Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על Shadow API Discovery

סקירה כללית

התכונה Shadow API Discovery (גילוי ממשקי API נסתרים) מוצאת ממשקי API נסתרים (שנקראים גם ממשקי API לא מתועדים) בתשתית הענן הקיימת שלכם. ממשקי API מסוג Shadow מהווים סיכון אבטחה למערכת, כי יכול להיות שהם לא מאובטחים, לא מפוקחים ולא מתוחזקים. התכונה 'גילוי API של צללים' היא חלק מהתכונה 'תצפית על API ב-Apigee'.

אתם יכולים להגדיר ולהריץ משימות כדי לעקוב אחר פעילות של ממשקי API בפרויקטים Google Cloud נפרדים. במופע המרכזי של Apigee API hub, אפשר לצרף את הפרויקטים האלה כדי לראות את התוצאות של העבודות האלה ולהשוות אותן באופן אוטומטי לממשקי API 'מוכרים' שמתועדים ב-API hub. מידע על שימוש ב-Shadow API Discovery ב-Apigee API hub זמין במאמר בנושא תצפיות על API ב-API hub.

מידע על תאימות של מיקום הנתונים ל-Shadow API Discovery זמין במאמר בנושא תאימות של מיקום הנתונים.

הפעלת גילוי של Shadow API

התכונה 'גילוי ממשקי API לא רשמיים' היא חלק מחבילת התכונות Advanced API Security, והיא זמינה בפרויקטים של Google Cloud עם או בלי הקצאת משאבים של Apigee.

אם פרויקט Google Cloud הוקצה ל-Apigee:

ללקוחות עם מינוי, התכונה זמינה בארגון Apigee. מידע נוסף זמין במאמר בנושא ניהול Advanced API Security בארגונים עם מינוי
לקוחות עם תשלום לפי שימוש צריכים להפעיל את התוסף לפחות בסביבה אחת. אפשר לקרוא על כך במאמר ניהול Advanced API Security בארגונים עם תשלום לפי שימוש.
התכונה Shadow API Discovery לא זמינה בסביבות הערכה של Apigee.

אם הפרויקט שלכם Google Cloud לא הוקצה ל-Apigee, אתם יכולים להוסיף את Shadow API Discovery לפרויקט שלכם על ידי פנייה אל מחלקת המכירות של Apigee.

הפעלת גילוי של Shadow API מ-Apigee

ההוראות שבקטע הזה להגדרה ולצפייה בתוצאות של תצפיות על API מבוססות על ממשק המשתמש של Apigee במסוף Cloud. אפשר גם להשתמש בממשקי Apigee Management (APIM) API כדי לנהל את התכונה Shadow API Discovery. ממשקי API לניהול גילוי של ממשקי Shadow API

כדי להשתמש בתכונה הזו, צריך להפעיל את התוסף. אם יש לכם מינוי, אתם יכולים להפעיל את התוסף לארגון שלכם. פרטים נוספים זמינים במאמר ניהול Advanced API Security בארגונים עם מינוי. אם אתם לקוחות עם תשלום לפי שימוש, אתם יכולים להפעיל את התוסף בסביבות שעומדות בדרישות. מידע נוסף זמין במאמר ניהול התוסף Advanced API Security.

הפעלת גילוי של ממשקי API לא רשמיים מ-API Hub

כדי להפעיל את התכונה 'גילוי ממשקי API לא רשמיים' ממרכז ה-API, פועלים לפי ההוראות במאמר הגדרת מעקב אחר ממשקי API במרכז ה-API.

תפקידים והרשאות שנדרשים לזיהוי ממשקי API לא רשמיים

בטבלה הבאה מפורטים התפקידים הנדרשים לביצוע משימות שקשורות לזיהוי ממשקי API לא רשמיים.

משימה	תפקידים נדרשים
הפעלה או השבתה של Advanced API Security	אדמין ארגוני ב-Apigee (roles/apigee.admin)
יצירת מקורות ותהליכים של תצפיות	API Management Admin (roles/apim.admin)
צפייה בתצפיות	בעל הרשאת צפייה ב-API Management (roles/apim.viewer)

גישה ל-Shadow API Discovery בממשק המשתמש של Apigee

בקטע הזה מוסבר איך לגשת ל-Shadow API Discovery בממשק המשתמש של Apigee.

כדי לגשת ל-Shadow API Discovery בממשק המשתמש של Apigee:

במסוף Google Cloud , נכנסים לדף Apigee > API Observation > Shadow API.

מעבר אל Shadow API
בדף הראשי מוצגות תצפיות ב-API שכבר נוצרו. בוחרים בכרטיסיות API Observations ו-Observation Jobs כדי לעבור בין הצגת התוצאות לבין יצירת משימות תצפית.

יצירת משימות תצפית

משימות התצפית מספקות את ההוראות שנדרשות לגילוי ממשקי API לא רשמיים. כדי ליצור משימת תצפית, צריך לפעול לפי השלבים האלה. חשוב לשים לב להתנהגויות ולמגבלות שחלות על יצירת משימות תצפית.

לוחצים על הכרטיסייה Observation jobs (משימות תצפית) ואז על Create observation job (יצירת משימת תצפית).
בוחרים מקורות תצפית אחד או יותר, או לוחצים על יצירת מקור תצפית בתחתית הרשימה מקורות תצפית כדי ליצור מיקומי מקור חדשים אם צריך. הערה: תהליך היצירה של מקור התצפיות עשוי להימשך כמה דקות.

מקורות התצפית כוללים:
שם המקור: שם שאתם מציינים כדי לזהות את המקור.
מיקום: מיקום למעקב. הכללת אזורים נוספים של מקורות מאפשרת תצוגה רחבה יותר של ממשקי API בתשתית שלכם. שיטות מומלצות אפשר ליצור רק מקור תצפית אחד במיקום.
Network and Subnetwork: The VPC network and subnetwork. הרשת ותת-הרשת צריכות להיות באותו פרויקט כמו מקור התצפית. גם רשת המשנה צריכה להיות באותו אזור שבו נמצא מיקום מקור התצפית.
יצירת משימת תצפית. מזינים שם ייחודי למשימת התצפית לכל מיקום. בוחרים מיקום שבו יתבצעו צבירה ועיבוד של הנתונים. כל הנתונים שנאספים באזורי המקור מעובדים באזור הזה ומתבצעת אליהם גישה ממנו, בהתאם למדיניות של Google בנושא מיקום הנתונים. יצירת משימת תצפית חדשה עשויה להימשך כמה דקות.
הפעלת משימת תצפית (אופציונלי). אפשר להפעיל את העבודה כשיוצרים אותה, ובמקרה כזה היא מתחילה לפעול באופן מיידי. אם לא מפעילים את העבודה באופן מיידי, אפשר להפעיל את עבודת התצפית מאוחר יותר מרשימת עבודות התצפית.

הפעלה, השבתה ומחיקה של משימות תצפית

כדי לשנות את הסטטוס של משימת תצפית קיימת ל'מופעלת' (פעילה) או ל'מושבתת', בוחרים באפשרות הפעלה או השבתה בתפריט פעולות בשורה של המשימה בדף משימות תצפית.

כדי למחוק משימת תצפית קיימת, בוחרים באפשרות מחיקה בתפריט פעולות של המשימה. כשמוחקים משימה, נמחקים גם תוצאות התצפית שמשויכות למשימה. לכן, אם רוצים לשמור את התוצאות אבל להפסיק את המשך המשימה, צריך להשבית אותה ולא למחוק אותה. אי אפשר למחוק משרות פעילות. אם רוצים למחוק משרות פעילות, צריך להשבית אותן קודם.

צפייה בתצפיות של API

כדי לראות את התצפיות על ממשקי ה-API של משימות תצפית שהופעלו, בוחרים בכרטיסייה API Observations ואז בוחרים את Observation job מהרשימה.

ברשימת התצפיות מוצגים הערכים הבאים:

שם המארח: שם המארח של ה-API. לוחצים על שם המארח כדי לראות את פרטי התצפית.
פעולות API: מספר פעולות ה-API שנצפו (כמו בקשות GET או PUT).
כתובות IP של השרתים: כתובות ה-IP של השרתים שמארחים את ממשקי ה-API שזוהו.
מיקומי מקור: המיקומים של המקורות שמהם נצפתה התנועה.
האירוע האחרון שזוהה (UTC): התאריך והשעה שבהם זוהתה הבקשה האחרונה ל-API.
תגים: רשימה של התגים שאתם או מישהו אחר יצרתם כדי לתייג את התצפית הזו. מידע נוסף זמין במאמר בנושא שימוש בתגים.
פעולות: פעולות נוספות שזמינות לכל תצפית.

הצגת פרטי התצפית

אחרי שלוחצים על שם המארח ברשימת התצפיות, מופיע דף הפרטים של התצפית.

פרטים על עבודת תצפית של Shadow API Discovery

בדף הזה מופיע המידע הבא על התצפית.

בתיבת הסיכום שבחלק העליון של הדף מוצגים הנתונים הבאים:
- מזהה התצפית של ה-API: זהו מזהה ספציפי ל-Apigee.
- פעולות API: תיאור השדה הזה מופיע במאמר הצגת תצפיות של API.
- שעת היצירה (UTC): התאריך והשעה שבהם נוצרת משימת התצפית.
- תגים: משתמשים בתגים כדי לארגן את תוצאות משימת התצפית.
- השעה שבה זוהה האירוע האחרון: תיאור של השדה הזה מופיע במאמר הצגת תצפיות של API.
טבלה של פעולות API ספציפיות שזוהו ב-API הזה. לכל בקשה מוצגים הפרטים הבאים:
- נתיב: נתיב הבקשה.
- שיטה: שיטת הבקשה (למשל GET,‏ PUT וכו').
- ספירה: מספר הבקשות לנתיב הזה עם השיטה הזו.
- בקשת עסקה: גוף הבקשה מנתוני התנועה. כולל את כותרות הבקשה ואת מספר העסקאות התואם לפעולת ה-API הזו.
- כותרות תגובה של עסקאות: כותרות התגובה מנתוני התנועה. כולל את כותרות התגובה ואת מספר העסקאות התואם לפעולת ה-API הזו.
- קודי תגובה של עסקאות: קודי התגובה והמספרים התואמים של התגובות עם הקוד הזה לפעולת ה-API הזו.
- הפעם הראשונה שנצפה (UTC): התאריך והשעה הראשונים שבהם נצפתה הבקשה לפעולת ה-API הזו.
- התאריך והשעה האחרונים שבהם נצפתה הבקשה לפעולת ה-API הזו (UTC):

שימוש בתגים

תגים מאפשרים לסווג את תוצאות התצפית. תגים הם מטא-נתונים והם מיועדים למעקב בלבד. התגים לא משנים שום דבר בתוצאות התצפית ולא מפעילים שום פעולה. לדוגמה, הוספת התג 'נדרשת התייחסות' לא יוצרת הודעות או התראות. לתוצאות תצפית חדשות אין תגים.

המאפיינים של התגים:

אפשר להוסיף את אותו תג לכמה תוצאות של תצפיות.
שמות התגים יכולים לכלול אותיות רישיות וקטנות, מספרים ותווים מיוחדים, כולל רווחים.
אחרי שיוצרים תג, אי אפשר לשנות את השם שלו. כדי לשנות את השם, צריך להסיר את התג וליצור אותו מחדש.
הסרת תג מכל תוצאות התצפיות תמחק אותו מהמערכת.

אפשר לנהל תגים מרשימת התצפיות או מדף פרטי התצפית.

כדי לנהל תגים מתוך רשימת התצפיות של ה-API:

התגים הקיימים מופיעים בעמודה Tags (תגים) ברשימת התצפיות.
כדי לנהל תגים של תוצאה אחת, בוחרים באפשרות ניהול תגים בתפריט פעולות בשורה של אותה תוצאה.
כדי לנהל תגים של תוצאה אחת או יותר בו-זמנית, בוחרים כמה תוצאות מהרשימה ואז לוחצים על ניהול תגים בחלק העליון של הרשימה.

כדי לנהל תגים מתוך פרטי התצפית של ה-API:

התגים הקיימים מופיעים בקטע Tags (תגים).
כדי להוסיף תגים או לנהל אותם, לוחצים על ניהול תגים בחלק העליון של הדף.

בחלונית הצדדית ניהול תגים, כדי להוסיף תגים, בוחרים תגים קיימים או מוסיפים תגים חדשים. כדי להסיר תגים, מבטלים את הבחירה שלהם. לוחצים על שמירה כדי לשמור את התגים החדשים.

גישה ל-Shadow API Discovery מ-API Hub

מידע על גישה ל-Shadow API Discovery מ-API Hub זמין במאמר ניהול תצפית על ממשקי API ב-API Hub.

שיטות מומלצות

אלה השיטות המומלצות לשימוש בתכונה Shadow API Discovery:

כדי לוודא שאתם עומדים בדרישות של כל התקנות והחוקים הרלוונטיים, אתם צריכים לפעול בהתאם לכללי שמירת הנתונים של הארגון.
כדי לקבל את המתאם הטוב ביותר בין אזורים, כדאי לצבור נתונים מכמה שיותר אזורי מקור. הכללת אזורי מקור נוספים במשימות התצפית מאפשרת לקבל תמונה רחבה יותר של ממשקי ה-API בתשתית שלכם.

התנהגויות ומגבלות

בקטע הזה מפורטים התנהגויות ומגבלות שחלות על Shadow API Discovery:

השימוש ב-Shadow API Discovery לא מבטיח מעקב אחר 100% מהתנועה או גילוי של כל ממשקי ה-API הלא רשמיים.
התכונה Shadow API Discovery מוצאת ממשקי API לא רשמיים רק בתשתית שלכם Google Cloud .
צריך להגדיר את משימות התצפית ואת המקורות באותו פרויקט שבו מוגדרים רשת ה-VPC ותת-הרשת.
נכון לעכשיו, התכונה Shadow API Discovery תומכת רק ב מאזני עומסים חיצוניים ופנימיים של אפליקציות. אין תמיכה במאזני עומסי רשת.
התכונה Shadow API Discovery מוצאת ממשקי API של פרוטוקול HTTP, ולא gRPC.
הפעלת משימות של תצפית על API במאזני עומסים לא משפיעה על זמן האחזור של תנועת ה-API.
אזהרה: התכונה 'גילוי ממשקי API לא רשמיים' תומכת במאזני עומסים ברשת אחת לכל פרויקט. אם תפעילו את התכונה הזו בפרויקט עם כמה רשתות, יכול להיות שתיתקלו בהתנהגות לא צפויה.
כדי לזהות ממשקי API נסתרים, צריך שתנועת גולשים תעבור דרך מאזני העומסים בפרויקטים שנצפו.
יכולות לחלוף עד 30 דקות עד שמשימת תצפית שהופעלה לאחרונה תזהה תנועה, בהתאם לנפח התנועה. אם התנועה דלילה, נדרשים זמני תצפית ארוכים יותר לפני שהתוצאות יהיו זמינות.
בכל אזור, יש מגבלה של מקור תצפית אחד ומקסימום של שלוש משימות תצפית. אם אתם צריכים יותר משלוש משימות תצפית, אתם יכולים לפנות אל Cloud Customer Care של Google כדי לדון בתרחיש השימוש.
אפשר ליצור משרות תצפית, להשבית אותן או למחוק אותן, אבל אי אפשר לערוך אותן. אם אתם צריכים לשנות משרת תצפית, תצטרכו למחוק אותה וליצור אותה מחדש.
נכון לעכשיו, האזורים הבאים תומכים ב-API observation וב-Shadow APIs:
- ‫australia-southeast1
- ‫europe-west2
- europe-west9
- us-central1
- us-east1
- us-west1

סקירה כללית על Shadow API Discovery קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.