Riferimento per la configurazione dei proxy API

Questa pagina si applica a Apigee e Apigee ibrido.

Visualizza la documentazione di Apigee Edge.

In qualità di sviluppatore che lavora con Apigee, le tue attività di sviluppo principali prevedono la configurazione di proxy API che fungono da proxy per API o servizi di backend. Questo documento fa riferimento a tutti gli elementi di configurazione a tua disposizione quando crei proxy API.

Se stai imparando a creare proxy API, ti consigliamo di iniziare con l'argomento Creazione di un proxy API semplice.

Modifica la configurazione del proxy API utilizzando uno dei seguenti metodi:

Struttura della directory di configurazione del proxy API

Di seguito è riportata la struttura della directory di configurazione del proxy API:

Mostra la struttura della directory in cui apiproxy è la directory radice. Direttamente sotto la directory apiproxy si trovano le directory dei criteri, i proxy, le risorse e le destinazioni, nonché il file weatherapi.xml.

Una configurazione di proxy API è costituita dai seguenti contenuti:

Configurazione di base Impostazioni di configurazione principali per un proxy API.
ProxyEndpoint Impostazioni per la connessione HTTP in entrata (dalla richiesta di app ad Apigee), i flussi di richieste e risposte e gli allegati dei criteri.
TargetEndpoint Impostazioni per la connessione HTTP in uscita (da Apigee al servizio di backend), i flussi di richieste e risposte e gli allegati dei criteri.
Flussi Pipeline di richiesta e risposta ProxyEndpoint e TargetEndpoint a cui è possibile collegare i criteri.
Norme File di configurazione in formato XML conformi agli schemi dei criteri di Apigee.
Risorse Script, file JAR e file KML a cui fanno riferimento i criteri per eseguire la logica personalizzata.

Configurazione di base

/apiproxy/weatherapi.xml

La configurazione di base per un proxy API, che definisce il nome del proxy API. Il nome deve essere univoco all'interno di un'organizzazione.

Configurazione di esempio:

<APIProxy name="weatherapi">
</APIProxy>

Elementi di configurazione di base

Nome Descrizione Predefinita Obbligatorio?
APIProxy
name Il nome del proxy API, che deve essere univoco all'interno di un'organizzazione. I caratteri che puoi utilizzare nel nome sono limitati ai seguenti: A-Za-z0-9_- N/A
revision Il numero di revisione della configurazione del proxy API. Non è necessario impostare esplicitamente il numero di revisione, poiché Apigee monitora automaticamente la revisione corrente del proxy API. N/A No
ConfigurationVersion La versione dello schema di configurazione del proxy API a cui è conforme questo proxy API. L'unico valore attualmente supportato è mainVersion 4 e minorVersion 0. Questa impostazione potrebbe essere utilizzata in futuro per consentire l'evoluzione del formato proxy API. 4.0 No
Description Una descrizione testuale del proxy API. Se fornita, la descrizione verrà visualizzata nella UI di Apigee. N/A No
DisplayName Un nome semplice che potrebbe essere diverso dall'attributo name della configurazione del proxy API. N/A No
Policies Un elenco di criteri nella directory /policies di questo proxy API. Normalmente vedrai questo elemento solo quando il proxy API è stato creato utilizzando la UI di Apigee. Si tratta semplicemente di un'impostazione del file manifest, progettata per fornire visibilità sui contenuti del proxy API. N/A No
ProxyEndpoints Un elenco di endpoint proxy nella directory /proxies di questo proxy API. Normalmente vedrai questo elemento solo quando il proxy API è stato creato utilizzando la UI di Apigee. Si tratta semplicemente di un'impostazione del file manifest, progettata per fornire visibilità sui contenuti del proxy API. N/A No
Resources Un elenco di risorse (JavaScript, Python, Java, TCF) nella directory /resources di questo proxy API. Normalmente vedrai questo elemento solo quando il proxy API è stato creato utilizzando la UI di Apigee. Si tratta semplicemente di un'impostazione del file manifest, progettata per fornire visibilità sui contenuti del proxy API. N/A No
Spec Identifica la specifica OpenAPI associata al proxy API. Il valore è impostato su un URL o su un percorso nell'archivio delle specifiche.
 N/A No
TargetServers Un elenco di server di destinazione a cui viene fatto riferimento in eventuali endpoint di destinazione di questo proxy API. Normalmente vedrai questo elemento solo quando il proxy API è stato creato utilizzando Apigee. Si tratta semplicemente di un'impostazione del file manifest, progettata per fornire visibilità sui contenuti del proxy API. N/A No
TargetEndpoints Un elenco di endpoint di destinazione nella directory /targets di questo proxy API. Normalmente vedrai questo elemento solo quando il proxy API è stato creato utilizzando la UI di Apigee. Si tratta semplicemente di un'impostazione del file manifest, progettata per fornire visibilità sui contenuti del proxy API. N/A No

ProxyEndpoint

Nell'immagine seguente viene mostrato il flusso di richiesta/risposta:

Mostra un client che chiama un servizio HTTP. La richiesta passa attraverso l&#39;endpoint proxy e quindi l&#39;endpoint di destinazione prima di essere elaborata dal servizio HTTP. La risposta passa attraverso l&#39;endpoint di destinazione e quindi l&#39;endpoint proxy prima di essere restituita al client.

/apiproxy/proxies/default.xml

La configurazione ProxyEndpoint definisce l'interfaccia in entrata (rivolto al client) per un proxy API. Quando configuri un endpoint proxy, imposti una configurazione di rete che definisce il modo in cui le applicazioni client (app) devono richiamare l'API inviata tramite proxy.

La seguente configurazione ProxyEndpoint di esempio verrà archiviata in /apiproxy/proxies:

<ProxyEndpoint name="default">
  <PreFlow/>
  <Flows/>
  <PostFlow/>
  <HTTPProxyConnection>
    <BasePath>/weather</BasePath>
    <Properties/>
  </HTTPProxyConnection>
  <FaultRules/>
  <DefaultFaultRule/>
  <RouteRule name="default">
    <TargetEndpoint>default</TargetEndpoint>
  </RouteRule>
</ProxyEndpoint>

Gli elementi di configurazione richiesti in un endpoint proxy di base sono:

Elementi di configurazione ProxyEndpoint

Nome Descrizione Predefinita Obbligatorio?
ProxyEndpoint
name Il nome dell'endpoint proxy. Deve essere univoco all'interno della configurazione del proxy API, quando (in rari casi) vengono definiti più endpoint proxy. I caratteri che puoi utilizzare nel nome sono limitati ai seguenti: A-Za-z0-9._\-$ %. N/A
PreFlow Definisce i criteri nel flusso PreFlow di una richiesta o risposta. N/A
Flows
Definisce i criteri nei flussi condizionali di una richiesta o di una risposta.
N/A
PostFlow
Definisce i criteri nel flusso PostFlow di una richiesta o risposta.
N/A
HTTPProxyConnection Definisce l'indirizzo di rete e il percorso dell'URI associati al proxy API.
BasePath

Una stringa obbligatoria che identifica in modo univoco il percorso URI utilizzato da Apigee per instradare i messaggi in arrivo al proxy API corretto.

Il BasePath è un frammento URI (ad esempio /weather) aggiunto all'URL di base di un proxy API (ad esempio http://apifactory-test.apigee.net). Il BasePath deve essere univoco all'interno di un ambiente. L'univocità viene convalidata quando viene generato o importato un proxy API.

Utilizzare un carattere jolly nei percorsi di base

Puoi utilizzare uno o più caratteri jolly "*" nei percorsi di base dei proxy API. Ad esempio, un percorso di base /team/*/members consente ai client di chiamare https://[host]/team/blue/members e https://[host]/team/green/members senza dover creare nuovi proxy API per supportare nuovi team. Tieni presente che /**/ non è supportato.

Importante: Apigee NON supporta l'utilizzo di un carattere jolly "*" come primo elemento di un percorso di base. Ad esempio, NON è supportato: /*/search. L'avvio del percorso di base con "*" può causare errori imprevisti a causa del modo in cui Apigee identifica i percorsi validi.

 /
Properties Un insieme di impostazioni di configurazione HTTP facoltative può essere definito come proprietà di un <ProxyEndpoint>.

Utilizza la proprietà request.queryparams.ignore.content.type.charset per indicare al proxy di ignorare il parametro charset dell'intestazione Content-Type durante l'elaborazione dell'URL della richiesta. Ad esempio: 

<Property name= \
"request.queryparams.ignore.content.type.charset">true</>

La tabella seguente mostra un output di esempio in base all'impostazione della proprietà charset e alla presenza del parametro charset dell'intestazione Content-Type.

Impostazione proprietà Valore intestazione Output di esempio
charset=false charset parametro non impostato john.doe+test@gmail.com
charset=false charset=utf-8 mario.rossi test@gmail.com
charset=true e nessun parametro charset nell'intestazione. charset parametro non impostato john.doe+test@gmail.com
charset=true charset=utf-8 parametro impostato john.doe+test@gmail.com
N/A No
FaultRules
Definisce la risposta dell'endpoint proxy a un errore. Una regola di errore specifica due elementi:
  • Una condizione che specifica l'errore da gestire in base alla categoria, alla sottocategoria o al nome predefiniti
  • Uno o più criteri che definiscono il comportamento della regola di errore per la condizione corrispondente

Consulta la sezione Gestione degli errori.

 N/A No
DefaultFaultRule

Gestisce eventuali errori (sistema, trasporto, messaggistica o criteri) che non sono gestiti esplicitamente da un'altra regola di errore.

Consulta la sezione Gestione degli errori.

 N/A No
RouteRule Definisce la destinazione dei messaggi di richiesta in entrata dopo l'elaborazione da parte della pipeline di richiesta ProxyEndpoint. Di solito, la RouteRule punta a un endpoint di destinazione denominato, a un IntegrationEndpoint o a un URL.
Name Attributo obbligatorio, che fornisce un nome per la RouteRule. I caratteri che puoi utilizzare nel nome sono limitati ai seguenti: A-Za-z0-9._\-$ %. Ad esempio, Cat2 %_ è un nome legale. N/A
Condition Un'istruzione condizionale facoltativa utilizzata per il routing dinamico in fase di runtime. Le RouteRules condizionali sono utili, ad esempio, per abilitare il routing basato sui contenuti al fine di supportare il controllo delle versioni del backend. N/A No
TargetEndpoint

Una stringa facoltativa che identifica una configurazione TargetEndpoint denominata. Un endpoint di destinazione denominato è qualsiasi endpoint di destinazione definito nello stesso proxy API nella directory /targets.

Denominando un endpoint di destinazione, indichi dove devono essere inoltrati i messaggi di richiesta dopo l'elaborazione da parte della pipeline di richiesta ProxyEndpoint. Tieni presente che si tratta di un'impostazione facoltativa.

Un endpoint proxy può chiamare direttamente un URL. Ad esempio, una risorsa JavaScript o Java, che funziona nel ruolo di un client HTTP, può eseguire il compito base di un endpoint di destinazione, ovvero inoltrare richieste a un servizio di backend.

 N/A No
URL Una stringa facoltativa che definisce un indirizzo di rete in uscita chiamato dall'endpoint proxy, bypassando qualsiasi configurazione di TargetEndpoint che potrebbe essere archiviata in /targets N/A No

Come configurare RouteRules

Un endpoint di destinazione denominato si riferisce a un file di configurazione in /apiproxy/targets a cui la RouteRule inoltra una richiesta dopo l'elaborazione da parte dell'endpoint proxy.

Ad esempio, la seguente RouteRule fa riferimento alla configurazione /apiproxy/targets/myTarget.xml:

<RouteRule name="default">
  <TargetEndpoint>myTarget</TargetEndpoint>
</RouteRule>

Chiamata diretta all'URL

Un endpoint proxy può anche richiamare direttamente un servizio di backend. La chiamata diretta all'URL ignora qualsiasi configurazione TargetEndpoint denominata in /apiproxy/targets. Per questo motivo, TargetEndpoint è una configurazione facoltativa del proxy API, anche se, in pratica, non è consigliabile richiamare direttamente dall'endpoint del proxy.

Ad esempio, la seguente RouteRule effettua una chiamata HTTP a http://api.mycompany.com/v2.

<RouteRule name="default">
  <URL>http://api.mycompany.com/v2</URL> 
</RouteRule>

Route condizionali

Le regole route possono essere concatenate per supportare il routing dinamico in fase di runtime. Le richieste in entrata possono essere instradate a configurazioni TargetEndpoint denominate, direttamente agli URL o a una combinazione dei due, in base a intestazioni HTTP, contenuto dei messaggi, parametri di ricerca o informazioni contestuali come ora del giorno, impostazioni internazionali e così via.

Le RouteRules condizionali funzionano come altre istruzioni condizionali su Apigee. Consulta Riferimento alle condizioni e Riferimento delle variabili di flusso.

Ad esempio, la seguente combinazione di RouteRule valuta prima la richiesta in entrata per verificare il valore di un'intestazione HTTP. Se l'intestazione HTTP routeTo ha il valore TargetEndpoint1, la richiesta viene inoltrata all'endpoint di destinazione denominato TargetEndpoint1. In caso contrario, la richiesta in entrata viene inoltrata a http://api.mycompany.com/v2.

<RouteRule name="MyRoute">
  <Condition>request.header.routeTo = "TargetEndpoint1"</Condition>
  <TargetEndpoint>TargetEndpoint1</TargetEndpoint>
</RouteRule>
<RouteRule name="default">
  <URL>http://api.mycompany.com/v2</URL>
</RouteRule>

Route null

È possibile definire una RouteRule nulla per supportare scenari in cui il messaggio di richiesta non deve essere inoltrato all'endpoint di destinazione. Ciò è utile quando l'endpoint proxy esegue tutte le elaborazioni necessarie, ad esempio utilizzando JavaScript per chiamare un servizio esterno o recuperando dati da una ricerca nell'archivio chiave/valore Apigee.

Ad esempio, quanto segue definisce una route null:

<RouteRule name="GoNowhere"/>

Le route null condizionali possono essere utili. Nell'esempio seguente, viene configurata una route nullo da eseguire quando un'intestazione HTTP request.header.X-DoNothing ha un valore diverso da null.

<RouteRule name="DoNothingOnDemand">
  <Condition>request.header.X-DoNothing != null</Condition>
</RouteRule>

Ricorda che le RouteRules possono essere concatenate, quindi una route nulla condizionale sarebbe in genere un componente di un insieme di RouteRules progettate per supportare il routing condizionale.

Un uso pratico di una route nulla condizionale potrebbe supportare la memorizzazione nella cache. Utilizzando il valore della variabile impostato dal criterio Cache, puoi configurare un proxy API per eseguire la route nulla quando viene pubblicata una voce dalla cache.

<RouteRule name="DoNothingUnlessTheCacheIsStale">
  <Condition>lookupcache.LookupCache-1.cachehit is true</Condition>
</RouteRule>

TargetEndpoint

Mostra un client che chiama un servizio HTTP. La richiesta passa attraverso l&#39;endpoint proxy e quindi l&#39;endpoint di destinazione prima di essere elaborata dal servizio HTTP. La risposta passa attraverso l&#39;endpoint di destinazione e quindi l&#39;endpoint proxy prima di essere restituita al client.

Un endpoint di destinazione è l'equivalente in uscita di un endpoint proxy. Un endpoint di destinazione funge da client per un servizio di backend o API: invia le richieste e riceve risposte.

Un proxy API non deve necessariamente avere endpoint di destinazione. Gli endpoint proxy possono essere configurati in modo da chiamare direttamente gli URL. Un proxy API senza endpoint di destinazione di solito contiene un endpoint proxy che chiama direttamente un servizio di backend o che è configurato per chiamare un servizio tramite Java o JavaScript.

Configurazione endpoint di destinazione

/targets/default.xml

L'endpoint di destinazione definisce la connessione in uscita da Apigee a un altro servizio o risorsa.

Ecco una configurazione di TargetEndpoint di esempio:

<TargetEndpoint name="default">
  <PreFlow/>
  <Flows/>
  <PostFlow/>
  <HTTPTargetConnection>
    <URL>http://mocktarget.apigee.net</URL>
    <SSLInfo/>
    <Authentication/>
  </HTTPTargetConnection>
  <FaultRules/>
  <DefaultFaultRule/>
  <ScriptTarget/>
  <LocalTargetConnection/>
</TargetEndpoint>

Elementi di configurazione TargetEndpoint

Un endpoint di destinazione può chiamare una destinazione in uno dei seguenti modi:

  • HTTPTargetConnection per chiamate HTTP o HTTPS
  • LocalTargetConnection per il chaining proxy-proxy locale

Configurane solo una in un endpoint di destinazione.

Nome Descrizione Predefinita Obbligatorio?
TargetEndpoint
name Il nome dell'endpoint di destinazione, che deve essere univoco all'interno della configurazione del proxy API. Il nome dell'endpoint di destinazione viene utilizzato nella routeRule ProxyEndpoint per indirizzare le richieste per l'elaborazione in uscita. I caratteri che puoi utilizzare nel nome sono limitati ai seguenti: A-Za-z0-9._\-$ %. N/A
PreFlow Definisce i criteri nel flusso PreFlow di una richiesta o risposta. N/A
Flows
Definisce i criteri nei flussi condizionali di una richiesta o di una risposta.
N/A
PostFlow
Definisce i criteri nel flusso PostFlow di una richiesta o risposta.
N/A
HTTPTargetConnection

Con i suoi elementi figlio, specifica una risorsa di backend raggiunta tramite HTTP.

Se utilizzi HTTPTargetConnection, non configurare altri tipi di connessioni di destinazione (ScriptTarget o LocalTargetConnection).

Puoi utilizzare l'elemento secondario <Authentication> per effettuare chiamate autenticate ai servizi Google o ai servizi personalizzati in esecuzione su determinati prodotti Google Cloud, come Cloud Functions e Cloud Run. L'utilizzo dell'elemento <Authentication> richiede i passaggi di configurazione e deployment descritti in Utilizzare l'autenticazione Google. Con una configurazione corretta, il criterio crea un token di autenticazione per te e lo aggiunge alla richiesta di servizio. Vedi anche Utilizzo dell'elemento <Authentication>.
URL Definisce l'indirizzo di rete del servizio di backend a cui l'endpoint di destinazione inoltra i messaggi di richiesta. N/A No
LoadBalancer

Definisce una o più configurazioni TargetServer denominate. Le configurazioni TargetServer possono essere utilizzate per il bilanciamento del carico che definisce due o più connessioni di configurazione degli endpoint.

Puoi anche utilizzare i server di destinazione per disaccoppiare le configurazioni proxy API dagli URL concreti degli endpoint servizio di backend.

 N/A No
Properties Un insieme di impostazioni di configurazione HTTP facoltative può essere definito come proprietà di un <TargetEndpoint>. N/A No
SSLInfo Facoltativamente, definisci le impostazioni TLS/SSL su un endpoint di destinazione per controllare la connessione TLS/SSL tra il proxy API e il servizio di destinazione. Vedi Configurazione dell'endpoint di destinazione TLS/SSL. N/A No
LocalTargetConnection Con i suoi elementi figlio, specifica una risorsa da raggiungere localmente, ignorando caratteristiche di rete come il bilanciamento del carico e i processori di messaggi.

Per specificare la risorsa di destinazione, includi l'elemento secondario APIProxy (con l'elemento ProxyEndpoint) o l'elemento figlio Percorso.

Per ulteriori informazioni, consulta la pagina relativa al Chaining dei proxy API.

Se utilizzi LocalTargetConnection, non configurare altri tipi di connessioni di destinazione (HTTPTargetConnection o ScriptTarget).
APIProxy Specifica il nome di un proxy API da utilizzare come target per le richieste. Il proxy di destinazione deve trovarsi nella stessa organizzazione e nello stesso ambiente del proxy che invia le richieste. Questa è un'alternativa all'utilizzo dell'elemento Percorso. N/A No
ProxyEndpoint Utilizzato con APIProxy per specificare il nome dell'endpoint proxy del proxy di destinazione. N/A No
Path Specifica il percorso endpoint di un proxy API da utilizzare come destinazione per le richieste. Il proxy di destinazione deve trovarsi nella stessa organizzazione e nello stesso ambiente del proxy che invia le richieste. Questa è un'alternativa all'utilizzo di APIProxy. N/A No
FaultRules
Definisce la reazione dell'endpoint di destinazione a un errore. Una regola di errore specifica due elementi:
  • Una condizione che specifica l'errore da gestire in base alla categoria, alla sottocategoria o al nome predefiniti
  • Uno o più criteri che definiscono il comportamento della regola di errore per la condizione corrispondente

Consulta la sezione Gestione degli errori.

 N/A No
DefaultFaultRule

Gestisce eventuali errori (sistema, trasporto, messaggistica o criteri) che non sono gestiti esplicitamente da un'altra regola Fault.

Consulta la sezione Gestione degli errori.

 N/A No

Utilizzo dell'elemento <Authentication>

L'utilizzo dell'elemento <Authentication> in <TargetEndpoint> è identico a quello dell'elemento <Authentication> nelle norme di ServiceCallout. Sia in <TargetEndpoint> che in ServiceCallout, <Authentication> è un elemento secondario di <HttpTargetConnection>. Per maggiori dettagli, consulta la sezione Elemento di autenticazione nel riferimento sulle norme di ServiceCallout.

Riferimento errore relativo all'elemento <Authentication>

Se utilizzi l'elemento <Authentication>, puoi trovare i possibili messaggi di errore e i suggerimenti per la risoluzione dei problemi relativi a errori di deployment e runtime nella sezione Errori della documentazione relativa alle norme di ServiceCallout.

Esempi di elementi <Authentication>

L'esempio seguente mostra come chiamare un servizio di cui è stato eseguito il deployment in Cloud Run come destinazione utilizzando l'elemento Authentication per generare un token OpenID Connect necessario per autenticare la chiamata: 

<TargetEndpoint name="TargetEndpoint-1">
  <HTTPTargetConnection>
      <Properties/>
      <URL>https://cloudrun-hostname.a.run.app/test</URL>
      <Authentication>
          <GoogleIDToken>
             <Audience>https://cloudrun-hostname.a.run.app/test</Audience>
          </GoogleIDToken>
     </Authentication>
  </HTTPTargetConnection>
</TargetEndpoint>

L'esempio seguente mostra come chiamare un TargetService che punta a Cloud Run utilizzando l'elemento Authentication per generare un token OpenID Connect necessario per autenticare la chiamata. L'elemento HeaderName aggiunge il token di connessione generato a un'intestazione denominata X-Serverless-Authorization che viene inviata al sistema di destinazione. L'intestazione Authorization, se presente, non viene modificata e viene inviata anche nella richiesta. 

<TargetEndpoint name="TargetEndpoint-1">
   <HTTPTargetConnection>
     <Authentication>
        <HeaderName>X-Serverless-Authorization</HeaderName>
        <GoogleIDToken>
            <Audience ref="flow.variable.audience">https://cloudrun-hostname.a.run.app</Audience>
        </GoogleIDToken>
     </Authentication>
      <LoadBalancer>
         <Server name="cloud-run-target" />
      </LoadBalancer>
   </HTTPTargetConnection>
</TargetEndpoint>

L'esempio seguente mostra come chiamare un TargetService che punta al servizio Google Secret Manager. In questo esempio, l'elemento GoogleAccessToken è configurato per generare un token di autenticazione Google per autenticare la richiesta di destinazione: 

<HTTPTargetConnection>
   <Authentication>
      <GoogleAccessToken>
        <Scopes>
          <Scope>https://www.googleapis.com/auth/cloud-platform</Scope>
        </Scopes>
      </GoogleAccessToken>
    </Authentication>
    <URL>
      https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id
    </URL>
</HTTPTargetConnection>

L'esempio seguente mostra come impostare automaticamente il pubblico di GoogleIDToken. Quando useTargetUrl è true e la variabile di riferimento non si risolve in una variabile valida, l'URL del target (esclusi i parametri di query) viene utilizzato come segmento di pubblico. Supponiamo che il percorso della richiesta sia /foobar e che l'URL del server di destinazione sia https://xyz.com, il pubblico di GoogleIDToken verrà impostato automaticamente su https://xyz.com/foobar. 

<TargetEndpoint name="TargetEndpoint-1">
  <HTTPTargetConnection>
    <Authentication>
      <GoogleIDToken>
        <Audience ref='myvariable' useTargetUrl="true"/>
      </GoogleIDToken>
    </Authentication>
    <LoadBalancer>
      <Server name="TS" />
    </LoadBalancer>
  </HTTPTargetConnection>
</TargetEndpoint>

Configurazione dell'endpoint di destinazione TLS/SSL

Gli endpoint di destinazione spesso hanno bisogno di gestire le connessioni HTTPS con un'infrastruttura di backend eterogenea. Per questo motivo sono supportate diverse impostazioni di configurazione TLS/SSL.

Elementi di configurazione TLS/SSL TargetEndpoint

Nome Descrizione Predefinita Obbligatorio?
SSLInfo

Il blocco <SSLInfo> può essere utilizzato per TLS/SSL unidirezionale o bidirezionale.
Enabled

Se impostato su true, <Enabled> specifica che deve essere utilizzato il blocco <SSLInfo>. Se impostato su false, il blocco <SSLInfo> viene ignorato.

Il valore predefinito <Enabled> è true se <URL> specifica il protocollo HTTPS e false se <URL> specifica HTTP.

 true se <URL> specifica HTTPS No
Enforce

Applica il protocollo SSL rigoroso tra Apigee e il backend di destinazione.

Se il criterio viene impostato su true, le connessioni non riusciranno per le destinazioni con certificati non validi, certificati scaduti, autofirmati, con una mancata corrispondenza del nome host e con una radice non attendibile. Viene restituito un codice di errore 4xx o 5xx.

Se il criterio non viene configurato o se viene impostato su false, il risultato delle connessioni ai backend di destinazione con certificati problematici dipende dall'impostazione di <IgnoreValidationErrors> (vedi di seguito). In determinate condizioni, può verificarsi una risposta di operazione riuscita (2xx) se <IgnoreValidationErrors> è impostato su true.

 false No
TrustStore

Un archivio chiavi contenente certificati dei server radice attendibili. Apigee considera il peer remoto come attendibile se la catena di certificati che invia termina in un certificato contenuto in questo archivio chiavi.

 N/A No
ClientAuthEnabled

Se impostato su true, abilita il protocollo TLS bidirezionale (noto anche come TLS reciproca o mTLS) tra Apigee e il peer remoto, il client API o il backend di destinazione.

L'abilitazione del protocollo TLS a due vie in genere richiede la configurazione sia di un archivio attendibilità che di un archivio chiavi su Apigee.

 false No
KeyStore Un archivio chiavi contenente chiavi private utilizzate per l'autenticazione del client in uscita N/A Sì (se ClientAuthEnabled è impostato su true)
KeyAlias L'alias della chiave della chiave privata utilizzata per l'autenticazione del client in uscita N/A Sì (se ClientAuthEnabled è impostato su true)
IgnoreValidationErrors

Indica se gli errori di convalida vengono ignorati. Se il sistema di backend utilizza SNI e restituisce un certificato con un nome distinto (DN) del soggetto che non corrisponde al nome host, non è possibile ignorare l'errore e la connessione non riesce.

Nota: se <Enforce> è impostato su true, il valore di <IgnoreValidationErrors> viene ignorato.

 false No
Ciphers

Crittografia supportate per TLS/SSL in uscita. Se non vengono specificate crittografie, saranno consentite tutte le crittografie disponibili per la JVM.

Per limitare le crittografie, aggiungi i seguenti elementi che elencano le crittografie supportate:

<Ciphers>
 <Cipher>TLS_RSA_WITH_3DES_EDE_CBC_SHA</Cipher>    
 <Cipher>TLS_RSA_WITH_DES_CBC_SHA</Cipher>
</Ciphers>
N/A No
Protocols

Protocolli supportati per TLS/SSL in uscita. Se non vengono specificati protocolli, saranno consentiti tutti i protocolli disponibili per la JVM.

Per limitare i protocolli, specificali in modo esplicito. Ad esempio, per consentire solo TLS v1.2 o TLS v1.3:

<Protocols>
 <Protocol>TLSv1.2</Protocol>
 <Protocol>TLSv1.3</Protocol>
</Protocols>
N/A No
CommonName

Apigee verifica questo valore qui rispetto al nome comune (CN) o alle SAN (nomi alternativi del soggetto) sul certificato peer remoto.

 N/A No

Esempio di endpoint di destinazione con autenticazione client in uscita abilitata

<TargetEndpoint name="default">
  <HttpTargetConnection>
        <URL>https://myservice.com</URL>
    <SSLInfo>
      <Enabled>true</Enabled>
      <Enforce>true</Enforce>
      <ClientAuthEnabled>true</ClientAuthEnabled>
      <KeyStore>myKeystore</KeyStore>
      <KeyAlias>myKey</KeyAlias>
      <TrustStore>myTruststore</TrustStore>
    </SSLInfo>
  </HttpTargetConnection>
</TargetEndpoint>

Per istruzioni dettagliate, vedi Opzioni per la configurazione di TLS.

Utilizzo delle variabili di flusso per impostare dinamicamente i valori TLS/SSL

Puoi anche impostare dinamicamente i dettagli TLS/SSL per supportare i requisiti di runtime flessibili. Ad esempio, se il proxy si connette a due destinazioni potenzialmente diverse (una destinazione di test e un target di produzione), puoi fare in modo che il proxy API rilevi in modo programmatico l'ambiente che sta chiamando e imposta in modo dinamico i riferimenti all'archivio chiavi e all'archivio di attendibilità appropriati. L'articolo della community Apigee SSLInfo dinamico per TargetEndpoint con riferimento alle variabili spiega questo scenario in modo più dettagliato e fornisce esempi di proxy API di cui è possibile eseguire il deployment.

Nel seguente esempio di come il tag <SSLInfo> verrebbe impostato in una configurazione TargetEndpoint, i valori possono essere forniti in fase di runtime, ad esempio tramite un callout Java, un criterio JavaScript o un criterio AttributionMessage. Utilizza le variabili del messaggio contenenti i valori che vuoi impostare.

Le variabili sono consentite solo nei seguenti elementi.

<SSLInfo>
    <Enabled>{myvars.ssl.enabled}</Enabled>
    <ClientAuthEnabled>{myvars.ssl.client.auth.enabled}</ClientAuthEnabled>
    <KeyStore>{myvars.ssl.keystore}</KeyStore>
    <KeyAlias>{myvars.ssl.keyAlias}</KeyAlias>
    <TrustStore>{myvars.ssl.trustStore}</TrustStore>
</SSLInfo>

Utilizzo dei riferimenti per impostare dinamicamente i valori TLS/SSL

Quando configuri un endpoint di destinazione che utilizza HTTPS, devi considerare il caso quando il certificato TLS/SSL scade o una modifica alla configurazione di sistema richiede l'aggiornamento del certificato.

Per maggiori informazioni, consulta Gestione dei certificati scaduti.

Tuttavia, facoltativamente, puoi configurare l'endpoint di destinazione in modo che utilizzi un riferimento all'archivio chiavi o all'archivio attendibili. Il vantaggio di utilizzare un riferimento è che puoi aggiornarlo in modo che punti a un altro archivio chiavi o archivio attendibilità per aggiornare il certificato TLS/SSL senza dover riavviare i processori di messaggi.

Ad esempio, quello mostrato di seguito è un endpoint di destinazione che utilizza un riferimento all'archivio chiavi:

<SSLInfo>
  <Enabled>true</Enabled>
  <ClientAuthEnabled>false</ClientAuthEnabled>
  <KeyStore>ref://keystoreref</KeyStore>
  <KeyAlias>myKeyAlias</KeyAlias>
</SSLInfo>

Utilizza la seguente chiamata API POST per creare il riferimento denominato keystoreref:

curl "https://apigee.googleapis.com/v1/organizations/{org}/environments/{org}/references" \
  -X POST \
  -H "Authorization: Bearer $TOKEN" \
  -d '<ResourceReference name="keystoreref">
    <Refers>myTestKeystore</Refers>
    <ResourceType>KeyStore</ResourceType>
</ResourceReference>'

Dove $TOKEN è impostato sul token di accesso OAuth 2.0, come descritto in Ottenere un token di accesso OAuth 2.0. Per informazioni sulle opzioni curl utilizzate in questo esempio, consulta Utilizzo di curl. Per una descrizione delle variabili di ambiente utilizzate, consulta Impostare le variabili di ambiente per le richieste API Apigee.

Il riferimento specifica il nome e il tipo dell'archivio chiavi.

Utilizza la seguente chiamata API GET per visualizzare il riferimento:

curl "https://apigee.googleapis.com/v1/organizations/{org}/environments/{org}/references/keystoreref" \
  -H "Authorization: Bearer $TOKEN"

Dove $TOKEN è impostato sul token di accesso OAuth 2.0, come descritto in Ottenere un token di accesso OAuth 2.0. Per informazioni sulle opzioni curl utilizzate in questo esempio, consulta Utilizzo di curl. Per una descrizione delle variabili di ambiente utilizzate, consulta Impostare le variabili di ambiente per le richieste API Apigee.

curl "https://apigee.googleapis.com/v1/organizations/{org}/environments/{org}/references/keystoreref" \
  -H "Authorization: Bearer $TOKEN"

Dove $TOKEN è impostato sul token di accesso OAuth 2.0, come descritto in Ottenere un token di accesso OAuth 2.0. Per informazioni sulle opzioni curl utilizzate in questo esempio, consulta Utilizzo di curl. Per una descrizione delle variabili di ambiente utilizzate, consulta Impostare le variabili di ambiente per le richieste API Apigee.

Per modificare in un secondo momento il riferimento in modo che punti a un archivio chiavi diverso, assicurandoti che l'alias abbia lo stesso nome, utilizza la seguente chiamata PUT:

curl "https://apigee.googleapis.com/v1/organizations/{org}/environments/{org}/references/keystoreref" \
  -X PUT \
  -H "Authorization: Bearer $TOKEN" \
  -d '<ResourceReference name="keystoreref">
    <Refers>myNewKeystore</Refers>
    <ResourceType>KeyStore</ResourceType>
  </ResourceReference>'

Dove $TOKEN è impostato sul token di accesso OAuth 2.0, come descritto in Ottenere un token di accesso OAuth 2.0. Per informazioni sulle opzioni curl utilizzate in questo esempio, consulta Utilizzo di curl. Per una descrizione delle variabili di ambiente utilizzate, consulta Impostare le variabili di ambiente per le richieste API Apigee.

TargetEndpoint con bilanciamento del carico di destinazione

Gli endpoint di destinazione supportano il bilanciamento del carico tra più server di destinazione denominati utilizzando tre algoritmi di bilanciamento del carico.

Per istruzioni dettagliate, consulta Bilanciamento del carico tra server di backend.

IntegrationEndpoint

Un IntegrationEndpoint è un endpoint di destinazione che esegue specificamente le integrazioni Apigee. Se hai configurato un IntegrationEndpoint, Apigee invia l'oggetto request alla piattaforma di integrazione di Apigee per l'esecuzione. Per eseguire l'integrazione, oltre a configurare IntegrationEndpoint, devi aggiungere anche il SetIntegrationRequest criterio nel flusso proxy.

Puoi configurare l'integrazione in modo che venga eseguita in modo sincrono o asincrono impostando l'elemento <AsyncExecution> nella configurazione IntegrationEndpoint. Per ulteriori informazioni, consulta la sezione Esecuzione sincrona e asincrona. Dopo aver eseguito l'integrazione, Apigee salva la risposta nel messaggio di risposta.

Configurazione di IntegrationEndpoint

Per configurare un endpoint di integrazione come endpoint di destinazione, aggiungi l'elemento IntegrationEndpoint alla configurazione ProxyEndpoint. Di seguito è riportato un esempio di configurazione ProxyEndpoint:

<ProxyEndpoint name="default">
    <Description/>
    <FaultRules/>
    <PreFlow name="PreFlow">
        <Request>
            <Step>
                <Name>my-set-integration-request-policy</Name>
            </Step>
        </Request>
    </PreFlow>
    <Flows/>
    <PostFlow name="PostFlow"/>
    <HTTPProxyConnection>
        <BasePath>/integration-endpoint-test</BasePath>
        <Properties/>
    </HTTPProxyConnection>
    <RouteRule name="default">
        <IntegrationEndpoint>my-int-endpoint</IntegrationEndpoint>
    </RouteRule>
</ProxyEndpoint>

Nella configurazione di esempio ProxyEndpoint, Apigee esegue le attività seguenti:

  1. Nel PreFlow, esegue il criterio denominato my-set-integration-request-policy, che imposta l'oggetto richiesta di integrazione e le variabili del flusso di integrazione.
  2. Utilizza my-int-endpoint come endpoint di destinazione, come specificato in RouteRule.
  3. Legge l'oggetto della richiesta di integrazione creato da my-set-integration-request-policy.
  4. Invia la richiesta alla piattaforma di integrazione di Apigee utilizzando l'oggetto di richiesta e le variabili di flusso impostate dal criterio SetIntegrationRequest.
  5. Salva la risposta dell'integrazione nel messaggio di risposta.

Il file XML contenente la dichiarazione <IntegrationEndpoint> sarà disponibile nella directory APIGEE_BUNDLE_DIRECTORY/apiproxy/integration-endpoints/. Se crei il proxy API utilizzando l'opzione Develop > API Proxies > CREATE NEW > Integration target, Apigee archivia la dichiarazione nel file /apiproxy/integration-endpoints/default.xml. Se crei il file XML dell'endpoint di integrazione dalla UI, puoi fornire un nome personalizzato per il file XML.

L'esempio seguente mostra la dichiarazione dell'elemento <IntegrationEndpoint> nel file XML:

<IntegrationEndpoint name="my-int-endpoint">
    <AsyncExecution>false</AsyncExecution>
</IntegrationEndpoint>

Elementi di configurazione IntegrationEndpoint

Nome Descrizione Predefinita Obbligatorio?
IntegrationEndpoint
name Il nome dell'IntegrationEndpoint. I caratteri che puoi utilizzare nel nome sono limitati a: A-Za-z0-9._\-$ % N/A
AsyncExecution Un valore booleano che specifica se l'integrazione deve essere eseguita in modalità sincrona o asincrona. Per ulteriori informazioni, consulta la sezione Esecuzione sincrona e asincrona. false No

Esecuzione sincrona e asincrona

Puoi configurare l'integrazione in modo che venga eseguita in modalità sincrona o asincrona. Per comprendere la differenza tra le modalità di esecuzione sincrona e asincrona, consulta <AsyncExecution>.

Utilizza l'elemento <AsyncExecution> all'interno di </IntegrationEndpoint> per specificare l'esecuzione sincrona o asincrona. Se imposti <AsyncExecution> su true, l'integrazione viene eseguita in modo asincrono. Se lo imposti su false, l'integrazione viene eseguita in modo sincrono.

Nell'esempio seguente, AsyncExecution viene impostato su true:

<IntegrationEndpoint name="my-int-endpoint">
    <AsyncExecution>true</AsyncExecution>
</IntegrationEndpoint>

Norme

La directory /policies in un proxy API contiene tutti i criteri disponibili per il collegamento ai flussi nel proxy API.

Elementi di configurazione dei criteri

Nome Descrizione Predefinita Obbligatorio?
Policy
name

Il nome interno del criterio. I caratteri che puoi utilizzare nel nome sono limitati a: A-Za-z0-9._\-$ %. Tuttavia, la UI di Apigee applica limitazioni aggiuntive, come la rimozione automatica dei caratteri non alfanumerici.

Facoltativamente, utilizza l'elemento <DisplayName> per etichettare il criterio nell'editor proxy della UI di Apigee con un nome diverso in linguaggio naturale.

 N/A
enabled

Imposta il valore su true per applicare il criterio.

Imposta false per disattivare il criterio. Il criterio non verrà applicato in modo forzato anche se rimane collegato a un flusso.

 true No
continueOnError

Imposta il valore su false per restituire un errore quando un criterio non viene eseguito. Questo è il comportamento previsto per la maggior parte dei criteri.

Imposta su true per far sì che l'esecuzione del flusso continui anche dopo l'errore di un criterio.

 false No
async

Se il criterio viene impostato su true, l'esecuzione del criterio viene trasferita in un thread diverso, lasciando il thread principale libero di gestire le richieste aggiuntive. Al termine dell'elaborazione offline, torna il thread principale e termina la gestione del flusso di messaggi. In alcuni casi, l'impostazione dell'asincrona su true migliora le prestazioni del proxy API. Tuttavia, un utilizzo eccessivo di un metodo asincrono può compromettere le prestazioni con un cambio di thread eccessivo.

Per utilizzare il comportamento asincrono nei proxy API, consulta la pagina sul modello a oggetti JavaScript.

 false No

Allegato criterio

L'immagine seguente mostra la sequenza di esecuzione dei flussi proxy API:

mostra un client che chiama un servizio HTTP. La richiesta rileva l&#39;endpoint proxy e l&#39;endpoint di destinazione, ognuno dei quali contiene passaggi che attivano i criteri. Dopo che il servizio HTTP ha restituito la risposta, la risposta viene elaborata dall&#39;endpoint di destinazione e poi da ProxyEndpoing, prima di essere restituita al client. Come per la richiesta, la risposta viene elaborata dai criteri in vari passaggi.

Come mostrato sopra:

I criteri sono collegati come passaggi di elaborazione ai flussi. Il nome del criterio viene utilizzato per fare riferimento al criterio da applicare come passaggio di elaborazione. Il formato di un collegamento a un criterio è il seguente:

<Step><Name>MyPolicy</Name></Step>

I criteri vengono applicati nell'ordine in cui sono associati a un flusso. Ad esempio:

<Step><Name>FirstPolicy</Name></Step>
<Step><Name>SecondPolicy</Name></Step>

Elementi di configurazione del collegamento dei criteri

Nome Descrizione Predefinita Obbligatorio?
Step
Name Il nome del criterio da eseguire in questa definizione di passaggio. N/A
Condition Un'istruzione condizionale che determina se il criterio viene applicato o meno. Se a un criterio è associata una condizione, il criterio viene eseguito solo se l'istruzione condizionale restituisce true. N/A No

Flussi

ProxyEndpoint e TargetEndpoint definiscono una pipeline per l'elaborazione dei messaggi di richiesta e risposta. Una pipeline di elaborazione è composta da un flusso di richiesta e un flusso di risposta. Ogni flusso di richiesta e di risposta è suddiviso in un PreFlow, uno o più flussi conditional o conditional facoltativi e un PostFlow.

  • PreFlow: viene sempre eseguito. Da eseguire prima di qualsiasi flusso condizionale.
  • PostFlow: viene sempre eseguito. Viene eseguito dopo eventuali flussi condizionali.

Inoltre, puoi aggiungere un PostClientFlow all'endpoint proxy, che viene eseguito dopo che la risposta viene restituita all'app client richiedente. A questo flusso è possibile collegare solo il criterio MessageLogging. PostClientFlow riduce la latenza del proxy API e rende disponibili per il logging informazioni che vengono calcolate solo dopo che la risposta viene restituita al client, ad esempio client.sent.start.timestamp e client.sent.end.timestamp.Il flusso viene utilizzato principalmente per misurare l'intervallo di tempo tra i timestamp di inizio e di fine del messaggio di risposta.

Ecco un esempio di PostClientFlow con un criterio di logging dei messaggi collegato.

...
  <PostFlow name="PostFlow">
      <Request/>
      <Response/>
  </PostFlow>
  <PostClientFlow>
      <Request/>
      <Response>
          <Step>
              <Name>Message-Logging-1</Name>
          </Step>
      </Response>
  </PostClientFlow>
  ...

La pipeline di elaborazione del proxy API esegue i flussi nella seguente sequenza:

Pipeline di richiesta:

  1. Pre-flusso richiesta proxy
  2. Flussi condizionali delle richieste proxy (facoltativi)
  3. PostFlow richiesta proxy
  4. Pre-flusso richiesta target
  5. Flussi condizionali delle richieste target (facoltativo)
  6. PostFlow richiesta target

Pipeline di risposta:

  1. PreFlow risposta target
  2. Flussi condizionali di risposta target (facoltativi)
  3. Risposta target - PostFlow
  4. Pre-flusso risposta proxy
  5. Flussi condizionali di risposta proxy (facoltativi)
  6. PostFlow risposta proxy
  7. Risposta PostClientFlow (facoltativa)

Solo i flussi con collegamenti di criteri devono essere configurati nelle configurazioni ProxyEndpoint o TargetEndpoint. PreFlow e PostFlow devono essere specificati solo in una configurazione ProxyEndpoint o TargetEndpoint quando è necessario applicare un criterio durante l'elaborazione PreFlow o PostFlow.

A differenza dei flussi condizionali, l'ordine degli elementi PreFlow e PostFlow non è importante: il proxy API verrà sempre eseguito ciascuno nel punto appropriato della pipeline, indipendentemente da dove appaiono nella configurazione dell'endpoint.

Flussi condizionali

Gli endpoint proxy e gli endpoint di destinazione supportano un numero illimitato di flussi condizionali (noti anche come flussi con nome).

Il proxy API verifica la condizione specificata nel flusso condizionale e, se la condizione è soddisfatta, i passaggi di elaborazione nel flusso condizionale vengono eseguiti dal proxy API. Se la condizione non è soddisfatta, le fasi di elaborazione nel flusso condizionale vengono bypassate. I flussi condizionali vengono valutati nell'ordine definito nel proxy API e viene eseguito il primo la cui condizione è soddisfatta.

Definendo i flussi condizionali, puoi applicare i passaggi di elaborazione in un proxy API in base a:

  • URI di richiesta
  • Verbo HTTP (GET/PUT/POST/DELETE)
  • Valore di un parametro di query, di un'intestazione e di un parametro modulo
  • Molti altri tipi di condizioni

Ad esempio, il seguente flusso condizionale specifica che viene eseguito solo quando il percorso della risorsa di richiesta è /accesstoken. Qualsiasi richiesta in entrata con il percorso /accesstoken causa l'esecuzione di questo flusso, insieme agli eventuali criteri collegati al flusso. Se il percorso della richiesta non include il suffisso /accesstoken, il flusso non viene eseguito (anche se potrebbe succedere un altro flusso condizionale).

<Flows>
  <Flow name="TokenEndpoint">
    <Condition>proxy.pathsuffix MatchesPath "/accesstoken"</Condition>
    <Request>
      <Step>
        <Name>GenerateAccessToken</Name>
      </Step>
    </Request> 
  </Flow>
</Flows>

Elementi di configurazione del flusso

Nome Descrizione Predefinita Obbligatorio?
Flow Una pipeline di elaborazione di richieste o risposte definita da un endpoint proxy o da un endpoint di destinazione
Name Il nome univoco del flusso. N/A
Condition Un'istruzione condizionale che valuta su o più variabili da restituire come vero o falso. Tutti i flussi diversi dai tipi PreFlow e PostFlow predefiniti devono definire una condizione per la loro esecuzione. N/A
Request Pipeline associata all'elaborazione dei messaggi di richiesta N/A No
Response Pipeline associata all'elaborazione dei messaggi di risposta N/A No

Elaborazione dei passaggi

L'ordine sequenziale dei flussi condizionali viene applicato da Apigee. I flussi condizionali vengono eseguiti dall'alto verso il basso. Viene eseguito il primo flusso condizionale la cui condizione restituisce true e viene eseguito un solo flusso condizionale.

Ad esempio, nella seguente configurazione del flusso, qualsiasi richiesta in entrata che non include il suffisso di percorso /first o /second comporterà l'esecuzione di ThirdFlow, applicando il criterio denominato Return404.

<Flows>
  <Flow name="FirstFlow">
    <Condition>proxy.pathsuffix MatchesPath "/first"</Condition>
    <Request>
      <Step><Name>FirstPolicy</Name></Step>
    </Request>
  </Flow>
  <Flow name="SecondFlow">
    <Condition>proxy.pathsuffix MatchesPath "/second"</Condition>
    <Request>
      <Step><Name>FirstPolicy</Name></Step>
      <Step><Name>SecondPolicy</Name></Step>
    </Request>
  </Flow>
  <Flow name="ThirdFlow">
    <Request>
      <Step><Name>Return404</Name></Step>
    </Request>
  </Flow>
</Flows>

Risorse

Le "risorse" (file di risorse da utilizzare nei proxy API) sono script, codice e trasformazioni XSL che possono essere collegati ai flussi utilizzando criteri. Vengono visualizzati nella sezione Script dell'editor proxy API nella UI di Apigee.

Consulta Gestione delle risorse per i tipi di risorse supportati.

Le risorse possono essere archiviate in un proxy API, in un ambiente o in un'organizzazione. In ogni caso, in un criterio viene fatto riferimento per nome a una risorsa. Apigee risolve il nome passando dal proxy API all'ambiente e al livello di organizzazione.

I criteri in qualsiasi ambiente possono fare riferimento a una risorsa archiviata a livello di organizzazione. I criteri di quell'ambiente fanno riferimento a una risorsa archiviata a livello di ambiente. Una risorsa archiviata a livello di proxy API è a cui fanno riferimento solo i criteri in quel proxy API.