Esempio: come ottenere i certificati TLS

Questo argomento è solo a scopo esemplificativo. Spiega come ottenere un certificato TLS dall'autorità di certificazione (CA) Let's Encrypt. Questi passaggi vengono forniti principalmente come esempio da seguire se non disponi di un altro modo pronto per ottenere un certificato/una chiave una coppia autorizzata da una CA. L'esempio mostra come generare i certificati utilizzando l'autorità di certificazione Let's Encrypt, il client Certbot e Cloud DNS della piattaforma Google Cloud.

Dove puoi utilizzare questi certificati

Devi fornire i certificati TLS per due gateway di ingresso Istio esposti al di fuori del cluster:

Gateway Requisito TLS
Gateway in entrata per il runtime Puoi utilizzare una coppia di chiavi/un certificato autofirmato o certificati TLS autorizzati.
Gateway di ingresso MART (facoltativo se non utilizzi Apigee Connect) Richiede una coppia di chiavi/un certificato TLS o un segreto Kubernetes autorizzato.
Vedi anche Connessioni esterne.

Requisiti

Avrai bisogno di un nome di dominio ottenuto tramite un registrar di nomi di dominio. Puoi registrare un nome di dominio tramite Google Domains o un altro registrar di dominio a tua scelta.

Configura Cloud DNS

Per ottenere certificati TLS autorizzati, devi disporre di un nome di dominio qualificato. I passaggi riportati di seguito spiegano come utilizzare Google Cloud DNS per ottenere un nome di dominio e gestire i server di dominio.
  1. Apri la console Google Cloud e accedi al tuo account.
  2. Seleziona il progetto in cui è installato Apigee hybrid.
  3. Se non lo hai già fatto, abilita l'API Cloud DNS. Consulta Abilitare le API.
  4. Crea un indirizzo IP statico:
    • Se utilizzi GKE, segui le istruzioni in Riservare un indirizzo IP esterno statico per creare indirizzi IP statici elaborati dall'esterno per comunicare con il traffico in entrata del runtime ibrido. Puoi assegnare all'indirizzo il nome che preferisci, ad esempio apigee-hybrid-runtime. Al termine, utilizzerai il numero IP nella configurazione del cluster nel passaggio successivo. Ad esempio: 34.66.75.196
    • Se utilizzi Anthos GKE, segui le istruzioni in documentazione di Anthos GKE per creare un indirizzo IP statico.
  5. Ottieni l'IP esterno che hai appena prenotato.
  6. Crea un set di record per l'endpoint in entrata Istio del runtime. Questo è l'indirizzo per effettuare chiamate API al gateway ibrido. Inserisci l'IP esterno ottenuto nelle precedenti passaggio e aggiungi un prefisso al nome di dominio, ad esempio example-endpoint. Per le istruzioni, consulta Creare un nuovo record.
    1. Crea una zona pubblica gestita. Per istruzioni, vedi Crea una zona pubblica gestita.
    2. Crea un nuovo set di record con:
      • Nome DNS: il nome dell'endpoint con cui le chiamate API esterne comunicheranno, ad esempio api-services o example-endpoint
      • Tipo di record di risorse: A
      • TTL e Unità TTL: accetta i valori predefiniti
      • Indirizzo IP: l'IP statico che hai creato.
  7. La visualizzazione Dettagli zona elenca quattro server DNS come dati NS per il tuo nuovo zona di destinazione. Copia i dati del record DNS, come mostrato nell'esempio seguente:

  8. Torna alla pagina del tuo dominio nel registrar (ad esempio, Google Domains).
  9. Seleziona il tuo dominio.
  10. Seleziona DNS.
  11. Nella sezione Server dei nomi, fai clic su Modifica.
  12. Inserisci i server dei nomi di dominio che hai copiato dalla pagina Cloud DNS di Network Services. Ad esempio:

Ora Google Cloud DNS gestirà i record DNS per il tuo dominio.

Installare Certbot su una VM

Ora che hai configurato Cloud DNS per gestire i server di dominio, installa il client Certbot Plug-in dns_google su una VM Cloud. Il client ti consente di ottenere certificati autorizzati per il tuo dominio da un endpoint Let's Encrypt.

  1. Apri la console Google Cloud e accedi con l'account che hai creato nel Passaggio 1: crea un account Google Cloud.
  2. Seleziona il progetto che hai creato nel passaggio 2: creazione di un progetto Google Cloud.
  3. Seleziona IAM e amministrazione > Account di servizio.

    La visualizzazione Account di servizio mostra un elenco degli account di servizio del progetto.

  4. Per creare un nuovo account di servizio, fai clic su + Crea account di servizio nella parte superiore della visualizzazione.

    Viene visualizzata la visualizzazione Dettagli account di servizio.

  5. Nel campo Nome account di servizio, inserisci il nome dell'account di servizio.

    In via facoltativa, puoi aggiungere una descrizione nella Descrizione dell'account di servizio . Le descrizioni sono utili per ricordare per cosa viene utilizzato un determinato account di servizio.

  6. Fai clic su Crea.

    Google Cloud crea un nuovo account di servizio e visualizza l'icona Account di servizio autorizzazioni. Utilizza questa vista per assegnare un ruolo al nuovo account di servizio.

  7. Fai clic sull'elenco a discesa Seleziona un ruolo.
  8. Seleziona il ruolo Proprietario del progetto.
  9. Fai clic su Continua.
  10. Fai clic su Fine.
  11. Nella console Google Cloud, seleziona Compute Engine > Istanze VM.
  12. Crea un'istanza VM denominata certmanager.
  13. Nella sezione Disco di avvio, scegli CentOS7 e 20 GB per un'unità permanente SSD.
  14. Imposta l'account di servizio su quello che hai creato sopra.
  15. Installa Certbot e dns_google sul computer ed esegui il client Certbot:
      sudo su -
      yum -y install yum-utils
      yum install certbot -y
      yum install certbot-dns-google -y
      certbot certonly --dns-google -d *.your_domain_name,*.your_domain_name --server https://acme-v02.api.letsencrypt.org/directory
      

    Ad esempio:

    sudo su -
    yum -y install yum-utils
    yum install certbot -y
    yum install certbot-dns-google -y
    certbot certonly --dns-google -d *.apigee-hybrid-docs.net,*.apigee-hybrid-docs.net --server https://acme-v02.api.letsencrypt.org/directory
  16. Ora puoi trovare il certificato autorizzato e i file della chiave privata in questa directory: cd /etc/letsencrypt/live/your_domain_name/

    Ad esempio:

    cd /etc/letsencrypt/live/apigee-hybrid-docs.net
    ls
      cert.pem  chain.pem  fullchain.pem  privkey.pem  README
  17. Copia i file fullchain.pem e privkey.pem sul tuo computer locale.
  18. Facoltativo: crea un secret Kubernetes con la coppia di certificato/chiave. Consulta le istruzioni riportate in Opzione 2: segreto Kubernetes in Configurazione di TLS e mTLS sul gateway in entrata Istio.
  19. Aggiorna il file degli override in modo che punti al certificato e alla chiave privata.

    Ad esempio:

    ...
    envs:
      - name: test
        serviceAccountPaths:
          synchronizer: "your_keypath/synchronizer-manager-service-account.json
          udca: "your_keypath/analytic-agent-service-account.json
    
    virtualhosts:
      - name: my-env-group
        sslCertPath: "$HOME/hybrid/apigee-hybrid-setup/tls/fullchain.pem"
        sslKeyPath: "$HOME/hybrid/apigee-hybrid-setup/tls/privkey.pem"
    
    mart: # Assuming you are not using Apigee Connect
      nodeSelector:
        key: cloud.google.com/gke-nodepool
        value: apigee-runtime
      sslCertPath: "$HOME/hybrid/apigee-hybrid-setup/tls/fullchain.pem"
      sslKeyPath: "$HOME/hybrid/apigee-hybrid-setup/tls/privkey.pem"
      replicaCountMin: 1
      replicaCountMax: 1

    In alternativa, se utilizzi i secret di Kubernetes:

    ...
    envs:
      - name: test
        serviceAccountPaths:
          synchronizer: "your_keypath/synchronizer-manager-service-account.json
          udca: "your_keypath/analytic-agent-service-account.json
    
    virtualhosts:
      - name: my-env-group
        tlsMode: SIMPLE  # Note: SIMPLE is the default, MUTUAL is also an available value.
        sslSecret: myorg-test-policy-secret"
    
    mart: # Assuming you are not using Apigee Connect
      nodeSelector:
        key: cloud.google.com/gke-nodepool
        value: apigee-runtime
        sslSecret: myorg-test-policy-secret"
      replicaCountMin: 1
      replicaCountMax: 1
    
    ...  
  20. Applica le modifiche:

    Se hai modificato la configurazione di mart, applica le modifiche:

    apigeectl apply -f your_overrides_file --all-envs

    Se hai modificato la configurazione di envs, applica le modifiche:

    apigeectl apply -f your_overrides_file --all-envs
  21. Testa la configurazione

    Eseguire il deployment e il test di un proxy. Consulta la pagina Creare il primo proxy API.