Questo argomento spiega come attivare i client non SNI, i client HTTP e una combinazione di entrambi per l'utilizzo con Apigee Hybrid.
Come configurare un client non SNI
Questa sezione spiega come attivare il supporto per i client non SNI (Server Name Indication) in Apigee Hybrid. Un client non SNI utilizza la porta 443 ed è necessario se vuoi integrare le istanze di runtime ibride con Cloud Load Balancing di Google o per i client che non supportano SNI.- Crea una definizione di risorsa personalizzata (CRD) ApigeeRoute. Assicurati che
enableNonSniClient
sia impostato sutrue
:apiVersion: apigee.cloud.google.com/v1alpha1 kind: ApigeeRoute metadata: name: ROUTE_NAME namespace: APIGEE_NAMESPACE spec: hostnames: - "*" ports: - number: 443 protocol: HTTPS tls: credentialName: CREDENTIAL_NAME mode: SIMPLE #optional minProtocolVersion: TLS_AUTO selector: app: apigee-ingressgateway enableNonSniClient: true
Dove:
- ROUTE_NAME è il nome che assegni alla risorsa personalizzata (RP).
- CREDENTIAL_NAME è il nome di un secret Kubernetes di cui è stato eseguito il deployment nel cluster
che contiene le credenziali TLS per il tuo virtualhost. Puoi trovare il nome delle credenziali con
il seguente comando
kubectl
:kubectl -n APIGEE_NAMESPACE get ApigeeRoutes -o=yaml | grep credentialName
hostnames
deve essere impostato sul carattere jolly "*".
- Apri il file delle sostituzioni e apporta la modifica descritta nel passaggio successivo.
- Per ogni gruppo di ambienti, aggiungi il nome ApigeeRoute alla proprietà
additionalGateways
. Ad esempio:virtualhosts: - name: default sslCertPath: ./certs/fullchain.pem sslKeyPath: ./certs/privkey.pem additionalGateways: ["ROUTE_NAME"]
- Salva il file CRD. Ad esempio:
ApigeeRoute.yaml
- Applica il CRD al cluster:
kubectl apply -f ApigeeRoute.yaml -n APIGEE_NAMESPACE
- Applica la modifica a
virtualhosts
. Se hai impostato la variabile di ambiente $ENV_GROUP nella shell, puoi utilizzarla nei seguenti comandi:helm upgrade $ENV_GROUP apigee-virtualhost/ \ --namespace APIGEE_NAMESPACE \ --atomic \ --set envgroup=$ENV_GROUP \ -f OVERRIDES_FILE.yaml
Note sull'utilizzo
- Cosa succede se il cluster ha più di un'organizzazione?
Poiché l'ingresso è a livello di cluster per una determinata porta (443) e può esserci solo una coppia di chiavi/certificati per il CRD ApigeeRoute, tutte le organizzazioni devono condividere la stessa coppia di chiavi/certificati.
- Cosa succede se il cluster ha più di un gruppo di ambienti? Funziona se gli host virtuali condividono la stessa coppia chiave/certificato?
Tutti gli host name di tutti i gruppi di ambienti devono utilizzare la stessa coppia chiave/certificato.
- Perché stiamo creando un'ApigeeRoute anziché un gateway?
ApigeeRoutes può essere convalidato da Apigee, ma non lo è Gateway (il CRD Istio). Tecnicamente, anche Gateway può funzionare, ma possiamo evitare potenziali errori di configurazione (tramite un webhook di convalida).
Attiva i client HTTP
Questa sezione spiega il supporto dei client HTTP da utilizzare con Apigee Hybrid.
- Crea una definizione di risorsa personalizzata (CRD) ApigeeRoute. Ad esempio:
apiVersion: apigee.cloud.google.com/v1alpha1 kind: ApigeeRoute metadata: name: ROUTE_NAME namespace: APIGEE_NAMESPACE spec: hostnames: - "*" ports: - number: 80 protocol: HTTP selector: app: istio-ingressgateway enableNonSniClient: true
Dove:
- ROUTE_NAME è il nome che assegni alla risorsa CRD.
hostnames
deve essere impostato sul carattere jolly "*".
- Apri il file delle sostituzioni e apporta la modifica descritta nel passaggio successivo.
- Per ogni gruppo di ambienti, aggiungi il nome ApigeeRoute alla proprietà
additionalGateways
. Ad esempio:virtualhosts: - name: default sslCertPath: ./certs/fullchain.pem sslKeyPath: ./certs/privkey.pem additionalGateways: ["ROUTE_NAME"]
- Salva il file CRD. Ad esempio:
ApigeeRoute.yaml
- Applica il CRD al cluster:
kubectl apply -f ApigeeRoute.yaml -n APIGEE_NAMESPACE
- Applica la modifica a
virtualhosts
:helm upgrade $ENV_GROUP apigee-virtualhost/ \ --namespace APIGEE_NAMESPACE \ --atomic \ --set envgroup=$ENV_GROUP \ -f OVERRIDES_FILE.yaml
Attivare il supporto sia per i client non SNI che per quelli HTTP
Questa sezione spiega come attivare entrambi i client non SNI (porta 443) e HTTP (porta 80) per l'utilizzo con Apigee Hybrid.
- Crea una definizione di risorsa personalizzata (CRD) ApigeeRoute. Ad esempio:
apiVersion: apigee.cloud.google.com/v1alpha1 kind: ApigeeRoute metadata: name: ROUTE_NAME namespace: APIGEE_NAMESPACE spec: hostnames: - "*" ports: - number: 443 protocol: HTTPS tls: credentialName: CREDENTIAL_NAME mode: SIMPLE #optional minProtocolVersion: TLS_AUTO - number: 80 protocol: HTTP selector: app: istio-ingressgateway enableNonSniClient: true
Dove:
- ROUTE_NAME è il nome che assegni alla risorsa CRD.
hostname
deve essere impostato sul carattere jolly "*".- CREDENTIAL_NAME è il nome di un secret Kubernetes di cui è stato eseguito il deployment nel cluster
che contiene le credenziali TLS per il tuo virtualhost. Puoi trovare il nome delle credenziali con
il seguente comando
kubectl
:kubectl -n APIGEE_NAMESPACE get ApigeeRoutes -o=yaml | grep credentialName
- Apri il file delle sostituzioni e apporta la modifica descritta nel passaggio successivo.
- Per ogni gruppo di ambienti, aggiungi il nome ApigeeRoute alla proprietà
additionalGateways
. Ad esempio:virtualhosts: - name: default sslCertPath: ./certs/fullchain.pem sslKeyPath: ./certs/privkey.pem additionalGateways: ["ROUTE_NAME"]
- Salva il file CRD. Ad esempio:
ApigeeRoute.yaml
- Applica il CRD al cluster:
kubectl apply -f ApigeeRoute.yaml -n APIGEE_NAMESPACE
- Applica la modifica a
virtualhosts
:helm upgrade $ENV_GROUP apigee-virtualhost/ \ --namespace APIGEE_NAMESPACE \ --atomic \ --set envgroup=$ENV_GROUP \ -f OVERRIDES_FILE.yaml