הגדרת התראות לגבי תפוגה

מוצג המסמך של Apigee Edge.
עוברים אל מסמכי תיעוד של Apigee X. מידע

שימוש בהתראה לגבי תפוגה של TLS להגדלת מספר החשיפות התראה כשאישור TLS בסביבה עומד לפוג.

מידע על אישורי TLS

TLS (Transport Layer Security) היא טכנולוגיית האבטחה הסטנדרטית ליצירת קישור מוצפן בין שרת אינטרנט ללקוח אינטרנט, כמו דפדפן או אפליקציה. קישור מוצפן מבטיח שכל הנתונים שעוברים בין השרת ללקוח יישארו פרטי.

אישור TLS הוא קובץ דיגיטלי שמזהה ישות בטרנזקציית TLS. דפדפן Edge משתמש ב-TLS אישור להגדיר TLS עבור:

• גישה לשרתי API דרך לקוחות API. שימוש במארחים וירטואליים כדי להגדיר TLS.
• גישה לשירותים לקצה העורפי באמצעות Edge. שימוש בנקודות קצה (endpoints) ושרתי יעד במעבד ההודעות של Edge כדי להגדיר TLS.

אישור TLS מכיל תאריך תפוגה. אם פג התוקף של אישור TLS, חיבור ה-TLS ייכשל. עד לעדכון האישור. כלומר, כל הבקשות ל-API ייכשלו עד לעדכון האישור.

מידע על התראות תפוגה

במקום להמתין שתוקף האישור יפוג, ואם בקשות ל-API ייכשלו, משתמשים התראות לגבי תפוגת התוקף התראה כשאישור TLS בסביבה עומד לפוג. לאחר הפעלת ההתראה, אפשר לעדכן את האישור כדי שהלקוחות לא לראות כל הפרעה בשירות.

כשמגדירים את ההתראה, אין לציין אישור ספציפי, אלא סביבה ספציפית. ההתראה מופעלת בכל פעם שמתוזמנים פריסות של אישור כלשהו לפוג בתוך טווח הזמן שצוין.

אתם יכולים להגדיר שהתראת התפוגה תופיע:

• יום אחד לפני שהתוקף של אישור כלשהו יפוג
• 14 ימים לפני שתוקף האישור יפוג
• 30 יום לפני שתוקף האישור יפוג

מידע נוסף על התראות זמין במאמר הגדרת התראות והתראות.

הוספת התראות והתראות לגבי תפוגת תוקף

כדי להוסיף התראות והתראות לגבי תפוגת תוקף:

1. לוחצים על ניתוח > כללי התראות בממשק המשתמש של Edge.
2. לוחצים על +התראה.
3. מזינים את הפרטים הכלליים הבאים לגבי ההתראה:

   שדה	תיאור
   שם התראה	שם ההתראה. צריך להשתמש בשם שמתאר את הטריגר ושהוא בעל משמעות עבורכם. השם יכול להכיל 128 תווים לכל היותר.
   תיאור	תיאור ההתראה.
   סוג התראה	בוחרים באפשרות TLS Expiry (תוקף). צפייה מידע נוסף על סוגי התראות.
   סביבה	בוחרים את הסביבה מהרשימה הנפתחת.
   סטטוס	לוחצים על לחצן החלפת המצב כדי להפעיל או להשבית את ההתראה.

4. מגדירים את הסף והמאפיין עבור התנאי שיפעילו את ההתראה.

   שדה תנאי	תיאור
   סף	הגדרת טווח זמן לאישורים שתוקפם עומד לפוג. אתם יכולים לשלוח התראה כשהתוקף של האישור עומד לפוג: יום אחד 14 ימים 30 ימים
   מאפיין	המאפיינים קבועים לערך של כל אישורי TLS שתואמים ל- כל אישור TLS בסביבה.

5. לוחצים על + התראה כדי להוסיף התראה.

   פרטי ההודעה	תיאור
   ערוץ	בוחרים את ערוץ ההתראות שבו רוצים להשתמש ומציינים את היעד: Email , Slack , PagerDuty או Webhook.
   יעד	מציינים את היעד בהתאם לסוג הערוץ שנבחר: אימייל - כתובת אימייל, למשל joe@company.com Slack – כתובת URL של ערוץ Slack, כמו https://hooks.slack.com/services/T00000000/B00000000/XXXXX PagerDuty – קוד של PagerDuty, כמו abcd1234efgh56789 webhook – כתובת URL של תגובה לפעולה מאתר אחר (webhook), כמו https://apigee.com/test-webhook הערה: אפשר לציין יעד אחד בלבד לכל התראה. כדי לציין יעדים מרובים לאותו סוג ערוץ, הוסיפו עוד התראות.

6. כדי להוסיף עוד התראות, חוזרים על השלב הקודם.
7. אם הוספתם התראה, צריך להגדיר את השדות הבאים:

   שדה	תיאור
   Playbook	(אופציונלי) שדה טקסט חופשי שמספק תיאור קצר של הפעולות המומלצות לפתרון את ההתראות כשהם מופעלים. תוכלו גם לציין קישור לדף ה-wiki הפנימי או לדף הקהילה שלכם שבו אתם תתייחסו לשיטות מומלצות. המידע בשדה הזה ייכלל בהודעה. התוכן בשדה הזה לא יכול לחרוג מ-1,500 תווים.
   משנק	התדירות שבה יישלחו התראות. בוחרים ערך מהרשימה הנפתחת.

8. לוחצים על שמירה.

הצגת התראות במרכז הבקרה של האירועים

כש-Edge מזהה תנאי התראה, הוא רושם את התנאי באופן אוטומטי לוח הבקרה Events (אירועים) בממשק המשתמש של Edge. רשימת האירועים שמוצגת בלוח הבקרה 'אירועים' כולל את כל ההתראות, גם התראות קבועות וגם התראות שאושרו.

כדי להציג התראה:

1. לוחצים על ניתוח > אירועים בממשק המשתמש של Edge. לוח הבקרה החדש של האירועים מופיע:

2. מסננים את מרכז הבקרה של האירועים לפי:

   • סביבה
   • אזור
   • תקופה
3. צריך לבחור שורה במרכז הבקרה של האירועים כדי להציג את ה-Keystore שמכיל את האישור שתוקפו עומד לפוג לחקור את ההתראה לעומק. מהדף Keystore אפשר להעלות אישור חדש ולמחוק את של אישור שתוקפו עומד לפוג.

שימוש בממשקי ה-API להתראות עם התראות תפוגת תוקף

רוב ממשקי ה-API שבהם אתם משתמשים כדי ליצור ולנהל התראות תפוגת תוקף זהים לממשקי ה-API שבהם אתם משתמשים עם התראות קבועות. ממשקי ה-API הבאים להתראות פועלים באותו אופן עבור התראות קבועות והתראות עם תפוגה:

• קבלת התראה – כאן אפשר לקבל הגדרה של התראה קבועה או חריגה.
• קבלת היסטוריית התראות – מקבלים מדדים של היסטוריית התראות.
• מחיקת התראה – מחיקת הגדרה של התראה קבועה או חריגה.
• קבלת מופע של התראה – קבלת מידע על התראה שהופעלה.
• קבלת ספירת התראות – קבלת המספר הכולל של ההתראות.

עם זאת, לחלק מממשקי ה-API יש מאפיינים נוספים שמשמשים לתמיכה בהתראות על חריגה, כולל:

• קבלת התראות – רשימה של כל ההתראות, כולל התראות על תיקון ועל חריגות.
• יצירת התראה – יצירת התראה מתוקנת או התראה חריגה.
• עדכון התראה – עדכון הגדרה של התראה קבועה או חריגה.

יצירה או עדכון של התראה לגבי תפוגת תוקף

להשתמש באותם ממשקי API כדי ליצור או עדכון התראת תפוגה, כפי שנעשה כרגע לגבי התראה קבועה. גוף הקריאה ל-API ליצירה או לעדכון התראת תפוגה זהה לזו שמשמשת להתראה קבועה, עם השינויים הבאים:

• צריך להוסיף את המאפיינים החדשים הבאים כדי לציין שההתראה היא התראה של תפוגה:

  "alertType": "cert"
  "alertSubType": "certfixed"

  ערכי ברירת המחדל של הנכסים האלה הם:

  "alertType": "runtime"
  "alertSubType": "fixed"

• במערך conditions:

  • המאפיין metrics מקבל רק את הערכים של expiration.
  • אפשר להשתמש במאפיין gracePeriodSeconds כדי לציין את טווח הזמן של פקיעת התוקף של האישור בשניות, עד למשך זמן מקסימלי של 30 ימים.
  • אין תמיכה במאפיינים threshold, durationSeconds ו-comparator.
• ברכיב dimensions של המערך conditions:
  • צריך להגדיר את הערך של המאפיין certificate כ-ANY.
  • צריך להגדיר את הערך של המאפיין proxy כ-ALL.
  • statusCode, developerApp, collection, faultCodeCategory אין תמיכה במאפיינים faultCodeSubCategory, faultCodeName.
• אין תמיכה בנכס reportEnabled לצורך שליחת התראות לגבי תפוגת תוקף.

הדוגמה הבאה בקריאה ל-API יוצרת התראת תפוגה שמופעלת כאשר CR תוקף סביבת prod יפוג ב-30 הימים הבאים. התראה נשלחת לכתובת האימייל שצוינה כשההתראה מופעלת:

curl 'https://apimonitoring.enterprise.apigee.com/alerts' \
 -X POST \
 -H 'Accept: application/json, text/plain, */*' -H "Content-Type: application/json" \
 -H "Authorization: Bearer $ACCESS_TOKEN" \
 -d '{
  "organization":"myorg",
  "name":"My Cert Expiry Alert",
  "description":"My Cert Expiry Alert",
  "environment":"prod",
  "enabled":true,
  "alertType": "cert",
  "alertSubType": "certfixed",
  "conditions":[
  {
    "description":"My Cert Expiry Alert",
    "dimensions":{
      "org":"myorg",
      "env":"prod",
      "proxy":"ALL",
      "certificate": "ANY"
    },
    "metric":"expiration",
    "gracePeriodSeconds": 2592000
  }],
  "notifications":[{
    "channel":"email",
    "destination":"ops@acme.com"
  }],
  "playbook":"http://acme.com/pb.html",
  "throttleIntervalSeconds":3600,
  "reportEnabled":false
}'

הגדרת $ACCESS_TOKEN לאסימון הגישה מסוג OAuth 2.0, כפי שמתואר ב- מקבלים אסימון גישה מסוג OAuth 2.0. מידע על אפשרויות ה-cURL שנעשה בהן שימוש בדוגמה הזו זמין במאמר בנושא שימוש ב-cURL.

קבלת התראות לגבי תפוגת תוקף

כברירת מחדל, ה-API של קבלת התראות להצגת מידע על כל ההתראות שהוגדרו, גם התראות קבועות וגם התראות שפג תוקפן. ה-API הזה משתמש עכשיו בפרמטרים של שאילתה כדי לאפשר לכם לסנן את התוצאות:

• enabled – אם מצוין במדיניות true להחזיר רק התראות שהופעלו. ערך ברירת המחדל הוא false.
• alertType – מציין את סוג ההתראה שצריך להחזיר. הערכים המותרים הם runtime, ברירת המחדל ו-cert.
• alertSubType – מציין את סוג המשנה של ההתראה שיוחזרו. ערך ברירת המחדל לא מוגדר, כלומר, החזרת כל סוגי המשנה של ההתראות. יש לציין certfixed כדי להחזיר התראות שפג תוקפן.

לדוגמה, אפשר להשתמש בקריאה הבאה ל-API כדי לחזור ולהפעיל רק התראות עבור הארגון בשם myorg:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&enabled=true'

הקריאה הבאה מחזירה רק התראות שפג תוקפן, גם מופעלות וגם מושבתות:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&alertType=cert&alertSubType=certfixed'

הגדרת $ACCESS_TOKEN לאסימון הגישה מסוג OAuth 2.0, כפי שמתואר ב- מקבלים אסימון גישה מסוג OAuth 2.0. מידע על אפשרויות ה-cURL שנעשה בהן שימוש בדוגמה הזו זמין במאמר בנושא שימוש ב-cURL.