Configurar alertas de expiração

Esta é a documentação do Apigee Edge.
Acesse Documentação da Apigee X.
informações

Use um alerta de expiração do TLS para aumentar Uma notificação quando o certificado TLS em um ambiente está prestes a expirar.

Sobre os certificados TLS

TLS (Transport Layer Security) é a tecnologia de segurança padrão para estabelecer um link criptografado entre um servidor da Web e um cliente da Web, como um navegador ou um app. Um link criptografado garante que todos os dados transmitidos entre o servidor e o cliente permaneçam privados.

Um certificado TLS é um arquivo digital que identifica uma entidade em uma transação TLS. O Edge usa um TLS para configurar o TLS para:

  • Acesso aos seus proxies de API por clientes de API. Usar hosts virtuais para configurar o TLS.
  • Acesso aos serviços de back-end pelo Edge. Use endpoints e servidores de destino. no processador de mensagens de borda para configurar o TLS.

Um certificado TLS tem uma data de validade. Se um certificado TLS expirar, a conexão TLS vai falhar até que você atualize o certificado. Isso significa que todas as solicitações para sua API vão falhar até que você atualize o certificado.

Sobre os alertas de expiração

Em vez de esperar que um certificado expire e que as solicitações feitas à sua API falhem, use uma alerta de expiração para aumentar uma notificação quando qualquer certificado TLS em um ambiente está prestes a expirar. Depois que o alerta for acionado, atualize o certificado para que seus clientes não ver qualquer interrupção no serviço.

Ao configurar o alerta, não especifique um certificado individual, mas sim um ambiente específico. O alerta é acionado quando qualquer certificado implantado é programado. para expirar no período especificado.

É possível definir que o alerta de expiração ocorra:

  • 1 dia antes da expiração dos certificados
  • 14 dias antes da expiração dos certificados
  • 30 dias antes da expiração dos certificados
. Para mais informações sobre alertas, consulte Configurar alertas e notificações.

Adicionar alertas e notificações de expiração

Para adicionar alertas e notificações de expiração:
  1. Clique em Analisar > Regras de alerta na interface do usuário do Edge.
  2. Clique em +Alerta.
  3. Digite as seguintes informações gerais sobre o alerta:
    Campo Descrição
    Nome do alerta Nome do alerta. Use um nome que descreva o acionador e que seja significativo para você. O nome não pode ter mais de 128 caracteres.
    Descrição Descrição do alerta.
    Tipo de alerta Selecione Validade do TLS. Consulte Sobre os tipos de alerta para saber mais.
    Ambiente Selecione o ambiente na lista suspensa.
    Status Opção para ativar ou desativar a política.
  4. Defina o limite e a dimensão da condição que acionará o alerta.
    Campo de condição Descrição
    Limite

    Configure o intervalo de tempo dos certificados prestes a expirar. Você pode gerar um alerta quando um certificado estiver prestes a expirar em:

    • 1 dia
    • 14 dias
    • 30 dias
    Dimensão As dimensões são fixas no valor Qualquer certificado TLS correspondente a qualquer certificado TLS no ambiente.
  5. Clique em + Notificação para adicionar uma notificação de alerta.
    Detalhes da notificação Descrição
    Channel Selecione o canal de notificação que você quer usar e especifique o destino: E-mail, Slack, PagerDuty ou Webhook.
    Destino Especifique o destino com base no tipo de canal selecionado:
    • E-mail: endereço de e-mail, como joe@company.com
    • Slack: URL do canal do Slack, como https://hooks.slack.com/services/T00000000/B00000000/XXXXX
    • PagerDuty: código do PagerDuty, como o abcd1234efgh56789
    • Webhook: URL do webhook, como https://apigee.com/test-webhook

      Observação: é possível especificar apenas um destino por notificação. Para especificar vários destinos para o mesmo tipo de canal, adicione mais notificações.

  6. Para adicionar outras notificações, repita a etapa anterior.
  7. Se você adicionou uma notificação, defina os campos a seguir:
    Campo Descrição
    Manual (Opcional) Campo de texto em formato livre para fornecer uma breve descrição das ações recomendadas para resolver quando os alertas são acionados. Você também pode especificar um link para seu wiki interno ou página da comunidade em que você pode consultar as práticas recomendadas. As informações neste campo serão incluídas na notificação. O conteúdo nesse campo não pode exceder 1.500 caracteres.
    Throttle Frequência de envio das notificações. Selecione um valor na lista suspensa.
  8. Clique em Salvar.

Conferir alertas no painel de eventos

Quando o Edge detecta uma condição de alerta, ele a registra automaticamente no Painel Events na interface do Edge. Lista de eventos exibidos no painel "Eventos". inclui todos os alertas, fixos e certificados.

Para ver um alerta:

  1. Clique em Analisar > Eventos na IU do Edge. O novo painel "Eventos" é exibido:

  2. Filtre o painel "Eventos" por:

    • Ambiente
    • Região
    • Período
  3. Selecione uma linha no painel de eventos para mostrar o keystore que contém o certificado prestes a expirar para investigar mais detalhadamente o alerta. Na página "Keystore", faça upload de um novo certificado e exclua o certificado prestes a expirar.

Usar as APIs de alerta com alertas de expiração

A maioria das APIs usadas para criar e gerenciar alertas de expiração são as mesmas que você usa com alertas fixos. As seguintes APIs de alerta funcionam da mesma maneira para alertas fixos e de expiração:

No entanto, algumas APIs têm mais prioridades usadas para oferecer suporte a alertas de anomalias. Veja abaixo alguns exemplos:

Criar ou atualizar um alerta de expiração

Use as mesmas APIs para criar ou update um alerta de expiração, da mesma forma que você faz para um alerta fixo. O corpo da chamada de API a ser criada ou atualizada um alerta de expiração é o mesmo usado para um alerta fixo, com as seguintes alterações:

  • É necessário adicionar as novas propriedades a seguir para especificar que o alerta é de expiração:

    "alertType": "cert"
    "alertSubType": "certfixed"

    Os valores padrão dessas propriedades são:

    "alertType": "runtime"
    "alertSubType": "fixed"
  • Na matriz conditions:

    • A propriedade metrics só aceita os valores de expiration.
    • Use a propriedade gracePeriodSeconds para especificar o período de validade do certificado em segundos, até uma duração máxima de 30 dias.
    • As propriedades threshold, durationSeconds e comparator não são compatíveis.
  • No elemento dimensions da matriz conditions:
    • Defina o valor da propriedade certificate como ANY.
    • Defina o valor da propriedade proxy como ALL.
    • statusCode, developerApp, collection, faultCodeCategory As propriedades faultCodeSubCategory e faultCodeName não são compatíveis.
  • A propriedade reportEnabled não tem suporte para alertas de expiração.

O exemplo de chamada de API a seguir cria um alerta de expiração que é acionado quando um local na de produção vai expirar nos próximos 30 dias. Uma notificação é enviada ao endereço de e-mail especificado quando o alerta é acionado:

curl 'https://apimonitoring.enterprise.apigee.com/alerts' \
 -X POST \
 -H 'Accept: application/json, text/plain, */*' -H "Content-Type: application/json" \
 -H "Authorization: Bearer $ACCESS_TOKEN" \
 -d '{
  "organization":"myorg",
  "name":"My Cert Expiry Alert",
  "description":"My Cert Expiry Alert",
  "environment":"prod",
  "enabled":true,
  "alertType": "cert",
  "alertSubType": "certfixed",
  "conditions":[
  {
    "description":"My Cert Expiry Alert",
    "dimensions":{
      "org":"myorg",
      "env":"prod",
      "proxy":"ALL",
      "certificate": "ANY"
    },
    "metric":"expiration",
    "gracePeriodSeconds": 2592000
  }],
  "notifications":[{
    "channel":"email",
    "destination":"ops@acme.com"
  }],
  "playbook":"http://acme.com/pb.html",
  "throttleIntervalSeconds":3600,
  "reportEnabled":false
}'

Defina $ACCESS_TOKEN como token de acesso do OAuth 2.0, conforme descrito em Receber um token de acesso do OAuth 2.0. Para saber mais sobre as opções de cURL usadas neste exemplo, consulte Usar cURL.

Receber alertas de vencimento

Por padrão, a API Get Alerts retorna informações sobre todos os alertas definidos, tanto fixos quanto de expiração. Agora, essa API usa parâmetros de consulta para que você filtre os resultados:

  • enabled: se true especifica que são retornados apenas alertas ativados. O valor padrão é false.
  • alertType: especifica o tipo de alerta a ser retornado. Os valores permitidos são runtime, o padrão, e cert.
  • alertSubType: especifica o subtipo de alerta a ser retornado. O valor padrão não é definido, o que significa que retorna todos os subtipos de alerta. Especifique certfixed para retornar alertas de expiração.

Por exemplo, use a seguinte chamada de API para retornar apenas alertas de ativação para a organização chamada myorg:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&enabled=true'

A chamada a seguir retorna apenas alertas de expiração, ativados e desativados:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&alertType=cert&alertSubType=certfixed'

Defina $ACCESS_TOKEN como token de acesso do OAuth 2.0, conforme descrito em Receber um token de acesso do OAuth 2.0. Para saber mais sobre as opções de cURL usadas neste exemplo, consulte Usar cURL.