Questo argomento è solo a scopo esemplificativo. Spiega come ottenere un certificato TLS dall'autorità di certificazione (CA) Let's Encrypt. Questi passaggi vengono forniti principalmente come esempio da seguire se non hai un altro modo pronto per ottenere una coppia di certificati/chiavi autorizzata da un'autorità di certificazione. L'esempio mostra come generare i certificati utilizzando l'autorità di certificazione Let's Encrypt, il client Certbot e Cloud DNS della piattaforma Google Cloud.
Dove puoi utilizzare questi certificati
Devi fornire i certificati TLS per due gateway di ingresso Istio esposti al di fuori del cluster:
| Gateway | Requisito TLS |
|---|---|
| Gateway in entrata per il runtime | Puoi utilizzare una coppia di certificati/chiavi autofirmati o certificati TLS autorizzati. |
| Gateway MART in entrata (facoltativo se non si utilizza Apigee Connect) | Richiede una coppia di certificati/chiavi TLS autorizzata o un secret Kubernetes. |
Requisiti
È necessario un nome di dominio ottenuto tramite un registrar dei nomi di dominio. Puoi registrare un nome di dominio tramite Google Domains o un altro registrar di dominio a tua scelta.
Configura Cloud DNS
Per ottenere certificati TLS autorizzati, devi disporre di un nome di dominio qualificato. Le seguenti passaggi spiegano come utilizzare Google Cloud DNS per ottenere un nome di dominio e gestire i server di dominio.- Apri la console Google Cloud e accedi al tuo account.
- Seleziona il progetto in cui è installato Apigee hybrid.
- Se non l'hai ancora fatto, abilita l'API Cloud DNS. Consulta Abilitare le API.
- Crea un indirizzo IP statico:
- Se utilizzi GKE, segui le istruzioni riportate in
Prenotazione di un indirizzo IP esterno statico per creare indirizzi IP statici che i processi esterni possono utilizzare per comunicare con l'ingress del runtime ibrida. Puoi assegnare all'indirizzo qualsiasi nome
desiderata, ad esempio:
apigee-hybrid-runtime. Al termine, utilizzerai il numero IP nella configurazione del cluster nel passaggio successivo. Ad esempio:34.66.75.196 - Se utilizzi Anthos GKE, segui le istruzioni riportate nella documentazione di Anthos GKE per creare un indirizzo IP statico.
- Se utilizzi GKE, segui le istruzioni riportate in
Prenotazione di un indirizzo IP esterno statico per creare indirizzi IP statici che i processi esterni possono utilizzare per comunicare con l'ingress del runtime ibrida. Puoi assegnare all'indirizzo qualsiasi nome
desiderata, ad esempio:
- Ottieni l'IP esterno che hai appena prenotato.
- Crea il set di record per l'endpoint di ingresso Istio di runtime. Questo è l'indirizzo per effettuare chiamate API al gateway ibrido. Inserisci l'IP esterno ottenuto nel
passaggio precedente e aggiungi un prefisso al nome di dominio, ad esempio
example-endpoint. Per le istruzioni, consulta Creare un nuovo record.- Crea una zona pubblica gestita. Per le istruzioni, vedi Creare una zona pubblica gestita.
- Crea un nuovo insieme di record con:
- Nome DNS: il nome con cui comunicheranno le chiamate API esterne dell'endpoint, ad esempio
api-servicesoexample-endpoint - Tipo di record di risorse: A
- TTL e Unità TTL: accetta i valori predefiniti
- Indirizzo IP: l'IP statico che hai creato.
- Nome DNS: il nome con cui comunicheranno le chiamate API esterne dell'endpoint, ad esempio
- La visualizzazione Dettagli zona elenca quattro server DNS come dati NS per la nuova zona. Copia i dati del record DNS, come mostrato nell'esempio seguente:
- Torna alla pagina del tuo dominio nel registrar (ad esempio, Google Domains).
- Seleziona il tuo dominio.
- Seleziona DNS.
- Nella sezione Server dei nomi, fai clic su Modifica.
Inserisci i server dei nomi di dominio che hai copiato dalla pagina Cloud DNS di Network Services. Ad esempio:
Ora, Google Cloud DNS gestirà i record DNS per il tuo dominio.
Installa Certbot su una VM
Ora che hai configurato Cloud DNS per gestire i server di dominio, installa il client Certbot Plug-in dns_google su una VM Cloud. Il client abilita per ottenere certificati autorizzati per il tuo dominio da un endpoint Let's Encrypt.
- Apri la console Google Cloud e accedi con l'account che hai creato nel Passaggio 1: crea un account Google Cloud.
- Seleziona il progetto che hai creato nel passaggio 2: creazione di un progetto Google Cloud.
- Seleziona IAM e amministratore > Account di servizio.
La visualizzazione Account di servizio mostra un elenco degli account di servizio del progetto.
- Per creare un nuovo account di servizio, fai clic su + Crea account di servizio nella parte superiore della
la vista.
Viene visualizzata la visualizzazione Dettagli account di servizio.
- Nel campo Nome account di servizio, inserisci il nome dell'account di servizio.
Se vuoi, puoi aggiungere una descrizione nel campo Descrizione account di servizio. Le descrizioni sono utili per ricordare per cosa viene utilizzato un determinato account di servizio.
- Fai clic su Crea.
Google Cloud crea un nuovo account di servizio e visualizza l'icona Account di servizio autorizzazioni. Utilizza questa vista per assegnare un ruolo al nuovo account di servizio.
- Fai clic sull'elenco a discesa Seleziona un ruolo.
- Seleziona il ruolo Proprietario progetto.
- Fai clic su Continua.
- Fai clic su Fine.
- Nella console Google Cloud, seleziona Compute Engine > di istanze VM.
- Crea un'istanza VM denominata certmanager.
- Nella sezione Disco di avvio, scegli CentOS7 e 20 GB per il disco permanente SSD.
- Imposta l'account di servizio su quello che hai creato sopra.
- Installa Certbot e il plug-in dns_google sulla macchina ed esegui il client Certbot:
sudo su -yum -y install yum-utilsyum install certbot -yyum install certbot-dns-google -ycertbot certonly --dns-google -d *.your_domain_name,*.your_domain_name --server https://acme-v02.api.letsencrypt.org/directoryAd esempio:
sudo su -yum -y install yum-utilsyum install certbot -yyum install certbot-dns-google -ycertbot certonly --dns-google -d *.apigee-hybrid-docs.net,*.apigee-hybrid-docs.net --server https://acme-v02.api.letsencrypt.org/directory - Ora puoi trovare i file del certificato e della chiave privata autorizzati in questa directory:
cd /etc/letsencrypt/live/your_domain_name/Ad esempio:
cd /etc/letsencrypt/live/apigee-hybrid-docs.netlscert.pem chain.pem fullchain.pem privkey.pem README - Copia i file
fullchain.pemeprivkey.pemnel tuo dalla macchina locale. - Facoltativo: crea un secret Kubernetes con la coppia di certificato/chiave. Leggi le istruzioni in Opzione 2: Secret Kubernetes in Configurazione di TLS e mTLS su Istio in entrata.
- Aggiorna il file delle sostituzioni in modo che punti al certificato e alla chiave privata.
Ad esempio:
... envs: - name: test serviceAccountPaths: synchronizer: "your_keypath/synchronizer-manager-service-account.json udca: "your_keypath/analytic-agent-service-account.json virtualhosts: - name: my-env-group sslCertPath: "$HOME/hybrid/apigee-hybrid-setup/tls/fullchain.pem" sslKeyPath: "$HOME/hybrid/apigee-hybrid-setup/tls/privkey.pem" mart: # Assuming you are not using Apigee Connect nodeSelector: key: cloud.google.com/gke-nodepool value: apigee-runtime sslCertPath: "$HOME/hybrid/apigee-hybrid-setup/tls/fullchain.pem" sslKeyPath: "$HOME/hybrid/apigee-hybrid-setup/tls/privkey.pem" replicaCountMin: 1 replicaCountMax: 1
In alternativa, se utilizzi i secret di Kubernetes:
... envs: - name: test serviceAccountPaths: synchronizer: "your_keypath/synchronizer-manager-service-account.json udca: "your_keypath/analytic-agent-service-account.json virtualhosts: - name: my-env-group tlsMode: SIMPLE # Note: SIMPLE is the default, MUTUAL is also an available value. sslSecret: myorg-test-policy-secret" mart: # Assuming you are not using Apigee Connect nodeSelector: key: cloud.google.com/gke-nodepool value: apigee-runtime sslSecret: myorg-test-policy-secret" replicaCountMin: 1 replicaCountMax: 1 ...
- Applica le modifiche:
Se hai modificato la configurazione di
mart, applica le modifiche:apigeectl apply -f your_overrides_file --all-envs
Se hai modificato la configurazione di
envs, applica le modifiche:apigeectl apply -f your_overrides_file --all-envs
Testa la configurazione
Esegui il deployment e testa un proxy. Consulta la panoramica della creazione del primo proxy API.