API-Verwaltungsrichtlinien mit dem Apigee APIM-Operator für Kubernetes aktualisieren

Diese Seite gilt für Apigee, aber nicht für Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Wenn Ihre Anforderungen an die API-Verwaltung steigen und sich ändern, müssen Sie Ihrem Cluster möglicherweise neue Dienste hinzufügen oder vorhandene Routen und Ingress-Optionen aktualisieren. Auf dieser Seite wird beschrieben, wie Sie Ihren Cluster aktualisieren, um die folgenden Aufgaben auszuführen:

Hinweise

Bevor Sie mit dieser Aufgabe beginnen, müssen Sie die Schritte unter Richtlinie mit dem Apigee APIM-Operator für Kubernetes anwenden ausführen. Auf dieser Seite wird davon ausgegangen, dass Sie einen GKE-Cluster (Google Kubernetes Engine) eingerichtet, den Apigee APIM-Operator für Kubernetes installiert, ein GKE-Gateway erstellt und mindestens eine API-Verwaltungsrichtlinie auf das Gateway angewendet haben.

Erforderliche Rollen

Wenn Sie Ihrem Dienstkonto die erforderlichen Rollen wie unter Apigee APIM Operator für Kubernetes installieren beschrieben zugewiesen haben, sind für die Ausführung dieser Aufgaben keine zusätzlichen IAM-Rollen oder Berechtigungen erforderlich.

Sie können Aktionen für Ressourcen in Ihrem Google Kubernetes Engine-Cluster mithilfe des integrierten Mechanismus für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Kubernetes autorisieren. Weitere Informationen finden Sie unter Aktionen in Clustern mit rollenbasierter Zugriffssteuerung autorisieren.

Neues Gateway und neue HTTPRoute hinzufügen

In diesem Abschnitt fügen Sie Ihrem Cluster ein neues Gateway und eine neue HTTPRoute hinzu. In den vorherigen Aufgabenanleitungen wurde in den Beispielkonfigurationen ein externes GKE-Gateway verwendet. Wenn mehrere Gateways in der gleichen Region bereitgestellt werden, müssen sie vom selben Typ sein (entweder alle extern oder alle intern). Aus diesem Grund wird in der Beispielkonfiguration in diesem Leitfaden auch ein externes Gateway verwendet.

Der APIM-Operator kann mit internen oder externen GKE-Gateways verwendet werden. Sie können jedoch nicht beide Arten von Gateways in derselben Region bereitstellen.

So fügen Sie Ihrem Cluster ein neues Gateway und eine neue HTTPRoute hinzu:

  1. Richten Sie ein neues externes GKE-Gateway ein. Weitere Informationen und Schritte finden Sie unter Externes Gateway bereitstellen.
  2. Erstellen Sie im Namespace apim eine neue Datei mit dem Namen gateway2.yaml.
  3. Kopieren Sie den folgenden Inhalt in die neue Datei:
    # gateway2.yaml
    apiVersion: gateway.networking.k8s.io/v1beta1
    kind: Gateway
    metadata:
      name: global-ext-lb2
      spec: 
      gatewayClassName: gke-l7-global-external-managed
      listeners:
      - name: https
        protocol: HTTPS
        allowedRoutes:
          kinds:
          - kind: HTTPRoute
          namespaces:
            from: All
        port: 443
        tls:
          options:
            networking.gke.io/pre-shared-certs: apigee-lb-new-cert-sept
  4. Fügen Sie derselben Datei eine neue HTTPRoute für /post hinzu, wie unten hervorgehoben:
    # http-route2.yaml
      apiVersion: gateway.networking.k8s.io/v1beta1
      kind: HTTPRoute
      metadata:
        name: http-bin-route-post
        namespace: http
      spec:
        parentRefs:
          - kind: Gateway
            name: global-ext-lb2
            namespace: default
        hostnames:
          - HOST_NAME_2
        rules:
        - matches:
          - path:
              type: PathPrefix
              value: "/post"
          backendRefs:
          - name: httpbin
            kind: Service
            port: 80
            namespace: http
  5. Wenden Sie das neue Gateway und die neue HTTPRoute an:
    kubectl apply -f gateway2.yaml
  6. Prüfen Sie den Status der HTTPRoute mit dem folgenden Befehl:
    kubectl -n http get HttpRoute

    Die Ausgabe sollte in etwa so aussehen:

    NAME             HOSTNAMES                                                  AGE
    http-bin-route   ["my-hostname-2"]   12d
    
  7. Prüfen Sie den Gateway-Status mit dem folgenden Befehl:
    kubectl get gateway global-ext-lb2

    Die Ausgabe sollte in etwa so aussehen:

    NAME             CLASS                            ADDRESS        PROGRAMMED   AGE
    global-ext-lb2   gke-l7-global-external-managed   34.54.193.92   True         11d
    

    Prüfen Sie, ob die Spalte Address eine gültige IP-Adresse enthält und der Status von Programmed True ist.

  8. Beschreiben Sie das Gateway, um sicherzustellen, dass die Route verbunden ist:
    kubectl describe gateway global-ext-lb2
  9. Die Ausgabe sollte in etwa so aussehen:

    ...
    Listeners:
      Attached Routes:  1
      Conditions:
        Last Transition Time:  2024-10-03T03:10:17Z
    ...

    Prüfen Sie, ob der Wert für Attached Routes 1 ist.

  10. Senden Sie eine Anfrage an das Gateway, um zu prüfen, ob die Route funktioniert:
    curl -X POST http://GATEWAY_IP_ADDRESS/post -H "Host: HOST_NAME"

    Wobei:

    • GATEWAY_IP_ADDRESS ist die IP-Adresse des Gateways, wie in der Spalte Address der in Schritt 7 zurückgegebenen Antwort angegeben.
    • HOST_NAME ist der Hostname, der im HTTPRoute des Gateways definiert ist.

  11. Die Ausgabe sollte in etwa so aussehen:
      {
        "args": {}, 
        "headers": {
          "Accept": "*/*", 
          "Host": "apigee-apim-operator-test.apigee.net", 
          "User-Agent": "curl/8.7.1", 
          "X-Cloud-Trace-Context": "2bb8a80e29e80662ff9cb89971c447d9/13083106619927322701"
        }, 
        "origin": "67.164.1.10,34.54.193.72", 
        "url": "https://apigee-apim-operator-test.apigee.net/post"
      }
      
  12. Erstellen Sie eine neue APIM-Erweiterungsrichtlinie, die auf die HTTPRoute des neuen Gateways verweist, das Sie in einem früheren Schritt erstellt haben:
    1. Erstellen Sie im Namespace apim eine neue Datei mit dem Namen apim-policy2.yaml.
    2. Kopieren Sie den folgenden Inhalt in die neue Datei:
      # apim-policy2.yaml
      apiVersion: apim.googleapis.com/v1alpha1
      kind: APIMExtensionPolicy
      metadata:
        name: global-ext-lb2-apim-policy-2
        namespace: apim
      spec:
        location: global
        failOpen: false
        timeout: 1000ms
        targetRef: # identifies the Gateway where the extension should be installed
          name: global-ext-lb2 
          kind: Gateway
          namespace: default
    3. Wenden Sie die neue APIM-Erweiterungsrichtlinie an:
      kubectl apply -f apim-policy2.yaml

      Nachdem die Datei angewendet wurde, erstellt der APIM-Betriebssystem-Dienst im Hintergrund Netzwerkressourcen.

    4. Prüfen Sie den Status der APIM-Erweiterungsrichtlinie:
      kubectl -n apim get APIMExtensionPolicy

      Die Ausgabe sollte in etwa so aussehen:

      NAME                           STATE        ERRORMESSAGE
      global-ext-lb2-apim-policy-2   RUNNING  
      

      Prüfen Sie, ob der Wert für STATE RUNNING ist.

    5. Warten Sie fünf Minuten, damit die Änderungen auf alle Load Balancer-Instanzen angewendet werden. Prüfen Sie dann mit dem folgenden Befehl, ob eine Anfrage an das neue Gateway fehlschlägt:
      curl -X POST http://GATEWAY_IP_ADDRESS/post -H "Host: HOSTNAME"

      Wobei:

      • GATEWAY_IP_ADDRESS ist die IP-Adresse des Gateways, die Sie in einem früheren Schritt ermittelt haben.
      • HOST_NAME ist der Hostname, der im HTTPRoute des Gateways definiert ist.

      Die Anfrage sollte mit einer Antwort wie der folgenden fehlschlagen:

      {
        "fault": {
          "faultstring": "Raising fault. Fault name : RF-insufficient-request-raise-fault",
          "detail": {
            "errorcode": "steps.raisefault.RaiseFault"
          }
        }
      }

      Das bedeutet, dass die Diensterweiterung auf Apigee aktiv ist und die Überprüfung von API-Schlüsseln und Zugriffstokens erzwungen wird. Eine Anleitung zum Erstellen einer Entwickler-App, zum Abrufen eines API-Schlüssels und zum Testen des neuen Gateways mit dem Schlüssel finden Sie unter Apigee-Diensterweiterung testen.

API-Produkt aktualisieren

Ändern Sie ein vorhandenes API-Produkt, um auf die neue APIM-Erweiterungsrichtlinie zu verweisen:

  1. Erstellen Sie im Namespace apim eine neue Datei mit dem Namen api-product-2.yaml.
  2. Kopieren Sie den folgenden Inhalt in die neue Datei:
    # api-product-2.yaml
    apiVersion: apim.googleapis.com/v1alpha1
    kind: APIProduct
    metadata:
      name: api-product-2
      namespace: apim
    spec:
      name: api-product-2
      approvalType: auto
      description: Http bin GET calls
      displayName: api-product-2
    EnforcementRefs:
      - name: global-ext-lb1-apim-policy 
        kind: APIMExtensionPolicy
        group: apim.googleapis.com
        namespace: apim
      - name: global-ext-lb2-apim-policy 
        kind: APIMExtensionPolicy
        group: apim.googleapis.com
        namespace: apim
      attributes:
      - name: access
        value: private
  3. Wenden Sie die neue API-Produktdatei an:
    kubectl apply -f api-product-2.yaml

    Es dauert etwa drei Minuten, bis die Änderungen im gesamten Cluster übernommen wurden.

In diesem Beispiel wird der Abschnitt EnforcementRefs des API-Produkts api-product-2 aktualisiert, sodass sowohl auf global-ext-lb1-apim-policy als auch auf global-ext-lb2-apim-policy verwiesen wird, wie in den hervorgehobenen Bereichen der yaml dargestellt.

Neues API-Produkt erstellen

So erstellen Sie ein neues API-Produkt:

  1. Erstellen Sie im Namespace apim eine neue Datei mit dem Namen api-product-2.yaml.
  2. Kopieren Sie den folgenden Inhalt in die neue Datei:
    # api-product-2.yaml
    apiVersion: apim.googleapis.com/v1alpha1
    kind: APIProduct
    metadata:
      name: api-product-2
      namespace: apim
    spec:
      name: api-product-2
      approvalType: auto
      description: Http bin GET calls
      displayName: api-product-2
      enforcementRefs:
      - name: global-ext-lb2-apim-policy 
        kind: APIMExtensionPolicy
        group: apim.googleapis.com
        namespace: apim
      attributes:
      - name: access
        value: private
  3. Wenden Sie die neue API-Produktdatei an:
    kubectl apply -f api-product-2.yaml

    Es dauert etwa drei Minuten, bis die Änderungen im gesamten Cluster übernommen wurden.

In diesem Beispiel wird der Bereich EnforcementRefs des neuen API-Produkts api-product-2 erstellt, um auf global-ext-lb2-apim-policy zu verweisen, wie in den hervorgehobenen Bereichen der yaml dargestellt.

Neuen API-Vorgangssatz erstellen

So erstellen Sie einen neuen API-Vorgangssatz:

  1. Erstellen Sie im Namespace apim eine neue Datei mit dem Namen item-set-post.yaml.
  2. Kopieren Sie den folgenden Inhalt in die neue Datei:
    # item-set-post.yaml
    apiVersion: apim.googleapis.com/v1alpha1
    kind: APIOperationSet
    metadata:
      name: item-set-post
      namespace: apim
    spec:
      apiProductRefs:
        - name: api-product-1
          kind: APIProduct
          group: apim.googleapis.com
          namespace: apim
      quota:
        limit: 1
        interval: 1
        timeUnit: minute
      restOperations:
        - name: PostItems
          path: "/post"
          methods:
          - POST
  3. Wenden Sie die neue Datei mit API-Vorgangssätzen an:
    kubectl apply -f item-set-post.yaml

    Es dauert etwa drei Minuten, bis die Änderungen im gesamten Cluster übernommen wurden.

In diesem Beispiel wird der Wert restOperations des neuen API-Vorgangssatzes item-set-post erstellt, um auf den Pfad /post zu verweisen, wie in den hervorgehobenen Bereichen der Datei dargestellt.

Neue Gateway-Konfiguration testen

Sende zum Testen der neuen Gateway-Konfiguration die folgende Anfrage an den neuen /post-Pfad:

curl -X POST http://GATEWAY_IP_ADDRESS/post -H "Host: HOST_NAME"

Wobei:

  • GATEWAY_IP_ADDRESS ist die IP-Adresse des Gateways, die Sie in einem früheren Schritt ermittelt haben.
  • HOST_NAME ist der Hostname, der im HTTPRoute des Gateways definiert ist.

Die Anfrage sollte erfolgreich sein und eine Antwort ähnlich der folgenden zurückgeben:

{
  "args": {},
  "headers": {
    "Accept": "*/*",
    "Host": "apigee-apim-operator-test.apigee.net",
    "User-Agent": "curl/8.7.1",
    "X-Api-Key": "f0N6sXXXclGXXXe0oP5XXXdA20PjgrP2x8xXXh7z4XXXKiYt",
    "X-Cloud-Trace-Context": "bb3a768787099bda628781188bfb318b/15554891713516675739"
  },
  "origin": "34.54.193.72",
  "url": "https://34.54.193.72/post"
}

Fehlerbehebung

Wenn beim Aktualisieren und Erweitern der API-Verwaltungsrichtlinien, die mit APIM Operator verwendet werden, Probleme auftreten, finden Sie unter Fehlerbehebung für APIM Operator Lösungen für häufige Fehler.

Nächste Schritte