Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về
Apigee X. thông tin
Sử dụng cảnh báo hết hạn TLS để đưa ra thông báo khi chứng chỉ TLS trong một môi trường sắp hết hạn.
Giới thiệu về chứng chỉ TLS
TLS (Bảo mật tầng truyền tải) là công nghệ bảo mật tiêu chuẩn để thiết lập đường liên kết đã mã hoá giữa máy chủ web và ứng dụng web, chẳng hạn như trình duyệt hoặc ứng dụng. Đường liên kết đã mã hoá giúp đảm bảo rằng tất cả dữ liệu truyền giữa máy chủ và ứng dụng vẫn ở chế độ riêng tư.
Chứng chỉ TLS là một tệp kỹ thuật số giúp nhận dạng thực thể trong giao dịch TLS. Edge sử dụng chứng chỉ TLS để định cấu hình TLS cho:
- Quyền truy cập vào proxy API của bạn bằng ứng dụng API. Sử dụng máy chủ ảo để định cấu hình TLS.
- Quyền truy cập vào các dịch vụ phụ trợ của bạn bằng Edge. Sử dụng thiết bị đầu cuối mục tiêu và máy chủ đích trên Edge Message Processor (Trình xử lý thông báo của Edge) để định cấu hình TLS.
Chứng chỉ TLS chứa ngày hết hạn. Nếu chứng chỉ TLS hết hạn, kết nối TLS sẽ không thành công cho đến khi bạn cập nhật chứng chỉ. Điều đó có nghĩa là tất cả yêu cầu gửi đến API của bạn sẽ không thực hiện được cho đến khi bạn cập nhật chứng chỉ.
Giới thiệu về cảnh báo hết hạn
Thay vì đợi chứng chỉ hết hạn và các yêu cầu gửi đến API không thành công, hãy sử dụng cảnh báo hết hạn để gửi thông báo khi có bất kỳ chứng chỉ TLS nào trong một môi trường sắp hết hạn. Sau khi cảnh báo được kích hoạt, bạn có thể cập nhật chứng chỉ để khách hàng sẽ không thấy bất kỳ sự gián đoạn dịch vụ nào.
Khi định cấu hình cảnh báo, không chỉ định từng chứng chỉ mà hãy chỉ định môi trường cụ thể. Cảnh báo này được kích hoạt khi một chứng chỉ bất kỳ đã triển khai được lên lịch để hết hạn trong phạm vi thời gian đã chỉ định.
Bạn có thể thiết lập để đưa ra cảnh báo hết hạn:
- 1 ngày trước khi bất kỳ chứng chỉ nào hết hạn
- 14 ngày trước khi bất kỳ chứng chỉ nào hết hạn
- 30 ngày trước khi bất kỳ chứng chỉ nào hết hạn
Thêm cảnh báo và thông báo về ngày hết hạn
Cách thêm cảnh báo về ngày hết hạn và thông báo:- Nhấp vào Analyze > Alert Rules (Phân tích > Quy tắc cảnh báo) trong giao diện người dùng Edge.
- Nhấp vào +Cảnh báo.
- Nhập thông tin chung sau đây về cảnh báo:
Trường Nội dung mô tả Tên thông báo Tên của cảnh báo. Sử dụng tên mô tả điều kiện kích hoạt và tên đó có ý nghĩa với bạn. Tên không được vượt quá 128 ký tự. Nội dung mô tả Nội dung mô tả về cảnh báo. Loại Cảnh báo Chọn Ngày hết hạn TLS (Bảo mật tầng truyền tải). Hãy xem bài viết Giới thiệu về các loại thông báo để biết thêm thông tin. Môi trường Chọn môi trường trong danh sách thả xuống. Trạng thái Gạt nút để bật hoặc tắt cảnh báo. - Xác định ngưỡng và phương diện cho điều kiện sẽ kích hoạt cảnh báo.
Trường điều kiện Nội dung mô tả Ngưỡng Định cấu hình phạm vi thời gian cho các chứng chỉ sắp hết hạn. Bạn có thể chọn đưa ra cảnh báo khi chứng chỉ sắp hết hạn sau:
- 1 ngày
- 14 ngày
- 30 ngày
Phương diện Kích thước được cố định thành một giá trị của Mọi chứng chỉ TLS tương ứng với bất kỳ chứng chỉ TLS nào trong môi trường. - Nhấp vào + Thông báo để thêm thông báo.
Thông tin chi tiết về thông báo Nội dung mô tả Kênh Chọn kênh thông báo bạn muốn sử dụng và chỉ định đích đến: Email, Slack, PagerDuty hoặc Webhook. Đích đến Chỉ định đích đến dựa trên loại kênh đã chọn: - Email – Địa chỉ email, chẳng hạn như
joe@company.com
- Slack – URL của kênh Slack, chẳng hạn như
https://hooks.slack.com/services/T00000000/B00000000/XXXXX
- PagerDuty – mã PagerDuty, chẳng hạn như
abcd1234efgh56789
- Webhook – URL webhook, chẳng hạn như
https://apigee.com/test-webhook
Lưu ý: Bạn chỉ có thể chỉ định một đích đến cho mỗi thông báo. Để chỉ định nhiều đích đến cho cùng một loại kênh, hãy thêm thông báo bổ sung.
- Email – Địa chỉ email, chẳng hạn như
- Để thêm thông báo khác, hãy lặp lại bước trước đó.
- Nếu bạn đã thêm một thông báo, hãy thiết lập các trường sau:
Trường Nội dung mô tả Cẩm nang (Không bắt buộc) Trường văn bản dạng tự do cung cấp nội dung mô tả ngắn về các hành động được đề xuất để giải quyết các cảnh báo khi cảnh báo kích hoạt. Bạn cũng có thể chỉ định một đường liên kết đến trang wiki nội bộ hoặc trang cộng đồng của mình để bạn tham khảo các phương pháp hay nhất. Thông tin trong trường này sẽ được đưa vào thông báo. Nội dung trong trường này không được vượt quá 1500 ký tự. Van tiết lưu Tần suất gửi thông báo. Chọn một giá trị trong danh sách thả xuống. - Nhấp vào Lưu.
Xem cảnh báo trong trang tổng quan Sự kiện
Khi phát hiện thấy một điều kiện cảnh báo, Edge sẽ tự động ghi lại điều kiện đó vào trang tổng quan Sự kiện trong giao diện người dùng Edge. Danh sách các sự kiện hiển thị trong trang tổng quan Sự kiện bao gồm tất cả cảnh báo, cả cảnh báo cố định và chứng chỉ.
Cách xem cảnh báo:
Nhấp vào Phân tích > Sự kiện trong giao diện người dùng Edge. Trang tổng quan Sự kiện mới sẽ xuất hiện:
Lọc trang tổng quan về Sự kiện theo:
- Môi trường
- Vùng
- Khoảng thời gian
- Chọn một hàng trong Trang tổng quan về sự kiện để hiển thị Kho khoá chứa chứng chỉ sắp hết hạn nhằm tìm hiểu thêm về cảnh báo. Từ trang Kho khoá, bạn có thể tải một chứng chỉ mới lên và xoá chứng chỉ sắp hết hạn.
Sử dụng các API cảnh báo có cảnh báo hết hạn
Hầu hết các API mà bạn sử dụng để tạo và quản lý cảnh báo hết hạn đều giống như các API mà bạn sử dụng với cảnh báo cố định. Các API cảnh báo sau đây hoạt động theo cách tương tự đối với cả cảnh báo cố định và cảnh báo hết hạn:
- Nhận cảnh báo – Nhận định nghĩa về cảnh báo bất thường hoặc đã được khắc phục.
- Nhận nhật ký thông báo – Nhận chỉ số nhật ký thông báo.
- Xoá cảnh báo – Xoá định nghĩa cảnh báo cố định hoặc cảnh báo bất thường.
- Nhận thực thể thông báo – Nhận thông tin về thông báo đã kích hoạt.
- Nhận số lượng cảnh báo – Xem tổng số cảnh báo.
Tuy nhiên, một số API có các thuộc tính bổ sung được dùng để hỗ trợ cảnh báo về hoạt động bất thường, bao gồm:
- Nhận cảnh báo – Liệt kê tất cả cảnh báo, bao gồm cảnh báo đã khắc phục và cảnh báo bất thường.
- Tạo cảnh báo – Tạo cảnh báo cố định hoặc bất thường.
- Cập nhật cảnh báo – Cập nhật định nghĩa cảnh báo đã khắc phục hoặc cảnh báo bất thường.
Tạo hoặc cập nhật thông báo về ngày hết hạn
Sử dụng các API tương tự để tạo hoặc cập nhật thông báo hết hạn như bạn đang làm cho một thông báo đã khắc phục. Nội dung của lệnh gọi API để tạo hoặc cập nhật cảnh báo hết hạn cũng giống như được sử dụng cho cảnh báo cố định, với các thay đổi sau:
Bạn phải thêm các thuộc tính mới sau để chỉ định rằng cảnh báo đó là cảnh báo hết hạn:
"alertType": "cert" "alertSubType": "certfixed"
Giá trị mặc định của các thuộc tính này là:
"alertType": "runtime" "alertSubType": "fixed"
Trong mảng
conditions
:- Thuộc tính
metrics
chỉ nhận các giá trị củaexpiration
. - Sử dụng thuộc tính
gracePeriodSeconds
để chỉ định phạm vi thời gian hết hạn chứng chỉ tính bằng giây, cho đến khoảng thời gian tối đa là 30 ngày. - Các thuộc tính
threshold
,durationSeconds
vàcomparator
không được hỗ trợ.
- Thuộc tính
- Trong phần tử
dimensions
của mảngconditions
:- Bạn phải đặt giá trị của thuộc tính
certificate
thànhANY
. - Bạn phải đặt giá trị của thuộc tính
proxy
thànhALL
. - Các thuộc tính
statusCode
,developerApp
,collection
,faultCodeCategory
,faultCodeSubCategory
,faultCodeName
không được hỗ trợ.
- Bạn phải đặt giá trị của thuộc tính
- Không hỗ trợ tính năng cảnh báo về ngày hết hạn cho thuộc tính
reportEnabled
.
Lệnh gọi API ví dụ sau đây sẽ tạo một cảnh báo hết hạn, được kích hoạt khi có bất kỳ thông báo nào trong môi trường thực tế sẽ hết hạn trong 30 ngày tới. Hệ thống sẽ gửi một thông báo đến địa chỉ email đã chỉ định khi cảnh báo được kích hoạt:
curl 'https://apimonitoring.enterprise.apigee.com/alerts' \ -X POST \ -H 'Accept: application/json, text/plain, */*' -H "Content-Type: application/json" \ -H "Authorization: Bearer $ACCESS_TOKEN" \ -d '{ "organization":"myorg", "name":"My Cert Expiry Alert", "description":"My Cert Expiry Alert", "environment":"prod", "enabled":true, "alertType": "cert", "alertSubType": "certfixed", "conditions":[ { "description":"My Cert Expiry Alert", "dimensions":{ "org":"myorg", "env":"prod", "proxy":"ALL", "certificate": "ANY" }, "metric":"expiration", "gracePeriodSeconds": 2592000 }], "notifications":[{ "channel":"email", "destination":"ops@acme.com" }], "playbook":"http://acme.com/pb.html", "throttleIntervalSeconds":3600, "reportEnabled":false }'
Đặt $ACCESS_TOKEN
thành mã truy cập OAuth 2.0, như mô tả trong bài viết Lấy mã truy cập OAuth 2.0.
Để biết thông tin về các tuỳ chọn cURL dùng trong ví dụ này, hãy xem phần Sử dụng cURL.
Nhận thông báo về ngày hết hạn
Theo mặc định, API Nhận cảnh báo sẽ trả về thông tin về tất cả cảnh báo đã xác định, cả cảnh báo đã khắc phục và ngày hết hạn. API này hiện lấy các tham số truy vấn để cho phép bạn lọc kết quả:
enabled
– Nếutrue
chỉ định để chỉ trả về các cảnh báo đã bật. Giá trị mặc định làfalse
.alertType
– Chỉ định loại cảnh báo cần trả về. Các giá trị được phép làruntime
, giá trị mặc định vàcert
.alertSubType
– Chỉ định loại cảnh báo phụ cần trả về. Giá trị mặc định chưa được đặt, nghĩa là trả về tất cả các loại cảnh báo phụ. Chỉ địnhcertfixed
để trả về cảnh báo về ngày hết hạn.
Ví dụ: sử dụng lệnh gọi API sau đây để trả về chỉ bật các cảnh báo cho tổ chức có tên myorg
:
curl -H "Authorization: Bearer $ACCESS_TOKEN" \ 'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&enabled=true'
Lệnh gọi sau đây chỉ trả về thông báo hết hạn, cả bật và tắt:
curl -H "Authorization: Bearer $ACCESS_TOKEN" \ 'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&alertType=cert&alertSubType=certfixed'
Đặt $ACCESS_TOKEN
thành mã truy cập OAuth 2.0, như mô tả trong bài viết Lấy mã truy cập OAuth 2.0.
Để biết thông tin về các tuỳ chọn cURL dùng trong ví dụ này, hãy xem phần Sử dụng cURL.