本步驟說明如何建立 Apigee hybrid 運作所需的 TLS 憑證。
建立傳輸層安全標準 (TLS) 憑證
您必須在 Apigee 混合型設定中,為執行階段入口網關提供 TLS 憑證。為了讓這個快速入門 (非實際工作環境的試用安裝) 順利進行,執行階段閘道可接受自行簽署的憑證。在下列步驟中,我們會使用 openssl 產生自行簽署的憑證。
在這個步驟中,您將建立 TLS 憑證檔案,並將這些檔案新增至 $APIGEE_HELM_CHARTS_HOME/certs 目錄。在
步驟 6:建立覆寫值中,您會將檔案路徑新增至叢集設定檔。
- 建立憑證檔案的目錄。Helm 圖表無法讀取圖表目錄以外的檔案,TLS 憑證則是透過
apigee-virtualhost圖表管理。因此,請在$APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/目錄中建立憑證檔案的目錄。例如:
mkdir $APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/certs/
-
執行下列指令,建立憑證檔案並儲存在
$APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/certs目錄中:openssl req -nodes -new -x509 -keyout $APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/certs/keystore_$ENV_GROUP.key -out \ $APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/certs/keystore_$ENV_GROUP.pem -subj '/CN='$DOMAIN'' -days 3650其中:
- DOMAIN 是您在「建立環境群組」中提供的網域,用於環境群組的主機名稱。
- ENV_GROUP 是環境群組的名稱,其中網域會指定為主機名稱。如果您為多個環境群組建立金鑰,建議您在金鑰和 KeyStore 名稱中加入環境群組名稱,以免不小心重複使用相同的網域值。
這個指令會建立自行簽署的憑證/金鑰組,可用於快速入門安裝作業。
如果您有其他環境群組,且這些群組具有不重複的網域名稱,請為每個環境群組重複執行這個步驟。您會在叢集設定步驟中參照這些群組和憑證。
-
使用下列指令,確認檔案是否位於
$APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/certs目錄中:ls $APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/certs
您應該會看到兩個檔案:
keystore_ENV_GROUP.pem或keystore_ENV_GROUP.crt是自行簽署的 TLS 憑證檔案。keystore_ENV_GROUP.key是金鑰檔案。
您現在已取得在 Kubernetes 叢集中管理 Apigee Hybrid 所需的憑證。接下來,您將建立覆寫檔案,供 Kubernetes 用於將混合式執行階段元件部署至叢集。