Vous consultez la documentation d'Apigee Edge.
Consultez la
documentation Apigee X. en savoir plus
Utilisez une alerte d'expiration TLS pour générer une notification lorsque le certificat TLS d'un environnement est sur le point d'expirer.
À propos des certificats TLS
Le protocole TLS (Transport Layer Security) est la technologie de sécurité standard permettant d'établir une liaison chiffrée entre un serveur Web et un client Web, tel qu'un navigateur ou une application. Un lien chiffré garantit que toutes les données transmises entre le serveur et le client restent privées.
Un certificat TLS est un fichier numérique qui identifie une entité dans une transaction TLS. Edge utilise un certificat TLS pour configurer TLS pour:
- Accédez à vos proxys d'API par des clients API. Utilisez des hôtes virtuels pour configurer TLS.
- Accédez à vos services de backend par Edge. Utilisez les points de terminaison cibles et les serveurs cibles sur le processeur de messages Edge pour configurer TLS.
Un certificat TLS contient une date d'expiration. Si un certificat TLS expire, la connexion TLS échoue jusqu'à ce que vous le mettiez à jour. Cela signifie que toutes les requêtes adressées à votre API échoueront tant que vous n'aurez pas mis à jour le certificat.
À propos des alertes d'expiration
Plutôt que d'attendre qu'un certificat expire et que les requêtes adressées à votre API échouent, utilisez une alerte d'expiration pour envoyer une notification lorsqu'un certificat TLS d'un environnement est sur le point d'expirer. Une fois l'alerte déclenchée, vous pouvez mettre à jour le certificat afin que vos clients ne subissent aucune interruption de service.
Lorsque vous configurez l'alerte, ne spécifiez pas de certificat individuel, mais un environnement spécifique. L'alerte est déclenchée lorsqu'un certificat déployé doit expirer au cours de la période spécifiée.
Vous pouvez configurer l'alerte d'expiration:
- Un jour avant l'expiration d'un certificat
- 14 jours avant l'expiration d'un certificat
- 30 jours avant l'expiration d'un certificat
Ajouter des alertes et des notifications d'expiration
Pour ajouter des alertes et des notifications d'expiration :- Cliquez sur Analyser > Règles d'alerte dans l'interface utilisateur Edge.
- Cliquez sur +Alerte.
- Saisissez les informations générales suivantes concernant l'alerte:
Champ Description Nom de l'alerte Nom de l'alerte. Utilisez un nom qui décrit le déclencheur et qui aura un sens pour vous. Le nom ne doit pas dépasser 128 caractères. Description Description de l'alerte. Type d'alertes Sélectionnez Expiration TLS. Pour en savoir plus, consultez la section À propos des types d'alerte. Environnement Sélectionnez l'environnement dans la liste déroulante. État Appuyez sur le bouton pour activer ou désactiver l'alerte. - Définissez le seuil et la dimension de la condition qui déclenchera l'alerte.
Champ de condition Description Seuil Configurez la période pour les certificats arrivant à expiration. Vous pouvez choisir d'émettre une alerte lorsqu'un certificat arrive à expiration dans:
- 1 jour
- 14 jours
- 30 jours
Dimension Les dimensions sont fixées sur la valeur Tous les certificats TLS correspondant à n'importe quel certificat TLS de l'environnement. - Cliquez sur + Notification pour ajouter une notification d'alerte.
Détails de la notification Description Chaîne Sélectionnez le canal de notification que vous souhaitez utiliser et spécifiez la destination: E-mail, Slack, PagerDuty ou Webhook. Destination Spécifiez la destination en fonction du type de canal sélectionné : - E-mail - Adresse e-mail, telle que
joe@company.com
- Slack - URL du canal Slack, telle que
https://hooks.slack.com/services/T00000000/B00000000/XXXXX
- PagerDuty - Code PagerDuty, tel que
abcd1234efgh56789
- Webhook : URL de webhook, telle que
https://apigee.com/test-webhook
Remarque : Vous ne pouvez spécifier qu'une seule destination par notification. Pour spécifier plusieurs destinations pour le même type de canal, ajoutez des notifications supplémentaires.
- E-mail - Adresse e-mail, telle que
- Pour ajouter d'autres notifications, répétez l'étape précédente.
- Si vous avez ajouté une notification, définissez les champs suivants:
Champ Description Playbook (Facultatif) Champ de texte au format libre permettant de fournir une brève description des actions recommandées pour résoudre les alertes lorsqu'elles se déclenchent. Vous pouvez également spécifier un lien vers votre wiki interne ou votre page de communauté en référence aux bonnes pratiques. Les informations contenues dans ce champ seront incluses dans la notification. Le contenu de ce champ ne peut pas dépasser 1 500 caractères. Limiter Fréquence d'envoi des notifications. Sélectionnez une valeur dans la liste déroulante. - Cliquez sur Enregistrer.
Afficher les alertes dans le tableau de bord des événements
Lorsque Edge détecte une condition d'alerte, il la consigne automatiquement dans le tableau de bord Événements de l'interface utilisateur Edge. La liste des événements affichée dans le tableau de bord des événements inclut toutes les alertes, qu'elles soient fixes ou de certificat.
Pour afficher une alerte:
Cliquez sur Analyser > Événements dans l'interface utilisateur Edge. Le nouveau tableau de bord "Événements" s'affiche:
Vous pouvez filtrer le tableau de bord des événements selon les critères suivants:
- Environnement
- Région
- Période
- Sélectionnez une ligne dans le tableau de bord des événements pour afficher le keystore contenant le certificat arrivant à expiration afin d'examiner l'alerte plus en détail. Sur la page Keystore, vous pouvez importer un nouveau certificat et supprimer le certificat arrivant à expiration.
Utiliser les API d'alerte avec des alertes d'expiration
La plupart des API que vous utilisez pour créer et gérer les alertes d'expiration sont identiques à celles que vous utilisez avec des alertes fixes. Les API d'alerte suivantes fonctionnent de la même manière pour les alertes fixes et les alertes d'expiration:
- Recevoir une alerte : obtenez une définition d'alerte corrigée ou d'anomalie.
- Obtenir l'historique des alertes : obtenez des métriques sur l'historique des alertes.
- Supprimer une alerte : supprimez une définition d'alerte corrigée ou d'anomalie.
- Obtenir une instance d'alerte : obtenir des informations sur une alerte déclenchée.
- Obtenir le nombre d'alertes : obtenir le nombre total d'alertes.
Toutefois, certaines API disposent de propriétés supplémentaires qui permettent de gérer les alertes d'anomalies, parmi lesquelles :
- Recevoir des alertes : listez toutes les alertes, y compris les alertes corrigées et les alertes d'anomalies.
- Créer une alerte : créez une alerte corrigée ou d'anomalie.
- Mettre à jour une alerte : mettez à jour la définition d'une alerte corrigée ou d'anomalie.
Créer ou mettre à jour une alerte d'expiration
Pour créer ou mettre à jour une alerte d'expiration, utilisez les mêmes API que pour une alerte fixe. Le corps de l'appel d'API permettant de créer ou de mettre à jour une alerte d'expiration est identique à celui utilisé pour une alerte fixe, avec les modifications suivantes:
Vous devez ajouter les nouvelles propriétés suivantes pour indiquer qu'il s'agit d'une alerte d'expiration:
"alertType": "cert" "alertSubType": "certfixed"
Les valeurs par défaut de ces propriétés sont les suivantes :
"alertType": "runtime" "alertSubType": "fixed"
Dans le tableau
conditions
:- La propriété
metrics
n'accepte que les valeurs deexpiration
. - Utilisez la propriété
gracePeriodSeconds
pour spécifier la période d'expiration du certificat en secondes, avec une durée maximale de 30 jours. - Les propriétés
threshold
,durationSeconds
etcomparator
ne sont pas acceptées.
- La propriété
- Dans l'élément
dimensions
du tableauconditions
:- Vous devez définir la valeur de la propriété
certificate
surANY
. - Vous devez définir la valeur de la propriété
proxy
surALL
. - Les propriétés
statusCode
,developerApp
,collection
,faultCodeCategory
,faultCodeSubCategory
etfaultCodeName
ne sont pas compatibles.
- Vous devez définir la valeur de la propriété
- La propriété
reportEnabled
n'est pas compatible avec les alertes d'expiration.
L'exemple d'appel d'API suivant crée une alerte d'expiration qui se déclenche lorsqu'une tâche dans l'environnement de production expire dans les 30 prochains jours. Une notification est envoyée à l'adresse e-mail spécifiée lorsque l'alerte est déclenchée:
curl 'https://apimonitoring.enterprise.apigee.com/alerts' \ -X POST \ -H 'Accept: application/json, text/plain, */*' -H "Content-Type: application/json" \ -H "Authorization: Bearer $ACCESS_TOKEN" \ -d '{ "organization":"myorg", "name":"My Cert Expiry Alert", "description":"My Cert Expiry Alert", "environment":"prod", "enabled":true, "alertType": "cert", "alertSubType": "certfixed", "conditions":[ { "description":"My Cert Expiry Alert", "dimensions":{ "org":"myorg", "env":"prod", "proxy":"ALL", "certificate": "ANY" }, "metric":"expiration", "gracePeriodSeconds": 2592000 }], "notifications":[{ "channel":"email", "destination":"ops@acme.com" }], "playbook":"http://acme.com/pb.html", "throttleIntervalSeconds":3600, "reportEnabled":false }'
Définissez $ACCESS_TOKEN
sur votre jeton d'accès OAuth 2.0, comme décrit dans la section Obtenir un jeton d'accès OAuth 2.0.
Pour en savoir plus sur les options cURL utilisées dans cet exemple, consultez Utiliser cURL.
Recevoir des alertes d'expiration
Par défaut, l'API Get Alerts (Obtenir des alertes) renvoie des informations sur toutes les alertes définies, à la fois fixes et sur le point d'expirer. Cette API utilise désormais des paramètres de requête pour vous permettre de filtrer les résultats :
enabled
: sitrue
spécifie de ne renvoyer que les alertes activées. La valeur par défaut estfalse
.alertType
: indique le type d'alerte à renvoyer. Les valeurs autorisées sontruntime
(par défaut) etcert
.alertSubType
: indique le sous-type d'alerte à renvoyer. La valeur par défaut n'est pas définie, ce qui implique le renvoi de tous les sous-types d'alerte. Spécifiezcertfixed
pour renvoyer des alertes d'expiration.
Par exemple, utilisez l'appel d'API suivant pour ne renvoyer que les alertes d'activation pour l'organisation nommée myorg
:
curl -H "Authorization: Bearer $ACCESS_TOKEN" \ 'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&enabled=true'
L'appel suivant ne renvoie que des alertes d'expiration, activées et désactivées:
curl -H "Authorization: Bearer $ACCESS_TOKEN" \ 'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&alertType=cert&alertSubType=certfixed'
Définissez $ACCESS_TOKEN
sur votre jeton d'accès OAuth 2.0, comme décrit dans la section Obtenir un jeton d'accès OAuth 2.0.
Pour en savoir plus sur les options cURL utilisées dans cet exemple, consultez Utiliser cURL.