Trang này được dịch bởi Cloud Translation API.

Sử dụng Docker cho Edge Microgateway

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến Tài liệu về Apigee X. thông tin

Chủ đề này giải thích cách chạy Edge Microgateway trong vùng chứa Docker. Các bước thực hiện được đề cập trong chủ đề này giả định hiểu cơ bản về Docker, lệnh Docker và Edge Microgateway quá trình thiết lập và định cấu hình. Cho để biết thêm thông tin, hãy tham khảo tài liệu về Docker và Edge Microgateway

Điều kiện tiên quyết

Trước khi chạy Edge Microgateway trong vùng chứa Docker, bạn phải làm như sau nhiệm vụ:

Định cấu hình Edge Microgateway cho tổ chức/môi trường Apigee của bạn:
```
edgemicro configure -o your_org -e your_env -u your_username
```
Để biết thêm thông tin chi tiết về cấu hình, hãy xem Phần 1: Định cấu hình Edge Microgateway.
Sau khi thực hiện các bước định cấu hình, hãy tìm cấu hình đó . Vị trí mặc định là ở đây:
```
$HOME/.edgemicro/your_org-your_env-config.yaml
```
trong đó your_org và your_env là tổ chức và môi trường mà bạn đã dùng khi chạy lệnh edgemicro config. Bạn sẽ cần tệp này khi bạn khởi động Edge Microgateway trong vùng chứa Docker.

Đảm bảo bạn có khoá và thông tin đăng nhập bí mật được trả về khi bạn chạy Lệnh edgemicro config. Ví dụ:

The following credentials are required to start edge micro
  key: d9c34e1aff68ed969273c016699eabf48780e4f652242e72fc88a43e21252cb0
  secret: 3bc95a71c86a3c8ce04537fbcb788158731t51dfc6cdec13b7c05aa0bd969430

Trước khi khởi động Edge Microgateway trong vùng chứa Docker, bạn cần tạo (hoặc đã tạo) các thực thể Apigee Edge mà bạn bắt buộc để thực hiện lệnh gọi proxy API đã xác thực. Các thực thể này bao gồm một công cụ nhận biết Edge Microgateway proxy, Sản phẩm API, Nhà phát triển và Ứng dụng của nhà phát triển. Để biết hướng dẫn đầy đủ, hãy xem Tạo thực thể trên Apigee Edge.

Chạy Edge Micro dưới dạng vùng chứa Docker

Tải hình ảnh Docker xuống cho Edge Microgateway:
```
docker pull gcr.io/apigee-microgateway/edgemicro:latest
```
Bạn có thể sử dụng thẻ để chỉ định một phiên bản Edge Microgateway cụ thể. Ví dụ: docker pull gcr.io/apigee-microgateway/edgemicro:2.5.26
Trước khi chuyển sang các bước tiếp theo, hãy đảm bảo rằng bạn đã thực hiện tất cả các bước trong phần Điều kiện tiên quyết.
Chạy lệnh sau để mã hoá base64 tệp cấu hình Edge Microgateway đặt tại $HOME/.edgemicro:
```
export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/your_org-your_env-config.yaml`
```
trong đó your_org và your_env là tổ chức và môi trường mà bạn đã sử dụng khi bạn đã chạy lệnh edgemicro config.

Hãy nhớ đặt dấu phẩy ngược (`) xung quanh lệnh. Ví dụ:
```
export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/docs-test-config.yaml`
```
Phiên bản Docker dùng để xây dựng Edge Microgateway hình ảnh chấp nhận tệp cấu hình dưới dạng chuỗi được mã hoá base64. Phương thức mã hoá cho phép bạn truyền tệp cấu hình vào Docker trên dòng lệnh, như minh hoạ trong bước sau. Nếu bạn đang sử dụng Kubernetes, bạn có thể lưu trữ tệp cấu hình trong thực thể Kubernetes Secrets.

Chạy Edge Microgateway như một vùng chứa. Lệnh này thiết lập một số biến môi trường được thời gian chạy vùng chứa dùng để khởi động Edge Microgateway:

docker run -P -p 8000:8000 -d --name edgemicro \
-v /var/tmp:/opt/apigee/logs \
-e EDGEMICRO_PROCESSES=1 \
-e EDGEMICRO_ORG=your_org \
-e EDGEMICRO_ENV=your_env \
-e EDGEMICRO_KEY=your_key \
-e EDGEMICRO_SECRET=your_secret \
-e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \
-e SERVICE_NAME=edgemicro \
--security-opt=no-new-privileges \
--cap-drop=ALL \
gcr.io/apigee-microgateway/edgemicro:latest

Tham số

Thông số	Nội dung mô tả
`-P`	Xuất bản tất cả các cổng bị lộ cho máy chủ. Hãy xem thêm Tài liệu tham khảo về quy trình chạy Docker.
`-p`	Liên kết rõ ràng một cổng hoặc một dải các cổng. Hãy xem thêm Tài liệu tham khảo về quy trình chạy Docker.
`-d`	Chạy ở chế độ tách rời. Hãy xem thêm Tài liệu tham khảo về quy trình chạy Docker.
`-v, --volume`	Chỉ định một giá trị gắn kết âm lượng. Lưu ý rằng nếu bạn định cấu hình Edge Microgateway để sử dụng TLS trong vùng chứa Docker, bạn phải hiển thị cổng 8443 nếu bạn gắn thư mục tệp nhật ký. Hãy xem thêm mục ÂM [hệ thống tệp dùng chung]. Vui lòng xem thêm bài viết Sử dụng TLS trong vùng chứa Docker.
`EDGEMICRO_ORG`	Tên của tổ chức Apigee mà bạn dùng để định cấu hình Edge Microgateway.
`EDGEMICRO_ENV`	Tên của môi trường Apigee mà bạn đã dùng để định cấu hình Edge Microgateway.
`EDGEMICRO_PROCESSES`	Số quy trình bắt đầu.
`EDGEMICRO_KEY`	Khoá được trả về khi bạn định cấu hình Edge Microgateway.
`EDGEMICRO_SECRET`	Mã bí mật được trả về khi bạn định cấu hình Edge Microgateway.
`EDGEMICRO_CONFIG`	Một biến chứa tệp cấu hình Edge Microgateway được mã hoá dưới dạng base64.
`SERVICE_NAME`	Nếu bạn đang sử dụng Kubernetes, thông số này sẽ được tự động điền. Nếu không, bạn có thể đặt thành bất kỳ thứ gì mình muốn. Nếu bạn không chỉ định gì, dịch vụ tên được đặt thành `default`.
`DEBUG`	Bạn có thể đặt thành `*` để bật tính năng gỡ lỗi.
`HTTP_PROXY` `HTTPS_PROXY`	Sử dụng khi Edge Microgateway là chạy sau tường lửa và cổng này không thể kết nối với Apigee Cạnh. Để biết thêm hãy xem phần Thiết lập Edge Microgateway sau tường lửa của công ty. Ví dụ: `HTTP_PROXY=http://10.203.0.1:5187/`
`NO_PROXY`	Danh sách các miền được phân tách bằng dấu phẩy mà Edge Microgateway không được phép kết nối proxy. Để biết thêm thông tin, hãy xem bài viết Thiết lập Edge Microgateway sau tường lửa của công ty. Ví dụ: `localhost,127.0.0.1,localaddress,.localdomain.com`
`NODE_EXTRA_CA_CERTS`	(Không bắt buộc) Sử dụng thông số này nếu bạn đang dùng một CA không đáng tin cậy theo mặc định bằng Node.js. Đặt giá trị của tham số này cho đường dẫn đến chứa một hoặc nhiều chứng chỉ đáng tin cậy ở định dạng PEM. Cho hãy xem thông tin chi tiết về chứng chỉ TLS.
`--security-opt`	(Không bắt buộc) Đặt các tuỳ chọn bảo mật của Docker mà bạn muốn. Xem phần Cấu hình bảo mật trong tài liệu về Docker.
`--cap-drop`	(Không bắt buộc) Đặt giới hạn về các chức năng của Linux được phép trong vùng chứa. Xem phần Đặc quyền khi chạy và các chức năng của Linux trong tài liệu của Docker.

Ví dụ:

docker run -P -p 8000:8000 -d --name edgemicro \
-v /var/tmp:/opt/apigee/logs \
-e EDGEMICRO_PROCESS=1 \
-e EDGEMICRO_ORG=docs \
-e EDGEMICRO_ENV=test \
-e EDGEMICRO_KEY=d9c34e1aff68ed969273b016699eabf48780e4f652242e72fc88a23e21252cb0 \
-e EDGEMICRO_SECRET=3bc95a71c86a3c8ce04137fbcb788158731t51dfc6cdec13b7c05aa0bd969430 \
-e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \
-e SERVICE_NAME=edgemicro \
--security-opt=no-new-privileges \
--cap-drop=ALL \
gcr.io/apigee-microgateway/edgemicro

Cách kiểm tra xem vùng chứa có đang chạy không:

docker ps

Bạn sẽ thấy kết quả tương tự như dưới đây:

CONTAINER ID    IMAGE         COMMAND                CREATED          STATUS          PORTS                                             NAMES
8b92e082ea9c    edgemicro    "/tmp/entrypoint.sh"   12 minutes ago   Up 12 minutes    0.0.0.0:8000->8000/tcp, 0.0.0.0:32775->8443/tcp    edgemicro

Kiểm thử lệnh gọi API

Sau khi khởi động Edge Microgateway trong vùng chứa, bạn có thể thực hiện lệnh gọi API đến vùng chứa đó. Ví dụ: nếu đường dẫn cơ sở của API là /hello:

http://localhost:8000/hello

Kết quả mẫu:

{"error":"missing_authorization","error_description":"Missing Authorization header"}

Nếu bạn thấy phản hồi này thì nghĩa là Edge Microgateway đã xử lý thành công lệnh gọi API. Tuy nhiên, theo mặc định, Edge Microgateway yêu cầu phải có khoá API để xác thực. Trong phần tiếp theo, bạn sẽ kiểm thử API bằng một khoá API hợp lệ.

Kiểm thử API bằng khoá API hợp lệ

Trong giao diện người dùng Edge, hãy chuyển đến Ứng dụng dành cho nhà phát triển mà bạn đã tạo trước đây. Trong thẻ Nhà phát triển trang Ứng dụng, hiện và sao chép Khoá người dùng. Giá trị này là khoá API. Bạn sẽ sử dụng khoá này để thực hiện lệnh gọi API đã xác thực.

Gọi API có tiêu đề x-api-key như sau. Giá trị Khoá người tiêu dùng mà bạn được sao chép từ Ứng dụng dành cho nhà phát triển là khoá API. Theo mặc định, Edge Microgateway mong muốn bạn chuyển khoá vào tiêu đề có tên x-api-key, như sau:

curl -i http://localhost:8000/hello -H "x-api-key:apikey"

Ví dụ:

curl -i http://localhost:8000/hello -H "x-api-key:PydUKRDGIXRqF2xh4usn1FLHbhGKVIz"

Nếu bạn muốn tìm hiểu thêm về cách thực hiện lệnh gọi API đã xác thực thông qua Edge Microgateway với khoá API và mã thông báo OAuth, hãy xem Phần 4: Secure Edge Microgateway.

Dừng Microgateway

Sử dụng lệnh Docker sau đây để dừng Edge Microgateway:

docker stop edgemicro

Đang khởi động lại Edge Microgateway

Sau khi dừng Edge Microgateway, bạn có thể khởi động lại bằng lệnh Docker sau:

docker start edgemicro

Sử dụng TLS trong vùng chứa Docker

Phần này giải thích cách định cấu hình TLS để Edge Microgateway chạy trong vùng chứa Docker. Bạn có thể định cấu hình máy chủ Edge Microgateway để sử dụng TLS cho các yêu cầu đến (hướng đi theo hướng bắc) và bạn có thể định cấu hình Edge Microgateway là một ứng dụng TLS cho các yêu cầu gửi đi đến các thiết bị đầu cuối nhắm mục tiêu (hướng về phía nam).

Nơi đặt tệp chứng chỉ

Vùng chứa Docker chạy Edge Microgateway có một điểm gắn trên /opt/apigee/.edgemicro. Khi định cấu hình Edge Microgateway để sử dụng chứng chỉ TLS, bạn có thể đặt có sẵn trên điểm gắn đó và tham chiếu đến chúng trong Tệp cấu hình Edge Microgateway. Tệp cấu hình này thường nằm trong $HOME/.edgemicro và có tên là your_org-your_env-config.yaml. Ví dụ:

...
edgemicro:
  ssl:
   key: /opt/apigee/.edgemicro/southbound/tls.key
   cert: /opt/apigee/.edgemicro/southbound/tls.crt
...

Sử dụng một CA không được Node.js tin cậy

Nếu bạn đang sử dụng Tổ chức phát hành chứng chỉ (CA) không được tin cậy theo mặc định Node.js (chẳng hạn như trường hợp có chứng chỉ tự ký), hãy cân nhắc sử dụng tham số NODE_EXTRA_CA_CERTS khi bạn chạy vùng chứa.

Đặt tham số này thành đường dẫn đến tệp chứa một hoặc nhiều chứng chỉ đáng tin cậy ở định dạng PEM. Để biết cách thông số này được sử dụng, hãy xem các ví dụ về Cách định cấu hình TLS hướng Nam và Cách định cấu hình TLS hướng Nam.

Ví dụ:

docker run -P -p 8443:8443 -d --name edgemicro \
-v $HOME/.edgemicro:/opt/apigee/.edgemicro \
-v $HOME/.edgemicro:/opt/apigee/logs \
-e NODE_EXTRA_CA_CERTS=/opt/apigee/.edgemicro/rootca.pem \
-e EDGEMICRO_PORT=8443 \
-e EDGEMICRO_ORG=docs \
-e EDGEMICRO_ENV=test \
-e EDGEMICRO_KEY=ac36574905fb54fdae65fc5433e831bec2680efb98220a355f2e917e52973c \
-e EDGEMICRO_SECRET=aac81dff6c326eaa222d53c15c8841fa78ea863bf4472568c9ce2d80a3bc56 \
-e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \
--link helloworld:helloworld gcr.io/apigee-microgateway/edgemicro

Hãy xem thêm bài viết Chạy Edge Micro dưới dạng vùng chứa Docker.

Đang tắt tính năng xác thực TLS

Mặc dù không được khuyến nghị, nhưng trong một số trường hợp, bạn có thể muốn tắt tính năng xác thực TLS cho Edge Microgateway chạy trong vùng chứa. Khả năng tắt TLS không được tích hợp vào vùng chứa Docker của Edge Microgateway theo mặc định. Để hoàn thành nhiệm vụ đó, bạn phải tạo một hình ảnh Docker tuỳ chỉnh cho Edge Microgateway. Thấp hơn là những hướng dẫn chung về cách tạo hình ảnh tuỳ chỉnh và tắt tính năng xác thực TLS.

Sao chép hoặc tải kho lưu trữ nguồn của Edge Microgateway xuống từ https://github.com/apigee-internal/microgateway.
cd vào thư mục microgateway/kubernetes/docker/edgemicro trong thư mục mã nguồn.

Ví dụ:
```
cd $HOME/git/microgateway/kubernetes/docker/edgemicro
```
Mở tệp entrypoint.sh rồi sửa đổi mã để chấp nhận NODE_TLS_REJECT_UNAUTHORIZED biến môi trường. Sau đó, khi chạy vùng chứa, bạn sẽ chỉ định một giá trị cho trường này biến.
Tạo vùng chứa Docker:
```
docker build -t edgemicro .
```
Khi bạn chạy vùng chứa, hãy chỉ định tuỳ chọn -e NODE_TLS_REJECT_UNAUTHORIZED = 1. Ví dụ:

docker run -P -p 8443:8443 -d --name edgemicro \
-v $HOME/.edgemicro:/opt/apigee/.edgemicro \
-v $HOME/.edgemicro:/opt/apigee/logs \
-e NODE_TLS_REJECT_UNAUTHORIZED = 1 \
-e EDGEMICRO_PORT=8443 \
-e EDGEMICRO_ORG=docs \
-e EDGEMICRO_ENV=test \
-e EDGEMICRO_KEY=ac36574905fb54fdae65fc5433e831bec2680efb98220a355f2e917e52973c \
-e EDGEMICRO_SECRET=aac81dff6c326eaa222d53c15c8841fa78ea863bf4472568c9ce2d80a3bc56 \
-e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \
--link helloworld:helloworld gcr.io/apigee-microgateway/edgemicro

Ví dụ: Cách định cấu hình TLS hướng bắc

Phần này giải thích cách thiết lập kết nối TLS (đến) theo hướng bắc (đến) trên Edge Microgateway máy chủ. TLS hướng bắc cho phép ứng dụng sử dụng HTTPS khi thực hiện lệnh gọi API đến Edge Microgateway. Ví dụ bên dưới sử dụng chứng chỉ tự ký.

1. Các bước thiết lập Intital

Xác định tệp openssl.cnf trên hệ thống của bạn. Ví dụ: /etc/ssl/openssl.cnf.
Mở tệp opensssl.cnf để chỉnh sửa.

Hãy đảm bảo req_extensions có trong tệp cấu hình. Ví dụ: bạn sẽ có thông tin tương tự như thông tin sau trong tệp của bạn:

[ req ]
...
req_extensions          = v3_req
...

[ v3_req ]
extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

Thêm đoạn văn sau vào openssl.cnf để tạo đúng thuộc tính SNI:

[ alt_names ]
DNS.1 = www.example.com
DNS.2 = example.com
DNS.3 = localhost
DNS.4 = localhost.localdomain
DNS.5 = 127.0.0.1
DNS.6 = ::1
DNS.7 = fe80::1

Tệp opensssl.cnf mẫu:

[ req ]
distinguished_name      = req_distinguished_name
attributes              = req_attributes
req_extensions          = v3_req

[ v3_req ]
extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
countryName_min                 = 2
countryName_max                 = 2
stateOrProvinceName             = State or Province Name (full name)
localityName                    = Locality Name (eg, city)
0.organizationName              = Organization Name (eg, company)
organizationalUnitName          = Organizational Unit Name (eg, section)
commonName                      = Common Name (eg, fully qualified host name)
commonName_max                  = 64
emailAddress                    = Email Address
emailAddress_max                = 64

[ req_attributes ]
challengePassword               = A challenge password
challengePassword_min           = 4
challengePassword_max           = 20

[ alt_names ]
DNS.1 = www.example.com
DNS.2 = example.com
DNS.3 = localhost
DNS.4 = localhost.localdomain
DNS.5 = 127.0.0.1
DNS.6 = ::1
DNS.7 = fe80::1

Làm theo các bước được nêu trong phần Điều kiện tiên quyết để bắt đầu và định cấu hình Edge Microgateway nếu bạn chưa thực hiện. Sau khi hoàn tất, bạn cần tạo một proxy nhận biết Edge Microgateway, một Sản phẩm API, một Nhà phát triển và một Ứng dụng dành cho nhà phát triển. Ngoài ra, bạn nên chạy lệnh edgemicro configure và nhận được một khoá và khoá bí mật.

2. Tạo chứng chỉ tự ký

Tiếp theo, hãy tạo các chứng chỉ và khoá mà bạn cần để thiết lập TLS:

cd vào thư mục $HOME/.edgemicro.

Tạo tập lệnh bash sau. Bạn có thể đặt bất kỳ tên nào bạn muốn. Ví dụ: keygen.sh.

#!/bin/bash
# generate ca
openssl genrsa -out rootca.key 2048
openssl req -x509 -new -nodes -key rootca.key -sha256 -days 1024 -out rootca.pem
# generate key
openssl genrsa -out tls.key 2048
openssl req -new -key tls.key -out tls.csr
# sign cert
openssl x509 -req -in tls.csr -CA rootca.pem -CAkey rootca.key -CAcreateserial -out tls.crt -days 1024 -sha256 -extensions 'v3_req' -extfile path/openssl.cnf

Trong tệp bash, hãy đảm bảo rằng đường dẫn đến tệp openssl.cnf là chính xác.
Thực thi tệp bash. Bạn sẽ được nhắc cung cấp thông tin chứng chỉ. Hãy nhớ sử dụng localhost cho Tên phổ biến.
Kiểm tra xem các tệp sau đã được tạo chưa:
- rootca.key
- rootca.pem
- tls.key
- tls.csr
- rootca.srl
- tls.crt

3. Chỉnh sửa tệp cấu hình Edge Microgateway

Mở tệp cấu hình Edge Micro trong trình chỉnh sửa. Ví dụ:
```
vi $HOME/.edgemicro/myorg-test-config.yaml
```

Chỉnh sửa khổ edgemicro như sau. Lưu ý rằng bạn sẽ thực hiện các thay đổi vào các thuộc tính port và ssl:

edge_config:
...
edgemicro:
  port: 8443
  max_connections: 1000
  config_change_poll_interval: 600
  ssl:
    key: /opt/apigee/.edgemicro/tls.key
    cert: /opt/apigee/.edgemicro/tls.crt
    passphrase: admin123
    rejectUnauthorized: true
    requestCert: false
  logging:
...

Thực thi lệnh sau để mã hoá base64 tệp cấu hình Edge Microgateway đặt tại $HOME/.edgemicro:
```
export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/your_org-your_env-config.yaml`
```
trong đó your_org và your_env là tổ chức và môi trường mà bạn đã sử dụng khi bạn đã chạy lệnh edgemicro config.

Hãy nhớ đặt dấu phẩy ngược (`) xung quanh lệnh. Ví dụ:
```
export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/docs-test-config.yaml`
```

Hãy xem thêm bài viết Chạy Edge Micro dưới dạng vùng chứa Docker.

4. Chạy vùng chứa

Thực thi lệnh sau để chạy vùng chứa Docker bằng Edge Microgateway:

docker run -P -p 8443:8443 -d --name edgemicro \
-v path_to_your_edgemicro_dir:/opt/apigee/.edgemicro \
-v path_to_your_logs_dir:/opt/apigee/logs \
-e NODE_EXTRA_CA_CERTS=/opt/apigee/.edgemicro/rootca.pem \
-e EDGEMICRO_PORT=8443 \
-e EDGEMICRO_ORG=$EDGEMICRO_ORG \
-e EDGEMICRO_ENV=$EDGEMICRO_ENV \
-e EDGEMICRO_KEY=$EDGEMICRO_KEY \
-e EDGEMICRO_SECRET=$EDGEMICRO_SECRET \
-e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \
gcr.io/apigee-microgateway/edgemicro:latest

Vui lòng lưu ý các tham số sau đây được dùng trong lệnh; chúng khác với kiểu cơ bản lệnh được mô tả trong Run Edge Micro dưới dạng vùng chứa Docker.
- port được đặt thành 8443.
- Giá đỡ âm lượng được dùng để gắn kết các tệp khoá và chứng chỉ.
- Biến NODE_EXTRA_CA_CERTS được dùng để thêm một CA tuỳ chỉnh (trong trường hợp này nếu cần chứng chỉ tự ký).

5. Kiểm thử cấu hình TLS

Thực thi lệnh cURL sau đây để kiểm thử chế độ thiết lập. Sản phẩm thay thế đường dẫn cơ sở và khoá API của bạn vào lệnh. Ví dụ sau giả định bạn đang ở trong thư mục chứa rootca.pem được đặt và proxy mà bạn đã tạo có đường dẫn cơ sở /hello:
```
curl -v https://localhost:8443/hello --cacert rootca.pem \
-H "x-api-key: Az82fdnfONVCOOE4NKhajxAboDgA3FAo"
```

Kết quả cURL chi tiết cho thấy từng bước của Bắt tay TLS. Nếu bạn thấy phản hồi HTTP 200 thì cấu hình đã thành công:

*   Trying ::1...ey:Az82fdnfONVCOOE4NKhajxAboDgA3FAo"
* TCP_NODELAY set
* Connected to localhost (::1) port 8443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: rootca.pem
  CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
*  subject: C=US; ST=CO; L=Boulder; O=Docs; OU=Docs; CN=localhost; emailAddress=docs@apigee.com
*  start date: Dec 14 22:35:28 2018 GMT
*  expire date: Oct  3 22:35:28 2021 GMT
*  common name: localhost (matched)
*  issuer: C=US; ST=CO; L=Boulder; O=Docs; OU=Docs; CN=localhost; emailAddress=docs@apigee.com
*  SSL certificate verify ok.
> GET /hello HTTP/1.1
> Host: localhost:8443
> User-Agent: curl/7.54.0
> Accept: */*
> x-api-key:Az82fdnfaONVCOE4NKhajxAboDA3FAo
>
< HTTP/1.1 200 OK
< x-powered-by: Apigee
< access-control-allow-origin: *
< x-frame-options: ALLOW-FROM RESOURCE-URL
< x-xss-protection: 1
< x-content-type-options: nosniff
< content-type: text/plain; charset=utf-8
< etag: W/"d-GHB1ZrJKk/wdVTdB/jgBsw"
< date: Fri, 14 Dec 2018 22:43:13 GMT
< via: 1.1 google
< alt-svc: clear
< x-response-time: 1325
< Connection: keep-alive
< Transfer-Encoding: chunked
<
* Connection #0 to host localhost left intact
Hello, Guest!

Ví dụ: Cách định cấu hình TLS hướng nam

Phần này giải thích cách thiết lập kết nối TLS (đi) theo hướng nam giữa máy chủ Edge Microgateway và ứng dụng đích phụ trợ. Ví dụ bên dưới sử dụng chứng chỉ tự ký.

1. Các bước thiết lập ban đầu

Xác định tệp openssl.cnf trên hệ thống của bạn. Ví dụ: /etc/ssl/openssl.cnf.
Mở tệp opensssl.cnf để chỉnh sửa.

Hãy đảm bảo req_extensions có trong tệp cấu hình. Ví dụ: bạn sẽ có thông tin tương tự như thông tin sau trong tệp của bạn:

[ req ]
...
req_extensions          = v3_req
...

[ v3_req ]
extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

Thêm đoạn văn sau vào openssl.cnf để tạo đúng thuộc tính SNI:

[ alt_names ]
DNS.1 = helloworld
DNS.2 = localhost
DNS.3 = localhost.localdomain
DNS.4 = 127.0.0.1
DNS.5 = ::1
DNS.6 = fe80::1

Tệp opensssl.cnf mẫu:

[ req ]
distinguished_name      = req_distinguished_name
attributes              = req_attributes
req_extensions          = v3_req

[ v3_req ]
extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
countryName_min                 = 2
countryName_max                 = 2
stateOrProvinceName             = State or Province Name (full name)
localityName                    = Locality Name (eg, city)
0.organizationName              = Organization Name (eg, company)
organizationalUnitName          = Organizational Unit Name (eg, section)
commonName                      = Common Name (eg, fully qualified host name)
commonName_max                  = 64
emailAddress                    = Email Address
emailAddress_max                = 64

[ req_attributes ]
challengePassword               = A challenge password
challengePassword_min           = 4
challengePassword_max           = 20

[ alt_names ]
DNS.1 = helloworld
DNS.2 = localhost
DNS.3 = localhost.localdomain
DNS.4 = 127.0.0.1
DNS.5 = ::1
DNS.6 = fe80::1

Chạy lệnh edgemicro configure:
```
edgemicro configure -o your_org -e your_env -u your_username
```
Để biết thêm thông tin chi tiết về cấu hình, hãy xem Phần 1: Định cấu hình Edge Microgateway.

Sao chép khoá và thông tin đăng nhập bí mật được trả về từ edgemicro configure. Bạn sẽ cần có các giá trị này để chạy vùng chứa. Ví dụ:

The following credentials are required to start edge micro
  key: d9c34e1aff68ed969273c016699eabf48780e4f652242e72fc88a43e21252cb0
  secret: 3bc95a71c86a3c8ce04537fbcb788158731t51dfc6cdec13b7c05aa0bd969430

2. Tạo ứng dụng đích Node.js

cd vào thư mục .edgemicro.

Tạo tập lệnh bash sau. Bạn có thể đặt bất kỳ tên nào bạn muốn. Ví dụ: keygen.sh.

#!/bin/bash
# generate ca
openssl genrsa -out rootca.key 2048
openssl req -x509 -new -nodes -key rootca.key -sha256 -days 1024 -out rootca.pem
# generate key
openssl genrsa -out tls.key 2048
openssl req -new -key tls.key -out tls.csr
# sign cert
openssl x509 -req -in tls.csr -CA rootca.pem -CAkey rootca.key -CAcreateserial -out tls.crt -days 1024 -sha256 -extensions 'v3_req' -extfile path/openssl.cnf

Trong tệp bash, hãy đảm bảo rằng đường dẫn đến tệp openssl.cnf là chính xác.
Thực thi tệp bash. Bạn sẽ được nhắc cung cấp thông tin chứng chỉ. Hãy nhớ sử dụng hellworld cho Tên phổ biến.
Kiểm tra xem các tệp sau đã được tạo chưa:
- rootca.key
- rootca.pem
- tls.key
- tls.csr
- rootca.srl
- tls.crt

Tạo một tệp mới có tên là server.js.

'use strict';

const express = require('express');
const https = require('https');
const fs = require('fs');

const options = {
  key: fs.readFileSync("tls.key"),
  cert: fs.readFileSync("tls.crt")
};

// Constants
const PORT = 9443;
const HOST = '0.0.0.0';

// App
const app = express();
app.get('/', (req, res) => {
  res.send('Hello world\n');
});

https.createServer(options, app).listen(PORT);

Tạo tệp package.json trong cùng thư mục với server.js. Ví dụ:

{
  "name": "helloworld",
  "version": "1.0.0",
  "description": "",
  "main": "server.js",
  "scripts": {
    "test": "echo \"Error: no test specified\" && exit 1",
    "start": "node server.js"
  },
  "author": "",
  "license": "ISC",
  "dependencies": {
    "express": "^4.16.4",
    "fs": "0.0.1-security",
    "https": "^1.0.0"
  }
}

Chạy npm install để lấy các phần phụ thuộc.
Tạo một Dockerfile mới trong cùng thư mục với server.js, trong đó WORKDIR là đường dẫn đến thư mục gốc của ứng dụng Node.js:
```
FROM node:8-alpine
WORKDIR path-to-your-node-app
COPY package*.json ./

RUN npm install
COPY . .
EXPOSE 9443
CMD [ "npm", "start" ]
```
Tạo hình ảnh Docker:
```
docker build -t helloworld . 
```

Khởi động ứng dụng mẫu:

docker run -P -p 9443:9443 --name helloworld helloworld

3. Tạo thực thể trên Apigee Edge

Tạo một proxy nhận biết Edge Microgateway bằng các chế độ cài đặt sau. Để biết thêm thông tin, hãy xem phần Tạo proxy API nhận biết Edge Microgateway trên Edge.
- Tên proxy: edgemicro_local
- Bản sửa đổi: 1
- Đường dẫn cơ sở: /local
- Mục tiêu: https://helloworld:9443
Tạo một sản phẩm API. Để biết thông tin chi tiết, hãy xem bài viết Tạo sản phẩm.
Tạo nhà phát triển. Để biết thông tin chi tiết, hãy xem phần Tạo nhà phát triển.
Tạo Ứng dụng dành cho nhà phát triển. Để biết thông tin chi tiết, hãy xem phần Tạo ứng dụng dành cho nhà phát triển

4. Chạy vùng chứa

Mở tệp cấu hình Edge Micro trong trình chỉnh sửa. Ví dụ:
```
vi $HOME/.edgemicro/myorg-test-config.yaml
```

Chỉnh sửa khổ edgemicro như sau. Lưu ý rằng bạn sẽ thực hiện các thay đổi vào các thuộc tính port và ssl:

edge_config:
...
edgemicro:
  port: 8443
  max_connections: 1000
  config_change_poll_interval: 600
  ssl:
    key: /opt/apigee/.edgemicro/tls.key
    cert: /opt/apigee/.edgemicro/tls.crt
    passphrase: admin123
    rejectUnauthorized: true
    requestCert: false
  logging:
...

Thực thi lệnh sau để mã hoá base64 tệp cấu hình Edge Microgateway trong $HOME/.edgemicro:
```
export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/your_org-your_env-config.yaml`
```
trong đó your_org và your_env là tổ chức và môi trường mà bạn đã sử dụng khi bạn đã chạy lệnh edgemicro config.

Hãy nhớ đặt dấu phẩy ngược (`) xung quanh lệnh. Ví dụ:
```
export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/docs-test-config.yaml`
```

Chạy lệnh sau để khởi động Edge Microgateway trong vùng chứa Docker.

docker run -P -p 8443:8443 -d --name edgemicro \
-v path_to_your_edgemicro_dir:/opt/apigee/.edgemicro \
-v path_to_your_logs_dir:/opt/apigee/logs \
-e EDGEMICRO_PORT=8443 \
-e EDGEMICRO_ORG=$EDGEMICRO_ORG \
-e EDGEMICRO_ENV=$EDGEMICRO_ENV \
-e EDGEMICRO_KEY=$EDGEMICRO_KEY \
-e EDGEMICRO_SECRET=$EDGEMICRO_SECRET \
-e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \
--link helloworld:helloworld gcr.io/apigee-microgateway/edgemicro

5. Kiểm thử cấu hình TLS

Thực thi lệnh cURL sau đây để kiểm thử chế độ thiết lập. Sản phẩm thay thế đường dẫn cơ sở mà bạn đã sử dụng trong proxy nhận biết cổng vi mô và Khoá API lấy từ ứng dụng dành cho nhà phát triển mà bạn đã tạo trên Apigee Edge. Ví dụ:

curl https://localhost:8443/local -k -H "x-api-key: xxxx" -v

Bạn sẽ thấy lỗi này:

...
*  subject: C=CA; ST=Ontario; L=Toronto; O=Google Canada; OU=Google Cloud Platform; CN=edgemicro; emailAddress=srinandans@google.com
*  start date: Dec 10 02:12:22 2018 GMT
*  expire date: Sep 29 02:12:22 2021 GMT
*  issuer: C=CA; ST=Ontario; L=Toronto; O=Google Canada; OU=Google Cloud Platform; CN=edgemicro; emailAddress=srinandans@google.com
*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
> GET /local HTTP/1.1
> Host: localhost:8443
> User-Agent: curl/7.54.0
> Accept: */*
> x-api-key: 9fVC65pFj8LrmlPmVyxFjx4KgAHTxqSd
>
< HTTP/1.1 502 Bad Gateway
< Date: Wed, 12 Dec 2018 05:25:01 GMT
< Connection: keep-alive
< Content-Length: 93
<
* Connection #0 to host localhost left intact
{"message":"unable to verify the first certificate","code":"UNABLE_TO_VERIFY_LEAF_SIGNATURE"}

Chạy lại Edge Microgateway, nhưng lần này thêm biến NODE_EXTRA_CA_CERTS.

docker run -P -p 8443:8443 -d --name edgemicro \
-v path_to_your_edgemicro_dir:/opt/apigee/.edgemicro \
-v path_to_your_logs_dir:/opt/apigee/logs \
-e NODE_EXTRA_CA_CERTS=/opt/apigee/.edgemicro/rootca.pem \
-e EDGEMICRO_PORT=8443 \
-e EDGEMICRO_ORG=$EDGEMICRO_ORG \
-e EDGEMICRO_ENV=$EDGEMICRO_ENV \
-e EDGEMICRO_KEY=$EDGEMICRO_KEY \
-e EDGEMICRO_SECRET=$EDGEMICRO_SECRET \
-e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \
--link helloworld:helloworld gcr.io/apigee-microgateway/edgemicro

Thực thi lệnh cURL sau đây. Sản phẩm thay thế đường dẫn cơ sở và khoá API của bạn như trước đây. Ví dụ:
```
curl https://localhost:8443/local -k -H "x-api-key: xxxx" -v
```

Kiểm tra kết quả đầu ra. Khi thành công, bạn sẽ nhận được phản hồi trạng thái HTTP 200:

...
> GET /local HTTP/1.1
> Host: localhost:8443
> User-Agent: curl/7.54.0
> Accept: */*
> x-api-key: 9fVC65pFj8LrmlPmVyxFjx4KgAHTxqSd
>
< HTTP/1.1 200 OK
< x-powered-by: Express
< content-type: text/html; charset=utf-8
< etag: W/"c-M6tWOb/Y57lesdjQuHeB1P/qTV0"
< date: Wed, 12 Dec 2018 05:49:28 GMT
< x-response-time: 421
< Connection: keep-alive
< Transfer-Encoding: chunked
<
Hello world

Thêm trình bổ trợ tuỳ chỉnh

Bạn có thể thêm các tính năng và khả năng mới vào cổng nhỏ bằng cách viết tùy chỉnh trình bổ trợ. Các trình bổ trợ tuỳ chỉnh cho phép bạn tương tác theo cách lập trình với các yêu cầu và phản hồi đi qua cổng vi mô.

Bạn có hai lựa chọn để triển khai trình bổ trợ cho Edge Microgateway thực thể chạy trong vùng chứa Docker:

Cách A: Kết nối thư mục trình bổ trợ vào một ổ đĩa
Cách B: Tạo trình bổ trợ vào vùng chứa

Phần còn lại của phần này giả định mà bạn đã quen viết và định cấu hình để thiết lập Edge Microgateway tiêu chuẩn. Nếu chưa, hãy xem phần Phát triển trình bổ trợ tuỳ chỉnh.

Lựa chọn A: Gắn thư mục trình bổ trợ trên một ổ đĩa

(Đã thêm vào phiên bản 2.5.27) Các bước thêm trình bổ trợ thông qua giá đỡ âm lượng là tương tự như các bước bắt buộc để thêm bất kỳ trình bổ trợ tuỳ chỉnh nào vào Edge Microgateway. Thời gian bạn chạy vùng chứa Docker, bạn có thể gắn thư mục plugin trên system (âm lượng) trên điểm gắn vùng chứa, là /opt/apigee/plugins. Sau đó, bạn chỉ định thư mục ổ đĩa cục bộ trong tệp cấu hình Edge Microgateway.

Các bước sau đây minh hoạ cách sử dụng điểm gắn Docker để thêm các trình bổ trợ.

Dừng Edge Microgateway:
```
edgemicro stop
```
Tạo thư mục cho các trình bổ trợ tuỳ chỉnh. Ví dụ: tạo
```
$HOME/edgemicro/custom/plugins
```

Thêm thư mục trình bổ trợ tuỳ chỉnh vào tệp cấu hình Edge Microgateway. Ví dụ:

  plugins:
    dir: $HOME/edgemicro/custom/plugins
    sequence:
      - oauth
      - response-uppercase
  ````

Viết và kiểm thử trình bổ trợ của bạn, theo hướng dẫn trong bài viết Viết một trình bổ trợ đơn giản. Hãy nhớ hãy đặt mã trình bổ trợ của bạn vào cấu trúc thư mục thích hợp. Ví dụ:

custom
  |
  |-- plugins
    |
    |- response-uppercase
    |     |- index.js
    |     |- package.json
    |- request-headers
    |     | - index.js
          | - package.json

Chạy vùng chứa Docker bằng lệnh tương tự như sau, trong đó bạn dùng tuỳ chọn -v để liên kết thư mục trình bổ trợ trên ổ đĩa Docker. Trong lệnh ví dụ sau đây, thư mục trình bổ trợ $HOME/edgemicro/custom/plugins (nơi chứa trình bổ trợ tuỳ chỉnh) được ánh xạ tới điểm gắn /opt/apigee/plugins của vùng chứa:

docker run -P -p 8000:8000 -d --name edgemicro \
-v /var/tmp:/opt/apigee/logs \
-v $HOME/edgemicro/custom/plugins:/opt/apigee/plugins \
-e EDGEMICRO_PROCESSES=1 \
-e EDGEMICRO_ORG=jdoe \
-e EDGEMICRO_ENV=test \
-e EDGEMICRO_KEY=39c4b561100cd7f258768d1072f3e1d7c17b5f36a18fe89972bb5c9ce7e58fb \
-e EDGEMICRO_SECRET=f5f9e239a38b4e6cc99c2aa067716a84aebdcff9580a7925fc500e402b1a5fa \
-e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \
-e SERVICE_NAME=edgemicro \
--security-opt=no-new-privileges \
--cap-drop=ALL gcr.io/apigee-microgateway/edgemicro:latest

Hãy gọi API của bạn để kiểm thử trình bổ trợ.

Để biết thêm thông tin, hãy xem phần TẬP [hệ thống tệp dùng chung].

Lựa chọn B: Tạo trình bổ trợ vào vùng chứa

Trong tuỳ chọn này, bạn tạo các trình bổ trợ vào vùng chứa của mình.

1. Đóng gói trình bổ trợ của bạn

Viết và kiểm thử trình bổ trợ của bạn, theo hướng dẫn trong bài viết Viết một trình bổ trợ đơn giản.
Đặt mã trình bổ trợ của bạn vào cấu trúc thư mục thích hợp. Các thư mục trình bổ trợ phải tuân theo cấu trúc tập hợp. Ví dụ sau đây cho thấy cấu trúc mà bạn phải tuân theo, trong đó response-uppercase và request-headers là tên của các thư mục chứa mã trình bổ trợ tùy chỉnh (những tên này chỉ là ví dụ, tên thư mục có thể khác nhau):
```
plugin
  |
  |-- plugins
    |
    |- response-uppercase
    |     |- index.js
    |     |- package.json
    |- request-headers
    |     | - index.js
          | - package.json
```
cd vào thư mục plugin.
Trong thư mục plugin, hãy nén toàn bộ thư mục plugins:
```
zip -r plugins.zip plugins/
```

2. Tạo hình ảnh Docker

Tiếp theo, hãy tạo một Dockerfile để thêm mã trình bổ trợ của bạn vào hình ảnh Edge Microgateway.

Trong cùng thư mục chứa tệp zip đó, hãy tạo một tệp mới tên là Dockerfile.

Thêm mã sau vào Dockerfile rồi lưu tệp:

USER root
RUN apk update && \
    apk upgrade && \
    apk add zipapk add zip && \
    mkdir /opt/apigee/customplugins && \
    chown apigee:apigee /opt/apigee/customplugins
COPY plugins.zip /opt/apigee/customplugins
RUN su - apigee -c "unzip /opt/apigee/customplugins/plugins.zip -d /opt/apigee/customplugins"
EXPOSE 8000
EXPOSE 8443
USER apigee
ENTRYPOINT ["entrypoint"]

Tạo hình ảnh Docker Edge Microgateway mới bằng các trình bổ trợ của bạn:
```
docker build -t image-name .
```
Ví dụ:
```
docker build -t edgemicroplugins .
```

3. Cập nhật cấu hình Edge Microgateway

Giờ đây, các trình bổ trợ đã được đóng gói, bạn cần thêm chúng vào Edge Microgateway tệp cấu hình.

Mở tệp cấu hình Edge Microgateway trong trình chỉnh sửa:

$HOME/.edgemicro/org-env-config.yaml

Ví dụ:

vi $HOME/.edgemicro/myorg-test-config.yaml

Thêm thư mục trình bổ trợ vào tệp cấu hình. Trong ví dụ sau đây thuộc tính dir chỉ định vị trí của mã trình bổ trợ (mà bạn đã chỉ định) trong Dockerfile). Bạn cũng phải chỉ định tên của thư mục trình bổ trợ, trong ví dụ bên dưới là response-uppercase.
```
edgemicro:
  ...
  plugins:
    dir: /opt/apigee/plugins
    sequence:
      - oauth
      - response-uppercase
```

4. Bắt đầu cổng nhỏ

Cuối cùng, bạn phải bắt đầu cổng nhỏ trong vùng chứa.

Chạy lệnh sau để mã hoá base64 tệp cấu hình Edge Microgateway đặt tại $HOME/.edgemicro:
```
export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/your_org-your_env-config.yaml`
```
trong đó your_org và your_env là tổ chức và môi trường mà bạn đã sử dụng khi bạn đã chạy lệnh edgemicro config.

Hãy nhớ đặt dấu phẩy ngược (`) xung quanh lệnh. Ví dụ:
```
export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/docs-test-config.yaml`
```

Chạy Edge Microgateway như một vùng chứa. Lệnh này thiết lập một số biến môi trường được thời gian chạy vùng chứa dùng để khởi động Edge Microgateway:

docker run -P -p 8000:8000 -d --name edgemicroplugins \
-e EDGEMICRO_PLUGIN_DIR=/opt/apigee/customplugins/plugins \
-e EDGEMICRO_ORG=your_org \
-e EDGEMICRO_ENV=your_env \
-e EDGEMICRO_KEY=your_key \
-e EDGEMICRO_SECRET=your_secret \
-e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \
-e SERVICE_NAME=edgemicroplugins image_name

Ví dụ:

docker run -P -p 8000:8000 -d --name edgemicroplugins \
-e EDGEMICRO_PLUGIN_DIR=/opt/apigee/customplugins/plugins \
-e EDGEMICRO_ORG=docs \
-e EDGEMICRO_ENV=test \
-e EDGEMICRO_KEY=d9c34e1aff68ed969273b016699eabf48780e4f652242e72fc88a23e21252cb0 \
-e EDGEMICRO_SECRET=3bc95a71c86a3c8ce04137fbcb788158731t51dfc6cdec13b7c05aa0bd969430 \
-e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \
-e SERVICE_NAME=edgemicroplugins edgemicroplugins

Gọi API của bạn để kiểm thử trình bổ trợ:

Kiểm thử để đảm bảo mã trình bổ trợ thực thi bằng cách gọi API của bạn và xác minh rằng đầu ra như mong đợi:
```
curl -i http://localhost:8000/hello -H "x-api-key:apikey"
```
Ví dụ: trình bổ trợ response-uppercase có thể trả về phản hồi như sau:
```
curl -i http://localhost:8000/hello -H "x-api-key:PydUKRDGIXRqF2xh4usn1FLHbhGKVIz"
  HELLO, WORLD!
```