API Connect 用の DataPower Gateway の構成

API Connect 管理サーバーへの登録を準備するために、IBM® DataPower® Gateway を構成できます。

始める前に

この説明は、非 Kubernetes 環境における DataPower Gateway デプロイメント用です。API Connect を Kubernetes にインストールし、DataPower Gateway サービスも Kubernetes 環境にある場合は、この説明を使用しないでください。デプロイメント・シナリオを確認するには、DataPower Gateway のデプロイを参照してください。
API Connect 管理サーバーのバージョンに一致しているバージョンの DataPower Gateway がインストールされていることを確認します。DataPower Gateway のインストールを参照してください。
API Connect 管理サーバーとゲートウェイの間の通信を保護するために、共有の証明書と秘密鍵が使用されます。DataPower ツールを使用してこれらを作成する手順については、DataPower Gateway IBM Knowledge Center の Generating keys and certificates を参照してください。

このタスクについて

API Connect および DataPower は、2 つのタイプのゲートウェイ構成をサポートしています。DataPower Gateway (v5 互換) は、API Connect バージョン 5.x で利用できたゲートウェイ・サポートと同じサポートを提供します。DataPower API Gateway は、拡張されたパフォーマンス重視型のゲートウェイです。ゲートウェイのタイプの違いについて詳しくは、API Connect のゲートウェイ・タイプを参照してください。
以下の手順では、単一のゲートウェイ・サーバーでゲートウェイ・サービスを構成するための基本的なステップを説明しています。最も低水準の構成オブジェクトが最初に作成され、その他の構成オブジェクトで使用されます。2 つのタイプのゲートウェイを構成する手順は非常に似ているため、1 つのタイプの手順のみを説明しています。特に違いがあれば、示してあります。
ピアリング環境を構成するためのゲートウェイの追加は、最初のゲートウェイを作成する手順と似ており、実稼働環境で回復力を確保するために推奨されます。高可用性を確保するために、ゲートウェイ・サービスで最小 3 つのゲートウェイ・サーバーを使用することをお勧めします。ピアリングのための追加のゲートウェイの構成について詳しくは、Gateway peering を参照してください。DataPower の設定および手順について詳しくは、DataPower Gateway IBM Knowledge Center のコンテンツの Providing gateway service for API Connect を参照してください。

手順

API Connect と通信するように DataPower ゲートウェイを構成するには、以下の手順を実行します。

DataPower WebGUI インターフェースを開きます。大半の構成手順は、Blueprint Console ではなく、DataPower WebGUI インターフェースで実行します。
デフォルトのドメインで XML 管理インターフェースを有効にします。
1. ナビゲーション検索バーで「XML 管理インターフェース」を検索して選択します。
2. 「管理状態 (Administrative state)」を有効に設定します。
3. ポート番号が 5550 に設定されていることを確認します。
4. 「適用」を選択して、変更を行います。
5. 「構成の保存」を選択して、デフォルトのドメインに対する変更を保存します。
DataPower Gateway (v5 互換) のみ: API Connect 用に作成したドメインで統計を有効にします。
1. ナビゲーション検索で「統計設定 (Statistics settings)」を検索して選択します。
2. 「管理状態 (Administrative state)」で「有効」を選択します。
3. 「適用」を選択します。
アプリケーション・ドメインを作成します。このドメインは、トラフィックを受け取ります。
1. ナビゲーション検索バーで「アプリケーション・ドメイン」を検索して選択します。
2. 「追加」を選択して、アプリケーション・ドメインを作成します。
3. ドメインの固有の名前を入力します。
4. 「管理状態 (Administrative state)」で「有効」が選択されていることを確認します。
5. 「表示可能なアプリケーション・ドメイン (Visible application domain)」リストにデフォルトのドメインがリストされていることを確認します。
6. 「適用」を選択します。
7. メニュー・バーで「ドメイン」を選択して、作成したドメインを選択し、新しいアプリケーション・ドメインに移動します。
8. 「変更を保存してドメインを切り替える (Save changes and switch domains)」を選択します。 DataPower ゲートウェイに対する残りの手順はすべて、作成したアプリケーション・ドメインで実行する必要があります。
9. 「構成の保存」を選択して、変更をドメインに保存します。
管理サーバーと API ゲートウェイ・サービス・プロセスの間のトラフィックを保護するために使用される自己署名証明書と秘密鍵を作成します。DataPower を使用するか、OpenSSL などの他のツールを使用して、証明書と秘密鍵を生成できます。DataPower ツールを使用して暗号鍵を作成する手順については、DataPower Gateway IBM Knowledge Center の Generating keys and certificates を参照してください。
秘密暗号鍵ファイルをドメインにアップロードします。
1. ナビゲーション検索バーで「暗号鍵 (Crypto key)」を検索して選択します。
2. 「追加」を選択して、鍵オブジェクトを作成します。
3. 「名前」フィールドで、鍵オブジェクトの固有の名前を作成します。
4. 「アップロード...」を選択します。
5. 鍵ファイル (.pem または .p12 ファイルでなければなりません) を参照して選択します。
6. 名前変更する場合は、ファイルの新規名を入力します。
7. 「アップロード」を選択して、サーバーの cert:// フォルダーに移動します。
8. 「適用」を選択して変更内容を保存します。
暗号証明書ファイルをドメインにアップロードします。
注: 証明書が中間 CA によって署名されている場合は、アップロード用の単一の鍵ファイル (.pem または .p12) にチェーン全体を含める必要があります。
1. ナビゲーション検索バーで「暗号証明書 (Crypto certificate)」を検索して選択します。
2. 「追加」を選択して、証明書オブジェクトを作成します。
3. 「名前」フィールドで、証明書オブジェクトの固有の名前を作成します。
4. 「アップロード...」を選択します。
5. 鍵ファイル (.pem または .p12 ファイルでなければなりません) を参照して選択します。
6. 名前変更する場合は、ファイルの新規名を入力します。
7. 「アップロード」を選択して、サーバーの cert:// フォルダーに移動します。
8. 「適用」を選択して変更内容を保存します。
「ID 資格情報 (Identification credential)」を設定して、暗号鍵を暗号証明書に関連付けます。
1. ナビゲーション検索バーで「暗号 ID 資格情報 (Crypto Identification Credentials)」を検索して選択します。
2. 「追加」を選択します。
3. 資格情報の名前を入力します。
4. 「管理状態 (Administrative state)」に値「有効」が設定されていることを確認します。
5. 「暗号鍵 (Crypto Key)」フィールドで、作成した鍵オブジェクトの名前をドロップダウン・メニューから選択します。
6. 「証明書オブジェクト (Certificate object)」フィールドで、作成した証明書オブジェクトの名前をドロップダウン・メニューから選択します。
7. 「適用」をして、変更をコミットします。
SSL クライアント・プロファイルを作成します。
1. ナビゲーション検索バーで「SSL クライアント・プロファイル (SSL Client profile)」を検索して選択します。
2. 「追加」を選択して、クライアント・プロファイルを作成します。
3. 「名前」フィールドで、プロファイルの固有の名前を作成します。
4. ID 資格情報をドロップダウン・リストから選択します。
5. 「サーバー証明書の妥当性検査」の値が「オフ」に設定されていることを確認します。
6. 「適用」を選択して変更内容を保存します。
SSL サーバー・プロファイルを作成します。
1. ナビゲーション検索バーで「SSL サーバー・プロファイル (SSL Server Profile)」を検索して選択します。
2. 「追加」を選択して、サーバー・プロファイルを作成します。
3. 「名前」フィールドで、プロファイルの固有の名前を作成します。
4. ID 資格情報をドロップダウン・リストから選択します。
5. 「クライアント認証を要求 (Request client authentication)」の値が「いいえ」に設定されていることを確認します。
6. 「適用」を選択して変更内容を保存します。
DataPower API Gateway のみ: 構成シーケンスを定義します。 API Connect ゲートウェイ・サービスでは、構成シーケンスを使用して DataPower を構成し、API Connect で定義されている API を実装します。
1. ナビゲーション検索バーで「構成シーケンス (Configuration sequence)」を検索して選択します。
2. 「追加」を選択します。
3. 構成シーケンスの名前を入力します。
4. 「管理状態 (Administrative state)」に値「有効」が設定されていることを確認します。
5. 「ロケーション・プロファイル (Location profiles)」フィールドの値が local:/// に設定されていることを確認します。これはデフォルト値であるため、変更する必要はありません。
6. 「アクセス・プロファイル (Access profile)」タブを選択します。アクセス・プロファイルの作成方法の説明については、DataPower Gateway IBM Knowledge Centerの構成シーケンスのアクセス・プロファイルの構成を参照してください。
7. 「構成の実行間隔 (Configuration execution interval)」フィールドの値を 3000 に変更します。その他のフィールドはそれぞれのデフォルト設定のままでかまいません。
8. 「適用」をして、変更をコミットします。
ピアリング・サービスを構成します。この手順は、ゲートウェイ・サービスのゲートウェイ・サーバーが 1 つのみであっても、ゲートウェイのピア・グループをセットアップする場合に実行する必要があります。
1. ナビゲーション検索バーで「ゲートウェイ・ピアリング (Gateway peering)」を検索して選択します。
2. 「追加」を選択します。
3. ゲートウェイ・ピアリング・オブジェクトの名前を入力します。
4. 「管理状態 (Administrative state)」に値「有効」が設定されていることを確認します。
5. ピア・グループのメンバー間の通信用のローカル・アドレスを選択します。
6. 通信用のローカル・ポートを選択します。デフォルト値 16380 を使用できます。
7. 通信用のモニター・ポートを選択します。デフォルト値 26380 を使用できます。
8. この手順では 1 つのゲートウェイのみを使用しているため、「ピア・グループ・モード (Peer group mode)」が選択されていないことを確認します。
9. 「SSL を有効にする (Enable SSL)」チェック・ボックスをクリアします。ピアが 1 つの場合には、SSL は必要ありません。
10. 「パーシスタンス・ロケーション (Persistence location)」の値は、物理 DataPower アプライアンスの場合は「RAID」に設定して、仮想 DataPower アプライアンスの場合は「メモリー」に設定します。「RAID」と「ローカル」の両方の設定は再始動後も保持されますが、「メモリー」設定は保持されません。「ローカル」はセキュアなオプションではないことに注意してください。最適なセキュリティーを確保するためには、物理 DataPower アプライアンスでは「RAID」を選択して、非物理アプライアンス (仮想マシン・イメージまたはコンテナー化された環境の Docker イメージからインストールされた DataPower) では「メモリー」を選択してください。
11. 「適用」をして、変更をコミットします。
API Connect 管理サーバーとの通信インターフェースおよび API トランザクション用の通信インターフェースを定義するために、API Connect ゲートウェイ・サービスを設定します。
1. ナビゲーション検索バーで「API Connect ゲートウェイ・サービス (API Connect Gateway service)」を検索して選択します。
2. 「管理状態 (Administrative state)」が「有効」に設定されていることを確認します。
3. 「ローカル・アドレス (Local address)」フィールドに、API Connect 管理サーバーからのトラフィックの送信先にする DataPower ゲートウェイの IP アドレスを入力します。
4. ローカル・ポートには、デフォルトのポート値 3000 を使用します。
5. 「SSL クライアント (SSL client)」フィールドのドロップダウン・リストで、作成した SSL クライアント・プロファイルを選択します。
6. 「SSL サーバー (SSL server)」フィールドのドロップダウン・リストで、作成した SSL サーバー・プロファイルを選択します。
7. 「API ゲートウェイ・アドレス (API gateway address)」フィールドに、API トラフィックの送信先にする DataPower ゲートウェイの IP アドレスを入力します。
8. API ゲートウェイ・ポートには、デフォルトのポート値 9443 を使用します。ポートが別のサービスで使用されていない場合は、API トランザクションが HTTPS のデフォルトのポートに送信されるようにするために、ポート 443 に変更することもできます。
9. 「ゲートウェイ・ピアリング (Gateway Peering)」フィールドで作成したピアリング・オブジェクトを選択します。
10. DataPower Gateway (v5 互換) または DataPower API Gateway のどちらを使用するかを選択します。このオプションを選択する場合は、DataPower Gateway (v5 互換) ゲートウェイを登録できます。DataPower API Gateway を有効にするには、クリアします。
API Connect Cloud Manager コンソールでゲートウェイ・サービスを登録します。
1. API Connect Cloud Manager コンソールを開きます。
2. 「トポロジーの構成」に移動します。
3. 「サービスの登録」を選択します。
4. バージョン 5 で使用可能であったゲートウェイの場合は「DataPower Gateway (v5 互換)」を選択して、DataPower API Gateway の場合は「DataPower API Gateway」を選択します。
5. ゲートウェイ接続のタイトル、名前、および要約を追加します。
6. オプション: OAuth 共有秘密鍵を構成します。この設定により、OAuth トークンを複数のゲートウェイ・サービスで共有できるようになります。
7. 「API 呼び出しエンドポイント」フィールドに以下のいずれかの値を入力します。
  - API トランザクションのロード・バランサーの IP アドレス
  - いずれかのゲートウェイの IP アドレスまたはホスト名
  例: https://192.0.2.0:9443/
8. 「管理エンドポイント」フィールドに以下のいずれかの値を入力します。
  - ポート 3000 に設定された管理サーバー・トラフィックのロード・バランサーの IP アドレス
  - いずれかのゲートウェイの IP アドレスまたはホスト名
  例 :https://192.0.2.0:3000/
デフォルトの TLS クライアント・プロファイルを選択します。
オプション: Server Name Indication (SNI) プロファイルを構成します。 SNI プロファイルを使用すると、さまざまなホスト名からの API トランザクション要求に別々の TLS 証明書を使用できます。

最終更新: 2019 年 6 月 7 日