoları için referans kullanacak şekilde yapılandırılmamış olabilir. Bu durumda, sanal ana makineyi bir referans kullanacak şekilde güncelleyebilirsiniz.

Sanal ana makineyi referans kullanacak şekilde güncelleme

Sanal ana bilgisayarı güncellemek için aşağıdaki prosedürü kullanın:

1. Gerekirse yeni bir anahtar deposu oluşturun ve Edge kullanıcı arayüzünü kullanarak anahtar depoları ve güven deposu oluşturma bölümünde açıklandığı gibi bir sertifika yükleyin. Zaten bir anahtar deponuz varsa bunu işaret edecek bir referans yapılandırabilirsiniz.
2. Anahtar deposu için yeni bir referans oluşturun.
3. Gerekirse yeni bir güven deposu oluşturun ve bir sertifika yükleyin. Halihazırda bir güven deponuz varsa bunu işaret edecek bir referans yapılandırabilirsiniz.
4. Güven deposu için yeni bir referans oluşturun.
5. Anahtar deposu, takma ad, güven deposu ve diğer TLS özelliklerini ayarlamak için sanal ana makineyi güncelleyin. Aramanın yükü:

   curl -X PUT -H "Content-Type:application/xml" \
     https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts/{vhost_name} \
     -d '<VirtualHost  name="myTLSVHost">
           <HostAliases>
             <HostAlias>api.myCompany.com</HostAlias>
           </HostAliases>
           <Port>443</Port>
           <OCSPStapling>off</OCSPStapling>
           <SSLInfo>
             <Enabled>true</Enabled>
             <ClientAuthEnabled>true</ClientAuthEnabled>
             <KeyStore>ref://myKeyStore2Way</KeyStore>
             <KeyAlias>keyAlias</KeyAlias>
             <TrustStore>ref://myTrustStore2Way</TrustStore>
             <IgnoreValidationErrors>false</IgnoreValidationErrors>
           </SSLInfo>
         </VirtualHost>' \
       -u orgAdminEmail:pWord

6. İşlemi tamamlamak üzere Uç Yönlendiricileri yeniden başlatmak için Apigee Desteği ile iletişime geçin.