Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về
Apigee X. thông tin
Chủ đề này giải thích cách chạy Edge Microgateway trong vùng chứa Docker. Các bước trong chủ đề này giả định bạn đã có kiến thức cơ bản về cách thiết lập và cấu hình Docker, Docker cũng như cách thiết lập và cấu hình Edge Microgateway. Để biết thêm thông tin, hãy tham khảo tài liệu về Docker và Edge Microgateway
Điều kiện tiên quyết
Trước khi chạy Edge Microgateway trong vùng chứa Docker, bạn phải thực hiện các tác vụ sau:
Định cấu hình Edge Microgateway cho tổ chức/môi trường Apigee của bạn:
edgemicro configure -o your_org -e your_env -u your_username
Để biết thêm thông tin chi tiết về cấu hình, hãy xem Phần 1: Định cấu hình Edge Microgateway.
Sau khi thực hiện các bước cấu hình, hãy tìm tệp cấu hình. Vị trí mặc định là:
$HOME/.edgemicro/your_org-your_env-config.yaml
trong đó
your_org
vàyour_env
là tổ chức và môi trường bạn đã sử dụng khi chạy lệnhedgemicro config
. Bạn sẽ cần tệp này khi khởi động Edge Microgateway trong vùng chứa Docker.Hãy đảm bảo bạn có thông tin xác thực khoá và bí mật được trả về khi bạn chạy lệnh
edgemicro config
. Ví dụ:The following credentials are required to start edge micro key: d9c34e1aff68ed969273c016699eabf48780e4f652242e72fc88a43e21252cb0 secret: 3bc95a71c86a3c8ce04537fbcb788158731t51dfc6cdec13b7c05aa0bd969430
Trước khi khởi động Edge Microgateway trong vùng chứa Docker, bạn cần tạo (hoặc đã tạo) các thực thể Apigee Edge cần thiết để thực hiện các lệnh gọi proxy API đã xác thực. Những thực thể này bao gồm một proxy nhận biết Edge Microgateway, Sản phẩm API, Nhà phát triển và Ứng dụng dành cho nhà phát triển. Để biết hướng dẫn đầy đủ, hãy xem phần Tạo thực thể trên Apigee Edge.
Chạy Edge Micro dưới dạng vùng chứa Docker
Tải xuống hình ảnh Docker cho Edge Microgateway:
docker pull gcr.io/apigee-microgateway/edgemicro:latest
Trước khi chuyển sang các bước tiếp theo, hãy đảm bảo bạn đã thực hiện tất cả các bước trong phần Điều kiện tiên quyết.
Chạy lệnh sau để mã hoá base64 cho tệp cấu hình Edge Microgateway nằm trong
$HOME/.edgemicro
:export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/your_org-your_env-config.yaml`
trong đó
your_org
vàyour_env
là tổ chức và môi trường bạn đã sử dụng khi chạy lệnhedgemicro config
.Nhớ đặt dấu phẩy ngược (`) xung quanh lệnh đó. Ví dụ:
export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/docs-test-config.yaml`
Chạy Edge Microgateway dưới dạng vùng chứa. Lệnh này đặt một số biến môi trường mà thời gian chạy vùng chứa sử dụng để khởi động Edge Microgateway:
docker run -P -p 8000:8000 -d --name edgemicro \ -v /var/tmp:/opt/apigee/logs \ -e EDGEMICRO_PROCESSES=1 \ -e EDGEMICRO_ORG=your_org \ -e EDGEMICRO_ENV=your_env \ -e EDGEMICRO_KEY=your_key \ -e EDGEMICRO_SECRET=your_secret \ -e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \ -e SERVICE_NAME=edgemicro \ --security-opt=no-new-privileges \ --cap-drop=ALL \ gcr.io/apigee-microgateway/edgemicro:latest
Thông số
Tham số Mô tả -P
Xuất bản tất cả các cổng đã hiển thị lên máy chủ. Hãy xem thêm bài viết Tài liệu tham khảo về hoạt động chạy Docker. -p
Ánh xạ rõ ràng một cổng hoặc phạm vi cổng. Hãy xem thêm bài viết Tài liệu tham khảo về hoạt động chạy Docker. -d
Chạy ở chế độ tách rời. Hãy xem thêm bài viết Tài liệu tham khảo về hoạt động chạy Docker. -v, --volume
Chỉ định giá đỡ ổ đĩa. Lưu ý rằng nếu định cấu hình Edge Microgateway để sử dụng TLS trong vùng chứa Docker, bạn phải hiển thị cổng 8443 nếu gắn thư mục tệp nhật ký. Xem thêm KHỐI [hệ thống tệp được chia sẻ]. Hãy xem thêm phần Sử dụng TLS trong vùng chứa Docker. EDGEMICRO_ORG
Tên của tổ chức Apigee mà bạn đã dùng để định cấu hình Edge Microgateway. EDGEMICRO_ENV
Tên của môi trường Apigee mà bạn đã dùng để định cấu hình Edge Microgateway. EDGEMICRO_PROCESSES
Số lượng quy trình bắt đầu. EDGEMICRO_KEY
Khoá được trả về khi bạn định cấu hình Edge Microgateway. EDGEMICRO_SECRET
Khoá bí mật được trả về khi bạn định cấu hình Edge Microgateway. EDGEMICRO_CONFIG
Một biến chứa tệp cấu hình Edge Microgateway được mã hoá base64. SERVICE_NAME
Nếu bạn đang dùng Kubernetes, thì tham số này sẽ tự động được điền. Nếu không, bạn có thể đặt thành bất kỳ nội dung nào bạn muốn. Nếu bạn không chỉ định gì, tên dịch vụ sẽ được đặt thành default
.DEBUG
Đặt thành *
để bật tính năng gỡ lỗi.HTTP_PROXY
HTTPS_PROXY
Sử dụng khi Edge Microgateway đang chạy phía sau tường lửa và cổng này không thể giao tiếp với Apigee Edge. Để biết thêm thông tin, hãy xem phần Thiết lập Edge Microgateway sau tường lửa của công ty. Ví dụ:
HTTP_PROXY=http://10.203.0.1:5187/
NO_PROXY
Danh sách các miền được phân tách bằng dấu phẩy mà Edge Microgateway không được ủy quyền. Để biết thêm thông tin, hãy xem phần Thiết lập Edge Microgateway sau tường lửa của công ty. Ví dụ:
localhost,127.0.0.1,localaddress,.localdomain.com
NODE_EXTRA_CA_CERTS
(Không bắt buộc) Sử dụng tham số này nếu bạn đang sử dụng một CA không được Node.js mặc định tin cậy. Đặt giá trị của tham số này thành đường dẫn đến một tệp chứa một hoặc nhiều chứng chỉ đáng tin cậy ở định dạng PEM. Để biết thông tin chi tiết, hãy xem phần Chứng chỉ TLS. --security-opt
(Không bắt buộc) Đặt các tuỳ chọn bảo mật Docker mong muốn. Xem phần Cấu hình bảo mật trong tài liệu về Docker. --cap-drop
(Không bắt buộc) Đặt giới hạn về các tính năng của Linux được phép trong vùng chứa. Xem phần Đặc quyền thời gian chạy và các tính năng của Linux trong tài liệu về Docker. Ví dụ:
docker run -P -p 8000:8000 -d --name edgemicro \ -v /var/tmp:/opt/apigee/logs \ -e EDGEMICRO_PROCESS=1 \ -e EDGEMICRO_ORG=docs \ -e EDGEMICRO_ENV=test \ -e EDGEMICRO_KEY=d9c34e1aff68ed969273b016699eabf48780e4f652242e72fc88a23e21252cb0 \ -e EDGEMICRO_SECRET=3bc95a71c86a3c8ce04137fbcb788158731t51dfc6cdec13b7c05aa0bd969430 \ -e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \ -e SERVICE_NAME=edgemicro \ --security-opt=no-new-privileges \ --cap-drop=ALL \ gcr.io/apigee-microgateway/edgemicro
Cách kiểm tra xem vùng chứa có đang chạy hay không:
docker ps
Bạn sẽ thấy kết quả tương tự như dưới đây:
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 8b92e082ea9c edgemicro "/tmp/entrypoint.sh" 12 minutes ago Up 12 minutes 0.0.0.0:8000->8000/tcp, 0.0.0.0:32775->8443/tcp edgemicro
Kiểm thử lệnh gọi API
Sau khi khởi động Edge Microgateway trong vùng chứa, bạn có thể thực hiện lệnh gọi API tới đó.
Ví dụ: nếu đường dẫn cơ sở của API là /hello
:
http://localhost:8000/hello
Kết quả mẫu:
{"error":"missing_authorization","error_description":"Missing Authorization header"}
Nếu bạn thấy phản hồi này, tức là Edge Microgateway đã xử lý thành công lệnh gọi API. Tuy nhiên, theo mặc định, Edge Microgateway yêu cầu khoá API để xác thực. Trong phần tiếp theo, bạn sẽ kiểm thử API bằng khoá API hợp lệ.
Kiểm thử API bằng khoá API hợp lệ
Trong giao diện người dùng Edge, hãy chuyển đến Ứng dụng dành cho nhà phát triển mà bạn đã tạo trước đó. Trong trang Ứng dụng dành cho nhà phát triển, hãy hiển thị Khoá người dùng và sao chép khoá đó. Giá trị này là khoá API. Bạn sẽ sử dụng khoá này để thực hiện các lệnh gọi API đã xác thực.
Gọi API có tiêu đề x-api-key
như sau. Giá trị Khoá người dùng mà bạn đã sao chép từ Ứng dụng cho nhà phát triển là khoá API. Theo mặc định, Edge Microgateway yêu cầu bạn truyền khoá trong tiêu đề có tên x-api-key
, như sau:
curl -i http://localhost:8000/hello -H "x-api-key:apikey"
Ví dụ:
curl -i http://localhost:8000/hello -H "x-api-key:PydUKRDGIXRqF2xh4usn1FLHbhGKVIz"
Nếu bạn muốn tìm hiểu thêm về cách thực hiện lệnh gọi API được xác thực thông qua Edge Microgateway với khoá API và mã thông báo OAuth, hãy xem Phần 4: Secure Edge Microgateway.
Dừng cổng Microgateway
Sử dụng lệnh Docker sau đây để dừng Edge Microgateway:
docker stop edgemicro
Khởi động lại Edge Microgateway
Sau khi dừng Edge Microgateway, bạn có thể khởi động lại bằng lệnh Docker sau:
docker start edgemicro
Sử dụng TLS trong vùng chứa Docker
Phần này giải thích cách định cấu hình TLS cho Edge Microgateway chạy trong vùng chứa Docker. Bạn có thể định cấu hình máy chủ Edge Microgateway để sử dụng TLS cho các yêu cầu đến (hướng bắc) và bạn có thể định cấu hình Edge Microgateway thành một ứng dụng TLS cho các yêu cầu gửi đi tới điểm cuối nhắm mục tiêu (hướng nam).
Vị trí đặt các tệp chứng chỉ
Vùng chứa Docker chạy Edge Microgateway có điểm gắn trên /opt/apigee/.edgemicro
.
Khi định cấu hình Edge Microgateway để sử dụng chứng chỉ TLS, bạn có thể cung cấp các tệp chứng chỉ trên điểm gắn đó và tham chiếu đến các tệp đó trong tệp cấu hình Edge Microgateway. Tệp cấu hình này thường nằm trong thư mục $HOME/.edgemicro
và có tên là your_org-your_env-config.yaml
.
Ví dụ:
...
edgemicro:
ssl:
key: /opt/apigee/.edgemicro/southbound/tls.key
cert: /opt/apigee/.edgemicro/southbound/tls.crt
...
Sử dụng CA không được Node.js tin cậy
Nếu bạn đang sử dụng một tổ chức phát hành chứng chỉ (CA) không được Node.js mặc định tin cậy (chẳng hạn như trường hợp chứng chỉ tự ký), hãy cân nhắc sử dụng
thông số NODE_EXTRA_CA_CERTS
khi chạy vùng chứa.
Đặt tham số này thành đường dẫn đến một tệp chứa một hoặc nhiều chứng chỉ đáng tin cậy ở định dạng PEM. Để xem cách sử dụng tham số này, hãy xem ví dụ về Cách định cấu hình TLS về hướng bắc và Cách định cấu hình TLS về hướng nam.
Ví dụ:
docker run -P -p 8443:8443 -d --name edgemicro \
-v $HOME/.edgemicro:/opt/apigee/.edgemicro \
-v $HOME/.edgemicro:/opt/apigee/logs \
-e NODE_EXTRA_CA_CERTS=/opt/apigee/.edgemicro/rootca.pem \
-e EDGEMICRO_PORT=8443 \
-e EDGEMICRO_ORG=docs \
-e EDGEMICRO_ENV=test \
-e EDGEMICRO_KEY=ac36574905fb54fdae65fc5433e831bec2680efb98220a355f2e917e52973c \
-e EDGEMICRO_SECRET=aac81dff6c326eaa222d53c15c8841fa78ea863bf4472568c9ce2d80a3bc56 \
-e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \
--link helloworld:helloworld gcr.io/apigee-microgateway/edgemicro
Hãy xem thêm bài viết Chạy Edge Micro dưới dạng vùng chứa Docker.
Tắt tính năng xác thực TLS
Mặc dù không nên, nhưng trong một số trường hợp, bạn có thể tắt tính năng xác thực TLS cho Edge Microgateway chạy trong một vùng chứa. Theo mặc định, tính năng tắt TLS không được tích hợp vào vùng chứa Edge Microgateway Docker. Để hoàn thành nhiệm vụ, bạn phải tạo một hình ảnh Docker tuỳ chỉnh cho Edge Microgateway. Dưới đây là các hướng dẫn chung về cách tạo hình ảnh tuỳ chỉnh và tắt tính năng xác thực TLS.
Sao chép hoặc tải kho lưu trữ nguồn Edge Microgateway xuống từ
https://github.com/apigee-internal/microgateway
.cd
vào thư mụcmicrogateway/kubernetes/docker/edgemicro
trong thư mục mã nguồn.Ví dụ:
cd $HOME/git/microgateway/kubernetes/docker/edgemicro
Mở tệp
entrypoint.sh
rồi sửa đổi mã để chấp nhận biến môi trườngNODE_TLS_REJECT_UNAUTHORIZED
. Sau đó, khi chạy vùng chứa, bạn sẽ chỉ định một giá trị cho biến này.Tạo vùng chứa Docker:
docker build -t edgemicro .
Khi bạn chạy vùng chứa, hãy chỉ định tuỳ chọn
-e NODE_TLS_REJECT_UNAUTHORIZED = 1
. Ví dụ:
docker run -P -p 8443:8443 -d --name edgemicro \
-v $HOME/.edgemicro:/opt/apigee/.edgemicro \
-v $HOME/.edgemicro:/opt/apigee/logs \
-e NODE_TLS_REJECT_UNAUTHORIZED = 1 \
-e EDGEMICRO_PORT=8443 \
-e EDGEMICRO_ORG=docs \
-e EDGEMICRO_ENV=test \
-e EDGEMICRO_KEY=ac36574905fb54fdae65fc5433e831bec2680efb98220a355f2e917e52973c \
-e EDGEMICRO_SECRET=aac81dff6c326eaa222d53c15c8841fa78ea863bf4472568c9ce2d80a3bc56 \
-e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \
--link helloworld:helloworld gcr.io/apigee-microgateway/edgemicro
Ví dụ: Cách định cấu hình TLS về hướng bắc
Phần này giải thích cách thiết lập kết nối TLS về hướng bắc (đến) trên máy chủ Edge Microgateway. TLS hướng bắc cho phép ứng dụng sử dụng HTTPS khi thực hiện lệnh gọi API tới Edge Microgateway. Ví dụ bên dưới sử dụng chứng chỉ tự ký.
1. Các bước thiết lập ban đầu
- Tìm tệp
openssl.cnf
trên hệ thống của bạn. Ví dụ:/etc/ssl/openssl.cnf
. - Mở tệp
opensssl.cnf
để chỉnh sửa. Đảm bảo
req_extensions
có trong tệp cấu hình. Ví dụ: bạn sẽ có thông tin tương tự như sau trong tệp:[ req ] ... req_extensions = v3_req ... [ v3_req ] extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment
Thêm khổ thơ sau vào
openssl.cnf
để tạo các thuộc tính chứa nội dung quảng cáo tìm kiếm thích hợp:[ alt_names ] DNS.1 = www.example.com DNS.2 = example.com DNS.3 = localhost DNS.4 = localhost.localdomain DNS.5 = 127.0.0.1 DNS.6 = ::1 DNS.7 = fe80::1
Tệp
opensssl.cnf
ví dụ:[ req ] distinguished_name = req_distinguished_name attributes = req_attributes req_extensions = v3_req [ v3_req ] extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_min = 2 countryName_max = 2 stateOrProvinceName = State or Province Name (full name) localityName = Locality Name (eg, city) 0.organizationName = Organization Name (eg, company) organizationalUnitName = Organizational Unit Name (eg, section) commonName = Common Name (eg, fully qualified host name) commonName_max = 64 emailAddress = Email Address emailAddress_max = 64 [ req_attributes ] challengePassword = A challenge password challengePassword_min = 4 challengePassword_max = 20 [ alt_names ] DNS.1 = www.example.com DNS.2 = example.com DNS.3 = localhost DNS.4 = localhost.localdomain DNS.5 = 127.0.0.1 DNS.6 = ::1 DNS.7 = fe80::1
Làm theo các bước nêu trong phần Điều kiện tiên quyết để khởi chạy và định cấu hình Edge Microgateway nếu bạn chưa thực hiện. Khi hoàn tất, bạn nên tạo một proxy nhận biết Edge Microgateway, Sản phẩm API, Nhà phát triển và Ứng dụng dành cho nhà phát triển. Ngoài ra, bạn nên chạy lệnh
edgemicro configure
và nhận khoá và bí mật.
2. Tạo chứng chỉ tự ký
Tiếp theo, hãy tạo các chứng chỉ và khoá mà bạn cần để thiết lập TLS:
cd
vào thư mục$HOME/.edgemicro
.Tạo tập lệnh bash sau. Bạn có thể đặt bất kỳ tên nào bạn muốn. Ví dụ:
keygen.sh
.#!/bin/bash # generate ca openssl genrsa -out rootca.key 2048 openssl req -x509 -new -nodes -key rootca.key -sha256 -days 1024 -out rootca.pem # generate key openssl genrsa -out tls.key 2048 openssl req -new -key tls.key -out tls.csr # sign cert openssl x509 -req -in tls.csr -CA rootca.pem -CAkey rootca.key -CAcreateserial -out tls.crt -days 1024 -sha256 -extensions 'v3_req' -extfile path/openssl.cnf
Trong tệp bash, hãy đảm bảo đường dẫn đến tệp
openssl.cnf
là chính xác.Thực thi tệp bash. Bạn sẽ được nhắc cung cấp thông tin về chứng chỉ. Hãy nhớ sử dụng
localhost
cho Common Name (Tên chung).Kiểm tra để đảm bảo các tệp sau đã được tạo:
rootca.key
rootca.pem
tls.key
tls.csr
rootca.srl
tls.crt
3. Chỉnh sửa tệp cấu hình Edge Microgateway
Mở tệp cấu hình Edge Micro trong trình chỉnh sửa. Ví dụ:
vi $HOME/.edgemicro/myorg-test-config.yaml
Chỉnh sửa khổ thơ
edgemicro
như sau. Lưu ý rằng bạn đang thực hiện thay đổi đối với các thuộc tínhport
vàssl
:edge_config: ... edgemicro: port: 8443 max_connections: 1000 config_change_poll_interval: 600 ssl: key: /opt/apigee/.edgemicro/tls.key cert: /opt/apigee/.edgemicro/tls.crt passphrase: admin123 rejectUnauthorized: true requestCert: false logging: ...
Thực thi lệnh sau để mã hoá base64 cho tệp cấu hình Edge Microgateway nằm trong
$HOME/.edgemicro
:export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/your_org-your_env-config.yaml`
trong đó
your_org
vàyour_env
là tổ chức và môi trường bạn đã sử dụng khi chạy lệnhedgemicro config
.Nhớ đặt dấu phẩy ngược (`) xung quanh lệnh đó. Ví dụ:
export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/docs-test-config.yaml`
Xem thêm bài viết Chạy Edge Micro dưới dạng vùng chứa Docker.
4. Chạy vùng chứa
Thực thi lệnh sau để chạy vùng chứa Docker bằng Edge Microgateway:
docker run -P -p 8443:8443 -d --name edgemicro \ -v path_to_your_edgemicro_dir:/opt/apigee/.edgemicro \ -v path_to_your_logs_dir:/opt/apigee/logs \ -e NODE_EXTRA_CA_CERTS=/opt/apigee/.edgemicro/rootca.pem \ -e EDGEMICRO_PORT=8443 \ -e EDGEMICRO_ORG=$EDGEMICRO_ORG \ -e EDGEMICRO_ENV=$EDGEMICRO_ENV \ -e EDGEMICRO_KEY=$EDGEMICRO_KEY \ -e EDGEMICRO_SECRET=$EDGEMICRO_SECRET \ -e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \ gcr.io/apigee-microgateway/edgemicro:latest
Hãy lưu ý các tham số dùng trong lệnh sau; các tham số này khác với lệnh cơ bản được mô tả trong phần Chạy Edge Micro dưới dạng vùng chứa Docker.
port
được đặt thành8443
.- Giá đỡ ổ đĩa được dùng để gắn khoá và các tệp chứng chỉ.
- Biến
NODE_EXTRA_CA_CERTS
dùng để thêm một CA tuỳ chỉnh (nếu cần trong trường hợp chứng chỉ tự ký).
5. Kiểm tra cấu hình TLS
Thực thi lệnh cURL sau đây để kiểm thử chế độ thiết lập. Thay thế đường dẫn cơ sở và khoá API vào lệnh. Ví dụ sau giả định bạn đang ở trong thư mục chứa
rootca.pem
và proxy bạn đã tạo có đường dẫn cơ sở/hello
:curl -v https://localhost:8443/hello --cacert rootca.pem \ -H "x-api-key: Az82fdnfONVCOOE4NKhajxAboDgA3FAo"
Kết quả cURL chi tiết cho thấy từng bước của quá trình bắt tay TLS. Nếu bạn thấy phản hồi HTTP 200 thì cấu hình đã thành công:
* Trying ::1...ey:Az82fdnfONVCOOE4NKhajxAboDgA3FAo" * TCP_NODELAY set * Connected to localhost (::1) port 8443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: rootca.pem CApath: none * TLSv1.2 (OUT), TLS handshake, Client hello (1): * TLSv1.2 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS handshake, Certificate (11): * TLSv1.2 (IN), TLS handshake, Server key exchange (12): * TLSv1.2 (IN), TLS handshake, Server finished (14): * TLSv1.2 (OUT), TLS handshake, Client key exchange (16): * TLSv1.2 (OUT), TLS change cipher, Client hello (1): * TLSv1.2 (OUT), TLS handshake, Finished (20): * TLSv1.2 (IN), TLS change cipher, Client hello (1): * TLSv1.2 (IN), TLS handshake, Finished (20): * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use http/1.1 * Server certificate: * subject: C=US; ST=CO; L=Boulder; O=Docs; OU=Docs; CN=localhost; emailAddress=docs@apigee.com * start date: Dec 14 22:35:28 2018 GMT * expire date: Oct 3 22:35:28 2021 GMT * common name: localhost (matched) * issuer: C=US; ST=CO; L=Boulder; O=Docs; OU=Docs; CN=localhost; emailAddress=docs@apigee.com * SSL certificate verify ok. > GET /hello HTTP/1.1 > Host: localhost:8443 > User-Agent: curl/7.54.0 > Accept: */* > x-api-key:Az82fdnfaONVCOE4NKhajxAboDA3FAo > < HTTP/1.1 200 OK < x-powered-by: Apigee < access-control-allow-origin: * < x-frame-options: ALLOW-FROM RESOURCE-URL < x-xss-protection: 1 < x-content-type-options: nosniff < content-type: text/plain; charset=utf-8 < etag: W/"d-GHB1ZrJKk/wdVTdB/jgBsw" < date: Fri, 14 Dec 2018 22:43:13 GMT < via: 1.1 google < alt-svc: clear < x-response-time: 1325 < Connection: keep-alive < Transfer-Encoding: chunked < * Connection #0 to host localhost left intact Hello, Guest!
Ví dụ: Cách định cấu hình TLS về hướng nam
Phần này giải thích cách thiết lập kết nối TLS hướng nam (đi) giữa máy chủ Edge Microgateway và ứng dụng đích phụ trợ. Ví dụ bên dưới sử dụng chứng chỉ tự ký.
1. Các bước thiết lập ban đầu
- Tìm tệp
openssl.cnf
trên hệ thống của bạn. Ví dụ:/etc/ssl/openssl.cnf
. - Mở tệp
opensssl.cnf
để chỉnh sửa. Đảm bảo
req_extensions
có trong tệp cấu hình. Ví dụ: bạn sẽ có thông tin tương tự như sau trong tệp:[ req ] ... req_extensions = v3_req ... [ v3_req ] extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment
Thêm khổ thơ sau vào
openssl.cnf
để tạo các thuộc tính chứa nội dung quảng cáo tìm kiếm thích hợp:[ alt_names ] DNS.1 = helloworld DNS.2 = localhost DNS.3 = localhost.localdomain DNS.4 = 127.0.0.1 DNS.5 = ::1 DNS.6 = fe80::1
Tệp
opensssl.cnf
ví dụ:[ req ] distinguished_name = req_distinguished_name attributes = req_attributes req_extensions = v3_req [ v3_req ] extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_min = 2 countryName_max = 2 stateOrProvinceName = State or Province Name (full name) localityName = Locality Name (eg, city) 0.organizationName = Organization Name (eg, company) organizationalUnitName = Organizational Unit Name (eg, section) commonName = Common Name (eg, fully qualified host name) commonName_max = 64 emailAddress = Email Address emailAddress_max = 64 [ req_attributes ] challengePassword = A challenge password challengePassword_min = 4 challengePassword_max = 20 [ alt_names ] DNS.1 = helloworld DNS.2 = localhost DNS.3 = localhost.localdomain DNS.4 = 127.0.0.1 DNS.5 = ::1 DNS.6 = fe80::1
Chạy lệnh
edgemicro configure
:edgemicro configure -o your_org -e your_env -u your_username
Để biết thêm thông tin chi tiết về cấu hình, hãy xem Phần 1: Định cấu hình Edge Microgateway.
Sao chép khoá và thông tin xác thực bí mật được trả về từ
edgemicro configure
. Bạn sẽ cần các giá trị này để chạy vùng chứa. Ví dụ:The following credentials are required to start edge micro key: d9c34e1aff68ed969273c016699eabf48780e4f652242e72fc88a43e21252cb0 secret: 3bc95a71c86a3c8ce04537fbcb788158731t51dfc6cdec13b7c05aa0bd969430
2. Tạo ứng dụng mục tiêu Node.js
cd
vào thư mục.edgemicro
.Tạo tập lệnh bash sau. Bạn có thể đặt bất kỳ tên nào bạn muốn. Ví dụ:
keygen.sh
.#!/bin/bash # generate ca openssl genrsa -out rootca.key 2048 openssl req -x509 -new -nodes -key rootca.key -sha256 -days 1024 -out rootca.pem # generate key openssl genrsa -out tls.key 2048 openssl req -new -key tls.key -out tls.csr # sign cert openssl x509 -req -in tls.csr -CA rootca.pem -CAkey rootca.key -CAcreateserial -out tls.crt -days 1024 -sha256 -extensions 'v3_req' -extfile path/openssl.cnf
Trong tệp bash, hãy đảm bảo đường dẫn đến tệp
openssl.cnf
là chính xác.Thực thi tệp bash. Bạn sẽ được nhắc cung cấp thông tin về chứng chỉ. Hãy nhớ sử dụng
hellworld
cho Common Name (Tên chung).Kiểm tra để đảm bảo các tệp sau đã được tạo:
rootca.key
rootca.pem
tls.key
tls.csr
rootca.srl
tls.crt
Tạo một tệp mới có tên là
server.js
.'use strict'; const express = require('express'); const https = require('https'); const fs = require('fs'); const options = { key: fs.readFileSync("tls.key"), cert: fs.readFileSync("tls.crt") }; // Constants const PORT = 9443; const HOST = '0.0.0.0'; // App const app = express(); app.get('/', (req, res) => { res.send('Hello world\n'); }); https.createServer(options, app).listen(PORT);
Tạo một tệp
package.json
trong cùng thư mục vớiserver.js
. Ví dụ:{ "name": "helloworld", "version": "1.0.0", "description": "", "main": "server.js", "scripts": { "test": "echo \"Error: no test specified\" && exit 1", "start": "node server.js" }, "author": "", "license": "ISC", "dependencies": { "express": "^4.16.4", "fs": "0.0.1-security", "https": "^1.0.0" } }
Chạy
npm install
để lấy các phần phụ thuộc.Tạo một Dockerfile mới trong cùng thư mục với
server.js
, trong đóWORKDIR
là đường dẫn đến thư mục gốc của ứng dụng Node.js:FROM node:8-alpine WORKDIR path-to-your-node-app COPY package*.json ./ RUN npm install COPY . . EXPOSE 9443 CMD [ "npm", "start" ]
Tạo hình ảnh Docker:
docker build -t helloworld .
Khởi động ứng dụng mẫu:
docker run -P -p 9443:9443 --name helloworld helloworld
3. Tạo thực thể trên Apigee Edge
Tạo một proxy nhận biết Edge Microgateway bằng các chế độ cài đặt này. Để biết thêm thông tin, hãy xem bài viết Tạo proxy API nhận biết Edge Microgateway trên Edge.
- Tên proxy:
edgemicro_local
- Bản sửa đổi:
1
- Đường dẫn cơ sở:
/local
- Mục tiêu:
https://helloworld:9443
- Tên proxy:
Tạo một sản phẩm API. Để biết chi tiết, hãy xem bài viết Tạo sản phẩm.
Tạo nhà phát triển. Để biết thông tin chi tiết, hãy xem bài viết Tạo nhà phát triển.
Tạo một ứng dụng dành cho nhà phát triển. Để biết thông tin chi tiết, hãy xem phần Tạo ứng dụng dành cho nhà phát triển
4. Chạy vùng chứa
Mở tệp cấu hình Edge Micro trong trình chỉnh sửa. Ví dụ:
vi $HOME/.edgemicro/myorg-test-config.yaml
Chỉnh sửa khổ thơ
edgemicro
như sau. Lưu ý rằng bạn đang thực hiện thay đổi đối với các thuộc tínhport
vàssl
:edge_config: ... edgemicro: port: 8443 max_connections: 1000 config_change_poll_interval: 600 ssl: key: /opt/apigee/.edgemicro/tls.key cert: /opt/apigee/.edgemicro/tls.crt passphrase: admin123 rejectUnauthorized: true requestCert: false logging: ...
Thực thi lệnh sau để mã hoá base64 cho tệp cấu hình Edge Microgateway nằm trong
$HOME/.edgemicro
:export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/your_org-your_env-config.yaml`
trong đó
your_org
vàyour_env
là tổ chức và môi trường bạn đã sử dụng khi chạy lệnhedgemicro config
.Nhớ đặt dấu phẩy ngược (`) xung quanh lệnh đó. Ví dụ:
export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/docs-test-config.yaml`
Chạy lệnh sau để khởi động Edge Microgateway trong vùng chứa Docker.
docker run -P -p 8443:8443 -d --name edgemicro \ -v path_to_your_edgemicro_dir:/opt/apigee/.edgemicro \ -v path_to_your_logs_dir:/opt/apigee/logs \ -e EDGEMICRO_PORT=8443 \ -e EDGEMICRO_ORG=$EDGEMICRO_ORG \ -e EDGEMICRO_ENV=$EDGEMICRO_ENV \ -e EDGEMICRO_KEY=$EDGEMICRO_KEY \ -e EDGEMICRO_SECRET=$EDGEMICRO_SECRET \ -e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \ --link helloworld:helloworld gcr.io/apigee-microgateway/edgemicro
5. Kiểm tra cấu hình TLS
Thực thi lệnh cURL sau đây để kiểm thử chế độ thiết lập. Thay thế đường dẫn cơ sở mà bạn đã sử dụng trong proxy nhận biết cổng vào và khoá API lấy được từ ứng dụng dành cho nhà phát triển mà bạn đã tạo trên Apigee Edge. Ví dụ:
curl https://localhost:8443/local -k -H "x-api-key: xxxx" -v
Bạn sẽ thấy lỗi này:
... * subject: C=CA; ST=Ontario; L=Toronto; O=Google Canada; OU=Google Cloud Platform; CN=edgemicro; emailAddress=srinandans@google.com * start date: Dec 10 02:12:22 2018 GMT * expire date: Sep 29 02:12:22 2021 GMT * issuer: C=CA; ST=Ontario; L=Toronto; O=Google Canada; OU=Google Cloud Platform; CN=edgemicro; emailAddress=srinandans@google.com * SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway. > GET /local HTTP/1.1 > Host: localhost:8443 > User-Agent: curl/7.54.0 > Accept: */* > x-api-key: 9fVC65pFj8LrmlPmVyxFjx4KgAHTxqSd > < HTTP/1.1 502 Bad Gateway < Date: Wed, 12 Dec 2018 05:25:01 GMT < Connection: keep-alive < Content-Length: 93 < * Connection #0 to host localhost left intact {"message":"unable to verify the first certificate","code":"UNABLE_TO_VERIFY_LEAF_SIGNATURE"}
Chạy lại Edge Microgateway, nhưng lần này hãy thêm biến
NODE_EXTRA_CA_CERTS
.docker run -P -p 8443:8443 -d --name edgemicro \ -v path_to_your_edgemicro_dir:/opt/apigee/.edgemicro \ -v path_to_your_logs_dir:/opt/apigee/logs \ -e NODE_EXTRA_CA_CERTS=/opt/apigee/.edgemicro/rootca.pem \ -e EDGEMICRO_PORT=8443 \ -e EDGEMICRO_ORG=$EDGEMICRO_ORG \ -e EDGEMICRO_ENV=$EDGEMICRO_ENV \ -e EDGEMICRO_KEY=$EDGEMICRO_KEY \ -e EDGEMICRO_SECRET=$EDGEMICRO_SECRET \ -e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \ --link helloworld:helloworld gcr.io/apigee-microgateway/edgemicro
Thực thi lệnh cURL sau đây. Thay thế đường dẫn cơ sở và khoá API như trước đây. Ví dụ:
curl https://localhost:8443/local -k -H "x-api-key: xxxx" -v
Kiểm tra kết quả. Sau khi thành công, bạn sẽ nhận được phản hồi trạng thái HTTP 200:
... > GET /local HTTP/1.1 > Host: localhost:8443 > User-Agent: curl/7.54.0 > Accept: */* > x-api-key: 9fVC65pFj8LrmlPmVyxFjx4KgAHTxqSd > < HTTP/1.1 200 OK < x-powered-by: Express < content-type: text/html; charset=utf-8 < etag: W/"c-M6tWOb/Y57lesdjQuHeB1P/qTV0" < date: Wed, 12 Dec 2018 05:49:28 GMT < x-response-time: 421 < Connection: keep-alive < Transfer-Encoding: chunked < Hello world
Thêm trình bổ trợ tuỳ chỉnh
Bạn có thể thêm các tính năng và chức năng mới vào cổng vào vi mô bằng cách viết trình bổ trợ tuỳ chỉnh. Các trình bổ trợ tuỳ chỉnh cho phép bạn tương tác theo phương thức lập trình với các yêu cầu và phản hồi chuyển qua cổng vi mô.
Bạn có 2 lựa chọn để triển khai trình bổ trợ cho một thực thể Edge Microgateway chạy trong vùng chứa Docker:
Phần còn lại của phần này giả định rằng bạn đã quen với việc viết và định cấu hình các trình bổ trợ để thiết lập cổng vi cổng tiêu chuẩn của Edge. Nếu không, hãy xem phần Phát triển trình bổ trợ tuỳ chỉnh.
Lựa chọn A: Gắn thư mục trình bổ trợ vào một ổ đĩa
(Đã thêm vào phiên bản 2.5.27) Các bước thêm trình bổ trợ thông qua giá trị gắn ổ đĩa tương tự như các bước cần thiết để thêm bất kỳ trình bổ trợ tuỳ chỉnh nào vào Edge Microgateway. Khi chạy vùng chứa Docker, bạn có thể gắn thư mục trình bổ trợ vào hệ thống cục bộ (ổ đĩa) trên điểm gắn vùng chứa, tức là /opt/apigee/plugins
.
Sau đó, bạn chỉ định thư mục ổ đĩa cục bộ trong tệp cấu hình Edge Microgateway.
Các bước sau đây minh hoạ cách sử dụng điểm gắn Docker để thêm các trình bổ trợ tuỳ chỉnh.
Dừng cổng micrô Edge:
edgemicro stop
Tạo thư mục cho các trình bổ trợ tuỳ chỉnh. Ví dụ: tạo
$HOME/edgemicro/custom/plugins
Thêm thư mục trình bổ trợ tuỳ chỉnh vào tệp cấu hình Edge Microgateway. Ví dụ:
plugins: dir: $HOME/edgemicro/custom/plugins sequence: - oauth - response-uppercase ````
Viết và kiểm thử trình bổ trợ theo hướng dẫn trong bài viết Viết một trình bổ trợ đơn giản. Hãy đảm bảo đặt mã trình bổ trợ vào cấu trúc thư mục thích hợp. Ví dụ:
custom | |-- plugins | |- response-uppercase | |- index.js | |- package.json |- request-headers | | - index.js | - package.json
Chạy vùng chứa Docker bằng một lệnh tương tự như sau, trong đó bạn sử dụng tuỳ chọn
-v
để gắn thư mục trình bổ trợ vào ổ đĩa Docker. Trong lệnh mẫu sau, thư mục trình bổ trợ$HOME/edgemicro/custom/plugins
(nơi đặt trình bổ trợ tuỳ chỉnh) được liên kết với điểm gắn của vùng chứa/opt/apigee/plugins
:docker run -P -p 8000:8000 -d --name edgemicro \ -v /var/tmp:/opt/apigee/logs \ -v $HOME/edgemicro/custom/plugins:/opt/apigee/plugins \ -e EDGEMICRO_PROCESSES=1 \ -e EDGEMICRO_ORG=jdoe \ -e EDGEMICRO_ENV=test \ -e EDGEMICRO_KEY=39c4b561100cd7f258768d1072f3e1d7c17b5f36a18fe89972bb5c9ce7e58fb \ -e EDGEMICRO_SECRET=f5f9e239a38b4e6cc99c2aa067716a84aebdcff9580a7925fc500e402b1a5fa \ -e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \ -e SERVICE_NAME=edgemicro \ --security-opt=no-new-privileges \ --cap-drop=ALL gcr.io/apigee-microgateway/edgemicro:latest
Hãy gọi API của bạn để kiểm thử trình bổ trợ.
Để biết thêm thông tin, hãy xem phần KHỐI [hệ thống tệp dùng chung].
Lựa chọn B: Xây dựng trình bổ trợ vào vùng chứa
Trong tuỳ chọn này, bạn sẽ tạo các trình bổ trợ vào vùng chứa của mình.
1. Đóng gói các trình bổ trợ của bạn
Viết và kiểm thử trình bổ trợ theo hướng dẫn trong bài viết Viết một trình bổ trợ đơn giản.
Đặt mã trình bổ trợ vào cấu trúc thư mục thích hợp. Thư mục trình bổ trợ phải tuân theo cấu trúc cố định. Ví dụ sau cho thấy cấu trúc bạn phải tuân theo, trong đó
response-uppercase
vàrequest-headers
là tên của các thư mục chứa mã trình bổ trợ tuỳ chỉnh (các tên này chỉ là ví dụ, tên thư mục có thể khác nhau):plugin | |-- plugins | |- response-uppercase | |- index.js | |- package.json |- request-headers | | - index.js | - package.json
cd
vào thư mụcplugin
.Trong thư mục
plugin
, hãy nén toàn bộ thư mụcplugins
:zip -r plugins.zip plugins/
2. Tạo hình ảnh Docker
Tiếp theo, hãy tạo Dockerfile để thêm mã trình bổ trợ vào hình ảnh Edge Microgateway.
- Trong cùng thư mục chứa tệp zip, hãy tạo một tệp mới có tên là
Dockerfile
. Thêm mã sau vào
Dockerfile
và lưu tệp:USER root RUN apk update && \ apk upgrade && \ apk add zipapk add zip && \ mkdir /opt/apigee/customplugins && \ chown apigee:apigee /opt/apigee/customplugins COPY plugins.zip /opt/apigee/customplugins RUN su - apigee -c "unzip /opt/apigee/customplugins/plugins.zip -d /opt/apigee/customplugins" EXPOSE 8000 EXPOSE 8443 USER apigee ENTRYPOINT ["entrypoint"]
Tạo hình ảnh Docker Microgateway mới bằng trình bổ trợ của bạn:
docker build -t image-name .
Ví dụ:
docker build -t edgemicroplugins .
3. Cập nhật cấu hình Edge Microgateway
Giờ đây, các trình bổ trợ đã được đóng gói, bạn cần thêm các trình bổ trợ đó vào tệp cấu hình Edge Microgateway.
Mở tệp cấu hình Edge Microgateway trong trình chỉnh sửa:
$HOME/.edgemicro/org-env-config.yaml
Ví dụ:
vi $HOME/.edgemicro/myorg-test-config.yaml
Thêm thư mục trình bổ trợ vào tệp cấu hình. Trong ví dụ sau, thuộc tính
dir
chỉ định vị trí của mã trình bổ trợ (mà bạn đã chỉ định trong Dockerfile). Bạn cũng phải chỉ định tên của thư mục trình bổ trợ, trong ví dụ dưới đây làresponse-uppercase
.edgemicro: ... plugins: dir: /opt/apigee/plugins sequence: - oauth - response-uppercase
4. Bắt đầu cổng vào vi mô
Cuối cùng, bạn phải bắt đầu cổng vào nhỏ trong vùng chứa.
Chạy lệnh sau để mã hoá base64 cho tệp cấu hình Edge Microgateway nằm trong
$HOME/.edgemicro
:export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/your_org-your_env-config.yaml`
trong đó
your_org
vàyour_env
là tổ chức và môi trường bạn đã sử dụng khi chạy lệnhedgemicro config
.Nhớ đặt dấu phẩy ngược (`) xung quanh lệnh đó. Ví dụ:
export EDGEMICRO_CONFIG=`base64 $HOME/.edgemicro/docs-test-config.yaml`
Chạy Edge Microgateway dưới dạng vùng chứa. Lệnh này đặt một số biến môi trường mà thời gian chạy vùng chứa sử dụng để khởi động Edge Microgateway:
docker run -P -p 8000:8000 -d --name edgemicroplugins \ -e EDGEMICRO_PLUGIN_DIR=/opt/apigee/customplugins/plugins \ -e EDGEMICRO_ORG=your_org \ -e EDGEMICRO_ENV=your_env \ -e EDGEMICRO_KEY=your_key \ -e EDGEMICRO_SECRET=your_secret \ -e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \ -e SERVICE_NAME=edgemicroplugins image_name
Ví dụ:
docker run -P -p 8000:8000 -d --name edgemicroplugins \ -e EDGEMICRO_PLUGIN_DIR=/opt/apigee/customplugins/plugins \ -e EDGEMICRO_ORG=docs \ -e EDGEMICRO_ENV=test \ -e EDGEMICRO_KEY=d9c34e1aff68ed969273b016699eabf48780e4f652242e72fc88a23e21252cb0 \ -e EDGEMICRO_SECRET=3bc95a71c86a3c8ce04137fbcb788158731t51dfc6cdec13b7c05aa0bd969430 \ -e "EDGEMICRO_CONFIG=$EDGEMICRO_CONFIG" \ -e SERVICE_NAME=edgemicroplugins edgemicroplugins
Gọi API của bạn để kiểm thử trình bổ trợ:
Hãy kiểm tra xem mã trình bổ trợ thực thi bằng cách gọi API của bạn và xác minh rằng kết quả đúng như mong đợi:
curl -i http://localhost:8000/hello -H "x-api-key:apikey"
Ví dụ: trình bổ trợ
response-uppercase
có thể trả về một phản hồi như sau:curl -i http://localhost:8000/hello -H "x-api-key:PydUKRDGIXRqF2xh4usn1FLHbhGKVIz" HELLO, WORLD!