Konfigurowanie alertów o wygaśnięciu

Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X.
Informacje

Używaj alertu o wygaśnięciu ważności protokołu TLS, aby wysyłać powiadomienia, gdy certyfikat TLS w danym środowisku wkrótce wygaśnie.

Informacje o certyfikatach TLS

TLS (Transport Layer Security) to standardowa technologia zabezpieczeń do tworzenia zaszyfrowanego połączenia między serwerem WWW a klientem internetowym, takim jak przeglądarka lub aplikacja. Zaszyfrowany link zapewnia, że wszystkie dane przesyłane między serwerem a klientem pozostają prywatne.

Certyfikat TLS to plik cyfrowy, który identyfikuje jednostkę w transakcji TLS. Edge używa certyfikatu TLS do konfigurowania protokołu TLS dla:

Certyfikat TLS zawiera datę ważności. Jeśli certyfikat TLS wygaśnie, połączenie TLS nie powiedzie się, dopóki go nie zaktualizujesz. Oznacza to, że wszystkie żądania wysyłane do interfejsu API będą kończyć się niepowodzeniem, dopóki nie zaktualizujesz certyfikatu.

Informacje o alertach o wygaśnięciu

Zamiast czekać na wygaśnięcie certyfikatu i błędy związane z żądaniami wysyłanego do interfejsu API, użyj alertu o wygaśnięciu, aby wysłać powiadomienie o zbliżającym się wygaśnięciu certyfikatu TLS w środowisku. Po wywołaniu alertu możesz go zaktualizować, aby klienci nie zauważyli żadnych przerw w działaniu usługi.

Podczas konfigurowania alertu nie podawaj konkretnego certyfikatu, ale konkretnego środowiska. Alert jest wyzwalany, gdy zaplanowano wygaśnięcie dowolnego wdrożonego certyfikatu w określonym przedziale czasu.

Możesz ustawić alert o wygaśnięciu:

  • 1 dzień przed wygaśnięciem certyfikatu
  • 14 dni przed wygaśnięciem certyfikatu
  • 30 dni przed wygaśnięciem certyfikatu
Więcej informacji o alertach znajdziesz w artykule Konfigurowanie alertów i powiadomień.

Dodaj alerty i powiadomienia o wygaśnięciu

Aby dodać alerty i powiadomienia o wygaśnięciu:
  1. Kliknij Analiza > Reguły alertów w interfejsie Edge.
  2. Kliknij +Alert.
  3. Wpisz te ogólne informacje o alercie:
    Pole Opis
    Nazwa alertu Nazwa alertu. Użyj nazwy, która opisuje regułę i będzie dla Ciebie zrozumiała. Nazwa nie może przekraczać 128 znaków.
    Opis Opis alertu.
    Typ alertu Wybierz Wygaśnięcie TLS. Więcej informacji znajdziesz w artykule Informacje o typach alertów.
    Środowisko Wybierz środowisko z listy.
    Stan Przełącz, aby włączyć lub wyłączyć alert.
  4. Określ próg i wymiar warunku, który będzie wyzwalał alert.
    Pole warunku Opis
    Próg

    Skonfiguruj zakres czasu ważności certyfikatów. Możesz włączyć powiadamianie o wygaśnięciu certyfikatu za:

    • 1 dzień
    • 14 dni
    • 30 dni
    Wymiar Wymiary są ustalone na wartość Wszystkie certyfikaty TLS odpowiadającą dowolnemu certyfikatowi TLS w środowisku.
  5. Kliknij + Powiadomienie, aby dodać powiadomienie o alercie.
    Szczegóły powiadomienia Opis
    Kanał Wybierz kanał powiadomień, którego chcesz używać, i podaj miejsce docelowe: Email, Slack, PagerDuty lub Webhook.
    Miejsce docelowe Określ miejsce docelowe na podstawie wybranego typu kanału:
    • E-mail – adres e-mail, taki jak joe@company.com
    • Slack – adres URL kanału Slacka, np. https://hooks.slack.com/services/T00000000/B00000000/XXXXX
    • PagerDuty – kod PagerDuty, np. abcd1234efgh56789
    • Webhook – adres URL webhooka, np. https://apigee.com/test-webhook

      Uwaga: dla każdego powiadomienia możesz określić tylko jedno miejsce docelowe. Aby określić kilka miejsc docelowych dla tego samego typu kanału, dodaj więcej powiadomień.

  6. Aby dodać kolejne powiadomienia, powtórz poprzedni krok.
  7. Jeśli dodasz powiadomienie, skonfiguruj te pola:
    Pole Opis
    Poradnik (Opcjonalnie) Pole tekstowe zawierające krótki opis zalecanych działań związanych z rozwiązywaniem alertów po ich uruchomieniu. Możesz też podać link do wewnętrznej strony wiki lub strony społeczności, na której znajdziesz sprawdzone metody. Informacje z tego pola zostaną umieszczone w powiadomieniu. Zawartość tego pola nie może przekraczać 1500 znaków.
    Ograniczaj Częstotliwość wysyłania powiadomień. Wybierz wartość z listy.
  8. Kliknij Zapisz.

Wyświetlanie alertów w panelu Zdarzenia

Gdy Edge wykryje warunek alertu, automatycznie zarejestruje go w panelu Zdarzenia w interfejsie Edge. Lista zdarzeń wyświetlana w panelu Zdarzenia zawiera wszystkie alerty, zarówno stałe, jak i certyfikowane.

Aby wyświetlić alert:

  1. W interfejsie użytkownika Edge kliknij Analyze > Zdarzenia. Pojawi się nowy panel Zdarzenia:

  2. Filtruj panel Zdarzenia według:

    • Środowisko
    • Region
    • Przedział czasu
  3. Wybierz wiersz w panelu zdarzeń, aby wyświetlić magazyn kluczy zawierający wygasający certyfikat w celu dokładniejszego zbadania alertu. Na stronie Magazyn kluczy możesz przesłać nowy certyfikat i usunąć wygasły.

Korzystanie z interfejsów API alertów z alertami o wygaśnięciu

Większość interfejsów API, których używasz do tworzenia alertów o wygaśnięciu i zarządzania nimi, jest taka sama jak te, których używasz ze stałymi alertami. Poniższe interfejsy API alertów działają tak samo w przypadku alertów o stałej ważności, jak i o wygaśnięciu:

Niektóre interfejsy API mają jednak dodatkowe właściwości używane do obsługi alertów o anomalii, np.:

  • Otrzymuj alerty – wyświetla wszystkie alerty, w tym alerty o problemach naprawionych i anomalii.
  • Utwórz alert – utwórz alert o stałej wartości lub o anomalii.
  • Aktualizowanie alertu – aktualizowanie definicji alertu o naprawionej lub anomalii.

Tworzenie lub aktualizowanie alertu o wygaśnięciu

Do tworzenia lub aktualizowania alertów o wygaśnięciu alertu o utracie ważności możesz używać tych samych interfejsów API co obecnie w przypadku naprawionych alertów. Treść wywołania interfejsu API służącego do tworzenia lub aktualizowania alertu o wygaśnięciu jest taka sama jak w przypadku ustalonego alertu, z tymi zmianami:

  • Musisz dodać następujące nowe właściwości, aby określić, że alert jest alertem o wygaśnięciu:

    "alertType": "cert"
    "alertSubType": "certfixed"

    Wartości domyślne tych właściwości to:

    "alertType": "runtime"
    "alertSubType": "fixed"
  • W tablicy conditions:

    • Właściwość metrics przyjmuje tylko wartości expiration.
    • Użyj właściwości gracePeriodSeconds, aby określić zakres czasu obowiązywania certyfikatu w sekundach (maksymalnie 30 dni).
    • Właściwości threshold, durationSeconds i comparator nie są obsługiwane.
  • W elemencie dimensions tablicy conditions:
    • Musisz ustawić wartość ANY właściwości certificate.
    • Musisz ustawić wartość ALL właściwości proxy.
    • Właściwości statusCode, developerApp, collection, faultCodeCategory, faultCodeSubCategory i faultCodeName nie są obsługiwane.
  • Właściwość reportEnabled nie jest obsługiwana w przypadku alertów o wygaśnięciu ważności.

Podane niżej przykładowe wywołanie interfejsu API tworzy alert o wygaśnięciu ważności, który jest aktywowany, gdy jakiekolwiek certyfikaty w środowisku produkcyjnym wygasną w ciągu najbliższych 30 dni. Po uruchomieniu alertu na podany adres e-mail wysyłane jest powiadomienie:

curl 'https://apimonitoring.enterprise.apigee.com/alerts' \
 -X POST \
 -H 'Accept: application/json, text/plain, */*' -H "Content-Type: application/json" \
 -H "Authorization: Bearer $ACCESS_TOKEN" \
 -d '{
  "organization":"myorg",
  "name":"My Cert Expiry Alert",
  "description":"My Cert Expiry Alert",
  "environment":"prod",
  "enabled":true,
  "alertType": "cert",
  "alertSubType": "certfixed",
  "conditions":[
  {
    "description":"My Cert Expiry Alert",
    "dimensions":{
      "org":"myorg",
      "env":"prod",
      "proxy":"ALL",
      "certificate": "ANY"
    },
    "metric":"expiration",
    "gracePeriodSeconds": 2592000
  }],
  "notifications":[{
    "channel":"email",
    "destination":"ops@acme.com"
  }],
  "playbook":"http://acme.com/pb.html",
  "throttleIntervalSeconds":3600,
  "reportEnabled":false
}'

Ustaw w $ACCESS_TOKEN token dostępu OAuth 2.0 zgodnie z opisem w sekcji Uzyskiwanie tokena dostępu OAuth 2.0. Informacje o opcjach cURL użytych w tym przykładzie znajdziesz w artykule Użycie cURL.

Otrzymuj alerty o wygaśnięciu

Domyślnie interfejs Otrzymuj alerty zwraca informacje o wszystkich zdefiniowanych alertach – zarówno tych naprawionych, jak i nieaktualnych. Ten interfejs API pobiera teraz parametry zapytania, aby umożliwić Ci filtrowanie wyników:

  • enabled – jeśli true określa, że mają zwracać tylko włączone alerty. Wartością domyślną jest false.
  • alertType – określa typ alertu, który ma być zwracany. Dozwolone wartości to runtime, wartość domyślna i cert.
  • alertSubType – określa podtyp alertu, który ma być zwracany. Wartość domyślna jest nieskonfigurowana, co oznacza, że zwraca wszystkie podtypy alertów. Określ certfixed, aby zwracać alerty o utracie ważności.

Na przykład to wywołanie interfejsu API spowoduje zwrócenie włączenia alertów tylko dla organizacji o nazwie myorg:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&enabled=true'

To wywołanie zwraca tylko alerty o wygaśnięciu (zarówno włączone, jak i wyłączone):

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&alertType=cert&alertSubType=certfixed'

Ustaw w $ACCESS_TOKEN token dostępu OAuth 2.0 zgodnie z opisem w sekcji Uzyskiwanie tokena dostępu OAuth 2.0. Informacje o opcjach cURL użytych w tym przykładzie znajdziesz w artykule Użycie cURL.