Настройте оповещения об истечении срока действия

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

Используйте оповещение об истечении срока действия TLS, чтобы выдать уведомление, когда срок действия сертификата TLS в среде скоро истечет.

О сертификатах TLS

TLS (Transport Layer Security) — это стандартная технология безопасности для установления зашифрованного соединения между веб-сервером и веб-клиентом, например браузером или приложением. Зашифрованная ссылка гарантирует, что все данные, передаваемые между сервером и клиентом, остаются конфиденциальными.

Сертификат TLS — это цифровой файл, который идентифицирует объект в транзакции TLS. Edge использует сертификат TLS для настройки TLS для:

Сертификат TLS содержит дату истечения срока действия. Если срок действия сертификата TLS истечет, соединение TLS не будет установлено, пока вы не обновите сертификат. Это означает, что все запросы к вашему API не будут выполнены, пока вы не обновите сертификат.

Об оповещениях об истечении срока действия

Вместо того, чтобы ждать истечения срока действия сертификата и сбоя запросов к вашему API, используйте оповещение об истечении срока действия, чтобы создать уведомление, когда срок действия любого сертификата TLS в среде скоро истечет. После срабатывания оповещения вы можете обновить сертификат, чтобы ваши клиенты не видели перебоев в обслуживании.

При настройке оповещения указывайте не отдельный сертификат, а конкретную среду. Предупреждение срабатывает, когда срок действия любого развернутого сертификата истекает в указанном диапазоне времени.

Вы можете настроить оповещение об истечении срока действия:

  • За 1 день до истечения срока действия любого сертификата
  • 14 дней до истечения срока действия любого сертификата
  • 30 дней до истечения срока действия любого сертификата
Дополнительные сведения об оповещениях см. в разделе Настройка оповещений и уведомлений .

Добавьте оповещения и уведомления об истечении срока действия

Чтобы добавить оповещения и уведомления об истечении срока действия:
  1. Нажмите «Анализ» > «Правила оповещений» в пользовательском интерфейсе Edge.
  2. Нажмите +Оповещение .
  3. Введите следующую общую информацию об оповещении:
    Поле Описание
    Имя оповещения Название оповещения. Используйте имя, которое описывает триггер и будет иметь для вас значение. Имя не может превышать 128 символов.
    Описание Описание оповещения.
    Тип оповещения Выберите Срок действия TLS . Дополнительную информацию см. в разделе О типах оповещений .
    Среда Выберите среду из раскрывающегося списка.
    Статус Переключите, чтобы включить или отключить оповещение.
  4. Определите пороговое значение и измерение для условия, которое вызовет оповещение.
    Поле условия Описание
    Порог

    Настройте временной диапазон для истекающих сертификатов. Вы можете настроить оповещение об истечении срока действия сертификата через:

    • 1 день
    • 14 дней
    • 30 дней
    Измерение Размерности фиксируются на значении «Любые сертификаты TLS», соответствующем любому сертификату TLS в среде.
  5. Нажмите + Уведомление , чтобы добавить оповещение.
    Детали уведомления Описание
    Канал Выберите канал уведомлений, который вы хотите использовать, и укажите место назначения: электронная почта, Slack, PagerDuty или Webhook.
    Место назначения Укажите пункт назначения в зависимости от выбранного типа канала:
    • Электронная почта — адрес электронной почты, например joe@company.com
    • Slack — URL-адрес канала Slack, например https://hooks.slack.com/services/T00000000/B00000000/XXXXX
    • PagerDuty — код PagerDuty, например abcd1234efgh56789
    • Webhook — URL-адрес веб-перехватчика, например https://apigee.com/test-webhook

      Примечание . Для каждого уведомления можно указать только один пункт назначения. Чтобы указать несколько пунктов назначения для одного и того же типа канала, добавьте дополнительные уведомления.

  6. Чтобы добавить дополнительные уведомления, повторите предыдущий шаг.
  7. Если вы добавили уведомление, установите следующие поля:
    Поле Описание
    Пособие (Необязательно) Текстовое поле произвольной формы для предоставления краткого описания рекомендуемых действий по устранению предупреждений при их срабатывании. Вы также можете указать ссылку на свою внутреннюю вики-страницу или страницу сообщества, где вы ссылаетесь на лучшие практики. Информация в этом поле будет включена в уведомление. Содержимое этого поля не может превышать 1500 символов.
    Дроссель Частота отправки уведомлений. Выберите значение из раскрывающегося списка.
  8. Нажмите Сохранить .

Просмотр оповещений на панели событий.

Когда Edge обнаруживает состояние оповещения, он автоматически регистрирует это состояние на панели мониторинга «События» в пользовательском интерфейсе Edge. Список событий, отображаемый на панели событий, включает все оповещения, как фиксированные, так и сертифицированные.

Чтобы просмотреть оповещение:

  1. Нажмите «Анализ» > «События» в пользовательском интерфейсе Edge. Появится новая панель событий:

  2. Отфильтруйте панель событий по:

    • Среда
    • Область
    • Период времени
  3. Выберите строку на панели мониторинга событий, чтобы отобразить хранилище ключей, содержащее сертификат с истекающим сроком действия, для дальнейшего изучения предупреждения. На странице хранилища ключей вы можете загрузить новый сертификат и удалить сертификат с истекающим сроком действия.

Используйте API оповещений с оповещениями об истечении срока действия

Большинство API-интерфейсов, которые вы используете для создания оповещений об истечении срока действия и управления ими, аналогичны тем, которые вы используете с фиксированными оповещениями. Следующие API оповещений работают одинаково как для фиксированных оповещений, так и для оповещений с истекающим сроком действия:

Однако некоторые API имеют дополнительные свойства, используемые для поддержки предупреждений об аномалиях, в том числе:

Создание или обновление оповещения об истечении срока действия

Используйте те же API для создания или обновления оповещения об истечении срока действия, что и для фиксированного оповещения. Тело вызова API для создания или обновления оповещения об истечении срока действия такое же, как и для фиксированного оповещения, со следующими изменениями:

  • Необходимо добавить следующие новые свойства, чтобы указать, что оповещение является оповещением об истечении срока действия:

    "alertType": "cert"
"alertSubType": "certfixed"

    Значения по умолчанию для этих свойств:

    "alertType": "runtime"
"alertSubType": "fixed"

  • В массиве conditions :

    • Свойство metrics принимает только значения expiration .
    • Используйте свойство gracePeriodSeconds , чтобы указать диапазон времени истечения срока действия сертификата в секундах, но не более 30 дней.
    • Свойства threshold , durationSeconds и comparator не поддерживаются.
  • В элементе dimensions массива conditions :
    • Вы должны установить значение свойства certificate как ANY .
    • Вы должны установить значение свойства proxy равным ALL .
    • Свойства statusCode , developerApp , collection , faultCodeCategory , faultCodeSubCategory , faultCodeName не поддерживаются.
  • Свойство reportEnabled не поддерживается для оповещений об истечении срока действия.

В следующем примере вызова API создается оповещение об истечении срока действия, которое срабатывает, когда срок действия любого cery в рабочей среде истечет в течение следующих 30 дней. Уведомление отправляется на указанный адрес электронной почты при срабатывании оповещения:

curl 'https://apimonitoring.enterprise.apigee.com/alerts' \
 -X POST \
 -H 'Accept: application/json, text/plain, */*' -H "Content-Type: application/json" \
 -H "Authorization: Bearer $ACCESS_TOKEN" \
 -d '{
  "organization":"myorg",
  "name":"My Cert Expiry Alert",
  "description":"My Cert Expiry Alert",
  "environment":"prod",
  "enabled":true,
  "alertType": "cert",
  "alertSubType": "certfixed",
  "conditions":[
  {
    "description":"My Cert Expiry Alert",
    "dimensions":{
      "org":"myorg",
      "env":"prod",
      "proxy":"ALL",
      "certificate": "ANY"
    },
    "metric":"expiration",
    "gracePeriodSeconds": 2592000
  }],
  "notifications":[{
    "channel":"email",
    "destination":"ops@acme.com"
  }],
  "playbook":"http://acme.com/pb.html",
  "throttleIntervalSeconds":3600,
  "reportEnabled":false
}'

Установите $ACCESS_TOKEN свой токен доступа OAuth 2.0, как описано в разделе «Получение токена доступа OAuth 2.0» . Сведения о параметрах cURL, использованных в этом примере, см. в разделе Использование cURL .

Получайте оповещения об истечении срока действия

По умолчанию API Get Alerts возвращает информацию обо всех определенных оповещениях, как фиксированных, так и с истекающим сроком действия. Этот API теперь принимает параметры запроса, позволяющие фильтровать результаты:

  • enabled — если true , указывает на возврат только включенных оповещений. Значение по умолчанию — false .
  • alertType — указывает тип возвращаемого оповещения. Допустимые значения: runtime , default и cert .
  • alertSubType — указывает возвращаемый подтип оповещения. Значение по умолчанию не установлено, что означает возврат всех подтипов оповещений. Укажите certfixed , чтобы возвращать оповещения об истечении срока действия.

Например, используйте следующий вызов API, чтобы вернуть оповещения о включении только для организации с именем myorg :

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&enabled=true'

Следующий вызов возвращает только оповещения об истечении срока действия, как включенные, так и отключенные:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&alertType=cert&alertSubType=certfixed'

Установите $ACCESS_TOKEN для вашего токена доступа OAuth 2.0, как описано в разделе «Получение токена доступа OAuth 2.0» . Сведения о параметрах cURL, использованных в этом примере, см. в разделе Использование cURL .