Dieses Thema ist nur als Beispiel vorgesehen. Es wird erläutert, wie Sie ein TLS-Zertifikat von der Zertifizierungsstelle Let's Encrypt abrufen. Diese Schritte dienen hauptsächlich als Beispiel, wenn Sie keine weitere Möglichkeit haben, ein Zertifikat/Schlüssel-Paar zu erhalten, das von einer CA autorisiert wurde. Das Beispiel zeigt, wie Zertifikate mit der Zertifizierungsstelle Let's Encrypt, dem Certbot-Client und Cloud DNS der Google Cloud Platform generiert werden.
Wo Sie diese Zertifikate verwenden können
Sie müssen TLS-Zertifikate für Runtime-Ingress-Gateways angeben, die außerhalb des Clusters verfügbar sind.
Siehe auch Externe Verbindungen.Anforderungen
Sie benötigen einen Domainnamen, der über einen Domainnamenregistrator ausgestellt wird. Domainnamen können über Google Domains oder über einen beliebigen anderen Registrator angemeldet werden.
Cloud DNS konfigurieren
Um autorisierte TLS-Zertifikate zu erhalten, benötigen Sie einen qualifizierten Domainnamen. In den folgenden Schritten wird erläutert, wie Sie mit Google Cloud DNS einen Domainnamen abrufen und Ihre Domainserver verwalten.- Öffnen Sie die Google Cloud Console und melden Sie sich in Ihrem Konto an.
- Wählen Sie das Projekt aus, in dem Apigee Hybrid installiert ist.
- Aktivieren Sie die Cloud DNS API, falls noch nicht geschehen. Siehe APIs aktivieren.
- Erstellen Sie eine statische IP-Adresse.
- Wenn Sie in GKE sind, folgen Sie der Anleitung unter
Statische externe IP-Adresse reservieren, um statische IP-Adressen zu erstellen, mit denen externe Prozesse mit dem hybriden Laufzeit-Ingress kommunizieren können. Sie können der Adresse einen beliebigen Namen geben, beispielsweise
apigee-hybrid-runtime
. Nach Abschluss des Vorgangs verwenden Sie die IP-Adresse in der Clusterkonfiguration im nächsten Schritt. Beispiel:34.66.75.196
- Wenn Sie mit Anthos GKE arbeiten, erstellen Sie eine statische IP-Adresse in der Dokumentation zu Anthos GKE.
- Wenn Sie in GKE sind, folgen Sie der Anleitung unter
Statische externe IP-Adresse reservieren, um statische IP-Adressen zu erstellen, mit denen externe Prozesse mit dem hybriden Laufzeit-Ingress kommunizieren können. Sie können der Adresse einen beliebigen Namen geben, beispielsweise
- Rufen Sie die gerade reservierte externe IP-Adresse ab.
- Erstellen Sie einen Datensatz für den Istio-Ingress-Endpunkt der Laufzeit. Dies ist die Adresse für API-Aufrufe an das Hybridgateway. Geben Sie die externe IP-Adresse ein, die Sie im vorherigen Schritt erhalten haben, und fügen Sie dem Domainnamen ein Präfix hinzu, z. B.
example-endpoint
. Eine Anleitung hierzu finden Sie unter Neuen Eintrag erstellen.- Verwaltete öffentliche Zone erstellen. Eine Anleitung hierzu finden Sie unter Verwaltete öffentliche Zone erstellen.
- Erstellen Sie einen neuen Datensatz:
- DNS-Name: Der Name der Endpunkt-API-Aufrufe, mit denen der Endpunkt kommuniziert, wie
api-services
oderexample-endpoint
- Resource Record Type: (Ressourceneintragstyp): A
- TTL und TTL-Einheit: Übernehmen Sie die Standardeinstellungen.
- IP-Adresse: Die von Ihnen erstellte statische IP-Adresse.
- DNS-Name: Der Name der Endpunkt-API-Aufrufe, mit denen der Endpunkt kommuniziert, wie
- In der Ansicht Zonendetails werden vier DNS-Server als NS-Daten für Ihre neue Zone aufgelistet. Kopieren Sie die DNS-Eintragsdaten, wie im folgenden Beispiel gezeigt:
- Kehren Sie zu Ihrer Domain bei Ihrem Registrator zurück (z. B. Google Domains).
- Wählen Sie Ihre Domain aus.
- Wählen Sie DNS aus.
- Klicken Sie im Abschnitt Nameserver auf Bearbeiten.
Geben Sie die Domain-Nameserver ein, die Sie von der Seite "Network Services Cloud DNS" kopiert haben: Beispiel:
Nun verwaltet Google Cloud DNS die DNS-Einträge für Ihre Domain.
Installieren Sie Certbot auf einer VM
Nachdem Sie Cloud DNS für die Verwaltung Ihrer Domainserver eingerichtet haben, installieren Sie den Certbot-Client mit dem Plug-in dns_google auf einer Cloud-VM. Mit dem Client können Sie autorisierte Zertifikate für Ihre Domain von einem Let's Encrypt-Endpunkt abrufen.
- Öffnen Sie die Google Cloud Console und melden Sie sich mit dem Konto an, das Sie in Schritt 1: Google Cloud-Konto erstellen erstellt haben.
- Wählen Sie das Projekt aus, das Sie in Schritt 2: Google Cloud-Projekt erstellen erstellt haben.
- Wählen Sie IAM und Verwaltung > Dienstkonten aus.
In der Dienstkontenansicht wird eine Liste der Dienstkonten des Projekts angezeigt.
- Klicken Sie oben in der Ansicht auf +Dienstkonto erstellen, um ein neues Dienstkonto zu erstellen.
Die Ansicht Dienstkontodetails wird angezeigt.
- Geben Sie im Feld Name des Dienstkontos den Namen des Dienstkontos ein.
Optional können Sie im Feld Dienstkontobeschreibung eine Beschreibung eingeben. Beschreibungen helfen Ihnen, sich genau daran zu erinnern, wofür ein bestimmtes Dienstkonto verwendet wird.
- Klicken Sie auf Erstellen.
Google Cloud erstellt ein neues Dienstkonto und zeigt die Ansicht Dienstkontoberechtigungen an. Verwenden Sie diese Ansicht, um Ihrem neuen Dienstkonto eine Rolle zuzuweisen.
- Klicken Sie auf die Drop-down-Liste Rolle auswählen.
- Wählen Sie die Rolle Projektinhaber aus.
- Klicken Sie auf Weiter.
- Klicken Sie auf Fertig.
- Wählen Sie in der Google Cloud Console Compute Engine > VM-Instanzen aus.
- Erstellen Sie eine VM-Instanz mit dem Namen certmanager.
- Wählen Sie im Abschnitt "Bootlaufwerk" CentOS7 und 20 GB als nichtflüchtigen SSD-Speicher aus.
- Legen Sie als Dienstkonto das oben erstellte fest.
- Installieren Sie Certbot und das Plug-in dns_google auf dem Computer und führen Sie den Certbot-Client aus:
sudo su -
yum -y install yum-utils
yum install certbot -y
yum install certbot-dns-google -y
certbot certonly --dns-google -d *.your_domain_name,*.your_domain_name --server https://acme-v02.api.letsencrypt.org/directory
Beispiel:
sudo su -
yum -y install yum-utils
yum install certbot -y
yum install certbot-dns-google -y
certbot certonly --dns-google -d *.apigee-hybrid-docs.net,*.apigee-hybrid-docs.net --server https://acme-v02.api.letsencrypt.org/directory
- Sie finden jetzt Ihr autorisiertes Zertifikat und Ihre privaten Schlüsseldateien in diesem Verzeichnis:
cd /etc/letsencrypt/live/your_domain_name/
Beispiel:
cd /etc/letsencrypt/live/apigee-hybrid-docs.net
ls
cert.pem chain.pem fullchain.pem privkey.key README - Kopieren Sie die Dateien
fullchain.pem
undprivkey.key
auf Ihren lokalen Rechner. - Optional: Sie erstellen ein Kubernetes-Secret mit dem Zertifikat/Schlüsselpaar. Weitere Informationen finden Sie unter Option 2: Kubernetes-Secret in TLS und mTLS auf dem Istio-Ingress konfigurieren.
- Aktualisieren Sie Ihre Überschreibungsdatei so, dass sie auf das Zertifikat und den privaten Schlüssel verweist.
Beispiel:
... envs: - name: test serviceAccountPaths: synchronizer: "your_keypath/synchronizer-manager-service-account.json udca: "your_keypath/analytic-agent-service-account.json virtualhosts: - name: my-env-group sslCertPath: "$HOME/hybrid/apigee-hybrid-setup/tls/fullchain.pem" sslKeyPath: "$HOME/hybrid/apigee-hybrid-setup/tls/privkey.key"
Oder wenn Sie Kubernetes-Secrets verwenden:
... envs: - name: test serviceAccountPaths: synchronizer: "your_keypath/synchronizer-manager-service-account.json udca: "your_keypath/analytic-agent-service-account.json virtualhosts: - name: my-env-group tlsMode: SIMPLE # Note: SIMPLE is the default, MUTUAL is also an available value. sslSecret: myorg-test-policy-secret" ...
- Wenden Sie Änderungen an der
envs
-Konfiguration an:Helm
Führen Sie das
Helm-Upgrade für alle Umgebungen aus, die Sie aktualisieren möchten .helm upgrade ENV_NAME apigee-env/ \ --namespace apigee \ --set env=ENV_NAME \ --atomic \ -f OVERRIDES_FILE.yaml
apigeectl
$APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE.yaml --env ENV_NAME
Oder aktualisieren Sie die Komponente für alle Umgebungen:
$APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE.yaml --all-envs
Konfiguration testen
Stellen Sie einen Proxy bereit und testen Sie ihn. Weitere Informationen finden Sie unter Ersten API-Proxy erstellen.