Настройте оповещения об истечении срока действия

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

Используйте оповещение об истечении срока действия TLS, чтобы выдать уведомление, когда срок действия сертификата TLS в среде скоро истечет.

О сертификатах TLS

TLS (Transport Layer Security) — это стандартная технология безопасности для установления зашифрованного соединения между веб-сервером и веб-клиентом, например браузером или приложением. Зашифрованная ссылка гарантирует, что все данные, передаваемые между сервером и клиентом, остаются конфиденциальными.

Сертификат TLS — это цифровой файл, который идентифицирует объект в транзакции TLS. Edge использует сертификат TLS для настройки TLS для:

Сертификат TLS содержит дату истечения срока действия. Если срок действия сертификата TLS истечет, соединение TLS не будет установлено, пока вы не обновите сертификат. Это означает, что все запросы к вашему API не будут выполнены, пока вы не обновите сертификат.

Об оповещениях об истечении срока действия

Вместо того, чтобы ждать истечения срока действия сертификата и сбоя запросов к вашему API, используйте оповещение об истечении срока действия, чтобы создать уведомление, когда срок действия любого сертификата TLS в среде скоро истечет. После срабатывания оповещения вы можете обновить сертификат, чтобы ваши клиенты не видели перебоев в обслуживании.

При настройке оповещения указывайте не отдельный сертификат, а конкретную среду. Предупреждение срабатывает, когда срок действия любого развернутого сертификата истекает в указанном диапазоне времени.

Вы можете настроить оповещение об истечении срока действия:

  • За 1 день до истечения срока действия любого сертификата
  • 14 дней до истечения срока действия любого сертификата
  • 30 дней до истечения срока действия любого сертификата
Дополнительные сведения об оповещениях см. в разделе Настройка оповещений и уведомлений .

Добавьте оповещения и уведомления об истечении срока действия

Чтобы добавить оповещения и уведомления об истечении срока действия:
  1. Нажмите «Анализ» > «Правила оповещений» в пользовательском интерфейсе Edge.
  2. Нажмите +Оповещение .
  3. Введите следующую общую информацию об оповещении:
    Поле Описание
    Имя оповещения Название оповещения. Используйте имя, которое описывает триггер и будет иметь для вас значение. Имя не может превышать 128 символов.
    Описание Описание оповещения.
    Тип оповещения Выберите Срок действия TLS . Дополнительную информацию см. в разделе О типах оповещений .
    Среда Выберите среду из раскрывающегося списка.
    Статус Переключите, чтобы включить или отключить оповещение.
  4. Определите пороговое значение и измерение для условия, которое вызовет оповещение.
    Поле условия Описание
    Порог

    Настройте временной диапазон для истекающих сертификатов. Вы можете настроить оповещение об истечении срока действия сертификата через:

    • 1 день
    • 14 дней
    • 30 дней
    Измерение Размерности фиксируются на значении «Любые сертификаты TLS», соответствующем любому сертификату TLS в среде.
  5. Нажмите + Уведомление , чтобы добавить оповещение.
    Детали уведомления Описание
    Канал Выберите канал уведомлений, который вы хотите использовать, и укажите место назначения: электронная почта, Slack, PagerDuty или Webhook.
    Место назначения Укажите пункт назначения в зависимости от выбранного типа канала:
    • Электронная почта — адрес электронной почты, например joe@company.com
    • Slack — URL-адрес канала Slack, например https://hooks.slack.com/services/T00000000/B00000000/XXXXX
    • PagerDuty — код PagerDuty, например abcd1234efgh56789
    • Webhook — URL-адрес веб-перехватчика, например https://apigee.com/test-webhook

      Примечание . Для каждого уведомления можно указать только один пункт назначения. Чтобы указать несколько пунктов назначения для одного и того же типа канала, добавьте дополнительные уведомления.

  6. Чтобы добавить дополнительные уведомления, повторите предыдущий шаг.
  7. Если вы добавили уведомление, установите следующие поля:
    Поле Описание
    Пособие (Необязательно) Текстовое поле произвольной формы для краткого описания рекомендуемых действий по устранению предупреждений при их срабатывании. Вы также можете указать ссылку на свою внутреннюю вики-страницу или страницу сообщества, где вы ссылаетесь на лучшие практики. Информация в этом поле будет включена в уведомление. Содержимое этого поля не может превышать 1500 символов.
    Дроссель Частота отправки уведомлений. Выберите значение из раскрывающегося списка.
  8. Нажмите Сохранить .

Просмотр оповещений на панели событий.

Когда Edge обнаруживает состояние оповещения, он автоматически регистрирует это состояние на панели мониторинга «События» в пользовательском интерфейсе Edge. Список событий, отображаемый на панели событий, включает все оповещения, как фиксированные, так и сертифицированные.

Чтобы просмотреть оповещение:

  1. Нажмите «Анализ» > «События» в пользовательском интерфейсе Edge. Появится новая панель событий:

  2. Отфильтруйте панель событий по:

    • Среда
    • Область
    • Период времени
  3. Выберите строку на панели мониторинга событий, чтобы отобразить хранилище ключей, содержащее сертификат с истекающим сроком действия, для дальнейшего изучения предупреждения. На странице хранилища ключей вы можете загрузить новый сертификат и удалить сертификат с истекающим сроком действия.

Используйте API оповещений с оповещениями об истечении срока действия

Большинство API-интерфейсов, которые вы используете для создания оповещений об истечении срока действия и управления ими, аналогичны тем, которые вы используете с фиксированными оповещениями. Следующие API оповещений работают одинаково как для фиксированных оповещений, так и для оповещений с истекающим сроком действия:

Однако некоторые API имеют дополнительные свойства, используемые для поддержки предупреждений об аномалиях, в том числе:

Создание или обновление оповещения об истечении срока действия

Используйте те же API для создания или обновления оповещения об истечении срока действия, что и для фиксированного оповещения. Тело вызова API для создания или обновления оповещения об истечении срока действия такое же, как и для фиксированного оповещения, со следующими изменениями:

  • Необходимо добавить следующие новые свойства, чтобы указать, что оповещение является оповещением об истечении срока действия:

    "alertType": "cert"
"alertSubType": "certfixed"

    Значения по умолчанию для этих свойств:

    "alertType": "runtime"
"alertSubType": "fixed"

  • В массиве conditions :

    • Свойство metrics принимает только значения expiration .
    • Используйте свойство gracePeriodSeconds , чтобы указать диапазон времени истечения срока действия сертификата в секундах, но не более 30 дней.
    • Свойства threshold , durationSeconds и comparator не поддерживаются.
  • В элементе dimensions массива conditions :
    • Для свойства certificate необходимо установить значение ANY .
    • Вы должны установить значение свойства proxy равным ALL .
    • Свойства statusCode , developerApp , collection , faultCodeCategory , faultCodeSubCategory , faultCodeName не поддерживаются.
  • Свойство reportEnabled не поддерживается для оповещений об истечении срока действия.

В следующем примере вызова API создается оповещение об истечении срока действия, которое срабатывает, когда срок действия любого cery в рабочей среде истечет в течение следующих 30 дней. Уведомление отправляется на указанный адрес электронной почты при срабатывании оповещения:

curl 'https://apimonitoring.enterprise.apigee.com/alerts' \
 -X POST \
 -H 'Accept: application/json, text/plain, */*' -H "Content-Type: application/json" \
 -H "Authorization: Bearer $ACCESS_TOKEN" \
 -d '{
  "organization":"myorg",
  "name":"My Cert Expiry Alert",
  "description":"My Cert Expiry Alert",
  "environment":"prod",
  "enabled":true,
  "alertType": "cert",
  "alertSubType": "certfixed",
  "conditions":[
  {
    "description":"My Cert Expiry Alert",
    "dimensions":{
      "org":"myorg",
      "env":"prod",
      "proxy":"ALL",
      "certificate": "ANY"
    },
    "metric":"expiration",
    "gracePeriodSeconds": 2592000
  }],
  "notifications":[{
    "channel":"email",
    "destination":"ops@acme.com"
  }],
  "playbook":"http://acme.com/pb.html",
  "throttleIntervalSeconds":3600,
  "reportEnabled":false
}'

Установите $ACCESS_TOKEN свой токен доступа OAuth 2.0, как описано в разделе «Получение токена доступа OAuth 2.0» . Сведения о параметрах cURL, использованных в этом примере, см. в разделе Использование cURL .

Получайте оповещения об истечении срока действия

По умолчанию API Get Alerts возвращает информацию обо всех определенных оповещениях, как фиксированных, так и с истекающим сроком действия. Этот API теперь принимает параметры запроса, позволяющие фильтровать результаты:

  • enabled — если true , указывает на возврат только включенных оповещений. Значение по умолчанию — false .
  • alertType — указывает тип возвращаемого оповещения. Допустимые значения: runtime , default и cert .
  • alertSubType — указывает возвращаемый подтип оповещения. Значение по умолчанию не установлено, что означает возврат всех подтипов оповещений. Укажите certfixed для возврата предупреждений об истечении срока действия.

Например, используйте следующий вызов API, чтобы вернуть оповещения о включении только для организации с именем myorg :

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&enabled=true'

Следующий вызов возвращает только оповещения об истечении срока действия, как включенные, так и отключенные:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&alertType=cert&alertSubType=certfixed'

Установите $ACCESS_TOKEN свой токен доступа OAuth 2.0, как описано в разделе «Получение токена доступа OAuth 2.0» . Сведения о параметрах cURL, использованных в этом примере, см. в разделе Использование cURL .