Questa pagina è stata tradotta dall'API Cloud Translation.

Abilitazione di SSL per gli endpoint cloud con ESPv2

OpenAPI | gRPC

Questa pagina spiega come abilitare una porta SSL (Secure Sockets Layer) durante il deployment di Extensible Service Proxy V2 (ESPv2) con Google Kubernetes Engine, Kubernetes o in Compute Engine. Per alcuni casi d'uso, può essere opportuno abilitare una porta SSL per il servizio Endpoints di cui hai eseguito il deployment.

Prima di iniziare, assicurati di aver già esaminato i tutorial per il tipo di servizio e l'ambiente che hai scelto e di sapere come eseguire il deployment ESPv2 senza SSL.

Configurazione delle chiavi e dei certificati SSL

Per configurare la porta SSL in modo che gestisca le richieste HTTPS, segui i passaggi riportati di seguito:

Verifica che il file della chiave SSL sia denominato server.key e che il file del certificato sia denominato server.crt. Per i test, puoi generare un server.key e un server.crt autofirmati utilizzando OpenSSL con il seguente comando:
```
openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout ./server.key -out ./server.crt
```
Specifica sia CN che subjectAltName nel certificato del server. Il valore di questi attributi Deve corrispondere al DNS o all'IP utilizzato dai client per chiamare il servizio. altrimenti, L'handshake SSL non andrà a buon fine.

Abilitazione di SSL per ESPv2 su Kubernetes

Per attivare la porta SSL per ESPv2 su Kubernetes:

Crea un secret Kubernetes con la chiave SSL e il certificato:

kubectl create secret generic esp-ssl \
  --from-file=./server.crt --from-file=./server.key

Modifica i file di configurazione di Kubernetes, ad esempio echo-ssl.yaml, come mostrato nel seguente snippet:

template:
  metadata:
    labels:
      app: esp-echo
  spec:
    volumes:
    - name: esp-ssl
      secret:
        secretName: esp-ssl
    containers:
    - name: esp
      image: gcr.io/endpoints-release/endpoints-runtime:2
      args: [
        "--listener_port", "9000",
        "--backend", "127.0.0.1:8081",
        "--service", "SERVICE_NAME",
        "--rollout_strategy", "managed",
        "--ssl_server_cert_path", "/etc/esp/ssl",
      ]
      ports:
        - containerPort: 9000
      volumeMounts:
      - mountPath: /etc/esp/ssl
        name: esp-ssl
        readOnly: true
    - name: echo
      image: gcr.io/endpoints-release/echo:latest
      ports:
        - containerPort: 8081

Nota: l'esempio di configurazione mostra le righe che devono essere modificate. Per eseguire il deployment del file in Cloud Endpoints, è necessario il file di configurazione completo.

Monta i secret di Kubernetes che hai creato come volumi, seguendo le istruzioni riportate nella pagina Volumi Kubernetes.
Avvia ESPv2 come descritto in Specifica le opzioni di avvio per ESPv2, ma assicurati di aggiungere il flag di avvio --ssl_server_cert_path per specificare il percorso dei file dei certificati montati.
Avvia il servizio con il file di configurazione di Kubernetes aggiornato utilizzando kubectl.
```
kubectl apply -f echo-ssl.yaml
```
Nota: se hai già un deployment Kubernetes esistente, puoi aggiornarlo direttamente.
Genera il certificato principale per il client utilizzando il seguente comando OpenSSL:
```
   openssl x509 -in ./server.crt -out ./client.pem -outform PEM
 
```
Se il client utilizza curl, il file client.pem può essere utilizzato nel --caroot flag. Per gRPC, client.pem viene utilizzato come certificato radice della credenziale SSL per il canale gRPC.

Aggiorna i certificati SSL

È importante aggiornare periodicamente i certificati SSL. Per aggiornare i certificati SSL, devi svolgere i seguenti passaggi:

Crea nuovi certificati, come descritto nel passaggio 1 qui sopra.
Monta i nuovi certificati nei secret di Kubernetes, come descritto nel passaggio 3 qui sopra.
Aggiorna il deployment di Kubernetes ESPv2, come descritto nel passaggio 5 qui sopra.
Rigenera il file del certificato principale del client come descritto nel passaggio 6 qui sopra.

Abilitazione di SSL per ESPv2 su Compute Engine

Per abilitare SSL su Compute Engine, copia prima i file server.key e server.crt in /etc/nginx/ssl dell'istanza Compute Engine, seguendo questa procedura:

Esegui il comando seguente e sostituisci INSTANCE_NAME con il nome dell'istanza Compute Engine:
```
gcloud compute scp server.* INSTANCE-NAME
```
Connettiti all'istanza utilizzando ssh.
```
gcloud compute ssh INSTANCE-NAME
```

Nella casella dell'istanza VM, crea la directory e copia i file:

  sudo mkdir -p /etc/esp/ssl
  sudo cp server.* /etc/esp/ssl/

Segui le istruzioni per il tipo di servizio da eseguire con Docker. Quando esegui il container Docker ESPv2, utilizza questo comando:
```
sudo docker run --name=esp \
 --detach \
 --publish=443:9000 \
 --net=esp_net \
 --volume=/etc/esp/ssl:/etc/esp/ssl \
  gcr.io/endpoints-release/endpoints-runtime:2 \
 --service=SERVICE_NAME \
 --rollout_strategy=managed \
 --backend=echo:8080 \
 --ssl_server_cert_path=/etc/esp/ssl \
 --listener_port=9000
```
Rispetto al comando docker run non SSL, la versione SSL del comando crea una configurazione diversa. Ad esempio, il comando SSL:
- Monta la cartella con la chiave e i file CRT nel container utilizzando --volume.
- Utilizza --ssl_server_cert_path=/etc/esp/ssl per indicare a ESPv2 di trovare i file di certificato del server server.key e server.crt nella cartella /etc/esp/ssl.
- Modifica il flag di mappatura delle porte --publish. Le richieste in entrata alla porta HTTPS 443 sono mappate alla porta ESPv2 9000.
  
  Nota: il container ESPv2 non può essere associato a porte con privilegi, inclusa la porta 443. Utilizza invece il flag --publish per mappare 443 a un --listener_port senza privilegi, come 9000.

Aggiorna i certificati SSL

È importante aggiornare periodicamente i certificati SSL. Per aggiornare i certificati SSL, devi seguire questi passaggi:

Crea nuovi certificati e copiali nelle istanze VM, come descritto nel passaggio 1 precedente.
Copia i nuovi certificati nella directory /etc/esp/ssl, come descritto nel passaggio 3 qui sopra.
Interrompi e riavvia il contenitore ESPv2 utilizzando il comando sudo docker run, come descritto nel passaggio 4 precedente.

Test della porta SSL

Per semplificare il test della porta SSL, imposta le seguenti variabili di ambiente:

Imposta IP_ADDRESS sull'indirizzo IP dell'istanza Compute Engine con il nuovo certificato SSL.

Nota: i comandi di test di esempio riportati di seguito presuppongono che il server non abbia ancora un nome di dominio completo (FQDN) e che IP_ADDRESS sia stato utilizzato come nome di dominio completo durante la generazione del certificato autofirmato. Quando il server riceve un FQDN, utilizzalo per generare il certificato. Quindi, sostituisci IP_ADDRESS con il nome di dominio completo nei comandi di esempio riportati di seguito.
Imposta ENDPOINTS_KEY su una chiave API valida.

Una volta abilitata la porta SSL, puoi utilizzare HTTPS per inviare richieste al Extensible Service Proxy. Se il certificato è autofirmato, utilizza -k per attivare l'opzione non sicura in curl:

curl -k -d '{"message":"hello world"}' -H "content-type:application/json" \
https://IP_ADDRESS:443/echo?key=ENDPOINTS_KEY

In alternativa, genera il certificato in formato pem e utilizza l'opzione --cacert per utilizzare il certificato autofirmato in curl, come mostrato di seguito:

  openssl x509 -in server.crt -out client.pem -outform PEM
  curl --cacert "./client.pem" -d '{"message":"hello world"}' -H "content-type:application/json" \
  https://IP_ADDRESS:443/echo?key=ENDPOINTS_KEY