設定到期快訊

查看 Apigee Edge 說明文件。
前往 Apigee X說明文件
資訊

使用 TLS 到期快訊提高 環境中的 TLS 憑證即將到期時,系統會發送通知。

關於 TLS 憑證

TLS (傳輸層安全標準) 是標準的安全性技術 在網路伺服器和網路用戶端 (例如瀏覽器或 應用程式。加密連結可確保在伺服器與用戶端之間傳輸的所有資料均維持不變 私人。

TLS 憑證是一種數位檔案,可用來識別 TLS 交易中的實體。Edge 會使用 TLS 來設定 TLS:

TLS 憑證有到期日,如果 TLS 憑證過期,TLS 連線就會失敗 直到您更新憑證為止這表示在您更新憑證之前,所有傳送至 API 的要求都會失敗。

關於過期快訊

與其等待憑證過期,或向 API 發出要求失敗,您可以使用 待提出快訊到期 如果環境中有任何 TLS 憑證即將到期,您會收到通知。 快訊觸發後,您可以更新憑證,避免客戶 任何服務中斷情形。

設定快訊時,請勿指定個別憑證,而是指定特定環境的憑證。 排定任何部署的憑證時,就會觸發快訊 在指定時間範圍內過期。

您可以設定到期快訊:

  • 憑證將於 1 天後到期
  • 憑證到期前 14 天
  • 憑證到期前 30 天
,瞭解如何調查及移除這項存取權。 如要進一步瞭解快訊,請參閱「設定快訊和通知」一文。

新增到期快訊和通知

如何新增到期快訊和通知:
  1. 按一下「分析」>「快訊規則
  2. 按一下「+快訊」
  3. 輸入下列關於快訊的一般資訊:
    欄位 說明
    快訊名稱 快訊的名稱。請使用對您來說有意義的名稱,用來描述觸發條件, 名稱長度不得超過 128 個字元。
    說明 快訊的說明。
    快訊類型 選取「TLS 到期時間」。詳情請見 詳情請參閱快訊類型簡介
    環境 從下拉式清單中選取環境。
    狀態 切換可啟用或停用快訊。
  4. 為觸發快訊的條件定義門檻和維度。
    條件欄位 說明
    正常值

    設定即將到期的憑證的時間範圍。您可以選擇在憑證即將到期時傳送快訊:

    • 1 天
    • 14 天
    • 30 天
    尺寸 維度固定為「任何 TLS 憑證」值,對應於 註冊與部署 Google Cloud 虛擬私有雲網路
  5. 按一下「+ 通知」,新增快訊通知。
    通知詳細資訊 說明
    頻道 選取要使用的通知管道,並指定目的地:Email、Slack、PagerDuty 或 Webhook。
    目的地 根據所選管道類型指定目的地:
    • 電子郵件 - 電子郵件地址,例如 joe@company.com
    • Slack - Slack 頻道網址,例如 https://hooks.slack.com/services/T00000000/B00000000/XXXXX
    • PagerDuty - PagerDuty 程式碼,例如 abcd1234efgh56789
    • Webhook - Webhook 網址,例如 https://apigee.com/test-webhook

      注意:每則通知只能指定一個目的地。如何指定多個目的地 請添加額外的通知。

  6. 如要新增其他通知,請重複上一個步驟。
  7. 如果您新增了通知,請設定下列欄位:
    欄位 說明
    教戰手冊 (選填) 任意形式的文字欄位,簡要說明建議採取的行動。 並在快訊觸發時立即顯示您也可以指定內部維基或社群網頁的連結,指向 請參閱最佳做法這個欄位中的資訊會包含在通知中。 這個欄位的內容不得超過 1500 個半形字元。
    節流 傳送通知的頻率。從下拉式清單中選取值。
  8. 按一下「儲存」

在「事件」資訊主頁查看快訊

Edge 偵測到快訊觸發條件時,會自動記錄該條件 Edge UI 中的「Events」資訊主頁。事件資訊主頁中顯示的事件清單 當中包含所有固定和憑證警示。

如何查看快訊:

  1. 按一下「分析」>「事件。畫面上會顯示新的「活動」資訊主頁:

  2. 「活動」資訊主頁的篩選依據:

    • 環境
    • 區域
    • 時間範圍
  3. 在「事件資訊主頁」中選取資料列,顯示含有即將到期憑證的 KeyStore 以便進一步調查快訊您可以透過 KeyStore 頁面上傳新憑證及刪除 即將到期的憑證

搭配過期快訊使用 Alert API

您用來建立及管理到期快訊的 API 大多與您使用的 API 相同 當中包含固定快訊下列 Alert API 的運作方式與固定快訊和到期警示相同:

不過,部分 API 的額外屬性可用於支援異常快訊,包括:

  • 接收快訊:列出所有快訊,包括已修正和異常狀況快訊。
  • 建立快訊:建立已修正或異常情況的快訊。
  • 更新快訊:更新已修正或異常的快訊定義。

建立或更新到期快訊

使用相同的 API 建立更新 或是系統對已修正快訊的現行要建立或更新的 API 呼叫主體 過期快訊與已修正快訊的相同,但變更如下:

  • 您必須新增下列屬性,指明快訊是到期快訊:

    "alertType": "cert"
    "alertSubType": "certfixed"

    這些屬性的預設值如下:

    "alertType": "runtime"
    "alertSubType": "fixed"
  • conditions 陣列中:

    • metrics 屬性僅接受 expiration 的值。
    • 請使用 gracePeriodSeconds 屬性來指定憑證到期的時間範圍 (以秒為單位),上限為 30 天。
    • 不支援 thresholddurationSecondscomparator 屬性。
  • conditions 陣列的 dimensions 元素中:
    • 您必須將 certificate 屬性的值設為 ANY
    • 您必須將 proxy 屬性的值設為 ALL
    • statusCodedeveloperAppcollectionfaultCodeCategory 不支援 faultCodeSubCategoryfaultCodeName 屬性。
  • reportEnabled 屬性不支援到期快訊。

下列 API 呼叫範例會建立過期快訊,這個快訊會在 實際執行環境將於 30 天後到期。系統會將通知傳送到指定的電子郵件地址 快訊觸發時機:

curl 'https://apimonitoring.enterprise.apigee.com/alerts' \
 -X POST \
 -H 'Accept: application/json, text/plain, */*' -H "Content-Type: application/json" \
 -H "Authorization: Bearer $ACCESS_TOKEN" \
 -d '{
  "organization":"myorg",
  "name":"My Cert Expiry Alert",
  "description":"My Cert Expiry Alert",
  "environment":"prod",
  "enabled":true,
  "alertType": "cert",
  "alertSubType": "certfixed",
  "conditions":[
  {
    "description":"My Cert Expiry Alert",
    "dimensions":{
      "org":"myorg",
      "env":"prod",
      "proxy":"ALL",
      "certificate": "ANY"
    },
    "metric":"expiration",
    "gracePeriodSeconds": 2592000
  }],
  "notifications":[{
    "channel":"email",
    "destination":"ops@acme.com"
  }],
  "playbook":"http://acme.com/pb.html",
  "throttleIntervalSeconds":3600,
  "reportEnabled":false
}'

按照下列說明將 $ACCESS_TOKEN 設為 OAuth 2.0 存取權杖 取得 OAuth 2.0 存取權杖。 如要瞭解這個範例中使用的 cURL 選項,請參閱「使用 cURL」一節。

接收到期日快訊

根據預設,Get Alerts API 會傳回所有已定義快訊的相關資訊 (包括固定和過期的警示)。這個 API 現在會使用查詢參數來篩選結果:

  • enabled - 如果 true 指定只傳回已啟用的快訊,預設值為 false
  • alertType:指定要傳回的快訊類型。允許的值為 runtime、預設值和 cert
  • alertSubType - 指定要傳回的快訊子類型。系統不會設定預設值。 也就是傳回所有快訊子類型指定 certfixed 即可傳回到期快訊。

舉例來說,使用下列 API 呼叫,即可只傳回名為 myorg 的機構啟用快訊:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&enabled=true'

以下呼叫只會傳回已啟用和已停用的到期快訊:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&alertType=cert&alertSubType=certfixed'

按照下列說明將 $ACCESS_TOKEN 設為 OAuth 2.0 存取權杖 取得 OAuth 2.0 存取權杖。 如要瞭解這個範例中使用的 cURL 選項,請參閱「使用 cURL」一節。