Questa pagina è stata tradotta dall'API Cloud Translation.

Opzioni di avvio di Extensible Service Proxy V2

OpenAPI | gRPC

Extensible Service Proxy V2 (ESPv2) è un proxy basato su Envoy che consente a Cloud Endpoints di fornire funzionalità di gestione delle API. Per configurare ESPv2, puoi specificare i flag di configurazione quando esegui il deployment del servizio ESPv2.

Impostazione dei flag di configurazione

Il metodo per impostare i flag di configurazione ESPv2 varia in base alla piattaforma di deployment, come descritto nelle sezioni seguenti.

VM di Compute Engine

I flag di configurazione ESPv2 per Compute Engine sono specificati nel comando docker run. Ad esempio:

sudo docker run \
    --detach \
    DOCKER_ARGUMENTS \
    gcr.io/endpoints-release/endpoints-runtime:2 \
    --service=SERVICE_NAME \
    --rollout_strategy=managed \
    --backend=YOUR_API_CONTAINER_NAME:8080

In questo esempio, --service, --rollout_strategy e --backend sono i flag di configurazione di ESPv2.

GKE e Kubernetes

Puoi specificare flag di configurazione per GKE e Kubernetes nel args del tuo file manifest di deployment. Ad esempio:

containers:
- name: esp
  image: gcr.io/endpoints-release/endpoints-runtime:2
  args: [
    "--listener_port=8081",
    "--backend=127.0.0.1:8080",
    "--service=SERVICE_NAME",
    "--rollout_strategy=managed"
  ]

In questo esempio, --listener_port, --backend, --service e --rollout_strategy sono i flag di configurazione ESPv2.

Cloud Run per piattaforme serverless

Per specificare l'avvio per Cloud Run per serverless, utilizza la variabile di ambiente ESPv2_ARGS. La variabile può essere impostata nel comando gcloud run deploy utilizzando l'opzione --set-env-vars.

Ad esempio:

gcloud run deploy CLOUD_RUN_SERVICE_NAME \
  --image="gcr.io/ESP_PROJECT_ID/endpoints-runtime-serverless:CLOUD_RUN_HOSTNAME-CONFIG_ID" \
  --set-env-vars=ESPv2_ARGS=--enable_debug

In questo esempio, --enable_debug è il flag di configurazione ESPv2.

Vedi Cloud Functions for OpenAPI. Cloud Run for OpenAPI oppure Cloud Run per gRPC per ulteriori informazioni sul comando gcloud run deploy.

Per impostare più argomenti nella variabile di ambiente ESPv2_ARGS, specifica un delimitatore personalizzato e utilizzalo per separare più argomenti. Non utilizzare una virgola come delimitatore. Inserisci il delimitatore personalizzato all'inizio della variabile di ambiente ESPv2_ARGS, circondato da accenti circonflessi.

L'esempio seguente utilizza ++ come delimitatore:

gcloud run deploy CLOUD_RUN_SERVICE_NAME \
  --image="gcr.io/ESP_PROJECT_ID/endpoints-runtime-serverless:CLOUD_RUN_HOSTNAME-CONFIG_ID" \
  --set-env-vars=ESPv2_ARGS=^++^--cors_preset=basic++--cors_allow_origin=your_host.com

Se il flag che stai impostando contiene virgole, devi impostare la variabile di ambiente ESPv2_ARGS nello script gcloud_build_image.

Ad esempio, per aggiungere il flag --cors_allow_methods=PUT,POST,GET:

Scarica lo script gcloud_build_image.

Modifica gcloud_build_image come mostrato di seguito:

cat <<EOF > Dockerfile
  FROM BASE_IMAGE

  ENV ENDPOINTS_SERVICE_PATH /etc/endpoints/service.json
  COPY service.json \ENDPOINTS_SERVICE_PATH

  ENV ESPv2_ARGS ^++^--cors_preset=basic++--cors_allow_method="GET,PUT,POST"++--cors_allow_credentials

  ENTRYPOINT ["/env_start_proxy.py"]
  EOF

Esegui lo script gcloud_build_image per creare l'immagine.

Flag di configurazione ESPv2

I flag di configurazione ESPv2 possono essere raggruppati nelle seguenti categorie:

Configurazione non serverless
Logging
Tracciamento
Controllo di integrità
Debug
Test locale
Deployment non Google Cloud
Estrazione IP client
Supporto CORS
Supporto TLS
Timeout e nuovi tentativi
Transcodifica gRPC
Modifica di richieste e risposte
Opzioni di sicurezza
Autenticazione JWT

Ulteriori esempi generici e testo della guida per i flag ESPv2 sono disponibili nel repository GitHub.

Configurazione non serverless

Questi flag sono necessari per eseguire ESPv2 in piattaforme non serverless, come GKE, Compute Engine e Kubernetes. Non possono essere impostate quando viene eseguito il deployment in Cloud Run per piattaforme serverless.

Nota: per gli utenti Kubernetes, NON racchiudere i valori dei campi tra virgolette nei file di configurazione. Ad esempio, --cors_allow_origin="http://example.com" assegnerà il valore di stringa \"http://example.com\" al campo cor_allow_origin anziché il valore di stringa http://example.com.

Bandiera	Descrizione
`--service`	Imposta il nome del servizio Endpoints.
`--version`	Imposta l'ID di configurazione del servizio per il servizio Endpoints.
`--rollout_strategy`	Specifica la strategia di implementazione della configurazione del servizio, [fissa\|gestita]. Il valore predefinito è fisso.
`--listener_port`	Identifica la porta per accettare le connessioni downstream. Supporta HTTP/1.x, HTTP/2, e connessioni gRPC. Il valore predefinito è 8080.
`--backend`	Specifica l'indirizzo del server di applicazioni di backend locale. Gli schemi validi sono http, https, grpc e grpcs se incluso. Lo schema predefinito è >http.

Logging

Utilizza questi flag per configurare ESPv2 in modo che scriva informazioni aggiuntive nel log di Stackdriver.

Bandiera	Descrizione
`--log_request_headers`	Registra i valori delle intestazioni delle richieste specificate, separati da virgole, senza spazi. Ad esempio, imposta questo flag come: `--log_request_headers=foo,bar` Se i valori per "foo" e "bar" sono disponibili nella richiesta, il log di Endpoints contiene: `request_headers: foo=foo_value;bar=bar_value`
`--log_response_headers`	Registra i valori delle intestazioni delle risposte specificate, separati da virgole, senza spazi. Ad esempio, imposta questo flag come: `--log_response_headers=baz,bing` Se i valori per "baz" e "bing" sono disponibili nella risposta, il log Endpoints contiene: `response_headers: baz=baz_value;bing=bing_value`
`--log_jwt_payloads`	Registra i valori dei campi primitivi del payload JWT specificati, separati da virgole, senza spazi. Ad esempio, imposta questo flag come: `--log_jwt_payload=sub,project_id,foo.foo_name` Se i valori sono disponibili nel payload JWT, il log Endpoints contiene: `jwt_payloads: sub=sub_value;project_id=project_id_value; foo.foo_name=foo.foo_name_value` I valori nel payload JWT devono essere campi primitivi (stringa, numero intero). Gli oggetti JSON e gli array non vengono registrati.
`--access_log`	Se specificato, il percorso del file locale in cui verranno scritte le voci di log degli accessi.
`--access_log_format`	Formato della stringa per specificare il formato del log degli accessi. Se il criterio non viene configurato, viene utilizzata la stringa di formato predefinita. Per informazioni dettagliate sulla grammatica del formato, consulta la documentazione di riferimento alle stringhe di formato.

Tracciamento

Utilizza questi flag per configurare i dati di tracciamento ESPv2 inviati a Stackdriver. Questi flag si applicano solo quando il tracciamento è abilitato.

Bandiera	Descrizione
`--disable_tracing`	Disattiva il tracciamento. Per impostazione predefinita, il monitoraggio è attivo. Se abilitato, ESPv2 campiona un numero ridotto di richieste alla tua API ogni secondo per ottenere le tracce che invia a Stackdriver Trace. Per impostazione predefinita, 1 richiesta su 1000 è campionata. Utilizza il flag `--tracing_sample_rate` per modificare la frequenza di campionamento.
`--tracing_project_id`	L'ID progetto Google per il tracciamento di Stackdriver. Il tracciamento è un servizio a pagamento. Al progetto specificato verrà addebitato un costo per il tracciamento. Per impostazione predefinita, viene fatturato l'ID progetto del servizio ESPv2 di cui è stato eseguito il deployment. L'ID progetto viene determinato chiamando il server metadati dell'istanza Google Cloud all'avvio. Se il deployment di ESPv2 viene eseguito al di fuori di Google Cloud (utilizzando `--non_gcp` ), il tracciamento verrà disabilitato automaticamente a meno che questo flag non venga esplicitamente impostati.
`--tracing_sample_rate`	Impostare la frequenza di campionamento della traccia su un valore compreso tra 0,0 e 1,0. Questo valore specifica la frazione di richieste campionate. Il valore predefinito è 0,001, che equivale a 1 richieste su 1000.
`--tracing_incoming_context`	Questo flag specifica quali intestazioni HTTP verificare per il contesto della traccia, con valori del flag separati da virgole senza spazi. Tieni presente che l'ordine è importante: il contesto della traccia verrà ricavato dalla prima intestazione corrispondente. I valori possibili sono `traceparent`, `x-cloud-trace-context` e `grpc-trace-bin`. Se ometti, le intestazioni `traceparent` e `x-cloud-trace-context` verranno controllate (in ordine). Per ulteriori dettagli, consulta Tracciamento dell'API.
`--tracing_outgoing_context`	Imposta l'intestazione del contesto della traccia nella richiesta inviata al servizio di backend. Questo flag specifica l'intestazione HTTP da impostare, con i valori del flag separati da virgole senza spazi. I valori possibili includono `traceparent`, `x-cloud-trace-context` e `grpc-trace-bin`. Se omesso, verranno inviate le intestazioni `traceparent` e `x-cloud-trace-context`. Per ulteriori dettagli, consulta Tracciamento dell'API.

Controllo di integrità

Utilizza questi flag per configurare i controlli di integrità per ESPv2. La prima segnalazione può essere utilizzata per impostare un gestore della salute che risponda alle chiamate del controllo di integrità. Gli altri flag possono essere usati per abilitare il controllo di integrità per il backend gRPC.

/tbody>

Bandiera	Descrizione
`-z, --healthz`	Definisci un endpoint del controllo di integrità. Ad esempio, `-z healthz` rende ESPv2 restituisce il codice 200 per il percorso `/healthz`.
`--health_check_grpc_backend`	Abilita ESPv2 per controllare periodicamente il servizio gRPC Health per un backend specificato dal flag `--backend`. Il backend deve utilizzare il protocollo gRPC e implementare il protocollo per il controllo di integrità gRPC. L'endpoint del controllo di integrità abilitato dal flag `--healthz` rifletterà il risultato del controllo di integrità del backend.
`--health_check_grpc_backend_service`	Specifica il nome del servizio quando chiami il protocollo di controllo di integrità gRPC di backend. Il valore di questo flag viene applicato solo se viene utilizzato il flag `--health_check_grpc_backend`. È facoltativo. Se non viene impostato, il valore predefinito è vuoto. Se il nome del servizio è vuoto, interroga il server gRPC sullo stato di integrità complessivo.
`--health_check_grpc_backend_interval`	Specifica l'intervallo di controllo e il timeout della richiesta quando chiami il servizio gRPC Health di backend. Il valore di questo flag viene applicato soltanto quando viene utilizzato il flag `--health_check_grpc_backend`. Il valore predefinito è 1 secondo. Il formato accettato è una sequenza di numeri decimali, ciascuno con una frazione facoltativa e un suffisso di unità, ad esempio "5s", "100ms" o "2m". Le unità di tempo valide sono "m" per minuti, "s" per i secondi e "ms" per millisecondi.

Debug

Utilizza questi flag per configurare il debug per ESPv2. Questi flag possono essere utilizzati per impostare una porta di amministrazione di Envoy al fine di recuperare configurazione e statistiche o per eseguire Envoy in modalità di debug per scrivere informazioni sul livello di debug nel log.

Bandiera	Descrizione
`--status_port`, `--admin_port`	Abilita l'amministratore Envoy ESPv2 su questa porta. Invita per maggiori dettagli, consulta il riferimento all'interfaccia di amministrazione di Envoy. La porta di amministrazione è disabilitata per impostazione predefinita.
`--enable_debug`	Attiva i log del livello di debug e aggiungi le intestazioni di debug.

Deployment non Google Cloud

Se ESPv2 viene implementato in un ambiente non Google Cloud, potrebbero essere necessari i seguenti flag.

Bandiera	Descrizione
`--service_account_key`	Specifica il file JSON della chiave dell'account di servizio per accedere ai servizi Google. Se l'opzione viene omessa, il proxy contatta il server di metadati di Google Cloud per recuperare un token di accesso.
`--dns_resolver_addresses`	Gli indirizzi dei resolver DNS. Ogni indirizzo deve essere nel formato `IP_ADDR` o `IP_ADDR:PORT` e separato da un punto e virgola (;). Per `IP_ADDR`, verrà utilizzata la porta DNS predefinita 52. Ad esempio: `--dns_resolver_addresses=127.0.0.1;127.0.0.2;127.0.0.3:8000`) Se non viene configurato, ESPv2 utilizzerà il resolver predefinito configurato in `/etc/resolv.conf`
`--backend_dns_lookup_family`	Definisci la famiglia di ricerca DNS per tutti i backend. Le opzioni sono auto, v4only, v6only, v4preferred e all. Il valore predefinito è v4preferred. Tieni presente che auto è un valore precedente. Se imposti il flag su auto, il comportamento sarà equivalente a v6preferred.
`--non_gcp`	Per impostazione predefinita, il proxy tenta di connettersi al server di metadati Google Cloud per recuperare la posizione della VM nelle prime richieste. Per saltare questo passaggio, imposta il flag su true.

Test locale

Puoi eseguire il deployment di ESPv2 localmente sulla tua workstation per i test. Vedi Eseguire ESP in locale o su un'altra piattaforma per ulteriori dettagli.

Usa questi flag insieme ai flag di deployment non Google Cloud per semplificare il deployment locale e i test nell'integrazione continua.

Bandiera Descrizione

Bandiera	Descrizione
`--service_json_path`	Specifica un percorso in modo che ESPv2 possa caricare la configurazione del servizio endpoint. Con questo flag, ESPv2 utilizzerà un valore "fisso" di lancio e le seguenti verranno ignorati: `--service` `--version` `--rollout_strategy` Questo flag impedisce a ESPv2 di utilizzare la quota dell'API Service Management.
`--enable_backend_address_override`	Gli indirizzi di backend possono essere specificati utilizzando il flag `--backend` oppure il campo `backend.rule.address` nella configurazione del servizio. Per gli utenti OpenAPI, tieni presente che il campo `backend.rule.address` viene impostato dal campo `address` nell'estensione `x-google-backend`. La configurazione del servizio per operazione `backend.rule.address` viene solitamente specificata per il routing serverless. Per impostazione predefinita, `backend.rule.address` avrà la priorità su il flag `--backend` per ogni singola operazione. Attiva questo flag se vuoi che sia il flag `--backend` ad avere la priorità. Questa opzione è utile se esegui lo sviluppo su una workstation locale. Quindi puoi utilizzare la stessa configurazione del servizio di produzione, ma eseguire l'override tramite il flag `--backend` per i test locali. Nota: verrà sostituito solo l'indirizzo. Continueranno a essere applicati tutti gli altri componenti di `backend.rule` (scadenze, autenticazione di backend, traduzione dei percorsi e così via).

--service_json_path

Specifica un percorso in modo che ESPv2 possa caricare la configurazione del servizio endpoint. Con questo flag, ESPv2 utilizzerà un valore "fisso" di lancio e le seguenti verranno ignorati:

--service
--version
--rollout_strategy

Questo flag impedisce a ESPv2 di utilizzare la quota dell'API Service Management.

--enable_backend_address_override

Gli indirizzi di backend possono essere specificati utilizzando il flag --backend oppure il campo backend.rule.address nella configurazione del servizio. Per gli utenti OpenAPI, tieni presente che il campo backend.rule.address viene impostato dal campo address nell'estensione x-google-backend.

La configurazione del servizio per operazione backend.rule.address viene solitamente specificata per il routing serverless. Per impostazione predefinita, backend.rule.address avrà la priorità su il flag --backend per ogni singola operazione.

Attiva questo flag se vuoi che sia il flag --backend ad avere la priorità. Questa opzione è utile se esegui lo sviluppo su una workstation locale. Quindi puoi utilizzare la stessa configurazione del servizio di produzione, ma eseguire l'override tramite il flag --backend per i test locali.

Nota: verrà sostituito solo l'indirizzo. Continueranno a essere applicati tutti gli altri componenti di backend.rule (scadenze, autenticazione di backend, traduzione dei percorsi e così via).

Estrazione IP client

Utilizza questi flag per configurare l'estrazione dell'IP del client per ESPv2.

Bandiera	Descrizione
`--envoy_use_remote_address`	Per la configurazione di HttpConnectionManager di Envoy, consulta la documentazione di riferimento di Envoy per informazioni dettagliate. L'impostazione predefinita è off.
`--envoy_xff_num_trusted_hops`	Configurazione di Envoy HttpConnectionManager, fare riferimento a Envoy riferimento per informazioni dettagliate. Il valore predefinito è 2.

Assistenza CORS

Fai riferimento a Assistenza CORS per una descrizione delle opzioni di supporto CORS disponibili. In questa sezione viene descritto l'utilizzo dei flag di avvio ESPv2 per supportare CORS.

Per abilitare il supporto CORS in ESPv2, includi l'opzione --cors_preset e impostala in uno dei seguenti flag:

--cors_preset=basic
--cors_preset=cors_with_regex

Se includi --cors_preset=basic o --cors_preset=cors_with_regex, ESPv2:

Si presume che tutti i percorsi delle località abbiano lo stesso criterio CORS.
Risponde sia alle richieste semplici che preflight HTTP OPTIONS richieste.
Memorizza nella cache il risultato della richiesta OPTIONS preflight per un massimo di 20 giorni (1728000 secondi).

Imposta le intestazioni di risposta sui seguenti valori:

Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, POST, PUT, PATCH, DELETE, OPTIONS
Access-Control-Allow-Headers: DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range,Authorization
Access-Control-Expose-Headers: Content-Length,Content-Range
Access-Control-Max-Age: 1728000

Per eseguire l'override del valore predefinito Access-Control-Allow-Origin, specificare una delle seguenti opzioni:

Opzione Descrizione

--cors_allow_origin Usa con --cors_preset=basic per impostare Access-Control-Allow-Origin a un'origine specifica.
Esempio:
--cors_preset=basic --cors_allow_origin=http://example.com

Opzione	Descrizione
`--cors_allow_origin`	Usa con `--cors_preset=basic` per impostare `Access-Control-Allow-Origin` a un'origine specifica. Esempio: `--cors_preset=basic --cors_allow_origin=http://example.com`
`--cors_allow_origin_regex`	Da usare con `--cors_preset=cors_with_regex`. Ti consente di utilizzare una un'espressione regolare per impostare `Access-Control-Allow-Origin`. Esempio: `--cors_preset=cors_with_regex --cors_allow_origin_regex=^https?://.+\.example\.com$` L'espressione regolare nell'esempio precedente consente un'origine con http o https e qualsiasi sottodominio di `example.com`. Quando imposti questa opzione in un file di configurazione di Kubernetes, devi aggiungere Una barra rovesciata aggiuntiva per l'interpretazione letterale a entrambe le istanze di \. nella stringa, ad esempio: `"--cors_preset","cors_with_regex", "--cors_allow_origin_regex","^https?://.+\\.example\\.com$"` Quando imposti questa opzione nello script gcloud_build_image per Cloud Run, cerca di evitare di utilizzare caratteri con caratteri di escape e barre diagonali, poiché potrebbero non essere trasmessi correttamente dallo script bash al proxy all'avvio. Utilizza le classi di caratteri anziché le meta sequenze. Ad esempio: `Original: \d Recommended: [0-9]`

--cors_allow_origin_regex

Da usare con --cors_preset=cors_with_regex. Ti consente di utilizzare una un'espressione regolare per impostare Access-Control-Allow-Origin.
Esempio:


--cors_preset=cors_with_regex

--cors_allow_origin_regex=^https?://.+\.example\.com$

L'espressione regolare nell'esempio precedente consente un'origine con http o https e qualsiasi sottodominio di example.com.

Quando imposti questa opzione in un file di configurazione di Kubernetes, devi aggiungere Una barra rovesciata aggiuntiva per l'interpretazione letterale a entrambe le istanze di \. nella stringa, ad esempio:


"--cors_preset","cors_with_regex",

"--cors_allow_origin_regex","^https?://.+\\.example\\.com$"

Quando imposti questa opzione nello script gcloud_build_image per Cloud Run, cerca di evitare di utilizzare caratteri con caratteri di escape e barre diagonali, poiché potrebbero non essere trasmessi correttamente dallo script bash al proxy all'avvio. Utilizza le classi di caratteri anziché le meta sequenze. Ad esempio: Original: \d Recommended: [0-9]

Dopo aver impostato --cors_preset=basic o --cors_preset=cors_with_regex per l'attivazione CORS, puoi eseguire l'override dei valori predefiniti delle altre intestazioni delle risposte specificando una o più delle seguenti opzioni:

Opzione	Descrizione
`--cors_allow_methods`	Set `Access-Control-Allow-Methods` ai metodi HTTP specificati. Specifica i metodi HTTP come stringa con ogni Metodo HTTP separato da una virgola. Esempio: `--cors_preset=basic --cors_allow_methods=GET,POST,PUT,OPTIONS`
`--cors_allow_headers`	Imposta `Access-Control-Allow-Headers` sulle intestazioni HTTP specificate. Specifica le intestazioni HTTP come stringa, ognuna con Intestazione HTTP separata da una virgola. Esempio: `--cors_preset=basic --cors_allow_headers=Origin,Content-Type,Accept`
`--cors_allow_credentials`	Include: `Access-Control-Allow-Credentials` con il valore true nelle risposte. Per impostazione predefinita, L'intestazione `Access-Control-Allow-Credentials` non è inclusa nelle risposte. Esempio: `--cors_preset=basic --cors_allow_credentials`
`--cors_expose_headers`	Imposta `Access-Control-Expose-Headers` sulle intestazioni specificate. Specifica quali intestazioni possono essere esposte come parte dell'intestazione la risposta sotto forma di stringa con ogni intestazione separata da una virgola. Esempio: `--cors_preset=basic --cors_expose_headers=Content-Length`
`--cors_max_age`	Set `Access-Control-Max-Age` in base alla durata specificata. Il formato accettabile è una sequenza di numeri numeri, ciascuno con un valore frazionario facoltativo e un suffisso dell'unità, come "300 m", "1,5 h" o "2h45m". Le unità di tempo valide sono "m" per i minuti, "h" della nell'orario lavorativo locale del TAM. Il valore predefinito è "480 h" se non è impostato. Esempio: `--cors_preset=basic --cors_max_age=24h`

Supporto TLS

Utilizza questi flag per configurare ESPv2 in modo che utilizzi le connessioni TLS.

Bandiera	Descrizione
`--ssl_server_cert_path`	Percorso certificato server del proxy. Se configurato, ESPv2 accetta solo connessioni sicure HTTP/1.x e HTTP/2 sulla porta listener_port. Sono necessari il certificato e file della chiave "server.crt" e "server.key" in questo percorso.
`--ssl_server_cipher_suites`	Suite di crittografia da utilizzare per le connessioni downstream, specificate come elenco separato da virgole. Consulta Configurazione della suite di crittografia.
`--ssl_backend_client_cert_path`	Percorso certificato client del proxy. Se configurato, ESPv2 abilita TLS reciproca per i backend HTTPS. Sono necessari il certificato e file della chiave "client.crt" e "client.key" in questo percorso.
`--ssl_backend_client_root_certs_file`	Il percorso file dei certificati radice che ESPv2 utilizza per verificare il certificato del server di backend. Se non specificato, ESPv2 utilizza "/etc/ssl/certs/ca-certificates.crt" per impostazione predefinita.
`--ssl_backend_client_cipher_suites`	Suite di crittografia da utilizzare per i backend HTTPS, specificate come elenco separato da virgole. Consulta Configurazione della suite di crittografia.
`--ssl_minimum_protocol`	Versione minima del protocollo TLS per la connessione lato client. Fai riferimento a questo
`--ssl_maximum_protocol`	Versione massima del protocollo TLS per la connessione lato client. Fai riferimento a questo
`--enable_strict_transport_security`	Attiva HSTS (HTTP Strict Transport Security). "Rigorosa-Sicurezza per i trasporti" intestazione della risposta con il valore "max-age=31536000; includeSubdomains;" viene aggiunto a tutte le risposte.
`--generate_self_signed_cert`	Genera un certificato autofirmato e una chiave all'inizio, quindi archiviali in "/tmp/ssl/endpoints/server.crt" e "/tmp/ssl/endpoints/server.key". Questo è utile quando è necessario solo un certificato di autofirma casuale per la pubblicazione Richieste HTTPS. Il certificato generato avrà un nome comune "localhost" e una validità di 10 anni.

Timeout e nuovi tentativi

Utilizza questi flag per configurare il timeout e le riatentate delle chiamate HTTP remote per ESPv2.

Bandiera	Descrizione
`--http_request_timeout_s`	Imposta il timeout in secondi per le richieste effettuate a servizi esterni, ad eccezione di Backend e Google Service Control. Sono inclusi Google ServiceManagement, il server di metadati e il server Google IAM. Deve essere > 0, mentre il valore predefinito è 30 secondi se non è impostato.
`--service_control_network_fail_open`	In caso di errori di rete durante la connessione a Google Service Control, le richieste saranno consentite se questo flag è attivato. L'impostazione predefinita è on.
`--service_control_check_timeout_ms`	Imposta il timeout in millisecondi per la richiesta di controllo del controllo del servizio. Deve essere > 0 e il valore predefinito è 1000 se non è impostato.
`--service_control_report_timeout_ms`	Imposta il timeout in millisecondi per la richiesta di report per il controllo del servizio. Deve essere > 0 e il valore predefinito è 1000 se non è impostato.
`--service_control_quota_timeout_ms`	Imposta il timeout in millisecondi per la richiesta di quota per il controllo del servizio. Deve essere > 0 e il valore predefinito è 1000 se non è impostato.
`--service_control_check_retries`	Imposta il numero di nuovi tentativi per la richiesta di verifica del controllo di servizio. Deve essere >= 0 e il valore predefinito è 3 se non è impostato
`--service_control_report_retries`	Imposta il numero di nuovi tentativi per la richiesta di report del controllo del servizio. Deve essere >= 0 e il valore predefinito è 5 se non è impostato
`--service_control_quota_retries`	Imposta il numero di nuovi tentativi per la richiesta di quota del controllo del servizio. Deve essere >= 0 e il valore predefinito è 1 se non impostato
`--backend_retry_ons`	Le condizioni in cui ESPv2 esegue un nuovo tentativo sui backend. Uno o più `retryOn` condizioni possono essere specificate utilizzando un elenco separato da virgole. Il valore predefinito è `reset,connect-failure,refused-stream`. Disattiva la riprova impostando questo flag su vuoto. Per le condizioni accettate, fai riferimento ai seguenti link: x-envoy-retry-on x-envoy-retry-grpc-on
`--backend_retry_num`	Il numero consentito di nuovi tentativi. Deve essere >= 0 e il valore predefinito è 1.

Transcodifica gRPC

Utilizza questi flag per configurare ESPv2 per la transcodifica da HTTP/JSON a gRPC.

Bandiera	Descrizione
`--transcoding_always_print_primitive_fields`	Specifica se stampare i campi primitivi per la transcodifica grpc-json. Per impostazione predefinita, i campi primitivi con verranno omessi nell'output JSON. Ad esempio, un set di campi int32 a 0 sarà omesso. Se imposti questo flag su true, verrà eseguito l'override delle comportamento predefinito e stampare i campi primitivi a prescindere dai loro valori. Il valore predefinito è false.
`--transcoding_always_print_enums_as_ints`	Consente di specificare se stampare le enum come int per la transcodifica grpc-json. Per impostazione predefinita, vengono visualizzati come stringhe. Il valore predefinito è false.
`--transcoding_stream_newline_delimited`	Se true, utilizza un nuovo delimitatore di riga per separare il flusso di risposte messaggi. Se il valore è false, tutti i flussi di risposta vengono transcodificati in un array JSON.
`--transcoding_case_insensitive_enum_parsing`	Normalmente, i valori di enum proto devono essere in maiuscolo se utilizzati in JSON. Imposta questo flag su true se la tua richiesta JSON utilizza valori enum non in maiuscolo.
`--transcoding_preserve_proto_field_names`	Specifica se conservare i nomi dei campi proto per la transcodifica grpc-json. Per impostazione predefinita, protobuf genera i nomi dei campi JSON utilizzando il parametro json_name o una custodia a cammello inferiore, in quest'ordine. L'impostazione di questo flag di conservare i nomi dei campi originali. Il valore predefinito è false.
`--transcoding_ignore_query_parameters`	Un elenco di parametri di ricerca separati da virgole da ignorare per mappatura del metodo di transcodifica nella transcodifica grpc-json. Per impostazione predefinita, il filtro dello strumento di transcodifica non transcodifica una richiesta con parametri di ricerca sconosciuti/non validi.
`--transcoding_ignore_unknown_query_parameters`	Specifica se ignorare parametri di ricerca che non possono essere mappati a una campo protobuf corrispondente nella transcodifica grpc-json. Da utilizzare se controllare i parametri di ricerca e non conoscerli in anticipo. Altrimenti, usa `--transcoding_ignore_query_parameters`. Il valore predefinito è false.
`--transcoding_query_parameters_disable_unescape_plus`	Per impostazione predefinita, i segni più `"+"` nei parametri di ricerca non vengono inseriti in caratteri di escape nello spazio `" "` nella transcodifica grpc-json. in modo da supportare HTML 2.0. Se non lo desideri, imposta questo flag su true per disabilitare questa funzionalità.

Modifica di richieste e risposte

Utilizza questi flag per configurare ESPv2 in modo da modificare parzialmente richieste e risposte.

Bandiera	Descrizione
`--add_request_header`	Aggiungi un'intestazione HTTP alla richiesta prima di inviarla al backend upstream. Se l'intestazione è già presente nella richiesta, il suo valore verrà sostituito con quello nuovo. Supporta le variabili personalizzate di Envoy. Questo argomento può essere ripetuto più volte per specificare più intestazioni. Ad esempio: `--add_request_header=key1=value1 --add_request_header=key2=value2`.
`--append_request_header`	Aggiungere un'intestazione HTTP alla richiesta prima di inviarla al backend a monte. Se l'intestazione è già presente nella richiesta, il nuovo valore verrà aggiunto. Supporta le variabili personalizzate di Envoy. Questo argomento può essere ripetuto più volte per specificare più intestazioni. Ad esempio: `--append_request_header=key1=value1 --append_request_header=key2=value2`.
`--add_response_header`	Aggiungi un'intestazione HTTP alla risposta prima di inviarla al client downstream. Se l'intestazione è già presente nella risposta, verrà sostituita con quella nuova. Supporta le variabili personalizzate Envoy. Questo argomento può essere ripetuto più volte per specificare più intestazioni. Ad esempio: `--add_response_header=key1=value1 --add_response_header=key2=value2`.
`--append_response_header`	Aggiungi un'intestazione HTTP alla risposta prima di inviarla al client a valle. Se l'intestazione è già presente nella risposta, verrà aggiunta quella nuova. Supporta le variabili personalizzate di Envoy. Questo argomento può essere ripetuto più volte per specificare più intestazioni. Ad esempio: `--append_response_header=key1=value1 --append_response_header=key2=value2`.

Opzioni di sicurezza

Utilizza questi flag per perfezionare ulteriormente le richieste consentite da ESPv2.

Bandiera	Descrizione
`--underscores_in_headers`	Consente il passaggio dei nomi delle intestazioni che contengono trattini bassi. Il valore predefinito è false. Il trattino basso è consentito nei nomi delle intestazioni da: RFC-7230. Tuttavia, questo comportamento viene implementato come misura di sicurezza perché alcuni sistemi considerano `_` e `-` intercambiabili.
`--envoy_connection_buffer_limit_bytes`	Configura la quantità massima di dati memorizzati nel buffer per ogni corpo della richiesta/risposta, in byte. Se non viene configurato, il valore predefinito viene stabilito Envoy. Vedi Configurazione del listener di Envoy.
`--disable_normalize_path`	Disabilita la normalizzazione dell'intestazione HTTP `path` in base a RFC 3986. Ti consigliamo di mantenere questa opzione abilitata se il tuo backend esegue la normalizzazione del percorso per impostazione predefinita. La tabella seguente fornisce esempi della richiesta `path` che il backend riceverà da ESPv2 in base alla configurazione di questo flag. ----------------------------------------------------------------- \| Request Path \| Without Normalization \| With Normalization \| ----------------------------------------------------------------- \| /hello/../world \| Rejected \| /world \| \| /%4A \| /%4A \| /J \| \| /%4a \| /%4a \| /J \| ----------------------------------------------------------------- Per impostazione predefinita, ESPv2 normalizza i percorsi. Disattiva la funzionalità solo se questo comportamento influisce sul traffico. Nota: secondo lo standard RFC 3986, questa opzione non consente di eliminare la sequenza di escape con la codifica percentuale barra, Vedi il flag `--disallow_escaped_slashes_in_path` a attivare questo comportamento non conforme. Nota: normalizzazione della richiesta da RFC 3986 non è supportato, anche se è abilitata. Per ulteriori dettagli, consulta la sezione Informazioni sui modelli di percorso.
`--disable_merge_slashes_in_path`	Disattiva l'unione di barre adiacenti nell'intestazione HTTP `path`. Ti consigliamo di mantenere questa opzione abilitata se il tuo backend esegue l'unione per impostazione predefinita. La tabella seguente fornisce esempi della richiesta `path` che il backend riceverà da ESPv2 in base alla configurazione di questo flag. ----------------------------------------------------------------- \| Request Path \| Without Normalization \| With Normalization \| ----------------------------------------------------------------- \| /hello//world \| Rejected \| /hello/world \| \| /hello/// \| Rejected \| /hello \| ----------------------------------------------------------------- Per impostazione predefinita, ESPv2 unisce le barre. Disattiva la funzionalità solo se questo comportamento influisce sul traffico. Per ulteriori dettagli, consulta la sezione Informazioni sui modelli di percorso.
`--disallow_escaped_slashes_in_path`	Non consentono le richieste con barre con codifica percentuale di escape: `%2F` o `%2f` viene considerato come un `/` `%5C` o `%5c` viene considerato come un `\` Se questa opzione è abilitata, il comportamento dipende dal protocollo utilizzato: Per i backend OpenAPI, i percorsi delle richieste con codifica percentuale di escape Le barre verranno eliminate automaticamente tramite un carattere di escape tramite un reindirizzamento. Per i backend gRPC, i percorsi delle richieste con barre diagonali con codifica percentuale sfuggite verranno rifiutati (gRPC non supporta i reindirizzamenti). Questa opzione non è conforme a RFC 3986, quindi è disattivata per impostazione predefinita. Se il backend non è conforme a RFC 3986 ed esegue l'escape delle barre, devi abilitare questa opzione in ESPv2. In questo modo si eviteranno attacchi di confusione nei percorsi che si traducono in problemi di sicurezza la loro applicazione. Per ulteriori dettagli, consulta la sezione Informazioni sui modelli di percorso.

Autenticazione JWT

Utilizza questi flag per configurare ESPv2 in modo da recuperare Jwk remoti con nuovi tentativi.

Bandiera	Descrizione
`--jwks_fetch_num_retries`	Specifica il numero di nuovi tentativi nel criterio per nuovi tentativi di recupero JWKS remoto. Il valore predefinito è 0, non riprova.
`--jwks_fetch_retry_back_off_base_interval_ms`	Specifica l'intervallo esponenziale dei tentativi di recupero JWKS fuori base, in millisecondi. Il valore predefinito è 200 ms, se non è impostato.
`--jwks_fetch_retry_back_off_max_interval_ms`	Specifica l'intervallo massimo del backoff esponenziale del nuovo tentativo di recupero JWKS, in millisecondi. Il valore predefinito è 32 secondi, se non è impostato.
`--jwks_cache_duration_in_s`	Specifica la durata della cache della chiave pubblica JWT in secondi. Il valore predefinito è 5 minuti, se non è impostato.
`--jwks_async_fetch_fast_listener`	Applica solo quando il flag `--disable_jwks_async_fetch` non è impostato. Questo flag determina se ESPv2 attenderà il recupero iniziale di `jwks` da completare prima di associare la porta del listener. Se è false, attenderà. Il valore predefinito è false.
`--jwt_cache_size`	Specifica il numero di token JWT univoci come dimensione massima della cache JWT. La cache memorizza solo i token verificati. Se il valore è 0, la cache JWT è disabilitata. Questo flag limita l'utilizzo della memoria per la cache JWT. La memoria utilizzata dalla cache è all'incirca (dimensione token + 64 byte) per token. Se non specificato, il valore predefinito è 100.000.
`--disable_jwt_audience_service_name_check`	Normalmente il campo JWT `aud` viene controllato rispetto ai segmenti di pubblico specificati nel campo `x-google-audiences` OpenAPI. Questo flag modifica il comportamento quando il campo `x-google-audiences` non viene specificato. Se il campo `x-google-audiences` non è specificato e questo flag non viene utilizzato, il nome del servizio viene utilizzato per controllare il campo JWT `aud`. Se viene utilizzato questo flag, il campo JWT `aud` non verrà selezionato.

Passaggi successivi

Scopri di più su: