Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi TLS dan mTLS di gateway masuk

Topik ini menjelaskan cara mengaktifkan TLS dan mTLS satu arah pada proses masuk.

Mengonfigurasi TLS satu arah

Gunakan TLS satu arah untuk mengamankan endpoint proxy API di gateway masuk. Untuk mengaktifkan TLS satu arah, konfigurasikan ingress dengan pasangan sertifikat/kunci TLS atau dengan Secret Kubernetes, seperti yang dijelaskan pada opsi berikut.

Opsi 1: pasangan kunci/sertifikat

Berikan file kunci dan sertifikat SSL di properti virtualhosts dalam file penggantian Anda:

virtualhosts:
  - name: $ENVIRONMENT_GROUP_NAME
    sslCertPath: "$CERT_FILE"
    sslKeyPath: "$KEY_FILE"

Dengan $ENVIRONMENT_GROUP_NAME adalah nama grup lingkungan dengan alias host yang sesuai, sedangkan $CERT_FILE dan $KEY_FILE adalah file kunci dan sertifikat TLS. Lihat Membuat sertifikat TLS.

Opsi 2: Secret Kubernetes

Buat Kubernetes Secret dan tambahkan ke file penggantian Anda.

Buat Secret di namespace apigee:

kubectl create -n apigee secret generic $SECRET_NAME  \
  --from-file=key=$KEY_FILE \
  --from-file=cert=$CERT_FILE

Konfigurasikan properti virtualhosts di file penggantian:

virtualhosts:
  - name: $ENVIRONMENT_GROUP_NAME
    tlsMode: SIMPLE  # Note: SIMPLE is the default, so it is optional.
    sslSecret: $SECRET_NAME

Mengonfigurasi mTLS

Sebagai ganti TLS satu arah, Anda dapat mengonfigurasi mTLS di gateway masuk. Ada dua opsi untuk mengonfigurasi mTLS, seperti yang dijelaskan di bawah.

Opsi 1: pasangan kunci/sertifikat dan file CA

Berikan data sertifikat TLS yang berisi sertifikat Certificate Authority:

virtualhosts:
  - name: $ENVIRONMENT_GROUP_NAME
    tlsMode: MUTUAL
    caCertPath: "$CA_FILE"
    sslCertPath: "$CERT_FILE"
    sslKeyPath: "$KEY_FILE"

$ENVIRONMENT_GROUP_NAME adalah nama grup lingkungan dengan alias host yang sesuai, $CA_FILE menentukan data sertifikat TLS (file paket CA) yang berisi sertifikat Certificate Authority, sedangkan $CERT_FILE dan $KEY_FILE adalah file kunci dan sertifikat TLS. Lihat Membuat sertifikat TLS.

Opsi 2: Secret Kubernetes

Membuat dua Secret Kubernetes. Rahasia pertama adalah untuk pasangan sertifikat/kunci SSL dan yang kedua adalah untuk CA. Kemudian, tambahkan ke file penggantian.

Buat dua secret Kubernetes untuk namespace apigee:

kubectl create -n apigee secret generic $SECRET_NAME  \
  --from-file=key=$KEY_FILE \
  --from-file=cert=$CERT_FILE

Buat rahasia untuk CA:

kubectl create -n apigee secret generic $SECRET_NAME-cacert  \
  --from-file=cacert=$CA_FILE

Konfigurasikan properti virtualhosts di file penggantian:

virtualhosts:
  - name: $ENVIRONMENT_GROUP_NAME
    tlsMode: MUTUAL  # Note: Be sure to specify MUTUAL
    sslSecret: $SECRET_NAME