Cette page a été traduite par l'API Cloud Translation.

Questions fréquentes sur la configuration des hôtes virtuels

Vous consultez la documentation d'Apigee Edge.
Accédez à la documentation sur Apigee X. info

Les clients Edge Cloud peuvent désormais créer, modifier et supprimer des hôtes virtuels. Auparavant, ces actions devaient être effectuées par l'assistance Apigee Edge.

Qui peut configurer un hôte virtuel dans Edge Cloud ?

Seul un client Cloud disposant d'un compte payant peut créer, modifier et supprimer un hôte virtuel. L'utilisateur qui crée l'hôte virtuel doit disposer du rôle administrateur de l'organisation ou d'un rôle personnalisé lui permettant de modifier un hôte virtuel. Les utilisateurs d'autres rôles ne sont pas autorisés à créer des hôtes virtuels.

Le rôle personnalisé nécessite des autorisations GET, PUT et DELETE sur /environments/*/virtualhosts ou l'une de ses ressources parentes. Pour en savoir plus, consultez Créer des rôles avec l'API.

Que faire si j'ai déjà un hôte virtuel créé par Apigee ?

Les clients Edge Cloud existants disposent déjà d'hôtes virtuels créés par Apigee. Vous pouvez maintenant modifier ces hôtes virtuels.

Toutefois, consultez la section Configurer des hôtes virtuels pour le cloud pour connaître les conditions requises pour modifier un hôte virtuel avant d'apporter des modifications. Par exemple, si votre hôte virtuel existant est configuré pour utiliser un port autre que 443, vous ne pouvez pas modifier le numéro de port ni le paramètre TLS. Cela signifie que vous ne pouvez pas modifier le paramètre TLS pour qu'il soit activé ou désactivé.

Quel port puis-je utiliser dans un hôte virtuel dans le cloud ?

Vous ne pouvez utiliser le port 443 que dans un hôte virtuel dans le cloud. Vous ne pouvez pas utiliser le port 80 ni aucun autre port.

Pourquoi ne puis-je pas utiliser le port 80 dans un hôte virtuel dans le cloud ?

Nous encourageons les clients Apigee à ne plus utiliser d'hôtes virtuels sur le port 80 pour le trafic d'exécution de l'API, car ce port n'est pas sécurisé. Deuxièmement, comme nous ne sommes pas en mesure de valider la propriété des domaines, les hôtes virtuels du port 80 ne peuvent pas être autogérés pour Cloud. Les modifications apportées aux hôtes virtuels du port 80 sont considérées comme non standards. Par conséquent, l'assistance Apigee Edge se réserve le droit de refuser ces modifications.

Le protocole TLS est-il obligatoire sur tous les nouveaux hôtes virtuels dans le cloud ?

Pour créer un hôte virtuel, vous devez activer TLS sur celui-ci. Cela signifie que vous devez d'abord créer un keystore avec le certificat et la clé TLS avant de créer l'hôte virtuel.

Vous devez disposer d'un certificat signé par une entité de confiance, telle que Symantec ou VeriSign. Vous ne pouvez pas utiliser de certificats autosignés ni de certificats feuilles signés par une autorité de certification autosignée.

Pour en savoir plus, consultez la section Configurer des hôtes virtuels pour le cloud.

Puis-je épingler le certificat d'essai sans frais d'Apigee ?

Pour des raisons de sécurité, les certificats d'essai sans frais d'Apigee expirent tous les trois mois. À la fin de ces trois mois, Apigee remplace le certificat qui expire par un nouveau certificat. Par conséquent, Apigee ne recommande pas d'épingler le certificat d'essai sans frais et ne le permet pas.

Puis-je mettre à jour le certificat TLS utilisé par un hôte virtuel ?

Si vous disposez d'un hôte virtuel avec un certificat TLS qui expire, vous pouvez le mettre à jour pour qu'il utilise un autre keystore contenant un certificat valide.

Qu'est-ce qu'une référence ?

Une référence est une variable qui contient le nom du keystore. Pour modifier le keystore utilisé par un hôte virtuel, vous devez mettre à jour la variable de référence, et non l'hôte virtuel lui-même.

Les hôtes virtuels plus anciens sur Apigee Edge ne sont peut-être pas configurés pour utiliser des références. Dans ce cas, vous devez demander à l'assistance Apigee Edge de mettre à jour l'hôte virtuel pour qu'il utilise une référence. Ne mettez pas à jour vous-même un hôte virtuel pour le modifier afin d'utiliser une référence.

Comment savoir si mon hôte virtuel utilise une référence ?

Pour afficher des informations sur un hôte virtuel spécifique, utilisez l'API Obtenir un hôte virtuel:

curl -X GET -H "accept:application/xml" \
  https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts/{vhost_name} \
  -u orgAdminEmail:pWord

où vhost_name est le nom de l'hôte virtuel. Par exemple, vous pouvez spécifier vhost_name comme "secure" pour afficher la configuration de l'hôte virtuel sécurisé par défaut:

<VirtualHost name="secure">
    <HostAliases>
        <HostAlias>orgname-prod.apigee.net</HostAlias>
    </HostAliases>
    <Interfaces/>
    <Port>443</Port>
    <Properties/>
    <SSLInfo>
        <ClientAuthEnabled>false</ClientAuthEnabled>
        <Enabled>true</Enabled>
        <KeyAlias>freetrial</KeyAlias>
        <KeyStore>ref://freetrial</KeyStore>
        <IgnoreValidationErrors>false</IgnoreValidationErrors>
    </SSLInfo>
</VirtualHost>

Notez que dans cet exemple, la valeur de l'élément <KeyStore> de la réponse commence par ref://. Ce préfixe signifie que le keystore utilise une référence.

Si la valeur de l'élément <KeyStore> est une chaîne littérale, elle n'utilise pas de référence. Exemple :

<KeyStore>mykeystore</KeyStore>

Ne mettez pas à jour vous-même un hôte virtuel pour qu'il utilise une référence. Vous devez demander à l'assistance Apigee Edge de mettre à jour l'hôte virtuel pour qu'il utilise une référence. Une fois qu'Apigee a mis à jour l'hôte virtuel pour qu'il utilise une référence, vous pouvez modifier le keystore en mettant à jour la variable de référence.

Pour en savoir plus, consultez la section Configurer des hôtes virtuels pour le cloud.

Comment créer un hôte virtuel ?

Procédez comme suit pour créer l'hôte virtuel:

Créez une entrée DNS et un enregistrement CNAME pour votre domaine public qui pointent vers [org]-[environment].apigee.net. Pour en savoir plus, consultez la section "À propos des alias d'hôte et des noms DNS" dans À propos des hôtes virtuels.
Créez et configurez un keystore en suivant la procédure décrite dans la section Créer des keystores et des truststores à l'aide de l'UI Edge.
Importez votre certificat et votre clé dans le keystore.
Créez une référence au keystore, comme décrit dans la section Configurer des hôtes virtuels pour le cloud.
Créez l'hôte virtuel à l'aide de l'API Créer un hôte virtuel, comme décrit dans la section Configurer des hôtes virtuels pour le cloud. Veillez à spécifier la référence keystore appropriée.
Si vous disposez de proxys d'API existants, ajoutez l'hôte virtuel à l'élément <HTTPConnection> du ProxyEndpoint. L'hôte virtuel est ajouté automatiquement à tous les nouveaux proxys d'API. Consultez la section Configurer un proxy d'API pour qu'il utilise un hôte virtuel.

Puis-je demander à Apigee de bloquer les ports TCP 80, 443 ou 15999 sur Apigee Edge Cloud ?

Étant donné que nos clients configurent des hôtes virtuels sur le port TCP 443 et parfois sur le port TCP 80 (bien que l'utilisation du port 80 ne soit pas recommandée), nous ne pouvons pas bloquer ces ports, car cela entraînerait l'échec de tout le trafic d'exécution de l'API.

Le port TCP 15999 est utilisé en interne dans Cloud pour déterminer si les routeurs sont opérationnels ou non. Il ne doit donc pas être bloqué, car cela peut avoir un impact imprévu sur l'exécution de l'API.