Questions fréquentes sur la configuration des hôtes virtuels

Vous consultez la documentation Apigee Edge.
Accéder à la documentation d'Apigee X
en savoir plus

Les clients Edge Cloud peuvent désormais créer, modifier et supprimer des hôtes virtuels. Auparavant, ces actions devaient être effectuées par l'assistance Apigee Edge.

Qui peut configurer un hôte virtuel dans Edge Cloud ?

Seul un client Cloud disposant d'un compte payant peut créer, modifier et supprimer un hôte virtuel. L'utilisateur qui crée l'hôte virtuel doit avoir le rôle d'administrateur de l'organisation ou disposer d'un rôle personnalisé autorisé à modifier un hôte virtuel. Les utilisateurs disposant d'autres rôles ne sont pas autorisés à créer des hôtes virtuels.

Le rôle personnalisé nécessite des autorisations GET, PUT et DELETE sur /environments/*/virtualhosts ou sur l'une de ses ressources parentes. Pour en savoir plus, consultez Créer des rôles avec l'API.

Que se passe-t-il si j'ai un hôte virtuel existant créé par Apigee ?

Les clients Edge Cloud existants possèdent déjà des hôtes virtuels créés par Apigee. Vous pouvez maintenant modifier ces hôtes virtuels.

Toutefois, consultez les conditions requises pour modifier un hôte virtuel dans la section Configurer des hôtes virtuels pour le cloud avant d'effectuer toute modification. Par exemple, si votre hôte virtuel existant est configuré pour utiliser un port autre que le port 443, vous ne pouvez pas modifier le numéro de port ni le paramètre TLS. Cela signifie que vous ne pouvez pas modifier le paramètre TLS de "Activé" à "Désactivé", ou de "Désactivé" à "Activé".

Quel port puis-je utiliser sur un hôte virtuel dans le cloud ?

Vous ne pouvez utiliser que le port 443 sur un hôte virtuel dans le cloud. Vous ne pouvez utiliser ni le port 80, ni un autre port.

Pourquoi ne puis-je pas utiliser le port 80 d'un hôte virtuel dans le cloud ?

Nous encourageons les clients Apigee à abandonner l'utilisation des hôtes virtuels sur le port 80 pour le trafic d'exécution des API, car le port 80 n'est pas sécurisé. Deuxièmement, comme nous ne sommes pas en mesure de valider la propriété des domaines, les hôtes virtuels sur le port 80 ne peuvent pas être rendus en libre-service pour Cloud. Les modifications apportées aux hôtes virtuels du port 80 sont considérées comme non standards et, à ce titre, l'assistance Apigee Edge se réserve le droit de les refuser.

TLS est-il requis sur tous les nouveaux hôtes virtuels dans le cloud ?

Pour créer un hôte virtuel, vous devez activer TLS sur celui-ci. Cela signifie que vous devez d'abord créer un keystore avec le certificat et la clé TLS avant de créer l'hôte virtuel.

Vous devez disposer d'un certificat signé par une entité de confiance telle que Symantec ou VeriSign. Vous ne pouvez pas utiliser de certificat autosigné ni de certificats d'entité finale signés par une autorité de certification autosignée.

Pour en savoir plus, consultez la section Configurer des hôtes virtuels pour le cloud.

Puis-je épingler le certificat d'essai sans frais Apigee ?

Pour des raisons de sécurité, les certificats d'essai sans frais d'Apigee expirent tous les trois mois. À l'issue de ces trois mois, Apigee remplace le certificat arrivant à expiration par un nouveau. Par conséquent, Apigee ne recommande ni n'autorise pas l'épinglage du certificat d'essai sans frais.

Puis-je mettre à jour le certificat TLS utilisé par un hôte virtuel ?

Si vous disposez d'un hôte virtuel avec un certificat TLS arrivant à expiration, vous pouvez le mettre à jour pour qu'il utilise un autre keystore contenant un certificat valide.

Qu'est-ce qu'une référence ?

Une référence est une variable qui contient le nom du keystore. Pour modifier le keystore utilisé par un hôte virtuel, mettez à jour la variable de référence, et non l'hôte virtuel lui-même.

Les hôtes virtuels plus anciens sur Apigee Edge peuvent ne pas être configurés pour utiliser des références. Dans ce cas, vous devez demander l'assistance Apigee Edge pour mettre à jour l'hôte virtuel afin qu'il utilise une référence. Ne mettez pas à jour un hôte virtuel vous-même pour le remplacer par une référence.

Comment déterminer si mon hôte virtuel utilise une référence ?

Pour afficher des informations sur un hôte virtuel spécifique, utilisez l'API Get Virtual Host:

curl -X GET -H "accept:application/xml" \
  https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts/{vhost_name} \
  -u orgAdminEmail:pWord

vhost_name est le nom de l'hôte virtuel. Par exemple, vous pouvez spécifier vhost_name comme "secure" (sécurisé) pour afficher la configuration de l'hôte virtuel sécurisé par défaut:

<VirtualHost name="secure">
    <HostAliases>
        <HostAlias>orgname-prod.apigee.net</HostAlias>
    </HostAliases>
    <Interfaces/>
    <Port>443</Port>
    <Properties/>
    <SSLInfo>
        <ClientAuthEnabled>false</ClientAuthEnabled>
        <Enabled>true</Enabled>
        <KeyAlias>freetrial</KeyAlias>
        <KeyStore>ref://freetrial</KeyStore>
        <IgnoreValidationErrors>false</IgnoreValidationErrors>
    </SSLInfo>
</VirtualHost>

Notez que dans cet exemple, la valeur de l'élément <KeyStore> dans la réponse commence par ref://. Ce préfixe signifie que le keystore utilise une référence.

Si la valeur de l'élément <KeyStore> est un littéral de chaîne, il n'utilise pas de référence. Exemple :

<KeyStore>mykeystore</KeyStore>

Ne mettez pas à jour un hôte virtuel vous-même pour le remplacer par une référence. Vous devez demander l'assistance Apigee Edge pour mettre à jour l'hôte virtuel afin d'utiliser une référence. Une fois qu'Apigee a mis à jour l'hôte virtuel pour qu'il utilise une référence, vous pouvez modifier le keystore en mettant à jour la variable de référence.

Pour en savoir plus, consultez la section Configurer des hôtes virtuels pour le cloud.

Comment créer un hôte virtuel ?

Procédez comme suit pour créer l'hôte virtuel:

  1. Créez une entrée DNS et un enregistrement CNAME pour votre domaine public qui pointe vers [org]-[environment].apigee.net. Pour en savoir plus, consultez la section "À propos des alias d'hôte et des noms DNS" de la page À propos des hôtes virtuels.
  2. Créez et configurez un keystore en suivant la procédure décrite dans la section Créer des keystores et des magasins de clés de confiance à l'aide de l'interface utilisateur Edge.
  3. Importez votre certificat et votre clé dans le keystore.
  4. Créez une référence au keystore, comme décrit dans la section Configurer des hôtes virtuels pour le cloud.
  5. Créez l'hôte virtuel à l'aide de l'API Créer un hôte virtuel, comme décrit dans la section Configurer des hôtes virtuels pour le cloud. Veillez à spécifier la référence keystore appropriée.
  6. Si vous disposez de proxys d'API existants, ajoutez l'hôte virtuel à l'élément <HTTPConnection> dans ProxyEndpoint. L'hôte virtuel est ajouté automatiquement à tous les nouveaux proxys d'API. Voir Configurer un proxy d'API pour utiliser un hôte virtuel.

Puis-je demander à Apigee de bloquer les ports TCP 80, 443 ou 15999 sur Apigee Edge Cloud ?

Nos clients configurent des hôtes virtuels sur le port TCP 443 et parfois sur le port TCP 80 (bien que l'utilisation du port 80 ne soit pas recommandée), nous ne pouvons pas bloquer ces ports, car cela entraînerait l'échec de tout le trafic d'exécution des API.

Le port TCP 15999 est utilisé en interne dans Cloud pour déterminer si les routeurs sont opérationnels ou non. Il ne doit donc pas être bloqué, car cela pourrait avoir un impact imprévu sur l'exécution de l'API.