Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

השגת אישורי TLS: דוגמה

הנושא הזה הוא דוגמה בלבד. במאמר מוסבר איך לקבל אישור TLS מרשות האישורים (CA) Let's Encrypt. השלבים האלה מובאים בעיקר כדוגמה שאפשר לפעול לפיה אם אין לכם דרך מוכנה אחרת להשיג זוג מפתחות/אישור שאושר על ידי הרשות שמנפיקה את האישורים (CA). בדוגמה הזו מוסבר איך ליצור אישורים באמצעות רשות האישורים Let's Encrypt, לקוח Certbot ו-Cloud DNS של Google Cloud Platform.

איפה אפשר להשתמש באישורים האלה

צריך לספק אישורי TLS לשערי כניסה של זמן ריצה שנחשפים מחוץ לאשכול.

אפשר לעיין גם במאמר בנושא חיבורים חיצוניים.

דרישות

תצטרכו שם דומיין שהתקבל דרך רשם שמות דומיין. אפשר לרשום שם דומיין דרך Google Domains או דרך רשם דומיינים אחר שתבחרו.

הגדרת Cloud DNS

כדי לקבל אישורי TLS מורשים, צריך שיהיה לכם שם דומיין שעומד בדרישות. בשלבים הבאים מוסבר איך להשתמש ב-Google Cloud DNS כדי לקבל שם דומיין ולנהל את שרתי הדומיין.

פותחים את מסוף Google Cloud ונכנסים לחשבון.
בוחרים את הפרויקט שבו מותקן Apigee Hybrid.
אם עדיין לא עשיתם זאת, מפעילים את Cloud DNS API. מידע נוסף על הפעלת ממשקי API
יוצרים כתובת IP סטטית:
- אם אתם משתמשים ב-GKE, פועלים לפי ההוראות במאמר הגדרת כתובות IP חיצוניות סטטיות כדי ליצור כתובות IP סטטיות שתהליכים חיצוניים יכולים להשתמש בהן כדי לתקשר עם ה-Ingress של זמן הריצה ההיברידי. אפשר לתת לכתובת כל שם שרוצים, לדוגמה: apigee-hybrid-runtime. אחרי שתסיימו, תשתמשו במספר ה-IP בהגדרת האשכול בשלב הבא. לדוגמה: 34.66.75.196
- אם אתם משתמשים ב-Google Distributed Cloud, אתם צריכים לפעול לפי ההוראות במאמרים תכנון כתובות IP ויצירת אשכול משתמשים כדי ליצור כתובת IP סטטית.
מקבלים את כתובת ה-IP החיצונית ששמרתם.
יוצרים קבוצת רשומות לנקודת הקצה של Istio Ingress בזמן הריצה. זו הכתובת לביצוע קריאות ל-API לשער ההיברידי. מזינים את כתובת ה-IP החיצונית שקיבלתם בשלב הקודם ומוסיפים קידומת לשם הדומיין, כמו example-endpoint. הוראות מפורטות מופיעות במאמר בנושא יצירת רשומה חדשה.
1. יצירת אזור ציבורי מנוהל. הוראות מפורטות זמינות במאמר בנושא יצירת אזור ציבורי מנוהל.
2. יוצרים קבוצת רשומות חדשה עם:
  - שם DNS: השם של נקודת הקצה שאליה יתקשרו קריאות חיצוניות ל-API, כמו api-services או example-endpoint
  - סוג רשומת המשאבים: A
  - ‫TTL ו-TTL Unit: מאשרים את ברירות המחדל
  - כתובת IP: כתובת ה-IP הסטטית שיצרתם.
בתצוגה פרטי האזור יופיעו ארבעה שרתי DNS כנתוני ה-NS של האזור החדש שלכם. מעתיקים את נתוני רשומת ה-DNS, כמו בדוגמה הבאה:
חוזרים לדף הדומיין אצל הרשם (לדוגמה, Google Domains).
בוחרים את הדומיין.
בוחרים באפשרות DNS.
בקטע 'שרתי שמות', לוחצים על עריכה.
מזינים את שרתי השמות של הדומיין שהעתקתם מהדף Network Services Cloud DNS. לדוגמה:

מעכשיו, רשומות ה-DNS של הדומיין ינוהלו על ידי Google Cloud DNS.

התקנת Certbot במכונה וירטואלית

אחרי שמגדירים את Cloud DNS לניהול שרתי הדומיין, מתקינים את לקוח Certbot עם התוסף dns_google במכונה וירטואלית ב-Cloud. הלקוח מאפשר לכם לקבל אישורים מורשים לדומיין מנקודת קצה של Let's Encrypt.

פותחים את מסוף Google Cloud ונכנסים לחשבון שיצרתם בשלב 1: יצירת חשבון Google Cloud.
בוחרים את הפרויקט שיצרתם בשלב 2: יצירת פרויקט ב-Google Cloud.
בוחרים באפשרות IAM & admin > Service accounts (ניהול הרשאות גישה וניהול > חשבונות שירות).
בתצוגה Service accounts מוצגת רשימה של חשבונות השירות של הפרויקט.
כדי ליצור חשבון שירות חדש, לוחצים על +יצירת חשבון שירות בחלק העליון של התצוגה.
מוצג התצוגה פרטי חשבון השירות.
בשדה Service account name, מזינים את השם של חשבון השירות.

אופציונלי: מוסיפים תיאור בשדה תיאור חשבון שירות. התיאורים עוזרים לכם לזכור למה משמש חשבון שירות מסוים.
לוחצים על יצירה.
מערכת Google Cloud יוצרת חשבון שירות חדש ומציגה את התצוגה Service account permissions (הרשאות של חשבון שירות). אפשר להשתמש בתצוגה הזו כדי להקצות תפקיד לחשבון השירות החדש.
לוחצים על הרשימה הנפתחת Select a role.
בוחרים בתפקיד בעלי הפרויקט.
לוחצים על Continue.
לוחצים על סיום.
במסוף Google Cloud , בוחרים באפשרות Compute Engine > VM Instances.
יוצרים מופע של VM בשם certmanager.
בקטע Boot Disk, בוחרים באפשרות CentOS7 ומזינים 20GB עבור כונן SSD persistent.
מגדירים את חשבון השירות לחשבון שיצרתם למעלה.

מתקינים את Certbot ואת הפלאגין dns_google במכונה ומריצים את לקוח Certbot:

  sudo su -
  yum -y install yum-utils
  yum install certbot -y
  yum install certbot-dns-google -y
  certbot certonly --dns-google -d *.your_domain_name,*.your_domain_name --server https://acme-v02.api.letsencrypt.org/directory

לדוגמה:

sudo su -
yum -y install yum-utils
yum install certbot -y
yum install certbot-dns-google -y
certbot certonly --dns-google -d *.apigee-hybrid-docs.net,*.apigee-hybrid-docs.net --server https://acme-v02.api.letsencrypt.org/directory

עכשיו אפשר למצוא את קובצי האישור והמפתח הפרטי המורשים בספרייה הזו: cd /etc/letsencrypt/live/your_domain_name/
לדוגמה:
```
cd /etc/letsencrypt/live/apigee-hybrid-docs.net
ls
  cert.pem  chain.pem  fullchain.pem  privkey.key  README
```
מעתיקים את הקבצים fullchain.pem ו-privkey.key למחשב המקומי.
אופציונלי: יוצרים סוד של Kubernetes עם צמד האישור/המפתח. הוראות מפורטות מופיעות בקטע אפשרות 2: סוד של Kubernetes במאמר הגדרת TLS ו-mTLS ב-Istio Ingress.

מעדכנים את קובץ ההחלפות כך שיצביע על האישור ועל המפתח הפרטי.

לדוגמה:

...
envs:
  - name: test
    serviceAccountPaths:
      synchronizer: "your_keypath/synchronizer-manager-service-account.json
      udca: "your_keypath/analytic-agent-service-account.json

virtualhosts:
  - name: my-env-group
    sslCertPath: "$HOME/hybrid/apigee-hybrid-setup/tls/fullchain.pem"
    sslKeyPath: "$HOME/hybrid/apigee-hybrid-setup/tls/privkey.key"

או אם משתמשים בסודות של Kubernetes:

...
envs:
  - name: test
    serviceAccountPaths:
      synchronizer: "your_keypath/synchronizer-manager-service-account.json
      udca: "your_keypath/analytic-agent-service-account.json

virtualhosts:
  - name: my-env-group
    tlsMode: SIMPLE  # Note: SIMPLE is the default, MUTUAL is also an available value.
    sslSecret: myorg-test-policy-secret"

...

החלת שינויים בהגדרות של envs:
מריצים את הפקודה helm upgrade לכל סביבה שרוצים לעדכן.
```
helm upgrade ENV_NAME apigee-env/ \
  --namespace apigee \
  --set env=ENV_NAME \
  --atomic \
-f OVERRIDES_FILE.yaml
```
הערה: אם מופיעה הודעת שגיאה עם הכיתוב Error: UPGRADE FAILED: "ENV_NAME" has no deployed releases, מחליפים את upgrade ב-install ומנסים להריץ את הפקודה שוב.

בדיקת ההגדרות

פורסים ובודקים שרת proxy. מידע נוסף מופיע במאמר סקירה כללית על יצירת proxy ראשון ל-API.