Abilitare client non SNI e HTTP

Questo argomento spiega come abilitare client non SNI, client HTTP e una combinazione di entrambi per l'utilizzo con Apigee Hybrid.

Come configurare un client non SNI

Questa sezione spiega come attivare il supporto per i client non SNI (Server Name Indication) in Apigee Hybrid. Un client non SNI utilizza la porta 443 ed è necessario se vuoi integrare istanze di runtime ibrido con Google Cloud Load Balancing o per i client che non supportano SNI.

1. Crea una definizione di risorsa personalizzata (CRD) ApigeeRoute. Assicurati che enableNonSniClient sia impostato su true:

   apiVersion: apigee.cloud.google.com/v1alpha1
   kind: ApigeeRoute
   metadata:
     name: route_name
     namespace: apigee
   spec:
     hostnames:
     - "*"
     ports:
     - number: 443
       protocol: HTTPS
       tls:
         credentialName: credential_name
         mode: SIMPLE
         #optional
         minProtocolVersion: TLS_AUTO
     selector:
       app: istio-ingressgateway
     enableNonSniClient: true

   Dove:

   • route_name è il nome che assegni alla CRD.
   • credential_name è il nome di un secret Kubernetes di cui è stato eseguito il deployment nel cluster che contiene le credenziali TLS per il tuo virtual host. Puoi trovare il nome della credenziale con il seguente comando kubectl:

     kubectl -n apigee get ApigeeRoutes -o=yaml | grep credentialName

   • hostnames deve essere impostato sul carattere jolly "*".
2. Apri il file di override e apporta la modifica descritta nel passaggio successivo.
3. Per ogni gruppo di ambienti, aggiungi il nome ApigeeRoute alla proprietà additionalGateways. Ad esempio:

   virtualhosts:
     - name: default
       sslCertPath: ./certs/fullchain.pem
       sslKeyPath: ./certs/privkey.pem
       additionalGateways: ["route_name"]

4. Salva il file CRD. Ad esempio: ApigeeRoute.yaml
5. Applica la CRD al cluster:

   kubectl apply -f ApigeeRoute.yaml -n apigee

6. Applica la modifica a virtualhosts:

   $APIGEECTL_HOME/apigeectl apply -f overrides.yaml --settings virtualhosts --env $ENVIRONMENT

Note sull'utilizzo

• Cosa succede se il cluster ha più di un'organizzazione?

  Poiché l'ingresso è a livello di cluster per una determinata porta (443) e può esserci una sola coppia chiave/certificato per la CRD ApigeeRoute, tutte le organizzazioni devono condividere la stessa coppia chiave/certificato.

• Cosa succede se il cluster ha più di un gruppo di ambienti. Funzionerà se gli host virtuali condividono la stessa coppia chiave/certificato?

  Tutti i nomi host in tutti i gruppi di ambienti devono utilizzare la stessa coppia chiave/certificato.

• Perché creiamo un ApigeeRoute anziché un gateway?

  ApigeeRoutes può essere convalidato da Apigee, ma Gateway (il CRD Istio) non può. Tecnicamente, può funzionare anche Gateway, ma possiamo prevenire potenziali errori di configurazione (tramite un webhook di convalida).

Abilitare i client HTTP

Questa sezione spiega il supporto per i client HTTP da utilizzare con Apigee Hybrid.

1. Crea una definizione di risorsa personalizzata (CRD) ApigeeRoute. Ad esempio:

   apiVersion: apigee.cloud.google.com/v1alpha1
   kind: ApigeeRoute
   metadata:
     name: route_name
     namespace: apigee
   spec:
     hostnames:
     - "*"
     ports:
     - number: 80
       protocol: HTTP
     selector:
       app: istio-ingressgateway
     enableNonSniClient: true

   Dove:

   • route_name è il nome che assegni alla CRD.
   • hostnames deve essere impostato sul carattere jolly "*".
2. Apri il file di override e apporta la modifica descritta nel passaggio successivo.
3. Per ogni gruppo di ambienti, aggiungi il nome ApigeeRoute alla proprietà additionalGateways. Ad esempio:

   virtualhosts:
     - name: default
       sslCertPath: ./certs/fullchain.pem
       sslKeyPath: ./certs/privkey.pem
       additionalGateways: ["route_name"]

4. Salva il file CRD. Ad esempio: ApigeeRoute.yaml
5. Applica la CRD al cluster:

   kubectl apply -f ApigeeRoute.yaml -n apigee

6. Applica la modifica a virtualhosts:

   $APIGEECTL_HOME/apigeectl apply -f overrides.yaml --settings virtualhosts --env $ENVIRONMENT

Attiva il supporto per i client non SNI e HTTP

Questa sezione spiega come abilitare entrambi i client non SNI (porta 443) e HTTP (porta 80) per l'utilizzo con Apigee Hybrid.

1. Crea una definizione di risorsa personalizzata (CRD) ApigeeRoute. Ad esempio:

   apiVersion: apigee.cloud.google.com/v1alpha1
   kind: ApigeeRoute
   metadata:
     name: route_name
     namespace: apigee
   spec:
     hostnames:
     - "*"
     ports:
     - number: 443
       protocol: HTTPS
       tls:
         credentialName: credential_name
         mode: SIMPLE
         #optional
         minProtocolVersion: TLS_AUTO
     - number: 80
       protocol: HTTP
     selector:
       app: istio-ingressgateway
     enableNonSniClient: true

   Dove:

   • route_name è il nome che assegni alla CRD.
   • hostname deve essere impostato sul carattere jolly "*".
   • credential_name è il nome di un secret Kubernetes di cui è stato eseguito il deployment nel cluster che contiene le credenziali TLS per il tuo virtual host. Puoi trovare il nome della credenziale con il seguente comando kubectl:

     kubectl -n apigee get ApigeeRoutes -o=yaml | grep credentialName

2. Apri il file di override e apporta la modifica descritta nel passaggio successivo.
3. Per ogni gruppo di ambienti, aggiungi il nome ApigeeRoute alla proprietà additionalGateways. Ad esempio:

   virtualhosts:
     - name: default
       sslCertPath: ./certs/fullchain.pem
       sslKeyPath: ./certs/privkey.pem
       additionalGateways: ["route_name"]

4. Salva il file CRD. Ad esempio: ApigeeRoute.yaml
5. Applica la CRD al cluster:

   kubectl apply -f ApigeeRoute.yaml -n apigee

6. Applica la modifica a virtualhosts:

   $APIGEECTL_HOME/apigeectl apply -f overrides.yaml --settings virtualhosts --env $ENVIRONMENT