DataPower API Gateway の構成

DataPower® API Gateway を構成して、API Connect 管理サーバー に登録する準備をします。

始める前に

  • この説明は、非 Kubernetes 環境における DataPower API Gateway デプロイメント用です。API Connect を Kubernetes にインストールし、DataPower API Gateway サービスも Kubernetes 環境にある場合は、この説明を使用しないでください。デプロイメント・シナリオを確認するには、DataPower Gateway のデプロイを参照してください。
  • API Connect 管理サーバーのバージョンとの互換性があるバージョンの DataPower API Gateway がインストールされていることを確認します。DataPower ゲートウェイ インストールを参照してください。

  • API Connect 管理サーバーとゲートウェイの間の通信を保護するために、共有の証明書と秘密鍵が使用されます。DataPower ツールを使用してこれらを作成する手順については、DataPower Gateway IBM 資料の『Generating keys and certificates』を参照してください。

  • DataPower API Gateway のタイム・ゾーンを UTC に設定しておく必要があります。

このタスクについて

  • 以下の手順では、単一のゲートウェイ・サーバーでゲートウェイ・サービスを構成するための基本的なステップを説明しています。最も低水準の構成オブジェクトが最初に作成され、その他の構成オブジェクトで使用されます。
  • ピアリング環境を構成するためのゲートウェイの追加は、最初のゲートウェイを作成する手順と似ており、実稼働環境で回復力を確保するために推奨されます。高可用性を確保するために、ゲートウェイ・サービスで最小 3 つのゲートウェイ・サーバーを使用することをお勧めします。ピアリングのための追加のゲートウェイの構成について詳しくは、Gateway peering を参照してください。DataPower の設定および手順について詳しくは、DataPower Gateway IBM Knowledge Center のコンテンツの Providing gateway service for API Connect を参照してください。

手順

API Connect と通信するように DataPower API Gateway を構成するには、以下のステップを実行します。

注: ここに示す説明は、DataPower API Gateway の場合に限って使用します。DataPower Gateway (v5 互換) を構成する場合は、DataPower Gateway (v5 互換) の構成を参照してください。

  1. DataPower WebGUI インターフェースを開きます。
    大半の構成手順は、Blueprint Console ではなく、DataPower WebGUI インターフェースで実行します。
  2. オプション: デフォルトのドメインで XML 管理インターフェースを有効にします。

    DataPower API Gateway の場合、XML 管理インターフェースはオプションです。有効にすると、このインターフェースでは、SOAP メッセージを使用し、標準 SOAP インターフェースを介して状況と構成の要求を DataPower アプライアンスに送信することができます。

    1. ナビゲーション検索バーで「XML 管理インターフェース」を検索して選択します。
    2. 「管理状態 (Administrative state)」を有効に設定します。
    3. デフォルトの 5550 を使用しない場合は、別のポート番号を指定できます。
    4. 「適用」を選択して、変更を行います。
    5. 「構成の保存」を選択して、デフォルトのドメインに対する変更を保存します。
  3. オプション: デフォルトのドメインで REST 管理インターフェースを有効にします。

    API Manager のアセンブリー「テスト」タブでトレース機能を有効にする場合は、REST 管理インターフェースが必要です。

    1. ナビゲーション検索バーで「REST 管理インターフェース」を検索して選択します。
    2. 「管理状態 (Administrative state)」を有効に設定します。
    3. デフォルトの 5554 を使用しない場合は、別のポート番号を指定できます。
    4. 「適用」を選択して、変更を行います。
    5. 「構成の保存」を選択して、デフォルトのドメインに対する変更を保存します。
  4. アプリケーション・ドメインを作成します。
    このドメインは、トラフィックを受け取ります。
    1. ナビゲーション検索バーで「アプリケーション・ドメイン」を検索して選択します。
    2. 「追加」を選択して、アプリケーション・ドメインを作成します。
    3. ドメインの固有の名前を入力します。
    4. 「管理状態 (Administrative state)」で「有効」が選択されていることを確認します。
    5. 「表示可能なアプリケーション・ドメイン (Visible application domain)」リストにデフォルトのドメインがリストされていることを確認します。
    6. 「適用」を選択します。
    7. メニュー・バーで「ドメイン」を選択して、作成したドメインを選択し、新しいアプリケーション・ドメインに移動します。
    8. 「変更を保存してドメインを切り替える (Save changes and switch domains)」を選択します。
      DataPower ゲートウェイに対する残りの手順はすべて、作成したアプリケーション・ドメインで実行する必要があります。
    9. 「構成の保存」を選択して、変更をドメインに保存します。
  5. 各 DataPower Gateway の時刻を同期するために、デプロイメントに NTP サーバーが含まれていることを確認します。
    NTP サービスの管理』を参照してください。
  6. v10 DataPower Gateway ごとに固有のシステム ID を設定していることを確認します。『DataPower Gateway の初期化』を参照してください。
  7. 管理サーバーと API ゲートウェイ・サービス・プロセスの間のトラフィックを保護するために使用される自己署名証明書と秘密鍵を作成します。DataPower を使用するか、OpenSSL などの他のツールを使用して、証明書と秘密鍵を生成できます。DataPower ツールを使用して暗号鍵を作成する手順については、DataPower Gateway IBM 資料の『Generating keys and certificates』を参照してください。
  8. 秘密暗号鍵ファイルをドメインにアップロードします。
    1. ナビゲーション検索バーで「暗号鍵 (Crypto key)」を検索して選択します。
    2. 「追加」を選択して、鍵オブジェクトを作成します。
    3. 「名前」フィールドで、鍵オブジェクトの固有の名前を作成します。
    4. 「アップロード...」を選択します。
    5. 鍵ファイル (.pem または .p12 ファイルでなければなりません) を参照して選択します。
    6. 名前変更する場合は、ファイルの新規名を入力します。
    7. 「アップロード」を選択して、サーバーの cert:// フォルダーに移動します。
    8. 「適用」を選択して変更内容を保存します。
  9. 暗号証明書ファイルをドメインにアップロードします。
    注: 証明書が中間 CA によって署名されている場合は、アップロード用の単一の鍵ファイル (.pem または .p12) にチェーン全体を含める必要があります。
    1. ナビゲーション検索バーで「暗号証明書 (Crypto certificate)」を検索して選択します。
    2. 「追加」を選択して、証明書オブジェクトを作成します。
    3. 「名前」フィールドで、証明書オブジェクトの固有の名前を作成します。
    4. 「アップロード...」を選択します。
    5. 鍵ファイル (.pem または .p12 ファイルでなければなりません) を参照して選択します。
    6. 名前変更する場合は、ファイルの新規名を入力します。
    7. 「アップロード」を選択して、サーバーの cert:// フォルダーに移動します。
    8. 「適用」を選択して変更内容を保存します。
  10. 「ID 資格情報 (Identification credential)」を設定して、暗号鍵を暗号証明書に関連付けます。
    1. ナビゲーション検索バーで「暗号 ID 資格情報 (Crypto Identification Credentials)」を検索して選択します。
    2. 「追加」を選択します。
    3. 資格情報の名前を入力します。
    4. 「管理状態 (Administrative state)」に値「有効」が設定されていることを確認します。
    5. 「暗号鍵 (Crypto Key)」フィールドで、作成した鍵オブジェクトの名前をドロップダウン・メニューから選択します。
    6. 「証明書オブジェクト (Certificate object)」フィールドで、作成した証明書オブジェクトの名前をドロップダウン・メニューから選択します。
    7. 「適用」をして、変更をコミットします。
  11. TLS クライアント・プロファイルを作成します。
    1. ナビゲーション検索バーで「TLS クライアント・プロファイル」を検索して選択します。
    2. 「追加」を選択して、クライアント・プロファイルを作成します。
    3. 「名前」フィールドで、プロファイルの固有の名前を作成します。
    4. ID 資格情報をドロップダウン・リストから選択します。
    5. 「サーバー証明書の妥当性検査」の値が「オフ」に設定されていることを確認します。
    6. 「適用」を選択して変更内容を保存します。
  12. TLS サーバー・プロファイルを作成します。
    1. ナビゲーション検索バーで「TLS サーバー・プロファイル」を検索して選択します。
    2. 「追加」を選択して、サーバー・プロファイルを作成します。
    3. 「名前」フィールドで、プロファイルの固有の名前を作成します。
    4. ID 資格情報をドロップダウン・リストから選択します。
    5. 「クライアント認証を要求 (Request client authentication)」の値が「オフ」に設定されていることを確認します。
    6. 「適用」を選択して変更内容を保存します。
  13. 構成シーケンスを定義します。

    構成シーケンスでは、API Connect で定義されている API を DataPower が実装する方法を指定します。

    1. ナビゲーション検索バーで「構成シーケンス (Configuration sequence)」を検索して選択します。
    2. 「追加」を選択します。
    3. 構成シーケンスの名前を入力します。
    4. 「管理状態 (Administrative state)」に値「有効」が設定されていることを確認します。
    5. 「ロケーション・プロファイル (Location profiles)」フィールドの値が local:/// に設定されていることを確認します。
      これはデフォルト値であるため、変更する必要はありません。
    6. 「アクセス・プロファイル (Access profile)」タブを選択します。

      アクセス・プロファイルの作成方法については、DataPower Gateway Knowledge Center の Configuring the access profile for a configuration sequence を参照してください。

    7. 「構成の実行間隔 (Configuration execution interval)」フィールドの値を 3000 に変更します。
      その他のフィールドはそれぞれのデフォルト設定のままでかまいません。
    8. 「適用」をして、変更をコミットします。
  14. API Connect ゲートウェイ・サービスのゲートウェイ・ピアリング・オブジェクトを構成します。
    この手順は、ゲートウェイ・サービスのゲートウェイ・サーバーが 1 つのみであっても、ゲートウェイのピア・グループをセットアップする場合に実行する必要があります。
    1. ナビゲーション検索バーで「ゲートウェイ・ピアリング (Gateway peering)」を検索して選択します。
    2. 「追加」を選択します。
    3. ゲートウェイ・ピアリング・オブジェクトの固有の名前を入力します。
    4. 「管理状態 (Administrative state)」に値「有効」が設定されていることを確認します。
    5. ピア・グループのメンバー間の通信用のローカル・アドレスを選択します。
    6. 通信用のローカル・ポートを選択します。
      デフォルト値 16380 を使用できます。
    7. 通信用のモニター・ポートを選択します。
      デフォルト値 26380 を使用できます。
    8. この手順では 1 つのゲートウェイのみを使用しているため、「ピア・グループ・モード (Peer group mode)」が選択されていないことを確認します。
    9. 「TLS を有効にする (Enable TLS)」チェック・ボックスをクリアします。ピアが 1 つの場合には、TLS は必要ありません。
    10. 物理 DataPower アプライアンスまたは仮想 DataPower アプライアンスのいずれかのパーシスタンス・ロケーション値を Memory に設定します。
    11. 「適用」をして、変更をコミットします。
  15. レート制限の情報に対するゲートウェイ・ピアリング・オブジェクトを構成します。
    1. ナビゲーション検索バーで「ゲートウェイ・ピアリング (Gateway peering)」を検索して選択します。
    2. 「追加」を選択します。
    3. ゲートウェイ・ピアリング・オブジェクトの固有の名前を入力します。
    4. 「管理状態 (Administrative state)」に値「有効」が設定されていることを確認します。
    5. ピア・グループのメンバー間の通信用のローカル・アドレスを選択します。
    6. 通信用のローカル・ポートを選択します。
      固有のポート (他のゲートウェイ・ピアリング・オブジェクトが通信に使用するポートと異なるポート) を使用してください。
    7. 通信用のモニター・ポートを選択します。
      固有のポート (他のゲートウェイ・ピアリング・オブジェクトがモニターに使用するポートと異なるポート) を使用してください。
    8. この手順では 1 つのゲートウェイのみを使用しているため、「ピア・グループ・モード (Peer group mode)」が選択されていないことを確認します。
    9. 「TLS を有効にする (Enable TLS)」チェック・ボックスをクリアします。ピアが 1 つの場合には、TLS は必要ありません。
    10. 物理 DataPower アプライアンスまたは仮想 DataPower アプライアンスのいずれかのパーシスタンス・ロケーション値を Memory に設定します。
    11. 「適用」をして、変更をコミットします。
  16. スクリプト・レート制限の情報に対するゲートウェイ・ピアリング・オブジェクトを構成します。
    1. ナビゲーション検索バーで「ゲートウェイ・ピアリング (Gateway peering)」を検索して選択します。
    2. 「追加」を選択します。
    3. ゲートウェイ・ピアリング・オブジェクトの固有の名前を入力します。
    4. 「管理状態 (Administrative state)」に値「有効」が設定されていることを確認します。
    5. ピア・グループのメンバー間の通信用のローカル・アドレスを選択します。
    6. 通信用のローカル・ポートを選択します。
      固有のポート (他のゲートウェイ・ピアリング・オブジェクトが通信に使用するポートと異なるポート) を使用してください。
    7. 通信用のモニター・ポートを選択します。
      固有のポート (他のゲートウェイ・ピアリング・オブジェクトがモニターに使用するポートと異なるポート) を使用してください。
    8. この手順では 1 つのゲートウェイのみを使用しているため、「ピア・グループ・モード (Peer group mode)」が選択されていないことを確認します。
    9. 「TLS を有効にする (Enable TLS)」チェック・ボックスをクリアします。ピアが 1 つの場合には、TLS は必要ありません。
    10. 物理 DataPower アプライアンスまたは仮想 DataPower アプライアンスのいずれかのパーシスタンス・ロケーション値を Memory に設定します。
    11. 「適用」をして、変更をコミットします。
  17. サブスクリプションの情報に対するゲートウェイ・ピアリング・オブジェクトを構成します。
    1. ナビゲーション検索バーで「ゲートウェイ・ピアリング (Gateway peering)」を検索して選択します。
    2. 「追加」を選択します。
    3. ゲートウェイ・ピアリング・オブジェクトの固有の名前を入力します。
    4. 「管理状態 (Administrative state)」に値「有効」が設定されていることを確認します。
    5. ピア・グループのメンバー間の通信用のローカル・アドレスを選択します。
    6. 通信用のローカル・ポートを選択します。
      固有のポート (他のゲートウェイ・ピアリング・オブジェクトが通信に使用するポートと異なるポート) を使用してください。
    7. 通信用のモニター・ポートを選択します。
      固有のポート (他のゲートウェイ・ピアリング・オブジェクトがモニターに使用するポートと異なるポート) を使用してください。
    8. この手順では 1 つのゲートウェイのみを使用しているため、「ピア・グループ・モード (Peer group mode)」が選択されていないことを確認します。
    9. 「TLS を有効にする (Enable TLS)」チェック・ボックスをクリアします。ピアが 1 つの場合には、TLS は必要ありません。
    10. 物理 DataPower アプライアンスまたは仮想 DataPower アプライアンスのいずれかのパーシスタンス・ロケーション値を Memory に設定します。
    11. 「適用」をして、変更をコミットします。
  18. API プローブのゲートウェイ・ピアリング・オブジェクトを構成します。

    API Connect が「テスト」タブのデバッガーでトレース・データを受信するために、API プローブをサポートするように DataPower API Gateway を構成する必要があります。

    1. ナビゲーション検索バーで「ゲートウェイ・ピアリング (Gateway peering)」を検索して選択します。
    2. 「追加」を選択します。
    3. ゲートウェイ・ピアリング・オブジェクトの固有の名前を入力します。
    4. 「管理状態 (Administrative state)」に値「有効」が設定されていることを確認します。
    5. ピア・グループのメンバー間の通信用のローカル・アドレスを選択します。
    6. 通信用のローカル・ポートを選択します。
      固有のポート (他のゲートウェイ・ピアリング・オブジェクトが通信に使用するポートと異なるポート) を使用してください。
    7. 通信用のモニター・ポートを選択します。
      固有のポート (他のゲートウェイ・ピアリング・オブジェクトがモニターに使用するポートと異なるポート) を使用してください。
    8. この手順では 1 つのゲートウェイのみを使用しているため、「ピア・グループ・モード (Peer group mode)」が選択されていないことを確認します。
    9. 「TLS を有効にする (Enable TLS)」チェック・ボックスをクリアします。ピアが 1 つの場合には、TLS は必要ありません。
    10. 物理 DataPower アプライアンスまたは仮想 DataPower アプライアンスのいずれかのパーシスタンス・ロケーション値を Memory に設定します。
    11. 「適用」をして、変更をコミットします。
  19. ゲートウェイ・ピアリング・マネージャーを構成します。
    1. ナビゲーション検索バーでゲートウェイ・ピアリング・マネージャーを検索して選択します。
    2. 管理状態を「使用可能」に設定します。
    3. API Connect ゲートウェイ・サービスの横にあるプルダウン・メニューで、ステップ 14 で API Connect ゲートウェイ・サービスに対して構成したゲートウェイ・ピアリング・オブジェクトを選択します。
    4. レート制限の横にあるプルダウン・メニューで、ステップ 15 でレート制限の情報に対して構成したゲートウェイ・ピアリング・オブジェクトを選択します。
    5. サブスクリプションの横にあるプルダウン・メニューで、ステップ 17 でサブスクリプションに対して構成したゲートウェイ・ピアリング・オブジェクトを選択します。
    6. API プローブの横にあるプルダウン・メニューで、ステップ 18 で API プローブに対して構成したゲートウェイ・ピアリング・オブジェクトを選択します。
    7. 「適用」をして、変更をコミットします。
  20. API プローブ設定オブジェクトを構成します。
    1. ナビゲーション検索バーで「API プローブの設定 (API probe settings)」を検索して選択します。
    2. 管理状態を「使用可能」に設定します。
    3. レコードの最大数を 1000 に設定します。
    4. 有効期限を 60 分に設定します。
    5. ゲートウェイ・ピアリングの横にあるプルダウン・メニューで、ステップ 18 で API プローブに対して構成したゲートウェイ・ピアリング・オブジェクトを選択します。
    6. 「適用」をして、変更をコミットします。
  21. API Connect 管理サーバーとの通信インターフェースおよび API トランザクション用の通信インターフェースを定義するために、API Connect ゲートウェイ・サービスを設定します。
    1. ナビゲーション検索バーで「API Connect ゲートウェイ・サービス (API Connect Gateway service)」を検索して選択します。
    2. 「管理状態 (Administrative state)」が「有効」に設定されていることを確認します。
    3. 「ローカル・アドレス (Local address)」フィールドに、API Connect 管理サーバーからのトラフィックの送信先にする DataPower ゲートウェイの IP アドレスを入力します。
    4. ローカル・ポートには、デフォルトのポート値 3000 を使用します。
    5. 「TLS クライアント (TLS client)」フィールドのドロップダウン・リストで、作成した TLS クライアント・プロファイルを選択します。
    6. 「TLS サーバー (TLS server)」フィールドのドロップダウン・リストで、作成した TLS サーバー・プロファイルを選択します。
    7. 「API ゲートウェイ・アドレス (API gateway address)」フィールドに、API トラフィックの送信先にする DataPower ゲートウェイの IP アドレスを入力します。
    8. API ゲートウェイ・ポートには、デフォルトのポート値 9443 を使用します。
      ポートが別のサービスで使用されていない場合は、API トランザクションが HTTPS のデフォルトのポートに送信されるようにするために、ポート 443 に変更することもできます。
    9. DataPower API Gateway の場合は、 ゲートウェイ・ピアリングを「(なし)」に設定します。
      DataPower API Gateway に対してゲートウェイ・ピアリング・オブジェクトが構成されていない場合は、ゲートウェイ・ピアリング・マネージャーの構成で定義されているピアリング構成が使用されます。
    10. DataPower Gateway (v5 互換) または DataPower API Gateway のどちらを使用するかを選択します。
      このオプションを選択する場合は、DataPower Gateway (v5 互換) ゲートウェイを登録できます。DataPower API Gateway を有効にするには、クリアします。
  22. API Connect Cloud Manager コンソールでゲートウェイ・サービスを登録します。
    1. API Connect Cloud Manager コンソールを開きます。
    2. 「トポロジーの構成」に移動します。
    3. 「サービスの登録」を選択します。
    4. DataPower API Gateway に「DataPower API Gateway」を選択します。
    5. ゲートウェイ接続のタイトル、名前、および要約を追加します。
    6. オプション: OAuth 共有秘密鍵を構成します。
      この設定により、OAuth トークンを複数のゲートウェイ・サービスで共有できるようになります。
    7. 「API 呼び出しエンドポイント」フィールドに以下のいずれかの値を入力します。
      • API トランザクションのロード・バランサーの IP アドレス
      • いずれかのゲートウェイの IP アドレスまたはホスト名
      例: https://192.0.2.0:9443/
    8. 「管理エンドポイント」フィールドに以下のいずれかの値を入力します。
      • ポート 3000 に設定された管理サーバー・トラフィックのロード・バランサーの IP アドレス
      • いずれかのゲートウェイの IP アドレスまたはホスト名
      例 :https://192.0.2.0:3000/
  23. デフォルトの TLS クライアント・プロファイルを選択します。
  24. オプション: Server Name Indication (SNI) プロファイルを構成します。
    SNI プロファイルを使用すると、さまざまなホスト名からの API トランザクション要求に別々の TLS 証明書を使用できます。