Déployer une instance API
Pour déployer une instance d’API, vous avez besoin d’un proxy d’API. Un proxy d’API est un serveur virtuel frontal sur lequel l’API Security (instance NetScaler) reçoit le trafic d’API en provenance des clients de l’API. Les clients de l’API peuvent être des navigateurs, des applications mobiles, etc.
Vous pouvez partager un proxy d’API avec différents déploiements d’API. Dans une organisation où vous disposez de nombreux services d’API, vous pouvez créer un proxy d’API distinct pour chaque service d’API. Vous pouvez également créer et partager un proxy d’API avec des instances d’API pour différents services d’API.
Par exemple, les deux services d’API app1
et app2
sont déployés sur la même sécurité d’API et à l’aide du même serveur virtuel frontal. Vous souhaitez fournir la même adresse IP virtuelle et les mêmes informations de certificat SSL aux deux services d’API. Dans ce cas, vous pouvez ajouter un proxy d’API avec les informations requises et le partager avec des déploiements distincts. Ainsi, les services d’API de différents déploiements peuvent recevoir des demandes à l’aide du proxy d’API partagé.
En tant qu’administrateur, procédez comme suit pour déployer une instance d’API :
Ajouter un proxy d’API
Suivez les étapes pour ajouter un proxy d’API :
-
Accédez à Sécurité > Sécurité des API > Proxy d’API > Ajouter.
-
Spécifiez les éléments suivants :
-
Nom du proxy : nom d’un proxy d’API.
-
Instance NetScaler cible : sélectionnez une instance NetScaler qui fait office de passerelle d’API.
-
Adresse IP : adresse IP du serveur virtuel qui héberge les services d’API.
-
Port : numéro de port du serveur virtuel qui héberge les services d’API.
-
Protocole : définissez un protocole en fonction du type de trafic que vous souhaitez recevoir sur le proxy de l’API (HTTP ou HTTPS).
-
Profil de sécurité TLS : sélectionnez Élevé ou Moyen dans la liste. Si vous sélectionnez Élevé, il correspond au profil SSL classé A+ sur une instance NetScaler.
-
Certificate Store : sélectionnez le certificat SSL pour la sécurité de l’API. Le magasin de certificats des agents NetScaler vous permet de stocker et de gérer vos certificats SSL en un seul endroit.
Dans le magasin de certificats de l’agent NetScaler, vous pouvez stocker des certificats SSL dans l’agent NetScaler et les réutiliser lors de la configuration de NetScaler.
Remarque :
Si vos déploiements existants utilisent le certificat ou la clé SSL qui ne se trouvent pas dans le magasin de certificats de l’agent NetScaler, vous devez ajouter le certificat et la clé au magasin avec le même nom.
-
Service FQDN : nom de domaine complet dans lequel vos services d’API sont hébergés. Pa exemple :
api.example.com
Vous pouvez également sélectionner un réseau IPAM pour allouer l’adresse IP. Pour afficher l’adresse IP allouée depuis le réseau IPAM, accédez à Paramètres > IPAM. Pour plus d’informations sur l’IPAM, voir Configurer l’IPAM.
-
-
Cliquez sur Enregistrer pour enregistrer la configuration de déploiement.
Si vous souhaitez déployer ce proxy d’API sur l’API Security, cliquez sur Enregistrer et déployer.
Après avoir ajouté un proxy d’API, déployez une instance d’API.
Déployer une instance d’API en utilisant le proxy d’API
Suivez les étapes pour déployer une instance d’API :
-
Accédez à Sécurité > Sécurité des API > Déploiements.
-
Cliquez sur Ajouter.
-
Dans Informations de base sur le déploiement,
-
Spécifiez le nom du déploiement.
-
Dans Définitions d’API, sélectionnez la définition d’API requise.
-
Sélectionnez le proxy d’API que vous souhaitez utiliser avec ce déploiement.
-
-
Dans Upstream Services, cliquez sur Ajouter pour ajouter des serveurs d’API principaux (d’origine) vers lesquels vous souhaitez faire sortir le trafic d’API. Vous pouvez configurer un service en amont avec son nom de domaine ou son adresse IP.
Vous pouvez spécifier l’adresse SNIP et les détails du masque de réseau lors du déploiement d’une instance d’API. L’instance NetScaler utilise l’adresse SNIP spécifiée pour communiquer avec les services en amont (back-end). L’adresse SNIP spécifiée devient l’adresse IP source du trafic sortant envoyé aux services en amont. Vous pouvez également utiliser IPAM pour configurer l’adresse SNIP et le masque de réseau. Si vous ne configurez pas l’adresse SNIP, l’adresse SNIP par défaut de l’instance NetScaler devient l’adresse IP source pour les services en amont.
Remarque :
Par défaut, les options d’adresse SNIP et de masque réseau sont facultatives. Toutefois, si vous spécifiez l’une de ces options, vous devez également en spécifier une autre.
-
Spécifiez un nom à un service en amont.
-
Spécifiez le domaine.
-
Dans Services, spécifiez une adresse IP et une valeur de port. Pour ajouter d’autres adresses IP, cliquez sur Ajouter une nouvelle ligne.
-
Cliquez sur Ajouter.
-
-
Dans Routage, spécifiez les détails suivants pour acheminer le trafic d’API entrant en fonction du préfixe du chemin de ressource :
-
Spécifiez le nom de l’itinéraire.
-
Sélectionnez une ressource API pour recevoir une demande d’API.
Remarque :
Vous pouvez également spécifier le chemin personnalisé ou le préfixe de chemin.
-
Sélectionnez un service en amont dans la liste où vous souhaitez transférer le trafic API.
-
-
Cliquez sur Enregistrer pour enregistrer la configuration de déploiement.
Si vous souhaitez déployer la configuration dans l’API Security, cliquez sur Enregistrer et déployer.
Activer l’analyse de l’API
Les conditions préalables suivantes sont les conditions requises pour activer les analyses pour un déploiement :
-
Assurez-vous que les serveurs virtuels sont sous licence
-
Assurez-vous que l’état des analyses est désactivé
-
Assurez-vous que les serveurs virtuels sont en état UP
Pour activer l’analyse de l’API pour un déploiement, procédez comme suit :
-
Dans Sécurité > Sécurité des API > Déploiements, sélectionnez le déploiement pour lequel vous souhaitez activer les analyses de l’API.
-
Cliquez sur Activer Analytics.
-
Dans la page Configurer Analytics pour le déploiement, sélectionnez le serveur virtuel, puis cliquez sur Activer Analytics.
-
Dans la fenêtre Activer Analytics :
-
Sélectionnez le type d’aperçu (Web Insight, Security Insight, Bot Insight)
-
Sélectionnez Logstream ou IPFIX comme mode de transport.
Pour plus d’informations sur IPFIX et Logstream, consultez la section Présentation de Logstream.
L’expression est vraie par défaut.
-
Cliquez sur OK.
-
La console NetScaler permet d’effectuer des analyses sur les serveurs virtuels sélectionnés.