Thiết lập cảnh báo hết hạn

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Sử dụng cảnh báo hết hạn TLS để đưa ra thông báo khi chứng chỉ TLS trong một môi trường sắp hết hạn.

Giới thiệu về chứng chỉ TLS

TLS (Bảo mật tầng truyền tải) là công nghệ bảo mật tiêu chuẩn để thiết lập đường liên kết đã mã hoá giữa máy chủ web và ứng dụng web, chẳng hạn như trình duyệt hoặc ứng dụng. Đường liên kết đã mã hoá giúp đảm bảo rằng tất cả dữ liệu truyền giữa máy chủ và ứng dụng vẫn ở chế độ riêng tư.

Chứng chỉ TLS là một tệp kỹ thuật số giúp nhận dạng thực thể trong giao dịch TLS. Edge sử dụng chứng chỉ TLS để định cấu hình TLS cho:

  • Quyền truy cập vào proxy API của bạn bằng ứng dụng API. Sử dụng máy chủ ảo để định cấu hình TLS.
  • Quyền truy cập vào các dịch vụ phụ trợ của bạn bằng Edge. Sử dụng thiết bị đầu cuối mục tiêu và máy chủ đích trên Edge Message Processor (Trình xử lý thông báo của Edge) để định cấu hình TLS.

Chứng chỉ TLS chứa ngày hết hạn. Nếu chứng chỉ TLS hết hạn, kết nối TLS sẽ không thành công cho đến khi bạn cập nhật chứng chỉ. Điều đó có nghĩa là tất cả yêu cầu gửi đến API của bạn sẽ không thực hiện được cho đến khi bạn cập nhật chứng chỉ.

Giới thiệu về cảnh báo hết hạn

Thay vì đợi chứng chỉ hết hạn và các yêu cầu gửi đến API không thành công, hãy sử dụng cảnh báo hết hạn để gửi thông báo khi có bất kỳ chứng chỉ TLS nào trong một môi trường sắp hết hạn. Sau khi cảnh báo được kích hoạt, bạn có thể cập nhật chứng chỉ để khách hàng sẽ không thấy bất kỳ sự gián đoạn dịch vụ nào.

Khi định cấu hình cảnh báo, không chỉ định từng chứng chỉ mà hãy chỉ định môi trường cụ thể. Cảnh báo này được kích hoạt khi một chứng chỉ bất kỳ đã triển khai được lên lịch để hết hạn trong phạm vi thời gian đã chỉ định.

Bạn có thể thiết lập để đưa ra cảnh báo hết hạn:

  • 1 ngày trước khi bất kỳ chứng chỉ nào hết hạn
  • 14 ngày trước khi bất kỳ chứng chỉ nào hết hạn
  • 30 ngày trước khi bất kỳ chứng chỉ nào hết hạn
Để biết thêm thông tin về cảnh báo, hãy xem bài viết Thiết lập cảnh báo và thông báo.

Thêm cảnh báo và thông báo về ngày hết hạn

Cách thêm cảnh báo về ngày hết hạn và thông báo:
  1. Nhấp vào Analyze > Alert Rules (Phân tích > Quy tắc cảnh báo) trong giao diện người dùng Edge.
  2. Nhấp vào +Cảnh báo.
  3. Nhập thông tin chung sau đây về cảnh báo:
    Trường Nội dung mô tả
    Tên thông báo Tên của cảnh báo. Sử dụng tên mô tả điều kiện kích hoạt và tên đó có ý nghĩa với bạn. Tên không được vượt quá 128 ký tự.
    Nội dung mô tả Nội dung mô tả về cảnh báo.
    Loại Cảnh báo Chọn Ngày hết hạn TLS (Bảo mật tầng truyền tải). Hãy xem bài viết Giới thiệu về các loại thông báo để biết thêm thông tin.
    Môi trường Chọn môi trường trong danh sách thả xuống.
    Trạng thái Gạt nút để bật hoặc tắt cảnh báo.
  4. Xác định ngưỡng và phương diện cho điều kiện sẽ kích hoạt cảnh báo.
    Trường điều kiện Nội dung mô tả
    Ngưỡng

    Định cấu hình phạm vi thời gian cho các chứng chỉ sắp hết hạn. Bạn có thể chọn đưa ra cảnh báo khi chứng chỉ sắp hết hạn sau:

    • 1 ngày
    • 14 ngày
    • 30 ngày
    Phương diện Kích thước được cố định thành một giá trị của Mọi chứng chỉ TLS tương ứng với bất kỳ chứng chỉ TLS nào trong môi trường.
  5. Nhấp vào + Thông báo để thêm thông báo.
    Thông tin chi tiết về thông báo Nội dung mô tả
    Kênh Chọn kênh thông báo bạn muốn sử dụng và chỉ định đích đến: Email, Slack, PagerDuty hoặc Webhook.
    Đích đến Chỉ định đích đến dựa trên loại kênh đã chọn:
    • Email – Địa chỉ email, chẳng hạn như joe@company.com
    • Slack – URL của kênh Slack, chẳng hạn như https://hooks.slack.com/services/T00000000/B00000000/XXXXX
    • PagerDuty – mã PagerDuty, chẳng hạn như abcd1234efgh56789
    • Webhook – URL webhook, chẳng hạn như https://apigee.com/test-webhook

      Lưu ý: Bạn chỉ có thể chỉ định một đích đến cho mỗi thông báo. Để chỉ định nhiều đích đến cho cùng một loại kênh, hãy thêm thông báo bổ sung.
  6. Để thêm thông báo khác, hãy lặp lại bước trước đó.
  7. Nếu bạn đã thêm một thông báo, hãy thiết lập các trường sau:
    Trường Nội dung mô tả
    Cẩm nang (Không bắt buộc) Trường văn bản dạng tự do cung cấp nội dung mô tả ngắn về các hành động được đề xuất để giải quyết các cảnh báo khi cảnh báo kích hoạt. Bạn cũng có thể chỉ định một đường liên kết đến trang wiki nội bộ hoặc trang cộng đồng của mình để bạn tham khảo các phương pháp hay nhất. Thông tin trong trường này sẽ được đưa vào thông báo. Nội dung trong trường này không được vượt quá 1500 ký tự.
    Van tiết lưu Tần suất gửi thông báo. Chọn một giá trị trong danh sách thả xuống.
  8. Nhấp vào Lưu.

Xem cảnh báo trong trang tổng quan Sự kiện

Khi phát hiện thấy một điều kiện cảnh báo, Edge sẽ tự động ghi lại điều kiện đó vào trang tổng quan Sự kiện trong giao diện người dùng Edge. Danh sách các sự kiện hiển thị trong trang tổng quan Sự kiện bao gồm tất cả cảnh báo, cả cảnh báo cố định và chứng chỉ.

Cách xem cảnh báo:

  1. Nhấp vào Phân tích > Sự kiện trong giao diện người dùng Edge. Trang tổng quan Sự kiện mới sẽ xuất hiện:

  2. Lọc trang tổng quan về Sự kiện theo:

    • Môi trường
    • Vùng
    • Khoảng thời gian
  3. Chọn một hàng trong Trang tổng quan về sự kiện để hiển thị Kho khoá chứa chứng chỉ sắp hết hạn nhằm tìm hiểu thêm về cảnh báo. Từ trang Kho khoá, bạn có thể tải một chứng chỉ mới lên và xoá chứng chỉ sắp hết hạn.

Sử dụng các API cảnh báo có cảnh báo hết hạn

Hầu hết các API mà bạn sử dụng để tạo và quản lý cảnh báo hết hạn đều giống như các API mà bạn sử dụng với cảnh báo cố định. Các API cảnh báo sau đây hoạt động theo cách tương tự đối với cả cảnh báo cố định và cảnh báo hết hạn:

Tuy nhiên, một số API có các thuộc tính bổ sung được dùng để hỗ trợ cảnh báo về hoạt động bất thường, bao gồm:

  • Nhận cảnh báo – Liệt kê tất cả cảnh báo, bao gồm cảnh báo đã khắc phục và cảnh báo bất thường.
  • Tạo cảnh báo – Tạo cảnh báo cố định hoặc bất thường.
  • Cập nhật cảnh báo – Cập nhật định nghĩa cảnh báo đã khắc phục hoặc cảnh báo bất thường.

Tạo hoặc cập nhật thông báo về ngày hết hạn

Sử dụng các API tương tự để tạo hoặc cập nhật thông báo hết hạn như bạn đang làm cho một thông báo đã khắc phục. Nội dung của lệnh gọi API để tạo hoặc cập nhật cảnh báo hết hạn cũng giống như được sử dụng cho cảnh báo cố định, với các thay đổi sau:

  • Bạn phải thêm các thuộc tính mới sau để chỉ định rằng cảnh báo đó là cảnh báo hết hạn:

    "alertType": "cert"
"alertSubType": "certfixed"

    Giá trị mặc định của các thuộc tính này là:

    "alertType": "runtime"
"alertSubType": "fixed"

  • Trong mảng conditions:

    • Thuộc tính metrics chỉ nhận các giá trị của expiration.
    • Sử dụng thuộc tính gracePeriodSeconds để chỉ định phạm vi thời gian hết hạn chứng chỉ tính bằng giây, cho đến khoảng thời gian tối đa là 30 ngày.
    • Các thuộc tính threshold, durationSecondscomparator không được hỗ trợ.
  • Trong phần tử dimensions của mảng conditions:
    • Bạn phải đặt giá trị của thuộc tính certificate thành ANY.
    • Bạn phải đặt giá trị của thuộc tính proxy thành ALL.
    • Các thuộc tính statusCode, developerApp, collection, faultCodeCategory, faultCodeSubCategory, faultCodeName không được hỗ trợ.
  • Không hỗ trợ tính năng cảnh báo về ngày hết hạn cho thuộc tính reportEnabled.

Lệnh gọi API ví dụ sau đây sẽ tạo một cảnh báo hết hạn, được kích hoạt khi có bất kỳ thông báo nào trong môi trường thực tế sẽ hết hạn trong 30 ngày tới. Hệ thống sẽ gửi một thông báo đến địa chỉ email đã chỉ định khi cảnh báo được kích hoạt:

curl 'https://apimonitoring.enterprise.apigee.com/alerts' \
 -X POST \
 -H 'Accept: application/json, text/plain, */*' -H "Content-Type: application/json" \
 -H "Authorization: Bearer $ACCESS_TOKEN" \
 -d '{
  "organization":"myorg",
  "name":"My Cert Expiry Alert",
  "description":"My Cert Expiry Alert",
  "environment":"prod",
  "enabled":true,
  "alertType": "cert",
  "alertSubType": "certfixed",
  "conditions":[
  {
    "description":"My Cert Expiry Alert",
    "dimensions":{
      "org":"myorg",
      "env":"prod",
      "proxy":"ALL",
      "certificate": "ANY"
    },
    "metric":"expiration",
    "gracePeriodSeconds": 2592000
  }],
  "notifications":[{
    "channel":"email",
    "destination":"ops@acme.com"
  }],
  "playbook":"http://acme.com/pb.html",
  "throttleIntervalSeconds":3600,
  "reportEnabled":false
}'

Đặt $ACCESS_TOKEN thành mã truy cập OAuth 2.0, như mô tả trong bài viết Lấy mã truy cập OAuth 2.0. Để biết thông tin về các tuỳ chọn cURL dùng trong ví dụ này, hãy xem phần Sử dụng cURL.

Nhận thông báo về ngày hết hạn

Theo mặc định, API Nhận cảnh báo sẽ trả về thông tin về tất cả cảnh báo đã xác định, cả cảnh báo đã khắc phục và ngày hết hạn. API này hiện lấy các tham số truy vấn để cho phép bạn lọc kết quả:

  • enabled – Nếu true chỉ định để chỉ trả về các cảnh báo đã bật. Giá trị mặc định là false.
  • alertType – Chỉ định loại cảnh báo cần trả về. Các giá trị được phép là runtime, giá trị mặc định và cert.
  • alertSubType – Chỉ định loại cảnh báo phụ cần trả về. Giá trị mặc định chưa được đặt, nghĩa là trả về tất cả các loại cảnh báo phụ. Chỉ định certfixed để trả về cảnh báo về ngày hết hạn.

Ví dụ: sử dụng lệnh gọi API sau đây để trả về chỉ bật các cảnh báo cho tổ chức có tên myorg:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&enabled=true'

Lệnh gọi sau đây chỉ trả về thông báo hết hạn, cả bật và tắt:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&alertType=cert&alertSubType=certfixed'

Đặt $ACCESS_TOKEN thành mã truy cập OAuth 2.0, như mô tả trong bài viết Lấy mã truy cập OAuth 2.0. Để biết thông tin về các tuỳ chọn cURL dùng trong ví dụ này, hãy xem phần Sử dụng cURL.