参考资料

本页面适用于 ApigeeApigee Hybrid

查看 Apigee Edge 文档。

apigee-remote-service-cli 命令行界面 (CLI) 可帮助您预配和管理 Envoy 的 Apigee 适配器。

绑定命令

绑定会将部署到 Istio 网格的服务与 Apigee API 产品相关联。您可以利用 CLI 创建、移除、列出和验证绑定。

列出绑定

列出绑定到远程服务的所有 API 产品。

用法

对于 Apigee Hybrid:

apigee-remote-service-cli bindings list -o [organization] -e [environment] -t [token] -r [runtime]

参数

参数 类型 说明
-c, --config 字符串 (必需)Apigee 远程服务配置文件的路径。
提示:借助此标志,您可以省略大多数其他命令参数,因为 CLI 可以直接从配置文件中拉取这些参数。请参阅使用 --config 选项
-e, --env 字符串 (必需)您的组织中的环境。
-h, --help 显示命令参数的帮助。
--insecure 使用 SSL 时允许不安全的服务器连接
--legacy 如果您使用的是 Apigee Cloud,请设置此标志。为 Edge Cloud 设置管理和运行时网址。
--opdk 如果您使用的是 Apigee for Private Cloud,请设置此标志。
-o, --org 字符串 (必需)Apigee 组织。您必须是组织管理员。
-p, --password 字符串 (仅进行基本身份验证时是必需的,不适用于混合)您的 Apigee 密码。您可以选择在 .netrc 文件中指定密码。如果您这样做,则无需在命令行中提供密码。另请参阅 使用 .netrc 作为凭据
-r, --runtime 字符串 包含混合配置中所定义虚拟主机的 hostAlias 的网址。该网址必须以 https:// 开头。例如:https://apitest.apigee-hybrid-docs.net
-t, --token 字符串 (必需)访问令牌。
-u, --username 字符串 (仅进行基本身份验证时是必需的,不适用于混合)您的 Apigee 用户名(通常是电子邮件地址)。您可以选择在 .netrc 文件中指定用户名。如果您这样做,则无需在命令行中提供用户名。另请参阅 使用 .netrc 作为凭据
-v, --verbose (可选)生成详细输出。

示例

apigee-remote-service-cli bindings list -o myorg -e test -c config.yaml \
-r $RUNTIME -t $TOKEN
PI Products
============
Bound
-----
envoy-test:
  Quota: 5 requests every 1 minute
  Target bindings:
    httpbin.org
  Paths:
httpbin:
  Quota: 5 requests every 1 minute
  Target bindings:
    httpbin.org
  Paths:
    /httpbin
    /

Unbound
-------
product-1:
  Quota: 100 requests every 1 hour
product-2:
  Quota: 1000 requests every 1 month
product-3:
product-4:

验证绑定

验证指定的绑定 API 产品及其关联的开发者应用也具有与之相关的远程服务产品。如果您没有指定 API 产品名称,则该命令会检查所有绑定产品。

用法

对于 Apigee Hybrid:

apigee-remote-service-cli bindings verify [product_name]  -o [organization] -e [environment] -r [runtime] -t [token]

其中 product_name 是可选的。如果您未指定产品名称,则系统会检查所有绑定产品。

参数

参数 类型 说明
-c, --config 字符串 (必需)Apigee 远程服务配置文件的路径。
提示:借助此标志,您可以省略大多数其他命令参数,因为 CLI 可以直接从配置文件中拉取这些参数。请参阅使用 --config 选项
-e, --env 字符串 (必需)您的组织中的环境。
-h, --help 显示命令参数的帮助。
--insecure 使用 SSL 时允许不安全的服务器连接
--legacy 如果您使用的是 Apigee Cloud,请设置此标志。为 Edge Cloud 设置管理和运行时网址。
--opdk 如果您使用的是 Apigee for Private Cloud,请设置此标志。
-o, --org 字符串 (必需)Apigee 组织。您必须是组织管理员。
-r, --runtime 字符串 包含混合配置中所定义虚拟主机的 hostAlias 的网址。该网址必须以 https:// 开头。例如:https://apitest.apigee-hybrid-docs.net
-t, --token 字符串 (必需)访问令牌。
-v, --verbose (可选)生成详细输出。

示例

/apigee-remote-service-cli bindings verify my_product -o $ORG -e $ENV \
-c config.yaml -r $RUNTIME -t $TOKEN

Verifying apps associated with product my-product:
  app my-app associated with product my-product is verified

帮助命令

所有 apigee-remote-service-cli 命令都会提供在线帮助。只需输入:

apigee-remote-service-cli help

如需任何命令的相关帮助,请输入以下命令:

apigee-remote-service-cli [command] help

例如:

apigee-remote-service-cli provision help

预配命令

apigee-remote-service-cli provision 命令会在 Apigee 组织中安装代理,设置证书,并生成配置 Apigee Adapter for Envoy 所需的凭据。

用法

对于 Apigee Hybrid:

apigee-remote-service-cli provision  -o $ORG -e $ENV -r $RUNTIME -t $TOKEN

参数

参数 类型 说明
--analytics-sa 字符串 使用此标志可指定 Google Cloud 服务账号密钥文件的路径,其中服务账号具有 Apigee Analytics Agent 角色。适配器使用 SA 直接将分析数据上传到 Apigee。如果您使用的是 Apigee Hybrid,则此选项允许您在一个集群中安装 Hybrid 运行时,并在另一个集群中安装适配器。此标志仅适用于 Google Cloud 上的 Apigee Hybrid 和 Apigee 的安装。
-c, --config 字符串 Apigee 远程服务配置文件的路径。 另请参阅使用 --config 选项
-e, --environment 字符串 (必需)您的组织中的环境。
-f, --force-proxy-install (可选)如果已在您的组织中重新安装 remote-service 代理,则强制重新安装。
-h, --help 显示命令参数的帮助。
-k, --key 字符串 指定从 apigee-remote-service-cli provision 命令返回的密匙。
--legacy Apigee Edge(设置管理和运行时网址)
-m, --management 字符串 (使用 Apigee Private Cloud 时为必需)Apigee 管理基础网址。 默认:https://api.enterprise.apigee.com
-n, --namespace 字符串 在指定命名空间中将配置作为 Envoy ConfigMap默认:apigee
--opdk 字符串 如果您使用的是 Apigee for Private Cloud,请设置此标志。
-o, --organization 字符串 (必需)您的 Apigee 组织。您必须是组织管理员。
-p, --password 字符串 (仅进行基本身份验证时是必需的,不适用于混合)您的 Apigee 密码。您可以选择在 .netrc 文件中指定密码。如果您这样做,则无需在命令行中提供密码。另请参阅 使用 .netrc 作为凭据
--rotate-int 整数 如果 n > 0,则生成新的私钥并保留 n个 公钥(仅限混合密钥)
-r, --runtime 字符串 包含混合配置中所定义虚拟主机的 hostAlias 的网址。该网址必须以 https:// 开头。例如:https://apitest.apigee-hybrid-docs.net
-s, --secret 字符串 指定从 apigee-remote-service-cli provision 命令返回的密匙。
--strength 整数 (可选)指定预配适配器中使用的 SSL 证书的加密强度。默认 2048
-t, --token 字符串 Apigee OAuth 或 SAML 令牌。
-u, --username 字符串 (仅进行基本身份验证时是必需的,不适用于混合)您的 Apigee 用户名(通常是电子邮件地址)。您可以选择在 .netrc 文件中指定用户名。另请参阅 使用 .netrc 作为凭据
-v, --verbose (可选)生成详细输出。
--virtual-hosts 字符串 替换默认虚拟主机。
--years 整数 (可选)配置中使用的 SSL 证书的到期时间。默认:1

示例

请确保捕获文件中 provision 命令的输出,该文件用作其他 Apigee 适配器的 Envoy 操作输入。

Apigee Hybrid 示例

apigee-remote-service-cli provision --organization $ORG --environment $ENV --runtime $RUNTIME \
--namespace $NAMESPACE --token $TOKEN > config.yaml

示例命令

创建示例配置文件

为原生 Envoy 或 Istio 部署创建示例配置文件。

用法

apigee-remote-service-cli samples create [flags]

说明

该命令需要通过预配生成的有效 config.yaml 文件。默认情况下,示例文件将输出到名为 ./samples 的目录。该命令会为您创建此目录。

如果您使用的是原生 Envoy,该命令会获取目标服务主机及其集群所需的名称。如果通过 --tls 提供包含 tls.keytls.crt 的文件夹,它还将自定义 SSL 连接从 Envoy 代理设置为远程服务集群。

如果您使用的是 Istio 代理(其中 Envoy 代理充当辅助资源),而且未指定目标,则系统会生成 httpbin 示例。否则,您需要准备与目标服务部署相关的配置文件。

参数

参数 类型 说明
-c, --config 字符串 (必需)Apigee 远程服务配置文件的路径。
提示:借助此标志,您可以省略大多数其他命令参数,因为 CLI 可以直接从配置文件中拉取这些参数。请参阅使用 --config 选项
-f, --force 强制覆盖现有目录。
-h, --help 显示命令参数的帮助。
--host 目标服务主机(默认为“httpbin.org”)
-n, --name 目标服务名称(默认为“httpbin”)
--out 要在其中创建示例配置文件的目录。默认:./samples
-t, --template

模板名称。如果您要进行 Istio 部署(仅限混合),请选择可用 Istio 选项之一。对原生 Envoy 部署使用原生选项。可用的选项包括:

  • istio-1.6(默认)
  • istio-1.7
  • native
--tls 存储 TLS 密钥和 crt 文件的目录。

示例

apigee-remote-service-cli samples create -c ./config.yaml

列出可用的模板选项

列出可与 --templates 参数搭配使用的选项。

用法

apigee-remote-service-cli samples templates

参数

无。

示例

apigee-remote-service-cli samples templates
Supported templates (native is deprecated):
  envoy-1.14
  envoy-1.15
  envoy-1.16
  istio-1.5
  istio-1.6
  istio-1.7
  istio-1.8
  native

令牌命令

您可以使用 JWT 令牌(而不是使用 API 密钥)进行经过身份验证的 API 代理调用。您可以使用令牌命令创建、检查并轮替 JWT 令牌以实现此目的。

创建 JWT 令牌

您可以使用 JWT 令牌对远程服务目标进行经过身份验证的 API 代理调用。另请参阅 使用基于 JWT 的身份验证

用法

对于 Apigee Hybrid:
apigee-remote-service-cli token create -c [config_file] --id [consumer_key] --secret [consumer_secret] -r [runtime] -o [org] -e [env]

参数

参数 类型 说明
-c, --config 字符串 (必需)Apigee 远程服务配置文件的路径。
提示:借助此标志,您可以省略大多数其他命令参数,因为 CLI 可以直接从配置文件中拉取这些参数。请参阅使用 --config 选项
-e, --env 字符串 (必需)您的组织中的环境。
-h, --help 显示命令参数的帮助。
--insecure 使用 SSL 时允许不安全的服务器连接。
-o, --org 字符串 (必需)Apigee 组织。您必须是组织管理员。
-r, --runtime 字符串 包含混合配置中所定义虚拟主机的 hostAlias 的网址。该网址必须以 https:// 开头。例如:https://apitest.apigee-hybrid-docs.net
-v, --verbose (可选)生成详细输出。

示例

./apigee-remote-service-cli token create -o $ORG -e $ENV -i YUmlZAcBKNsTAelJqPZFl3sh58ObATX9 \
-s icTARgaKHqvUH1dq -c config.yaml -r $RUNTIME -t $TOKEN

输出

成功后,您会看到如下相似的 JST 令牌输出:
eyJraWQiOiIxIiwidHlwIjoiSldUIiwiYWxnIjoiUlMyNTYifQ.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.AL7pKSTmond-NSPRNNHVbIzTdAnZjOXcjQ-BbOJ_8lsQvF7PuiOUrGIhY5XTcJusisKgbCdtIxBl8Wq1EiQ_fKnUc3JYYOqzpTB5bGoFy0Yqbfu96dneuWyzgZnoQBkqwZkbQTIg7WNTGx1TJX-UTePvBPxAefiAbaEUcigX9tTsXPoRJZOTrm7IOeKpxpB_gQYkxQtV1_NbERxjTPyMbHdMWal9_xRVzSt7mpTGudMN9OR-VtQ1uXA67GOqhZWcOzq57qImOiCMbaoKnKUADevyWjX_VscN5ZZUtzQUQhTrmv8aR69-uVhMIPKp9juMyYKaYn2IsYZEeCWfhfV45Q

检查 JWT 令牌

您可以使用此命令检查 JWT 令牌。另请参阅 检查令牌

用法

对于 Apigee Hybrid:
apigee-remote-service-cli token inspect -o [organization] -e [environment] -f [token_file] --runtime [host_alias]

参数

参数 类型 说明
-c, --config 字符串 (必需)Apigee 远程服务配置文件的路径。
提示:借助此标志,您可以省略大多数其他命令参数,因为 CLI 可以直接从配置文件中拉取这些参数。请参阅使用 --config 选项
-e, --env 字符串 (必需)您的组织中的环境。
-h, --help 显示命令参数的帮助。
--insecure 使用 SSL 时允许不安全的服务器连接。
-o, --org 字符串 (必需)Apigee 组织。您必须是组织管理员。
-r, --runtime 字符串 包含混合配置中所定义虚拟主机的 hostAlias 的网址。该网址必须以 https:// 开头。例如:https://apitest.apigee-hybrid-docs.net
-v, --verbose (可选)生成详细输出。

示例

apigee-remote-service-cli token inspect -c config.yaml <<< $TOKEN

输出

成功后,您将看到类似于以下内容的输出:
{
	"aud": [
		"remote-service-client"
	],
	"exp": 1591741549,
	"iat": 1591740649,
	"iss": "https://apigee-docs-test.apigee.net/remote-service/token",
	"jti": "99325d2e-6440-4278-9f7f-b252a1a79e53",
	"nbf": 1591740649,
	"access_token": "VfzpXzBGAQ07po0bPMKY4JgQjus",
	"api_product_list": [
		"httpbin"
	],
	"application_name": "httpbin",
	"client_id": "GYDGHy5TRpV8AejXCOlreP7dPVepA8H",
	"developer_email": "user@example.com",
	"scope": ""
}
verifying...
token ok.

轮替 JWT 令牌

在最初生成 JWT 之后的一段时间内,您可能需要更改在加密键值对映射 (KVM) 中由 Apigee 存储的私钥/公钥对。生成新密钥对的过程称为密钥轮替。轮替密钥时,系统会生成一个新的私钥/公钥对,并将其存储在 Apigee 组织/环境中的“istio”KVM 中。此外,旧的公钥及其原始密钥 ID 值会保留下来。

用法

对于 Apigee Hybrid

apigee-remote-service-cli token rotate-cert -o [organization] -e [environment] -t [token] -r [runtime] -k [provision_key] -s [provision_secret] --kid [new_key_id]

参数

参数 类型 说明
-c, --config 字符串 (必需)Apigee 远程服务配置文件的路径。
提示:借助此标志,您可以省略大多数其他命令参数,因为 CLI 可以直接从配置文件中拉取这些参数。请参阅使用 --config 选项
-e, --env 字符串 (必需)您的组织中的环境。
-h, --help 显示命令参数的帮助。
--insecure 使用 SSL 时允许不安全的服务器连接
--truncate 整数 jwk 中的证书数量(默认值为 2)
-o, --org 字符串 (必需)Apigee 组织。您必须是组织管理员。
-r, --runtime 字符串 包含混合配置中所定义虚拟主机的 hostAlias 的网址。该网址必须以 https:// 开头。例如:https://apitest.apigee-hybrid-docs.net
-v, --verbose (可选)生成详细输出。

示例

./apigee-remote-service-cli token create -o $ORG -e $ENV -i YUmlZAcBKNsTAelJqPZFl3sh58ObATX9 \
-s icTARgaKHqvUH1dq -c config.yaml -r $RUNTIME -t $TOKEN

输出

certificate successfully rotated

使用 .netrc 凭据

如果您使用的是 Edge Public Cloud,并且 apigee-remote-service-cli 会从您的主目录中的 .netrc 文件中自动选取 usernamepassword(用于基本身份验证)并且有机器 api.enterprise.apigee.com 的条目。如果您使用的是 Apigee Private Cloud,则机器值与您的 management 网址相同(例如 http://192.162.55.100)。例如 Edge Public Cloud:
machine api.enterprise.apigee.com
login jdoe@google.com
password abc123
例如 Edge Private Cloud:
machine http://192.162.55.100
login jdoe@google.com
password abc123

版本命令

打印 CLI 版本

apigee-remote-service-cli version

使用 --config 命令选项

--config 选项可指定 provision 命令生成的配置文件的位置。此选项的优点是,它允许您跳过大多数其他命令参数,而 CLI 会从配置文件中拉取。这些选项包括:
  • 组织
  • 环境
  • 运行时
  • 管理
  • 不安全
  • 命名空间
  • 旧版
  • opdk

例如,您可以执行 provision 命令,如下所示:

apigee-remote-service-cli provision --config='old-config.yaml' > new-config.yaml

配置文件

本部分提供了包含所有可用选项的示例配置文件。

global:
  temp_dir: /tmp/apigee-istio
  keep_alive_max_connection_age: 1m
  api_address: :5000
  metrics_address: :5001
  tls:
    cert_file: tls.crt
    key_file: tls.key
tenant:
  internal_api: https://istioservices.apigee.net/edgemicro
  remote_service_api: https://org-test.apigee.net/remote-service
  org_name: org
  env_name: env
  key: mykey
  secret: mysecret
  client_timeout: 30s
  allow_unverified_ssl_cert: false
products:
  refresh_rate: 2m
analytics:
  legacy_endpoint: false
  file_limit: 1024
  send_channel_size: 10
  collection_interval: 10s
  fluentd_endpoint: apigee-udca-myorg-test.apigee.svc.cluster.local:20001
  tls:
    ca_file: /opt/apigee/tls/ca.crt
    cert_file: /opt/apigee/tls/tls.crt
    key_file: /opt/apigee/tls/tls.key
    allow_unverified_ssl_cert: false
auth:
  api_key_claim: claim
  api_key_cache_duration: 30m
  api_key_header: x-api-key
  api_target_header: :authority
  reject_unauthorized: true
  jwks_poll_interval: 0s
  jwt_provider_key: https://org-test.apigee.net/remote-service/token