Configura alertas de vencimiento

Estás viendo la documentación de Apigee Edge.
Ve a la Documentación de Apigee X.
información

Usa una alerta de vencimiento de TLS para generar una notificación cuando el certificado TLS de un entorno está por vencer.

Acerca de los certificados TLS

TLS (seguridad de la capa de transporte) es la tecnología de seguridad estándar para establecer un vínculo encriptado entre un servidor web y un cliente web, como un navegador o una . Un vínculo encriptado garantiza que todos los datos que se pasan entre el servidor y el cliente permanezcan privada.

Un certificado TLS es un archivo digital que identifica una entidad en una transacción TLS. Edge usa una TLS certificado para configurar TLS para lo siguiente:

  • Permite el acceso de los clientes de API a los proxies de tu API. Usar hosts virtuales para configurar TLS.
  • Acceso a tus servicios de backend por el perímetro. Usa extremos y servidores de destino. en Edge Message Processor para configurar TLS.

Un certificado TLS contiene una fecha de vencimiento. Si un certificado TLS vence, la conexión TLS falla hasta que actualices el certificado. Esto significa que todas las solicitudes a tu API fallarán hasta que actualices el certificado.

Acerca de las alertas de vencimiento

En lugar de esperar a que el certificado caduque y que las solicitudes a tu API fallen, usa un alerta de vencimiento para generar una notificación cuando un certificado TLS de un entorno esté por vencer. Después de activar la alerta, puedes actualizar el certificado para que tus clientes no verán interrupciones en el servicio.

Cuando configures la alerta, no especifiques un certificado individual, sino un entorno específico. La alerta se activa cuando se programa un certificado implementado caduque en el intervalo de tiempo especificado.

Puedes configurar la alerta de vencimiento para que ocurra:

  • 1 día antes de que venza un certificado
  • 14 días antes de que venza un certificado
  • 30 días antes de que venza un certificado
Para obtener más información sobre las alertas, consulta Configura alertas y notificaciones.

Agrega alertas y notificaciones de vencimiento

Para agregar alertas y notificaciones de vencimiento, sigue estos pasos:
  1. Haz clic en Analizar > Reglas de alerta en la IU de Edge.
  2. Haz clic en +Alerta.
  3. Ingresa la siguiente información general sobre la alerta:
    Campo Descripción
    Nombre de la alerta Nombre de la alerta. Usa un nombre que describa el activador y que sea significativo para ti. El nombre no puede superar los 128 caracteres.
    Descripción Descripción de la alerta.
    Tipo de alerta Selecciona Vencimiento de TLS. Consulta Acerca de los tipos de alertas para obtener más información.
    Entorno Selecciona el entorno de la lista desplegable.
    Estado Activa o desactiva la habilitación de la política.
  4. Define el umbral y la dimensión para la condición que activará la alerta.
    Campo de condición Descripción
    Umbral

    Configura el intervalo de tiempo de los certificados que vencerán pronto. Puedes optar por enviar una alerta cuando un certificado venza en los siguientes lugares:

    • 1 día
    • 14 días
    • 30 días
    Dimensión Las dimensiones se fijan en un valor de Cualquier certificado TLS correspondiente a cualquier certificado TLS del entorno.
  5. Haz clic en + Notificación para agregar una notificación de alerta.
    Detalles de la notificación Descripción
    Canal Selecciona el canal de notificaciones que quieres usar y especifica el destino: Email, Slack, PagerDuty o Webhook.
    Destino Especifica el destino según el tipo de canal seleccionado:
    • Correo electrónico: Dirección de correo electrónico (por ejemplo, joe@company.com)
    • Slack: URL del canal de Slack, como https://hooks.slack.com/services/T00000000/B00000000/XXXXX
    • PagerDuty: código de PagerDuty, como abcd1234efgh56789
    • Webhook: URL de webhook, como https://apigee.com/test-webhook

      Nota: Solo puedes especificar un destino por notificación. Cómo especificar varios destinos para el mismo tipo de canal, agrega notificaciones adicionales.

  6. Para agregar notificaciones adicionales, repite el paso anterior.
  7. Si agregaste una notificación, configura los siguientes campos:
    Campo Descripción
    Guía Campo de texto de formato libre que proporciona una descripción breve de las acciones recomendadas de resolución (opcional) las alertas cuando se activan. También puedes especificar un vínculo a tu wiki interna o página de la comunidad donde y consultar las prácticas recomendadas. La información de este campo se incluirá en la notificación. El contenido de este campo no puede superar los 1,500 caracteres.
    Throttle La frecuencia con la que se envían las notificaciones. Selecciona un valor de la lista desplegable.
  8. Haz clic en Guardar.

Ver alertas en el panel Eventos

Cuando Edge detecta una condición de alerta, la registra automáticamente en la Panel Events en la IU de Edge. La lista de eventos que se muestra en el panel Eventos incluye todas las alertas, tanto fijas como certificadas.

Para ver una alerta, sigue estos pasos:

  1. Haz clic en Analizar > Eventos en la IU de Edge. Aparecerá el nuevo panel Eventos:

  2. Filtra el panel Eventos por:

    • Entorno
    • Región
    • Período
  3. Selecciona una fila en el panel Eventos para mostrar el almacén de claves que contiene el certificado que caducará para investigar la alerta en más detalle. En la página Almacén de claves, puedes subir un certificado nuevo y borrar el certificado por vencer.

Usa las APIs de alertas con alertas de vencimiento

La mayoría de las APIs que usas para crear y administrar alertas de vencimiento son las mismas que usas con alertas fijas. Las siguientes APIs de alertas funcionan de la misma manera para las alertas fijas y de vencimiento:

Sin embargo, algunas API tienen propiedades adicionales que se usan para admitir alertas de anomalía, como las siguientes:

Crea o actualiza una alerta de vencimiento

Usa las mismas APIs para crear o actualizar de vencimiento, como lo haces actualmente para una alerta fija. El cuerpo de la llamada a la API que se creará o actualizará Una alerta de vencimiento es lo mismo que se usa para una alerta fija, con los siguientes cambios:

  • Debes agregar las siguientes propiedades nuevas para especificar que la alerta es una alerta de vencimiento:

    "alertType": "cert"
    "alertSubType": "certfixed"

    Los valores predeterminados de estas propiedades son los siguientes:

    "alertType": "runtime"
    "alertSubType": "fixed"
  • En el arreglo conditions, sucede lo siguiente:

    • La propiedad metrics solo toma los valores de expiration.
    • Usa la propiedad gracePeriodSeconds para especificar el intervalo de tiempo de vencimiento del certificado en segundos, con una duración máxima de 30 días.
    • Las propiedades threshold, durationSeconds y comparator no son compatibles.
  • En el elemento dimensions del array conditions:
    • Debes establecer el valor de la propiedad certificate como ANY.
    • Debes establecer el valor de la propiedad proxy como ALL.
    • Los statusCode, developerApp, collection, faultCodeCategory, Las propiedades faultCodeSubCategory y faultCodeName no son compatibles.
  • La propiedad reportEnabled no es compatible con las alertas de vencimiento.

El siguiente ejemplo de llamada a la API crea una alerta de vencimiento que se activa cuando se detecta un certificado en el el entorno de producción vencerá en los próximos 30 días. Se envía una notificación a la dirección de correo electrónico especificada. cuando se activa la alerta:

curl 'https://apimonitoring.enterprise.apigee.com/alerts' \
 -X POST \
 -H 'Accept: application/json, text/plain, */*' -H "Content-Type: application/json" \
 -H "Authorization: Bearer $ACCESS_TOKEN" \
 -d '{
  "organization":"myorg",
  "name":"My Cert Expiry Alert",
  "description":"My Cert Expiry Alert",
  "environment":"prod",
  "enabled":true,
  "alertType": "cert",
  "alertSubType": "certfixed",
  "conditions":[
  {
    "description":"My Cert Expiry Alert",
    "dimensions":{
      "org":"myorg",
      "env":"prod",
      "proxy":"ALL",
      "certificate": "ANY"
    },
    "metric":"expiration",
    "gracePeriodSeconds": 2592000
  }],
  "notifications":[{
    "channel":"email",
    "destination":"ops@acme.com"
  }],
  "playbook":"http://acme.com/pb.html",
  "throttleIntervalSeconds":3600,
  "reportEnabled":false
}'

Configura $ACCESS_TOKEN como tu token de acceso de OAuth 2.0, como se describe en Obtén un token de acceso de OAuth 2.0. Para obtener información sobre las opciones de cURL usadas en este ejemplo, consulta Cómo usar cURL.

Recibe alertas de vencimiento

De forma predeterminada, la API Obtener alertas muestra información sobre todas las alertas definidas, tanto fijas como de vencimiento. Esta API ahora toma parámetros de búsqueda que te permiten filtrar los resultados:

  • enabled: Si true especifica que solo se muestran alertas habilitadas. El valor predeterminado es false.
  • alertType: Especifica el tipo de alerta que se mostrará. Los valores permitidos son runtime, el predeterminado y cert.
  • alertSubType: Especifica el subtipo de alerta que se mostrará. El valor predeterminado no está configurado, lo que significa que se muestran todos los subtipos de alerta. Especifica certfixed para mostrar las alertas de vencimiento.

Por ejemplo, usa la siguiente llamada a la API para que muestre solo las alertas de la organización llamada myorg:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&enabled=true'

La siguiente llamada solo muestra alertas de vencimiento, tanto habilitadas como inhabilitadas:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&alertType=cert&alertSubType=certfixed'

Configura $ACCESS_TOKEN como tu token de acceso de OAuth 2.0, como se describe en Obtén un token de acceso de OAuth 2.0. Para obtener información sobre las opciones de cURL usadas en este ejemplo, consulta Cómo usar cURL.