Attivare i client non SNI e HTTP

Questo argomento spiega come attivare i client non SNI, i client HTTP e una combinazione di entrambi per l'utilizzo con Apigee Hybrid.

Come configurare un client non SNI

Questa sezione spiega come attivare il supporto per i client non SNI (Server Name Indication) in Apigee Hybrid. Un client non SNI utilizza la porta 443 ed è necessario se vuoi integrare le istanze di runtime ibride con Cloud Load Balancing di Google o per i client che non supportano SNI.
  1. Crea una definizione di risorsa personalizzata (CRD) ApigeeRoute. Assicurati che enableNonSniClient sia impostato su true:
    apiVersion: apigee.cloud.google.com/v1alpha1
    kind: ApigeeRoute
    metadata:
      name: ROUTE_NAME
      namespace: APIGEE_NAMESPACE
    spec:
      hostnames:
      - "*"
      ports:
      - number: 443
        protocol: HTTPS
        tls:
          credentialName: CREDENTIAL_NAME
          mode: SIMPLE
          #optional
          minProtocolVersion: TLS_AUTO
      selector:
        app: apigee-ingressgateway
      enableNonSniClient: true

    Dove:

    • ROUTE_NAME è il nome che assegni alla risorsa personalizzata (RP).
    • CREDENTIAL_NAME è il nome di un secret Kubernetes di cui è stato eseguito il deployment nel cluster che contiene le credenziali TLS per il tuo virtualhost. Puoi trovare il nome delle credenziali con il seguente comando kubectl:
      kubectl -n APIGEE_NAMESPACE get ApigeeRoutes -o=yaml | grep credentialName
    • hostnames deve essere impostato sul carattere jolly "*".
  2. Apri il file delle sostituzioni e apporta la modifica descritta nel passaggio successivo.
  3. Per ogni gruppo di ambienti, aggiungi il nome ApigeeRoute alla proprietà additionalGateways. Ad esempio:
    virtualhosts:
      - name: default
        sslCertPath: ./certs/fullchain.pem
        sslKeyPath: ./certs/privkey.pem
        additionalGateways: ["ROUTE_NAME"]
  4. Salva il file CRD. Ad esempio: ApigeeRoute.yaml
  5. Applica il CRD al cluster:
    kubectl apply -f ApigeeRoute.yaml -n APIGEE_NAMESPACE
  6. Applica la modifica a virtualhosts. Se hai impostato la variabile di ambiente $ENV_GROUP nella shell, puoi utilizzarla nei seguenti comandi:
    helm upgrade $ENV_GROUP apigee-virtualhost/ \
      --namespace APIGEE_NAMESPACE \
      --atomic \
      --set envgroup=$ENV_GROUP \
      -f OVERRIDES_FILE.yaml
    

Note sull'utilizzo

  • Cosa succede se il cluster ha più di un'organizzazione?

    Poiché l'ingresso è a livello di cluster per una determinata porta (443) e può esserci solo una coppia di chiavi/certificati per il CRD ApigeeRoute, tutte le organizzazioni devono condividere la stessa coppia di chiavi/certificati.

  • Cosa succede se il cluster ha più di un gruppo di ambienti? Funziona se gli host virtuali condividono la stessa coppia chiave/certificato?

    Tutti gli host name di tutti i gruppi di ambienti devono utilizzare la stessa coppia chiave/certificato.

  • Perché stiamo creando un'ApigeeRoute anziché un gateway?

    ApigeeRoutes può essere convalidato da Apigee, ma non lo è Gateway (il CRD Istio). Tecnicamente, anche Gateway può funzionare, ma possiamo evitare potenziali errori di configurazione (tramite un webhook di convalida).

Attiva i client HTTP

Questa sezione spiega il supporto dei client HTTP da utilizzare con Apigee Hybrid.

  1. Crea una definizione di risorsa personalizzata (CRD) ApigeeRoute. Ad esempio:
    apiVersion: apigee.cloud.google.com/v1alpha1
    kind: ApigeeRoute
    metadata:
      name: ROUTE_NAME
      namespace: APIGEE_NAMESPACE
    spec:
      hostnames:
      - "*"
      ports:
      - number: 80
        protocol: HTTP
      selector:
        app: istio-ingressgateway
      enableNonSniClient: true

    Dove:

    • ROUTE_NAME è il nome che assegni alla risorsa CRD.
    • hostnames deve essere impostato sul carattere jolly "*".
  2. Apri il file delle sostituzioni e apporta la modifica descritta nel passaggio successivo.
  3. Per ogni gruppo di ambienti, aggiungi il nome ApigeeRoute alla proprietà additionalGateways. Ad esempio:
    virtualhosts:
      - name: default
        sslCertPath: ./certs/fullchain.pem
        sslKeyPath: ./certs/privkey.pem
        additionalGateways: ["ROUTE_NAME"]
  4. Salva il file CRD. Ad esempio: ApigeeRoute.yaml
  5. Applica il CRD al cluster:
    kubectl apply -f ApigeeRoute.yaml -n APIGEE_NAMESPACE
  6. Applica la modifica a virtualhosts:
    helm upgrade $ENV_GROUP apigee-virtualhost/ \
      --namespace APIGEE_NAMESPACE \
      --atomic \
      --set envgroup=$ENV_GROUP \
      -f OVERRIDES_FILE.yaml
    

Attivare il supporto sia per i client non SNI che per quelli HTTP

Questa sezione spiega come attivare entrambi i client non SNI (porta 443) e HTTP (porta 80) per l'utilizzo con Apigee Hybrid.

  1. Crea una definizione di risorsa personalizzata (CRD) ApigeeRoute. Ad esempio:
    apiVersion: apigee.cloud.google.com/v1alpha1
    kind: ApigeeRoute
    metadata:
      name: ROUTE_NAME
      namespace: APIGEE_NAMESPACE
    spec:
      hostnames:
      - "*"
      ports:
      - number: 443
        protocol: HTTPS
        tls:
          credentialName: CREDENTIAL_NAME
          mode: SIMPLE
          #optional
          minProtocolVersion: TLS_AUTO
      - number: 80
        protocol: HTTP
      selector:
        app: istio-ingressgateway
      enableNonSniClient: true

    Dove:

    • ROUTE_NAME è il nome che assegni alla risorsa CRD.
    • hostname deve essere impostato sul carattere jolly "*".
    • CREDENTIAL_NAME è il nome di un secret Kubernetes di cui è stato eseguito il deployment nel cluster che contiene le credenziali TLS per il tuo virtualhost. Puoi trovare il nome delle credenziali con il seguente comando kubectl:
      kubectl -n APIGEE_NAMESPACE get ApigeeRoutes -o=yaml | grep credentialName
  2. Apri il file delle sostituzioni e apporta la modifica descritta nel passaggio successivo.
  3. Per ogni gruppo di ambienti, aggiungi il nome ApigeeRoute alla proprietà additionalGateways. Ad esempio:
    virtualhosts:
      - name: default
        sslCertPath: ./certs/fullchain.pem
        sslKeyPath: ./certs/privkey.pem
        additionalGateways: ["ROUTE_NAME"]
  4. Salva il file CRD. Ad esempio: ApigeeRoute.yaml
  5. Applica il CRD al cluster:
    kubectl apply -f ApigeeRoute.yaml -n APIGEE_NAMESPACE
  6. Applica la modifica a virtualhosts:
    helm upgrade $ENV_GROUP apigee-virtualhost/ \
      --namespace APIGEE_NAMESPACE \
      --atomic \
      --set envgroup=$ENV_GROUP \
      -f OVERRIDES_FILE.yaml