Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến
Tài liệu về Apigee X. thông tin
Khách hàng Cloud có tài khoản trả phí có thể tạo máy chủ ảo trong một tổ chức.
Tìm hiểu thêm:
Người có thể tạo và sửa đổi trải nghiệm ảo máy chủ lưu trữ trong Đám mây
Tính năng tạo và sửa đổi máy chủ ảo chỉ dành cho các tài khoản trả phí trên Edge Cloud. Người dùng tạo máy chủ ảo phải là quản trị viên của tổ chức hoặc trong vai trò tuỳ chỉnh có quyền sửa đổi máy chủ ảo. Người dùng ở những vai trò khác không có uỷ quyền để tạo máy chủ ảo.
Ví dụ: khách hàng trả phí có thể:
- Bật TLS một chiều và hai chiều
- Chỉ định kho khoá/kho lưu trữ đáng tin cậy mà máy chủ ảo sử dụng
Tài khoản dùng thử và tài khoản miễn phí không thể tạo hoặc sửa đổi máy chủ ảo và chỉ có thể được lưu trữ ở máy chủ ảo tạo cho chúng tại thời điểm đăng ký Edge. Để biết thêm thông tin về các gói giá của Edge, hãy xem https://apigee.com/api-management/#/pricing.
Các yêu cầu đối với việc định cấu hình máy chủ ảo cho Đám mây
Bảng sau đây tóm tắt các yêu cầu đối với việc tạo máy chủ lưu trữ ảo:
Danh mục | Yêu cầu | Nội dung mô tả |
---|---|---|
Loại tài khoản | Đã thanh toán | Tài khoản dùng thử và tài khoản miễn phí không thể tạo hoặc sửa đổi máy chủ ảo. |
Vai trò của người dùng | quản trị viên tổ chức | Chỉ quản trị viên tổ chức mới có thể tạo máy chủ ảo hoặc người dùng có vai trò tuỳ chỉnh quyền sửa đổi máy chủ ảo. |
Số lượng máy chủ ảo | Tối đa 20 |
Bạn bị giới hạn tối đa 20 máy chủ ảo mỗi tổ chức/môi trường trong Đám mây. Lưu ý: Không có giới hạn về số lượng máy chủ ảo trong chế độ Riêng tư Đám mây. Hầu hết các tổ chức/môi trường đều sử dụng 2 máy chủ ảo: một cho HTTP và một cho HTTPS truy cập. Bạn có thể cần thêm máy chủ ảo nếu tổ chức/môi trường của bạn cho phép quyền truy cập bằng các tên miền khác nhau. |
URL cơ sở | Bao gồm giao thức | Khi xác định URL cơ sở cho máy chủ ảo, trong giao diện người dùng hoặc bằng API, bạn phải chỉ định giao thức (ví dụ: "http://" hoặc "https://") là một phần của URL. |
Cổng | 443 |
Bạn chỉ có thể tạo máy chủ ảo trên cổng 443. Xin lưu ý rằng bạn có thể tạo nhiều máy chủ ảo trên cổng 443, miễn là các máy chủ đó có các bí danh máy chủ duy nhất và tất cả đều hỗ trợ TLS. |
TLS | Bắt buộc |
Bạn chỉ có thể tạo một máy chủ ảo hỗ trợ TLS qua HTTPS. Bạn phải có đã tạo một kho khoá và có thể là một kho tin cậy, chứa chứng chỉ và khoá TLS của bạn. Bạn phải có chứng chỉ có chữ ký của một pháp nhân đáng tin cậy, chẳng hạn như SCrypto và VeriSign. Bạn không thể sử dụng chứng chỉ tự ký. Nếu bạn cần quyền truy cập HTTP, hãy liên hệ với Bộ phận hỗ trợ Apigee Edge. |
Giao thức TLS (Bảo mật tầng truyền tải) | TLS 1.2 |
Edge trong Đám mây chỉ hỗ trợ TLS phiên bản 1.2. |
Bí danh của máy chủ lưu trữ | Độc đáo trong tổ chức và môi trường | Bí danh máy chủ không tồn tại cho một tổ hợp tổ chức/môi trường khác. |
Tên miền | Do khách hàng sở hữu |
Bạn phải sở hữu tên miền được chỉ định trong máy chủ ảo. Kiểm tra các cạnh để đảm bảo rằng tên miền (như được xác định bởi bí danh máy chủ lưu trữ) khớp với siêu dữ liệu trong TLS chứng chỉ. Cụ thể, Edge kiểm tra thông tin sau trong chứng chỉ:
Cho phép sử dụng ký tự đại diện trong SAN hoặc CN, ví dụ: Edge cũng xác thực rằng chứng chỉ chưa hết hạn. |
Hỗ trợ SNI của ứng dụng khách | Tất cả các ứng dụng khách truy cập vào máy chủ ảo đều phải hỗ trợ SNI. |
Tất cả ứng dụng đều yêu cầu hỗ trợ SNI. |
Tạo máy chủ ảo bằng trình duyệt
Hầu hết các ví dụ trong phần này đều sử dụng Edge API để tạo hoặc sửa đổi máy chủ ảo, nhưng bạn có thể tạo một máy chủ ảo trong giao diện người dùng Edge.
Cách tạo máy chủ ảo bằng giao diện người dùng Edge:
- Đăng nhập vào apigee.com/edge.
- Chọn Quản trị > Máy chủ ảo.
- Chọn môi trường, chẳng hạn như prod (chính thức) hoặc test (kiểm thử).
- Chọn + Virtual Host để tạo máy chủ ảo hoặc chọn tên của máy chủ ảo hiện tại để chỉnh sửa quảng cáo đó.
- Hãy xem bảng ở trên để biết thông tin chi tiết về cách điền sẵn các trường máy chủ ảo.
Xác định máy chủ ảo cho TLS một chiều
Đối tượng XML xác định máy chủ lưu trữ ảo. Ví dụ: đối tượng XML sau đây xác định một máy chủ ảo cho TLS một chiều:
<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>api.myCompany.com</HostAlias> </HostAliases> <Port>443</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>false</ClientAuthEnabled> <KeyStore>ref://myTestKeystoreRef</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> </SSLInfo> </VirtualHost>
Trong định nghĩa này, bạn:
- Chỉ định name làm myTLSVHost. Sử dụng tên để tham chiếu máy chủ ảo trong proxy API hoặc trong lệnh gọi API.
- Chỉ định tên máy chủ lưu trữ là api.myCompany.com. Đây là miền công khai dùng để truy cập vào API của bạn như được xác định theo định nghĩa DNS và CNAME ghi lại.
- Chỉ định số cổng là 443. Nếu bỏ qua, theo mặc định cổng được đặt thành 443.
- Bật TLS theo yêu cầu.
Phần tử<Enable>
được đặt thành true để bật TLS một chiều, và các phần tử<KeyStore>
chỉ định kho khoá và bí danh khoá được kết nối TLS sử dụng.
Để bật TLS hai chiều, hãy đặt<ClientAuthEnabled>
thành true và chỉ định kho tin cậy bằng phần tử<TrustStore>
. Kho tin cậy giữ nhà phát hành chứng chỉ của ứng dụng khách và chuỗi CA của chứng chỉ, đây là yêu cầu bắt buộc.
Lưu ý: Vì Edge ban đầu hỗ trợ SSL, nên thẻ mà bạn dùng để định cấu hình TLS có tên là<SSLInfo>
.
Lưu ý rằng bạn có thể đặt các thuộc tính khác trong máy chủ ảo. Đối với để tham khảo tất cả các thuộc tính, hãy xem Tài liệu tham khảo về thuộc tính máy chủ lưu trữ ảo.
Quyết định cách chỉ định tên kho khoá và kho tin cậy trong máy chủ lưu trữ ảo
Khi định cấu hình máy chủ ảo để hỗ trợ TLS, bạn chỉ định một kho khoá bằng cách sử dụng một tài liệu tham khảo. Tệp đối chiếu là một biến chứa tên của kho khoá hoặc Truststore, thay vì chỉ định trực tiếp tên kho khoá hoặc Truststore, như minh hoạ dưới đây:
<SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>false</ClientAuthEnabled> <KeyStore>ref://myTestKeystoreRef</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> </SSLInfo>
Ưu điểm của việc sử dụng tệp đối chiếu là bạn có thể thay đổi giá trị của tệp đối chiếu đó kho khoá mà máy chủ ảo sử dụng, thường là do chứng chỉ trong kho khoá hiện tại là hết hạn trong tương lai gần. Bạn không cần khởi động lại để thay đổi giá trị của tham chiếu Máy định tuyến cạnh. Xem bài viết Xử lý tệp đối chiếu để về cách tạo và sửa đổi tệp đối chiếu.
Bạn chỉ có thể sử dụng tệp tham chiếu đến kho khoá và kho tin cậy; bạn không thể sử dụng tham chiếu đến bí danh. Khi bạn thay đổi tham chiếu đến một kho khoá, hãy đảm bảo rằng tên bí danh của chứng chỉ là giống như trong kho khoá cũ.
Các hạn chế trong việc sử dụng tệp tham chiếu đến kho khoá và kho tin cậy
Bạn phải tính đến giới hạn sau đây khi sử dụng tệp tham chiếu đến kho khoá và kho tin cậy:
- Bạn chỉ có thể sử dụng các tham chiếu kho khoá và kho tin cậy trong các máy chủ ảo nếu bạn hỗ trợ SNI và bạn chấm dứt SSL trên Bộ định tuyến Apigee.
- Nếu bạn có một trình cân bằng tải ở trước Bộ định tuyến Apigee và bạn chấm dứt TLS trên thì bạn không thể sử dụng các tham chiếu kho khoá và Truststore trong máy chủ ảo.
Xác định máy chủ ảo cho TLS hai chiều
Để bật TLS hai chiều, hãy đặt phần tử <ClientAuthEnabled>
thành
true
rồi chỉ định kho tin cậy bằng
bằng cách sử dụng một tệp tham chiếu với phần tử <TrustStore>
. Kho tin cậy
giữ nhà phát hành chứng chỉ của ứng dụng khách và chuỗi CA của chứng chỉ, đây là yêu cầu bắt buộc. Khách hàng cũng phải
được định cấu hình chính xác cho TLS hai chiều.
Để tạo một máy chủ ảo cho TLS hai chiều, hãy tạo một đối tượng XML xác định thông số ảo máy chủ lưu trữ:
<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>api.myCompany.com</HostAlias> </HostAliases> <Port>443</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>true</ClientAuthEnabled> <KeyStore>ref://myTestKeystoreRef</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> <TrustStore>ref://myTestTruststoreRef</TrustStore> </SSLInfo> </VirtualHost>
Trong định nghĩa này, bạn:
- Bật TLS hai chiều bằng cách đặt
<ClientAuthEnabled>
thành true. - Chỉ định tham chiếu đến kho tin cậy bằng phần tử
<TrustStore>
. Kho tin cậy giữ nhà phát hành chứng chỉ của ứng dụng khách và chuỗi CA của chứng chỉ, đây là yêu cầu bắt buộc.
Xác định một máy chủ lưu trữ ảo sử dụng khoá và chứng chỉ dùng thử miễn phí Apigee
Nếu có tài khoản Edge trả phí dành cho Cloud nhưng chưa có chứng chỉ và khoá TLS, thì bạn có thể tạo một máy chủ ảo sử dụng khoá và chứng chỉ dùng thử miễn phí Apigee. Điều đó có nghĩa là bạn có thể tạo máy chủ ảo mà không cần tạo kho khoá trước.
Chứng chỉ dùng thử miễn phí Apigee được xác định cho miền *.apigee.net
. Do đó,
<HostAlias>
của máy chủ lưu trữ ảo cũng phải ở dạng *.apigee.net
.
Nếu đang thực hiện TLS hai chiều, bạn vẫn phải đặt phần tử <ClientAuthEnabled>
thành
true
rồi chỉ định kho tin cậy bằng cách sử dụng tệp tham chiếu với phần tử <TrustStore>
như mô tả ở trên trong phần Xác định máy chủ ảo cho TLS hai chiều.
Đối tượng XML xác định máy chủ ảo bằng cách sử dụng khoá và chứng chỉ dùng thử miễn phí Apigee, bỏ qua
Các phần tử <KeyStore>
và <KeyAlias>
rồi thay thế bằng các phần tử
Phần tử <UseBuiltInFreeTrialCert>
, như minh hoạ dưới đây:
<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>myapi.apigee.net</HostAlias> </HostAliases> <Port>443</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>false</ClientAuthEnabled> </SSLInfo> <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert> </VirtualHost>
Giá trị mặc định của phần tử <UseBuiltInFreeTrialCert>
là false.
Đối với TLS hai chiều, hãy định nghĩa máy chủ ảo là:
<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>myapi.apigee.net</HostAlias> </HostAliases> <Port>443</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>true</ClientAuthEnabled> <TrustStore>ref://myTestTruststoreRef</TrustStore> </SSLInfo> <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert> </VirtualHost>
Trong giao diện người dùng Edge, hãy chọn mục Sử dụng chứng chỉ dùng thử miễn phí tích hợp sẵn khi tạo máy chủ ảo để sử dụng khoá và chứng chỉ Apigee miễn phí:
Tạo máy chủ ảo
Sử dụng quy trình sau để tạo máy chủ ảo:
- Tạo một mục DNS và bản ghi CNAME cho miền công khai của bạn,
api.myCompany.com
trong ví dụ này. trỏ đến[org]-[environment].apigee.net
. - Tạo và định cấu hình một kho khoá, có tên là myTestKeystore trong ví dụ này, bằng cách theo quy trình được mô tả ở đây: Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge. Trong ví dụ này, đảm bảo rằng kho khoá sử dụng tên bí danh là myKeyAlias cho chứng chỉ và khoá riêng tư.
- Tải chứng chỉ và khoá của bạn lên kho khoá. Đảm bảo rằng tên miền do cert khớp với bí danh máy chủ lưu trữ mà bạn muốn sử dụng cho máy chủ ảo.
-
Tạo tệp tham chiếu đến kho khoá bằng cách sử dụng API hoặc giao diện người dùng Edge. Tham chiếu chỉ định tên của kho khoá và loại tham chiếu là
KeyStore
. Xem bài viết Xử lý tệp đối chiếu để về cách tạo và sửa đổi tệp đối chiếu. - Tạo máy chủ lưu trữ ảo bằng cách sử dụng nút Tạo
Virtual Host. Hãy đảm bảo chỉ định chính xác tệp tham chiếu kho khoá và bí danh khoá.
Để dùng API này, hãy dùng lệnh gọi API POST sau để tạo kho khoá
có tên là myTLSVHost:
curl -X POST -H "Content-Type:application/xml" \ https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts \ -d '<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>api.myCompany.com</HostAlias> </HostAliases> <Port>443</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>false</ClientAuthEnabled> <KeyStore>ref://myTestKeystoreRef</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> </SSLInfo> </VirtualHost>' \ -u orgAdminEmail:password
Nếu bạn đang thực hiện TLS hai chiều với ứng dụng, hãy đặt
<ClientAuthEnabled>
thành true và chỉ định kho tin cậy bằng phần tử<TrustStore>
. Khách hàng phải được định cấu hình chính xác cho TLS hai chiều, nghĩa là Edge có một kho tin cậy chứa nhà phát hành chứng chỉ và chuỗi chứng chỉ của ứng dụng khách của bạn. Tạo kho tin cậy bằng cách sử dụng quy trình được mô tả tại đây: Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge. Nếu bạn đang có proxy API, hãy thêm máy chủ lưu trữ ảo vào phần tử
<HTTPConnection>
trong ProxyEndpoint. Máy chủ ảo được tự động thêm vào tất cả proxy API mới. Xem Định cấu hình proxy API để sử dụng máy chủ ảo.
Sau khi cập nhật proxy API để sử dụng máy chủ ảo, đồng thời tạo mục nhập DNS và CNAME cho bí danh máy chủ lưu trữ, bạn có thể truy cập proxy API như minh hoạ dưới đây:
https://api.myCompany.com/v1/{project-base-path}/{resource-path}
Ví dụ:
https://api.myCompany.com/v1/weather/forecastrss?w=12797282
Sửa đổi máy chủ lưu trữ ảo
Có hai tác vụ chính mà khách hàng Cloud trả phí thực hiện để sửa đổi máy chủ ảo hiện có:
- Sửa đổi giá trị của tệp tham chiếu đến kho khoá hoặc kho tin cậy.
Lưu ý: Sau khi bạn đặt<KeyStore>
hoặc<TrustStore>
để sử dụng tham chiếu, bạn có thể thay đổi giá trị của tham chiếu bất cứ lúc nào. Tuy nhiên, nếu bạn muốn thay đổi<KeyStore>
hoặc<TrustStore>
để sử dụng một tham chiếu khác hoặc thay đổi<KeyAlias>
để sử dụng email đại diện khác, bạn phải liên hệ với Bộ phận hỗ trợ Apigee Edge. - Sửa đổi các thuộc tính TLS của máy chủ ảo.
Sửa đổi giá trị của thuộc tính tham chiếu
Bạn có thể sửa đổi giá trị của tệp tham chiếu để thay đổi kho khoá hoặc kho tin cậy mà máy ảo sử dụng máy chủ lưu trữ.
Trước khi bạn sửa đổi giá trị của tham chiếu:
- Tạo kho khoá mới, rồi tải chứng chỉ và khoá lên theo mô tả trong Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge. Trong kho khoá mới, đảm bảo rằng bạn sử dụng tên cho khoá đại diện giống với tên dùng trong khoá hiện tại cửa hàng.
- Nếu cần, hãy tạo một kho lưu trữ uy tín mới rồi tải chứng chỉ lên theo mô tả trong phần Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge.
- Sửa đổi tệp đối chiếu như mô tả trong phần Làm việc với tệp đối chiếu.
Sửa đổi thuộc tính TLS của máy chủ ảo
Khách hàng trả phí có thể sử dụng Cập nhật Virtual Host API để cập nhật máy chủ ảo. API này cho phép bạn đặt tất cả các thuộc tính của máy chủ ảo được mô tả tại Tài liệu tham khảo về thuộc tính máy chủ lưu trữ ảo.
Khi bạn sửa đổi máy chủ ảo, Edge sẽ thực hiện quy trình xác thực tương tự như khi bạn tạo máy chủ ảo. Tức là, khi sửa đổi, Edge xác thực rằng:
- Miền mà bí danh máy chủ lưu trữ chỉ định không được sử dụng trong một tổ chức khác và môi trường.
- Bạn sở hữu tên miền. Cụ thể, Edge kiểm tra xem thông tin sau trong
cert khớp với bí danh máy chủ lưu trữ:
- CN - Tên phổ biến
- SAN - Tên thay thế của chủ đề
- Edge xác thực rằng chứng chỉ chưa hết hạn.
Để sửa đổi máy chủ ảo bằng cách sử dụng API Edge, hãy thực hiện như sau:
Cập nhật máy chủ ảo bằng cách sử dụng Cập nhật API Máy chủ ảo. Khi sử dụng API này, bạn phải chỉ định định nghĩa đầy đủ về máy chủ lưu trữ ảo trong nội dung yêu cầu, chứ không chỉ các phần tử bạn muốn thay đổi. Trong phần này ví dụ: bạn đặt giá trị của thuộc tính
proxy_read_timeout
:curl -X PUT -H "Content-Type:application/xml" \ https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts/{vhost_name} \ -d '<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>api.myCompany.com</HostAlias> </HostAliases> <Port>443</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>false</ClientAuthEnabled> <KeyStore>ref://myTestKeystoreRef</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> </SSLInfo> <Properties> <Property name="proxy_read_timeout">50</Property> </Properties> </VirtualHost>' \ -u orgAdminEmail:password
Sửa đổi một máy chủ lưu trữ ảo sử dụng tệp tham chiếu đến kho khoá và kho tin cậy
Tất cả máy chủ ảo mới cho Edge trong Cloud đều sử dụng tệp tham chiếu đến kho khoá và kho tin cậy. Thông tin tham chiếu cho phép bạn thay đổi kho khoá và kho tin cậy mà không cần liên hệ với Bộ phận hỗ trợ Apigee Edge.
Các máy chủ ảo cũ trên Apigee Edge có thể không được định cấu hình để sử dụng tệp tham chiếu cho kho khoá và kho tin cậy. Trong trường hợp này, bạn có thể cập nhật máy chủ ảo để sử dụng tệp tham chiếu.
Cập nhật máy chủ ảo để sử dụng tham chiếu
Sử dụng quy trình sau để cập nhật máy chủ ảo:
- Nếu cần, hãy tạo một kho khoá mới rồi tải một chứng chỉ lên theo mô tả trong phần Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge. Nếu bạn đã có kho khoá, thì bạn có thể định cấu hình tham chiếu để trỏ đến đó.
- Tạo tệp tham chiếu mới đến kho khoá.
- Nếu cần, hãy tạo một kho lưu trữ uy tín mới rồi tải chứng chỉ lên. Nếu bạn đã có kho tin cậy, thì bạn có thể định cấu hình tham chiếu để trỏ đến đó.
- Tạo tệp tham chiếu mới đến kho tin cậy.
- Cập nhật máy chủ ảo để thiết lập kho khoá, bí danh, Truststore và bất kỳ TLS nào khác
các thuộc tính. Tải trọng cho cuộc gọi là:
curl -X PUT -H "Content-Type:application/xml" \ https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts/{vhost_name} \ -d '<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>api.myCompany.com</HostAlias> </HostAliases> <Port>443</Port> <OCSPStapling>off</OCSPStapling> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>true</ClientAuthEnabled> <KeyStore>ref://myKeyStore2Way</KeyStore> <KeyAlias>keyAlias</KeyAlias> <TrustStore>ref://myTrustStore2Way</TrustStore> <IgnoreValidationErrors>false</IgnoreValidationErrors> </SSLInfo> </VirtualHost>' \ -u orgAdminEmail:pWord
- Liên hệ với Apigee Hỗ trợ khởi động lại Bộ định tuyến Edge để hoàn tất quá trình này.