In diesem Dokument wird beschrieben, wie Sie Apigee über die Befehlszeile mit VPC-Peering installieren und konfigurieren. Diese Schritte gelten sowohl für Abo- als auch für „Pay as you go“-Preismodelle für bezahlte Organisationen mit oder ohne aktiviertem Datenstandort.
Zusammenfassung der Schritte
Dazu sind folgende Schritte erforderlich:
Schritt 1: Umgebungsvariablen definieren: Richten Sie gcloud ein und definieren Sie Umgebungsvariablen.
Die Google Cloud CLI verwaltet Authentifizierung, lokale Konfiguration, Entwickler-Workflow und Interaktionen mit den Google Cloud APIs.
Schritt 4: Dienstnetzwerk konfigurieren: Das Dienstnetzwerk automatisiert die Einrichtung privater Verbindungen (mit VPC-Netzwerk-Peering) zwischen Ihrem Netzwerk und Apigee.
Schritt 5: Organisation erstellen: Eine Apigee-Organisation (manchmal auch als Org bezeichnet) ist der oberste Container in Apigee. Sie enthält alle Umgebungen und Umgebungsgruppen, Nutzer, API-Proxys und zugehörigen Ressourcen.
Schritt 6 Laufzeitinstanz erstellen: Eine Instanz oder Laufzeit, in der Ihr Projekt und die zugehörigen Dienste gespeichert sind. Er stellt den nutzerseitigen Endpunkt für Ihre Dienste bereit.
Schritt 7: Umgebung erstellen: Ein API-Proxy muss in einer Umgebung bereitgestellt und einer Umgebungsgruppe hinzugefügt werden, bevor die APIs über das Netzwerk zugänglich sind.
Richten Sie gcloud ein und definieren Sie Umgebungsvariablen zur Verwendung in späteren Schritten:
Prüfen Sie, ob die unter
Vorbereitung aufgeführten Einrichtungsanforderungen erfüllt sind.
Das Cloud SDK muss installiert sein. Weitere Informationen zur Installation finden Sie unter Cloud SDK installieren.
Initialisieren Sie das Cloud SDK, wie unter gcloud CLI initialisieren beschrieben, oder achten Sie darauf, dass das unter Voraussetzungen erstellte Google Cloud-Projekt das Standardprojekt für gcloud ist.
Definieren Sie in Ihrem Befehlsterminal die folgenden Umgebungsvariablen:
Wählen Sie den Tab aus, der dem Typ der benötigten Organisation entspricht: Kein Datenstandort oder Datenstandort
AUTH definiert den Header Authentication mit einem Inhabertoken.
Dieser Header wird beim Aufrufen von Apigee APIs verwendet. Beachten Sie, dass das Token nach einer gewissen Zeit abläuft. Wenn dies der Fall ist, können Sie es einfach mit demselben Befehl neu generieren. Weitere Informationen finden Sie auf der Referenzseite für den Befehl print-access-token.
PROJECT_ID ist die Cloud-Projekt-ID, die Sie als eine der Voraussetzungen erstellt haben.
PROJECT_NUMBER ist die Cloud-Projektnummer, die Sie unter Voraussetzungen erstellt haben.
RUNTIME_LOCATION ist der physische Standort, an dem sich die Apigee-Instanz befindet, die Sie später erstellen. Eine Liste der verfügbaren Laufzeitstandorte finden Sie unter Apigee-Standorte.
ANALYTICS_REGION ist der physische Standort, an dem Apigee-Analysedaten gespeichert werden. Eine Liste der verfügbaren Apigee API Analytics-Regionen finden Sie unter Apigee-Standorte.
RUNTIME_LOCATION und ANALYTICS_REGION können sich zwar auf dieselbe Region beziehen, müssen aber nicht identisch sein.
BILLING_TYPE ist der Abrechnungstyp für die von Ihnen erstellte Organisation. Gültige Werte sind:
AUTH definiert den Header Authentication mit einem Inhabertoken.
Dieser Header wird beim Aufrufen von Apigee APIs verwendet. Beachten Sie, dass das Token nach einer gewissen Zeit abläuft. Wenn dies der Fall ist, können Sie es einfach mit demselben Befehl neu generieren. Weitere Informationen finden Sie auf der Referenzseite für den Befehl print-access-token.
PROJECT_ID ist die Cloud-Projekt-ID, die Sie als eine der Voraussetzungen erstellt haben.
PROJECT_NUMBER ist die Cloud-Projektnummer, die Sie unter Voraussetzungen erstellt haben.
RUNTIME_LOCATION ist der physische Standort, an dem sich die Apigee-Instanz befindet, die Sie später erstellen. Eine Liste der verfügbaren Laufzeitstandorte finden Sie unter Apigee-Standorte.
Der Laufzeitstandort muss sich innerhalb des Speicherorts der Steuerungsebene befinden.
CONTROL_PLANE_LOCATION ist der physische Standort, an dem die Daten der Apigee-Steuerungsebene gespeichert werden.
Eine Liste der verfügbaren Standorte der Steuerungsebene finden Sie unter Apigee-Standorte.
CONSUMER_DATA_REGION ist eine Unterregion der Region der Steuerungsebene. Sie müssen sowohl die CONTROL_PLANE_LOCATION als auch die CONSUMER_DATA_REGION angeben.
Eine Liste der verfügbaren Regionen für Nutzerdaten finden Sie unter Apigee-Standorte.
BILLING_TYPE ist der Abrechnungstyp für die von Ihnen erstellte Organisation. Gültige Werte sind:
(Optional) Um Ihre Arbeit zu testen, rufen Sie die soeben festgelegten Werte ab. Wenn Sie in Ihren Befehlen eine Variable verwenden möchten, stellen Sie dem Variablennamen ein Dollarzeichen ($) voran.
Die Antworten auf Ihre echo-Befehle sollten etwa so aussehen:
YOUR_TOKEN
my-cloud-project
1234567890
us-west1
us
us-west1
SUBSCRIPTION
Schritt 2: APIs aktivieren
Erforderliche Berechtigungen für diese Aufgabe
Sie können dem Apigee-Bereitsteller eine vordefinierte Rolle mit den Berechtigungen zuweisen, die zum Ausführen dieser Aufgabe erforderlich sind, oder detailliertere Berechtigungen erteilen, um die geringste Berechtigung zu gewähren. Weitere Informationen finden Sie unter Vordefinierte Rollen und API-Aktivierungsberechtigungen.
Für Apigee müssen Sie mehrere Google Cloud APIs aktivieren. Aktivieren Sie diese mit dem folgenden Befehl services enable:
Überprüfen Sie, ob der Agent erfolgreich erstellt wurde. Die Antwort sollte den Namen des Agents im folgenden Format enthalten: service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com.
Beispiel:
Service identity created: service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
Schritt 4: Dienstnetzwerk konfigurieren
In diesem Schritt weisen Sie Apigee ein Paar IP-Adressbereiche (einen CIDR-Bereich von /22 und /28) zu und führen das VPC-Peering zwischen Ihrem Netzwerk und dem Apigee-Netzwerk aus. Jede Apigee-Instanz erfordert einen nicht überlappenden CIDR-Bereich von /22 und /28. Der Apigee-Laufzeitebene werden IP-Adressen aus diesem CIDR-Bereich zugewiesen. Daher ist es wichtig, dass der Bereich für Apigee reserviert ist und nicht von anderen Anwendungen des VPC-Netzwerks genutzt wird. Weitere Informationen und wichtige Überlegungen finden Sie unter Informationen zu Peering-Bereichen.
Beachten Sie, dass Sie einen ausreichenden Netzwerk-IP-Bereich für eine Apigee-Instanz erstellen. Wenn Sie planen, zusätzliche Apigee-Instanzen zu erstellen, müssen Sie diesen Schritt für jede einzelne wiederholen. Die Bereiche können nicht von Instanzen gemeinsam genutzt werden. Weitere Informationen finden Sie auch unter Apigee auf mehrere Regionen erweitern.
Erforderliche Berechtigungen für diese Aufgabe
Sie können dem Apigee-Bereitsteller eine vordefinierte Rolle mit den Berechtigungen zuweisen, die zum Ausführen dieser Aufgabe erforderlich sind, oder detailliertere Berechtigungen erteilen, um die geringste Berechtigung zu gewähren. Weitere Informationen finden Sie unter Vordefinierte Rollen und Dienstnetzwerkberechtigungen.
RANGE_NAME ist der Name des IP-Adressbereichs, den Sie erstellen.
Sie können dem Bereich jeden beliebigen Namen geben. Beispiel: google-svcs
NETWORK_NAME ist der Name der Netzwerkressource, in der die Adressen reserviert werden sollen.
Google erstellt für jedes neue Projekt ein Standardnetzwerk namens default, das Sie verwenden können. Google empfiehlt jedoch, das Standardnetzwerk ausschließlich für Tests zu verwenden.
Erstellen Sie einen Netzwerk-IP-Bereich mit einer CIDR-Länge von /22:
Mit --addresses können Sie optional einen Adressbereich angeben. Wenn Sie beispielsweise den CIDR-Block 192.168.0.0/22 zuordnen möchten, geben Sie 192.168.0.0 für die Adresse und 22 für die Präfixlänge an. Weitere Informationen finden Sie unter IP-Zuordnung erstellen.
Wenn Sie den Parameter --addresses nicht angeben, wählt gcloud einen verfügbaren Adressbereich für Sie aus.
Bei Erfolg gibt gcloud Folgendes zurück:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/addresses/google-svcs].
Wenn Sie einen Bereich von IP-Adressen erstellt haben, sind die Adressen mit dem Projekt verknüpft, bis Sie sie wieder freigeben.
Prüfen Sie, ob der Netzwerk-IP-Bereich mit einer CIDR-Länge von /22 erstellt wurde:
Erstellen Sie einen Netzwerk-IP-Bereich mit einer CIDR-Länge von /28. Dieser Bereich ist erforderlich und wird von Apigee zur Fehlerbehebung verwendet. Er kann nicht angepasst oder geändert werden.
Mit --addresses können Sie optional einen Adressbereich angeben. Wenn Sie beispielsweise den CIDR-Block 192.168.0.0/28 zuordnen möchten, geben Sie 192.168.0.0 für die Adresse und 28 für die Präfixlänge an. Weitere Informationen finden Sie unter IP-Zuordnung erstellen.
Wenn Sie den Parameter --addresses nicht angeben, wählt gcloud einen verfügbaren Adressbereich für Sie aus.
Prüfen Sie, ob der Netzwerk-IP-Bereich mit einer CIDR-Länge von /28 erstellt wurde:
Dieser Vorgang kann einige Minuten dauern. Bei Erfolg gibt gcloud Folgendes zurück, wobei OPERATION_ID die UUID des LRO (Vorgang mit langer Ausführungszeit) ist.
Apigee stellt eine Verbindung zwischen Ihrem Netzwerk und den Google-Diensten her. Insbesondere verbindet Apigee Ihr Projekt über VPC-Peering mit der Service Networking API. Apigee verknüpft außerdem IP-Adressen mit Ihrem Projekt.
Prüfen Sie nach einigen Minuten, ob das VPC-Peering erfolgreich war:
gcloud services vpc-peerings list \
--network=$NETWORK_NAME \
--service=servicenetworking.googleapis.com \
--project=$PROJECT_ID
Schritt 5: Organisation erstellen
Erforderliche Berechtigungen für diese Aufgabe
Sie können dem Apigee-Bereitsteller eine vordefinierte Rolle mit den Berechtigungen zuweisen, die zum Ausführen dieser Aufgabe erforderlich sind, oder detailliertere Berechtigungen erteilen, um die geringstmögliche Berechtigung zu gewähren. Weitere Informationen:
Für das Erstellen einer Organisation müssen Sie einen Schlüsselbund und einen Schlüssel für die Verschlüsselung der Laufzeitdatenbank anlegen (siehe Schritt 1) und, wenn Sie
Datenstandort verwenden, Schlüsselbunde und Schlüssel für die Verschlüsselung der Steuerungsebene (siehe Schritt 2) Diese
Cloud KMS-Schlüssel verschlüsseln Daten, die an Laufzeit- und Steuerungsebenenstandorten gespeichert und repliziert werden. Apigee verwendet diese Entitäten zum Verschlüsseln von Anwendungsdaten wie KVMs, Cache- und Clientschlüssel, die dann in der Datenbank gespeichert werden. Weitere Informationen finden Sie unter Apigee-Verschlüsselungsschlüssel.
Erstellen Sie einen Schlüsselbund und Schlüssel für die Verschlüsselung der Laufzeitdatenbank:
Definieren Sie für den Speicherort von Schlüsselbund und Schlüssel zur Verschlüsselung Ihrer Laufzeitdatenbank eine Umgebungsvariable. Dies sorgt für Konsistenz bei der Erstellung und hilft Ihnen beim Befolgen der Dokumentation.
Der Wert ist der physische Standort, an dem der Schlüsselbund und der Schlüssel der Laufzeitdatenbank gespeichert sind.
Einzelne Region
Konfigurationen für eine einzelne Region (in denen Sie nur eine Instanz in einer Region haben): Wählen Sie einen der unterstützten regionalen KMS-Standorte aus.
Beispiele:
RUNTIMEDBKEY_LOCATION="us-west1"
Der Wert kann mit Ihrer $RUNTIME_LOCATION (auch eine Region) identisch sein, muss es aber nicht. Unter Umständen verbessert die Übereinstimmung aber die Leistung.
Wenn Sie eine Konfiguration mit mehreren Regionen in den USA haben, empfehlen wir die Verwendung von us für Ihren Standort, sofern möglich. Verwenden Sie andernfalls nam4.
Definieren Sie Umgebungsvariablen für den Schlüsselbund und den Schlüsselnamen der Datenbank.
Der Name des Schlüsselbunds muss für Ihre Organisation eindeutig sein. Wenn Sie eine zweite oder nachfolgende Region erstellen, darf der Name nicht mit den Namen anderer Schlüsselbunde übereinstimmen.
(Optional) Um Ihre Arbeit zu testen, rufen Sie die soeben festgelegten Werte ab. Wenn Sie in Ihren Befehlen eine Variable verwenden möchten, stellen Sie dem Variablennamen ein Dollarzeichen ($) voran.
Der Speicherort des Verschlüsselungsschlüssels für die Apigee-Laufzeitdatenbank unterstützt alle Cloud KMS-Standorte, die Cloud HSM und Cloud EKM unterstützen.
Mit diesem Befehl wird der Schlüssel an den Apigee-Dienst-Agent gebunden.
Nach dem erfolgreichen Abschluss dieser Anfrage gibt gcloud etwa folgende Antwort zurück:
Updated IAM policy for key [runtime].
bindings:
- members:
- serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
role: roles/cloudkms.cryptoKeyEncrypterDecrypter
etag: BwWqgEuCuwk=
version: 1
Wenn Sie einen Fehler wie folgenden erhalten:
INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.
Achten Sie darauf, dass Sie die Projektnummer und nicht den Projektnamen in der E-Mail-Adresse des Dienstkontos verwendet haben.
Wenn Sie den
Datenstandort verwenden, erstellen Sie einen Schlüsselbund und Schlüssel zur Verschlüsselung der Steuerungsebene. Wenn Sie keinen Datenstandort verwenden, fahren Sie mit Schritt 3 fort.
Führen Sie die folgenden Schritte aus, um einen Schlüsselbund und einen Schlüssel der Steuerungsebene zu erstellen.
Definieren Sie eine Umgebungsvariable für den Speicherort des Schlüsselbunds und Schlüssels für die Verschlüsselung der Steuerungsebene.
CONTROL_PLANE_LOCATION ist der physische Standort, an dem die Daten der Apigee-Steuerungsebene gespeichert werden.
Eine Liste der verfügbaren Standorte der Steuerungsebene finden Sie unter Apigee-Standorte.
CONSUMER_DATA_REGION ist eine Unterregion der Region der Steuerungsebene. Sie müssen sowohl die CONTROL_PLANE_LOCATION als auch die CONSUMER_DATA_REGION angeben.
Eine Liste der verfügbaren Regionen für Nutzerdaten finden Sie unter Apigee-Standorte.
Definieren Sie Umgebungsvariablen für den Schlüsselbund und den Schlüsselnamen der Datenbank der Steuerungsebene.
Der Name des Schlüsselbunds muss für Ihre Organisation eindeutig sein.
CONTROL_PLANE_KEY_RING_NAME ist der Name des Schlüsselbunds, mit dem Sie den Schlüsselbund der Verschlüsselung Ihrer Steuerungsebene identifizieren.
CONTROL_PLANE_KEY_NAME ist der Name des Schlüssels, mit dem Sie den Verschlüsselungsschlüssel Ihrer Steuerungsebene identifizieren.
CONSUMER_DATA_KEY_RING_NAME ist der Name des Schlüsselbunds, mit dem Sie Ihren Verschlüsselungs-Schlüsselbund des Speicherorts für Nutzerdaten identifizieren.
CONSUMER_DATA_KEY_NAME ist der Name des Schlüssels, mit dem Sie Ihren Verschlüsselungsschlüssel des Speicherorts für Nutzerdaten identifizieren.
Mit diesem Befehl wird der Schlüssel an den Apigee-Dienst-Agent gebunden. Nach dem erfolgreichen Abschluss dieser Anfrage gibt gcloud etwa folgende Antwort zurück:
-d definiert die Datennutzlast für die Anfrage. Diese Nutzlast muss Folgendes enthalten:
name gibt Ihre neue Organisation an. Der Wert muss mit Ihrer Projekt-ID identisch sein.
analyticsRegion gibt den physischen Speicherort an, an dem Ihre Analysedaten gespeichert werden.
runtimeType: Setzen Sie diesen Wert auf CLOUD.
billingType: Gibt den Abrechnungstyp der erstellten Organisation an.
authorizedNetwork: Identifiziert das Peering-Netzwerk, das Sie unter Dienstnetzwerk konfigurieren angegeben haben.
runtimeDatabaseEncryptionKeyName: Die ID des Verschlüsselungsschlüssels der Anwendung, den Sie im vorherigen Schritt erstellt haben. Denken Sie daran, dass die ID wie ein Dateipfad strukturiert ist. Beispiel: projects/my-project/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-key
-d definiert die Datennutzlast für die Anfrage. Diese Nutzlast muss Folgendes enthalten:
name gibt Ihre neue Organisation an. Der Wert muss mit Ihrer Projekt-ID identisch sein.
runtimeType: Setzen Sie diesen Wert auf CLOUD.
billingType: Gibt den Abrechnungstyp der erstellten Organisation an.
controlPlaneEncryptionKeyName: ist die Schlüssel-ID der Steuerungsebene.
apiConsumerDataLocation: Sie müssen auch eine Unterregion für die Verwendung durch interne Ressourcen angeben. Unterstützte Werte finden Sie unter
Datenstandortregionen.
apiConsumerDataEncryptionKeyName: Ist die Schlüssel-ID der Nutzerdatenregion.
authorizedNetwork: Identifiziert das Peering-Netzwerk, das Sie unter Dienstnetzwerk konfigurieren angegeben haben.
runtimeDatabaseEncryptionKeyName: Die ID des Verschlüsselungsschlüssels der Anwendung, den Sie im vorherigen Schritt erstellt haben. Denken Sie daran, dass die ID wie ein Dateipfad strukturiert ist. Beispiel: projects/my-project/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-key
Nach Ausführung dieses Befehls startet Apigee einen Vorgang mit langer Ausführungszeit, der ein paar Minuten dauern kann.
Wenn ein Fehler zurückgegeben wird, prüfen Sie, ob die Variablenwerte in der Datennutzlast in Anführungszeichen eingeschlossen wurden. Achten Sie darauf, dass die Variable $PROJECT_ID zwischen doppelten Anführungszeichen steht, wie im Folgenden dargestellt:
"'"$PROJECT_ID"'"
Wenn Sie einfache Strings (keine Umgebungsvariablen) für Abfragewerte verwenden, können Sie diese in doppelte Anführungszeichen innerhalb des in einfachen Anführungszeichen stehenden Nutzlaststrings setzen, wie das folgende Beispiel zeigt:
'{ "name":"my-gcp-project", ... }'
Warten Sie ein paar Minuten.
Um den Status Ihrer Erstellungsanfrage zu prüfen, können Sie eine GET-Anfrage an die Apigee List Organizations API wie im folgendem Beispiel senden:
Wenn diese Antwort angezeigt wird, ist die Erstellung der Organisation noch nicht abgeschlossen:
{
"error": {
"code": 403,
"message": "Permission denied on resource \"organizations/apigee-docs-m\" (or it may not exist)",
"status": "PERMISSION_DENIED"
}
}
Wenn Apigee eine neue Organisation erstellt hat, erhalten Sie eine Antwort ähnlich der folgenden:
Sie können dem Apigee-Bereitsteller eine vordefinierte Rolle mit den Berechtigungen zuweisen, die zum Ausführen dieser Aufgabe erforderlich sind, oder detailliertere Berechtigungen erteilen, um die geringste Berechtigung zu gewähren. Weitere Informationen finden Sie unter Vordefinierte Rollen und Berechtigungen für Laufzeitinstanzen.
Eine Laufzeitinstanz, in der Ihr Apigee-Projekt und die zugehörigen Dienste gespeichert sind. Sie stellt den nutzerseitigen Endpunkt für Ihre Dienste bereit. So erstellen Sie eine neue Laufzeitinstanz:
Prüfen Sie, ob Apigee das Erstellen Ihrer Organisation abgeschlossen hat. Sie haben in Apigee-Organisation erstellen eine Anfrage zum Erstellen einer neuen Organisation gesendet, müssen diese jedoch prüfen, bevor Sie fortfahren.
Wenn die Organisation vorhanden ist und Sie die entsprechenden Berechtigungen zu deren Anzeige haben, gibt Apigee Details dazu zurück. Wenn Apigee mit einem Fehler antwortet, warten Sie einige Minuten und senden Sie die Anfrage noch einmal.
Ähnlich wie in der vorherigen Aufgabe, in der Sie einen Verschlüsselungsschlüssel für die Datenbank erstellt haben, müssen Sie jetzt einen Cloud KMS-Schlüssel erstellen, mit dem Daten auf der Serverseite verschlüsselt werden.
Definieren Sie zuerst die folgenden Umgebungsvariablen:
INSTANCE_NAME: Der Name Ihrer neuen Instanz. Beispiel: my-runtime-instance. Dieser Name muss mit einem Kleinbuchstaben beginnen und kann bis zu 32 Zeichen lang sein. Er darf nur Kleinbuchstaben, Ziffern und Bindestriche enthalten. Er kann nicht mit einem Bindestrich beginnen oder enden und muss aus mindestens 2 Zeichen bestehen.
RUNTIME_LOCATION ist der physische Standort, an dem der Cluster gehostet wird.
Gültige Werte sind alle Standorte, die von Compute Engine zugelassen werden. Weitere Informationen finden Sie unter Verfügbare Regionen und Zonen. In diesem Beispiel wird us-west1 verwendet.
DISK_KEY_RING_NAME ist der Name des Laufwerksschlüsselbunds.
DISK_KEY_NAME ist der Name des Laufwerksverschlüsselungsschlüssels.
Der Schlüsselbund des Laufwerks muss auf den gleichen Standort wie die Instanz eingestellt werden. Jede Instanz und jeder Schlüsselbund müssen einen eigenen Standort haben.
consumerAcceptList(Optional) Gibt eine Liste von Google Cloud-Projekt-IDs an, die eine private Verbindung zum Dienstanhang der Apigee-VPC herstellen können. Der Dienstanhang ist eine Entität, die mit Google Cloud Private Service Connect verwendet wird, um es Diensterstellern (in diesem Fall Apigee) zu ermöglichen, Dienste für Nutzer verfügbar zu machen (in diesem Fall ein oder mehrere Cloud-Projekte, die Ihnen gehören).
Standardmäßig verwenden wir das Cloud-Projekt, das bereits Ihrer Apigee-Organisation zugeordnet ist. Beispiel:
"consumerAcceptList": ["project1", "project2", "project3"]
Beachten Sie, dass Sie auch die Liste der akzeptierten Projekte in der Instanz-UI festlegen und ändern können. Weitere Informationen finden Sie unter Instanzen verwalten.
Diese Anfrage kann bis zu 20 Minuten dauern, da Apigee einen neuen Kubernetes-Cluster erstellen und starten, die Apigee-Ressourcen in diesem Cluster installieren und den Lastenausgleich einrichten muss.
Wenn Apigee einen Fehler zurückgibt, finden Sie weitere Informationen unter Neue Instanz erstellen.
Führen Sie den folgenden Befehl aus, um den Status Ihrer Anfrage zur Erstellung einer Laufzeitinstanz zu prüfen. Wenn der Status ACTIVE lautet, können Sie mit dem nächsten Schritt fortfahren.
Kein Datenstandort
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances/$INSTANCE_NAME"
Datenstandort
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://$CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances/$INSTANCE_NAME"
Schritt 7: Umgebung erstellen
Erforderliche Berechtigungen für diese Aufgabe
Sie können dem Apigee-Bereitsteller eine vordefinierte Rolle mit den Berechtigungen zuweisen, die zum Ausführen dieser Aufgabe erforderlich sind, oder detailliertere Berechtigungen erteilen, um die geringstmögliche Berechtigung zu gewähren. Weitere Informationen:
So erstellen Sie eine Umgebung und hängen sie der Laufzeit über die Befehlszeile an:
Definieren Sie Umgebungsvariablen für diesen Abschnitt. Welche Umgebungsvariablen Sie erstellen, hängt davon ab, ob Sie eine Umgebung für eine Abo- oder eine Pay as you go-Organisation erstellen.
Abo
Erstellen Sie für eine Abo-Umgebung die folgenden Variablen:
ENVIRONMENT_NAME ist ein Stringname. Beispiel: test
ENVIRONMENT_TYPE ist der Umgebungstyp für diese Umgebung und gilt nur für Pay-as-you-go. Diese müssen einen der folgenden Werte angeben: BASE, INTERMEDIATE oder COMPREHENSIVE. Andere Nutzer sollten den Umgebungstyp weglassen.
ENV_GROUP_NAME ist ein Stringname. Beispiel: test-group
ENV_GROUP_HOSTNAME ist ein gültiger Domain-Hostname. Beispiel: foo.example.com
Neue Umgebung mit der Environments API erstellen Welche Befehle Sie verwenden, hängt davon ab, ob Sie eine Umgebung für eine Abo- oder eine Pay as you go-Organisation erstellen.
Abo
Verwenden Sie für eine neue Abo-Umgebung den folgenden Befehl:
In diesem Schritt konfigurieren Sie, wie Clientanwendungen mit Apigee kommunizieren. Client-zu-Apigee-Traffic wird auch als Northbound-Traffic bezeichnet. Zu den Konfigurationsoptionen für den Northbound-Traffic gehören die folgenden.
Rufen Sie die Konfigurationsoption auf, die Sie verwenden möchten, und führen Sie die Schritte für diese Option aus:
Zugriffstyp
Beschreibung des Konfigurations- und Bereitstellungsprozesses
Nur internen Zugriff auf Ihre API-Proxys erlauben.
Sie müssen eine neue VM im Netzwerk erstellen und eine Verbindung zu ihr herstellen. Von der neuen VM aus können Sie eine Anfrage an einen Apigee API-Proxy senden.
Verwenden Sie eine verwaltete Instanzgruppe (Managed Instance Group, MIG), um API-Traffic vom Backend-Dienst eines globalen Load-Balancers an Apigee zu senden. Mit dieser Konfiguration kann Apigee nur eine Verbindung zur Peering-VPC herstellen. Mit dieser Konfiguration können Sie Apigee API-Proxy-Anfragen von jeder netzwerkfähigen Maschine aus senden.
Erlauben Sie mit Private Service Connect (PSC) nur internen Zugriff auf die API-Proxys Ihrer Google Cloud-Projekte.
PSC ermöglicht eine private Verbindung zwischen einem Dienstersteller (Apigee) und einem Dienstnutzer (dem Peering-VPC-Projekt und/oder einem oder mehreren anderen Cloud-Projekten, über die Sie die Kontrolle haben). Bei dieser Methode werden Anfragen entweder über einen Dienst-Endpunkt oder einen regionalen internen Load Balancer an einen einzigen Anhangspunkt geleitet, der als Dienstanhang bezeichnet wird.
Mit dieser Konfiguration können Ihre internen Clients Apigee API-Proxyanfragen von einem beliebigen netzwerkfähigen Computer senden.
Verwenden Sie Private Service Connect (PSC), um eine private Verbindung zwischen einem Dienstersteller (Apigee) und einem Dienstnutzer (dem Peering-VPC-Projekt und/oder einem oder mehreren anderen Cloud-Projekten zu ermöglichen, über die Sie die Kontrolle haben). Bei dieser Methode werden Anfragen entweder über einen globalen externen Load Balancer oder einen regionalen externen Load Balancer an einen einzelnen Zugriffspunkt namens Dienstanhang weitergeleitet.
Mit dieser Konfiguration können Sie Apigee API-Proxy-Anfragen von jeder netzwerkfähigen Maschine aus senden.
Jeder dieser Routing-Ansätze wird in der folgenden Anleitung beschrieben.
Internes Routing (VPC)
Beim Routing von Traffic von internen Clients zu Apigee können Sie die TLS-Beendigung verwenden oder weglassen:
TLS-Optionen: Sie haben zwei Möglichkeiten, um API-Proxyaufrufe von internen Clients mit aktiviertem TLS auszuführen:
(Option 1) Konfigurieren Sie einen internen Load-Balancer (ILB):
Erstellen Sie in Ihrem Projekt eine verwaltete Instanzgruppe (MIG). Erstellen Sie die MIG gemäß den Schritten 8a ,8b und 8c im Tab Externes Routing (MIG).
Erstellen und konfigurieren Sie einen internen HTTPS(S)-Load-Balancer (ILB) und hängen Sie die von Ihnen erstellte MIG an den Backend-Dienst des internen Load-Balancers an, wie unter
Internes HTTP(S)-Load-Balancing mit VM-Instanzgruppen-Backends einrichten beschrieben. Mit der ILB-Konfiguration haben Sie die vollständige Kontrolle über die mit dem ILB verwendeten CA-Zertifikate.
(Option 2) Verwenden Sie den internen, standardmäßigen vollständig qualifizierten Domainnamen und die interne Load-Balancer-IP der Apigee-Instanz. Dieser Fall wird nur zu Testzwecken empfohlen und nicht für eine Produktionsumgebung. In diesem Fall werden von Apigee erstellte selbst signierte Zertifikate mit dem internen Load-Balancer von Apigee verwendet und Sie können sie nicht ändern. Weitere Informationen finden Sie unter
API-Proxy mit ausschließlich internem Zugriff aufrufen.
Nicht-TLS-Option: Wenn Sie die TLS-Beendigung nicht benötigen, können Sie API-Proxys aufrufen, bei denen der Client TLS deaktiviert. Wenn Sie beispielsweise die Option -k mit cURL verwenden, können Sie TLS deaktivieren. Weitere Informationen finden Sie unter
API-Proxy mit ausschließlich internem Zugriff aufrufen.
Externes Routing (MIG)
In diesem Abschnitt wird beschrieben, wie Sie das Routing konfigurieren, um externen Zugriff auf API-Proxys mithilfe einer verwalteten Instanzgruppe (Managed Instance Group, MIG) zu ermöglichen, um API-Traffic vom Backend-Dienst eines globalen Load-Balancers an Apigee zu senden. Dies ist erforderlich, bevor eine Anfrage von einem externen Client an Ihre Apigee-Laufzeitinstanz gesendet werden kann.
Erforderliche Berechtigungen für diese Aufgabe
Sie können dem Apigee-Bereitsteller eine vordefinierte Rolle mit den Berechtigungen zuweisen, die zum Ausführen dieser Aufgabe erforderlich sind, oder detailliertere Berechtigungen erteilen, um die geringste Berechtigung zu gewähren.
Weitere Informationen finden Sie unter Vordefinierte Rollen und Zugriffsrouting-Berechtigungen.
In der Anleitung in diesem Abschnitt werden Umgebungsvariablen verwendet, um auf wiederholt verwendete Strings zu verweisen. Wir empfehlen, diese festzulegen, bevor Sie fortfahren:
MIG_NAME=apigee-mig-MIG_NAME # You can choose a different name if you like
VPC_NAME=default # If you are using a shared VPC, use the shared VPC nameVPC_SUBNET=default # Private Google Access must be enabled for this subnetREGION=RUNTIME_REGION # The same region as your Apigee runtime instanceAPIGEE_ENDPOINT=APIGEE_INSTANCE_IP # See the tip below for details on getting this IP address value
Diese Variablen werden Sie in den nachfolgenden Vorgängen mehrmals verwenden. Wenn Sie mehrere Regionen konfigurieren möchten, erstellen Sie Variablen mit für jede Region spezifischen Werten.
Schritt 8c: Verwaltete Instanzgruppe erstellen
In diesem Schritt erstellen und konfigurieren Sie eine verwaltete Instanzgruppe (MIG). In einem späteren Schritt fügen Sie die MIG einem Back-End-Dienst hinzu, der mit einem globalen Load-Balancer verbunden ist. Eine MIG ist erforderlich, um API-Traffic vom Back-End-Dienst des globalen Load-Balancers an Apigee zu senden.
So erstellen Sie eine MIG:
Erstellen Sie mit dem folgenden Befehl eine Instanzvorlage.
Wie Sie anhand dieses Befehls sehen können, sind Maschinen vom Typ e2-medium. Sie führen Debian 12 aus und haben 20 GB Speicherplatz. Das Skript startup-script.sh konfiguriert die MIG so, dass eingehender Traffic vom Load-Balancer an die Apigee-Instanz weitergeleitet wird.
Schritt 8d: SSL-Zertifikat und Schlüssel für den Load-Balancer erstellen
Die Anmeldedaten müssen nur einmal erstellt werden, unabhängig davon, ob Sie in einer oder mehreren Regionen installieren. Später verknüpfen Sie diese Anmeldedaten mit dem Ziel-HTTPS-Proxy des Load-Balancers.
Sie können die Anmeldedaten mit folgendem Befehl erstellen:
Ihr eigenes Zertifikat von einer Zertifizierungsstelle
Setzen Sie DOMAIN_HOSTNAME auf einen gültigen Domainnamen, den Sie registriert haben. In einem späteren Schritt erhalten Sie die IP-Adresse des Load-Balancers und aktualisieren den Domain-A-Eintrag so, dass er auf diese Adresse verweist. Ein Domainhostname könnte beispielsweise so aussehen: foo.example.com.
Es kann bis zu einer Stunde dauern, bis das Zertifikat bereitgestellt wird. Führen Sie folgenden Befehl aus, um den Status der Bereitstellung zu überprüfen:
Anhand dieser Systemdiagnose können Sie prüfen, ob der Back-End-Dienst ausgeführt wird. Informationen zum Konfigurieren erweiterter Systemdiagnosen für einen bestimmten Proxy finden Sie unter Systemdiagnosen durchführen.
Schritt 8f: Reservierte IP-Adresse abrufen und Firewallregeln erstellen
Sie müssen dem Load-Balancer eine IP-Adresse zuweisen und dann Regeln erstellen, die dem Load-Balancer den Zugriff auf die MIG ermöglichen. Dieser Schritt muss nur einmal ausgeführt werden, unabhängig davon, ob Sie die Installation in einer oder mehreren Regionen vornehmen.
Wichtig: Rufen Sie die Website, den DNS-Host oder den ISP auf, bei dem Ihre DNS-Einträge verwaltet werden, und achten Sie darauf, dass der DNS-Eintrag Ihrer Domain in die IP-Adresse des Google Cloud Load-Balancers aufgelöst wird. Diese Adresse ist der im letzten Schritt zurückgegebene IP-Wert. Weitere Informationen finden Sie unter DNS-A- und AAAA-Einträge aktualisieren, sodass sie auf die IP-Adresse des Load-Balancers verweisen.
Erstellen Sie mithilfe des folgenden Befehls eine Firewallregel, mit der der Load-Balancer auf die MIG zugreifen kann:
gcloud compute firewall-rules create FIREWALL_RULE_NAME \
--description "Allow incoming from GLB on TCP port 443 to Apigee Proxy" \
--project $PROJECT_ID --network $VPC_NAME --allow=tcp:443 \
--source-ranges=130.211.0.0/22,35.191.0.0/16 --target-tags=gke-apigee-proxy
Beachten Sie, dass die IP-Adressbereiche 130.211.0.0/22 und 35.191.0.0/16 die Quell-IP-Adressbereiche für Google Load Balancing sind. Mit dieser Firewallregel kann Google Cloud Load-Balancing Systemdiagnoseanfragen an die MIG senden.
In diesem Abschnitt wird erläutert, wie Sie mit Private Service Connect (PSC) nur internen Zugriff auf Ihre API-Proxys von Ihren Google Cloud-Projekten zulassen.
Sie haben folgende Optionen zum Konfigurieren des internen Zugriffs mit PSC:
Dienstendpunkt: Anfragen werden über einen Dienstendpunkt an einen einzelnen Punkt des Anhangs weitergeleitet, der als Dienstanhang bezeichnet wird.
Interner regionaler Load Balancer: Anfragen werden über einen regionalen internen HTTP(S)-Load-Balancer weitergeleitet. Siehe auch Globales oder regionales Load Balancing.
Wählen Sie unten den Tab für Ihre Konfiguration aus und folgen Sie der Anleitung:
Dienstendpunkt
Erforderliche Berechtigungen für diese Aufgabe
Sie können dem Apigee-Bereitsteller eine vordefinierte Rolle mit den Berechtigungen zuweisen, die zum Ausführen dieser Aufgabe erforderlich sind, oder detailliertere Berechtigungen erteilen, um die geringstmögliche Berechtigung zu gewähren.
Weitere Informationen finden Sie unter Vordefinierte Rollen und Zugriffsrouting-Berechtigungen.
PSC-Dienstendpunkt für den Dienstanhang erstellen
Rufen Sie den Dienstanhang aus der zuvor erstellten Instanz ab:
Kein Datenstandort
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances"
Datenstandort
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://$CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances"
In der folgenden Beispielausgabe ist der Wert serviceAttachment fett dargestellt:
Erstellen Sie einen PSC-Dienstendpunkt, der auf den Dienstanhang verweist, den Sie im vorherigen Schritt aus dem Antworttext der Instanz erhalten haben, wie unter Private Service Connect-Endpunkt erstellen beschrieben.
Sie können dem Apigee-Bereitsteller eine vordefinierte Rolle mit den Berechtigungen zuweisen, die zum Ausführen dieser Aufgabe erforderlich sind, oder detailliertere Berechtigungen erteilen, um die geringstmögliche Berechtigung zu gewähren.
Weitere Informationen finden Sie unter Vordefinierte Rollen und Zugriffsrouting-Berechtigungen.
Schritt 8a: Umgebungsvariablen einrichten
In der Anleitung in diesem Abschnitt werden Umgebungsvariablen verwendet, um auf wiederholt verwendete Strings zu verweisen. Achten Sie darauf, dass die Variablen unter Umgebungsvariablen definieren festgelegt werden.
Legen Sie außerdem die folgenden Umgebungsvariablen fest:
NEG_NAME: Ein Name für die Netzwerk-Endpunktgruppe.
TARGET_SERVICE: Der Dienstanhang, mit dem Sie eine Verbindung herstellen möchten. Beispiel: projects/bfac7497a40c32a12p-tp/regions/us-west1/serviceAttachments/apigee-us-west1-crw7
NETWORK_NAME: (Optional) Name des Netzwerks, in dem die NEG erstellt wird. Wenn Sie diesen Parameter weglassen, wird das Projektnetzwerk default verwendet.
SUBNET_NAME: Name des Subnetzes, das für die private Verbindung zum Ersteller verwendet wird.
Die Subnetzgröße kann klein sein: Die PSC NEG benötigt nur eine IP-Adresse aus dem Subnetz.
Für Apigee ist nur eine PSC-NEG pro Region erforderlich. Das Subnetz kann von VMs oder anderen Entitäten gemeinsam genutzt und verwendet werden.
Wenn kein Subnetz angegeben ist, können Netzwerkendpunkte zu einem Subnetzwerk in der Region gehören, in der die Netzwerk-Endpunktgruppe erstellt wird.
Erstellen Sie eine Private Service Connect NEG, die auf den Dienstanhang verweist, den Sie im vorherigen Schritt aus dem Antworttext der Instanz abgerufen haben.
$PROJECT_ID Das Cloud-Projekt, das bereits mit Ihrer Apigee-Organisation verknüpft ist, oder ein Cloud-Projekt, das in consumerAcceptlist enthalten war, als die Apigee-Laufzeitinstanz erstellt wurde.
NEG_NAME ist der Name der Netzwerk-Endpunktgruppe.
BACKEND_SERVICE_NAME ist der Name des Backend-Dienstes.
Zum Erstellen eines HTTPS-Load-Balancers benötigen Sie eine SSL-Zertifikatsressource, die im HTTPS-Proxy verwendet wird.
Verwenden Sie diesen Befehl, um eine selbstverwaltete SSL-Zertifikatsressource zu erstellen. Zum Erstellen eines selbstverwalteten SSL-Zertifikats benötigen Sie eine lokale private Schlüsseldatei und eine lokale Zertifikatsdatei. Wenn Sie diese Dateien erstellen müssen, finden Sie weitere Informationen unter Schritt 1 der Verwendung selbstverwalteter SSL-Zertifikate.
DEFAULT_BACKEND_SERVICE_NAME ist der Name des Standard-Backend-Dienstes des Load-Balancers.
Die Standardeinstellung wird verwendet, wenn keine Hostregel mit dem angeforderten Hostnamen übereinstimmt.
Verwenden Sie die SSL-Zertifikatsressource, um einen Ziel-HTTPS-Proxy zu erstellen.
FWD_RULE ist ein Name für die Weiterleitungsregel.
ADDRESS_NAME ist die IP-Adressressource, die Sie für die Weiterleitungsregel reserviert haben.
PROXY_NAME ist der Name des HTTPS-Ziel-Proxys.
NETWORK_NAME: (Optional) Name des Netzwerks, in dem die NEG erstellt wird. Wenn Sie diesen Parameter weglassen, wird das Projektnetzwerk default verwendet.
SUBNET_NAME: Name des Subnetzes, das für die private Verbindung zum Ersteller verwendet wird.
In diesem Abschnitt wird beschrieben, wie Sie das externe Routing mit Private Service Connect (PSC) konfigurieren, um die Kommunikation zwischen Apigee und Ihren verwalteten VPCs zu ermöglichen. Dies ist erforderlich, bevor eine Anfrage von einem externen Client an Ihre Apigee-Laufzeitinstanz gesendet werden kann.
Erforderliche Berechtigungen für diese Aufgabe
Sie können dem Apigee-Bereitsteller eine vordefinierte Rolle mit den Berechtigungen zuweisen, die zum Ausführen dieser Aufgabe erforderlich sind, oder detailliertere Berechtigungen erteilen, um die geringste Berechtigung zu gewähren.
Weitere Informationen finden Sie unter Vordefinierte Rollen und Zugriffsrouting-Berechtigungen.
Schritt 8b: NEG erstellen und Load Balancer konfigurieren
Sie können einen globalen oder regionalen Load Balancer erstellen.
Erstellen Sie eine Private Service Connect NEG, die auf den Dienstanhang verweist, den Sie im vorherigen Schritt aus dem Antworttext der Instanz abgerufen haben.
NEG_NAME ist ein Name für die Netzwerk-Endpunktgruppe.
TARGET_SERVICE: Der Dienstanhang, mit dem Sie eine Verbindung herstellen möchten. Verwenden Sie den vom vorherigen Befehl zurückgegebenen Wert des Dienstanhangs. Zum Beispiel projects/bfac7497a40c32a12p-tp/regions/us-west1/serviceAttachments/apigee-us-west1-crw7.
NETWORK_NAME: (Optional) Name des Netzwerks, in dem die NEG erstellt wird. Wenn Sie diesen Parameter weglassen, wird das Projektnetzwerk default verwendet.
SUBNET_NAME: Name des Subnetzes, das für die private Verbindung zum Ersteller verwendet wird.
Die Subnetzgröße kann klein sein: Die PSC NEG benötigt nur eine IP-Adresse aus dem Subnetz.
Für Apigee ist nur eine PSC-NEG pro Region erforderlich. Das Subnetz kann von VMs oder anderen Entitäten gemeinsam genutzt und verwendet werden.
Wenn kein Subnetz angegeben ist, können Netzwerkendpunkte zu einem Subnetzwerk in der Region gehören, in der die Netzwerk-Endpunktgruppe erstellt wird.
$PROJECT_ID Das Cloud-Projekt, das bereits mit Ihrer Apigee-Organisation verknüpft ist, oder ein Cloud-Projekt, das in consumerAcceptlist enthalten war, als die Apigee-Laufzeitinstanz erstellt wurde.
Erstellen Sie, falls noch nicht geschehen, eine Umgebungsvariable für die Projekt-ID, da sie in den meisten folgenden Befehlen verwendet wird.
Reservieren Sie eine globale externe IPv4-Adresse für den Load-Balancer.
DEFAULT_BACKEND_SERVICE_NAME ist der Name des Standard-Backend-Dienstes des Load-Balancers.
Die Standardeinstellung wird verwendet, wenn keine Hostregel mit dem angeforderten Hostnamen übereinstimmt.
Erstellen Sie den Ziel-HTTPS-Proxy.
Zum Erstellen eines HTTPS-Load-Balancers benötigen Sie eine SSL-Zertifikatsressource, die im HTTPS-Proxy verwendet wird. Sie können eine SSL-Zertifikatsressource entweder mit einem von Google verwalteten SSL-Zertifikat oder mit einem selbst verwalteten SSL-Zertifikat erstellen. Es empfiehlt sich, von Google verwaltete Zertifikate zu verwenden, da Google Cloud diese Zertifikate automatisch abruft, verwaltet und verlängert.
Verwenden Sie diesen Befehl, um eine selbstverwaltete SSL-Zertifikatsressource zu erstellen. Zum Erstellen eines selbstverwalteten SSL-Zertifikats benötigen Sie eine lokale private Schlüsseldatei und eine lokale Zertifikatsdatei. Wenn Sie diese Dateien erstellen müssen, finden Sie weitere Informationen unter Schritt 1 der Verwendung selbstverwalteter SSL-Zertifikate.
(Optional) NETWORK_NAME: Name des Netzwerks, in dem das Subnetz erstellt wird. Wenn Sie diesen Parameter weglassen, wird das Standardprojektnetzwerk verwendet.
Rufen Sie den Dienstanhang aus der zuvor erstellten Instanz ab:
Kein Datenstandort
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances"
Datenstandort
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://$CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances"
In der folgenden Beispielausgabe ist der Wert serviceAttachment fett dargestellt:
NEG_NAME ist der Name der Netzwerk-Endpunktgruppe.
TARGET_SERVICE: Der Name des Dienstanhangs, zu dem Sie eine Verbindung herstellen möchten.
Beispiel: projects/bfac7497a40c32a12p-tp/regions/us-west1/serviceAttachments/apigee-us-west1-crw7
Erstellen Sie einen neuen Backend-Dienst für die NEG.
DEFAULT_BACKEND_SERVICE_NAME ist der Name des Standard-Backend-Dienstes des Load-Balancers.
Die Standardeinstellung wird verwendet, wenn keine Hostregel mit dem angeforderten Hostnamen übereinstimmt.
Erstellen Sie den Ziel-HTTPS-Proxy.
Zum Erstellen eines HTTPS-Load-Balancers benötigen Sie eine SSL-Zertifikatsressource, die im HTTPS-Proxy verwendet wird.
Verwenden Sie diesen Befehl, um eine selbstverwaltete SSL-Zertifikatsressource zu erstellen. Zum Erstellen eines selbstverwalteten SSL-Zertifikats benötigen Sie eine lokale private Schlüsseldatei und eine lokale Zertifikatsdatei. Wenn Sie diese Dateien erstellen müssen, finden Sie weitere Informationen unter Schritt 1 der Verwendung selbstverwalteter SSL-Zertifikate.
Zum Erstellen und Bereitstellen von Proxys ist ein Mindestsatz an Berechtigungen erforderlich. Wenn Sie die Rolle "Apigee-Organisationsadministrator" haben, können Sie diese Aufgabe ausführen. Weitere Informationen zu anderen Rollen, die Sie verwenden können, finden Sie unter Apigee-Rollen.
Laden Sie den
Beispielproxy von GitHub herunter. Das Ziel des Proxys ist der Dienst httpbin.org, der ein gängiger, öffentlicher Anfrage- und Antwortdienst ist.
Laden Sie das API-Proxy-Bundle mit der Apigee API apis in die Laufzeit hoch:
Wenn Sie einen Fehler wie diesen erhalten: CONNECT_CR_SRVR_HELLO:sslv3 alert handshake failure, prüfen Sie, ob das zuvor erstellte SSL-Zertifikat bereitgestellt wurde.
Verwenden Sie diesen Befehl, um den Bereitstellungsstatus zu prüfen. Wenn das Zertifikat bereitgestellt wird, ist der Status ACTIVE.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2024-12-22 (UTC)."],[],[]]