本页面适用于 Apigee 和 Apigee Hybrid。
查看 Apigee Edge 文档。
组织是 Apigee 中的顶层容器。它包含您的所有 API 代理及相关资源。虽然本主题的其余部分更加深入地介绍了组织,但是下面列出了一些有用的要点:
- 组织一经创建便无法重命名。
- 组织名称位于 Apigee 界面的网址中。例如:
https://apigee.google.com/organizations/ORG_ID
- 使用 Apigee API 进行调用时,在大多数调用中,组织是必需的路径部分。例如,以下
curl请求使用组织 API 返回组织中的所有 API 代理的列表:curl https://apigee.googleapis.com/v1/organizations/YOUR_ORG_ID/apis
- 虽然您可能只创建了一个组织,但是您可以作为拥有特定权限的用户或管理员属于其他组织。您可以如在组织之间切换中所述切换到其他组织。
- Apigee 组织与 Google Cloud 组织不同。可能存在歧义时,本文档指定“组织”是 Apigee 组织。
视频:观看一段短视频,了解组织如何支持 API 管理的多租户架构。
组织类型
组织有以下两种类型:
付费组织:具有完全可扩缩性的永久组织,也称为生产组织。付费组织包括在订阅或随用随付 Apigee 价格模式中创建的组织。
评估组织:用于测试 Apigee 的自助式临时组织。这些组织具有时间限制,并且缺乏生产组织的可扩缩性和灵活性。
另请参阅比较评估组织和付费组织。
评估组织有效期
评估组织的有效期有限:
- 第 0 天:创建评估组织。
- 第 30 天:Google 会向您发送电子邮件通知,通知您评估即将过期。
- 第 60 天:Google 会删除评估组织。
组织组件
下图显示了 Apigee 组织模型的主要组件。 此模型定义了您的 API、API 产品、应用和应用开发者在 Apigee 中的相关性。
此模型并未显示 Apigee 的所有功能,仅用于显示组织是部署的根。
下表更详细地描述了组织模型的组件:
| 组件 | 说明 |
|---|---|
| 组织 |
每个 Apigee 组织只能属于一个 Google Cloud 项目,而一个项目最多只能包含一个组织。组织包含环境、API 代理、API 产品、API 软件包、应用和用户。 账号持有人并不限于单个组织。某些账号持有人可能会定义或成为支持不同应用开发者社区的多个组织。 |
| 环境和环境组 | 环境是组织内独立软件环境,您可以在其中部署 API 代理。 您可以在一个组织中创建多个环境。 环境组是一组具有一个或多个主机名的环境。主机名是用于调用部署到环境组中任何环境的 API 代理的网址的一部分。 |
|
API 代理 |
API 代理是传入请求和后端服务之间的接口。代理实体包含 Apigee 在处理来自客户端的请求和来自后端的响应时执行的说明和政策。 |
|
API 产品 |
用于发布 API 的实体。API 产品会被发布到开发者门户,以供外部开发者使用。API 产品提供了用于访问一个或多个已发布 API 的接口。接口(可通过 OpenAPI 规范描述)可能包含由一个或多个 API 代理处理的一个或多个 API 请求的组合。 组织中的用户可以创建 API 产品。 执行此操作时,它们可以将任意元数据附加到每个 API 产品。一种常用的元数据类型可以定义服务计划,从而指定 API 调用访问限制、规定安全要求、允许监控和分析,以及提供其他功能。 Apigee 会收集有关 API 产品的分析的数据。 |
|
API 提供方 |
创建和管理 API 代理和产品的个人或实体。客户端应用开发者会访问这些发布的 API。 |
|
应用开发者 |
组织包含一个或多个开发者,他们构建使用您的组织定义的 API(发布为 API 产品)的应用。开发者使用 API,但不能创建 API,也不能在组织中执行任何其他操作。 开发者可以是公司内部的开发者,可以是合作伙伴,也可以是免费或付费访问 API 的外部开发者。您可以将开发者视为使用您的 API 的客户。 您必须先在组织中注册开发者,然后他们才能注册应用并接收用于访问 API 的 API 密钥。作为 API 提供方,您自行决定如何在组织中添加、更新或移除开发者。您可以通过界面手动添加开发者,创建开发者门户以通过网站注册开发者,或者使用 Apigee API 定义您自己的注册机制。 |
|
Apigee 应用(或应用) |
Apigee 开发者创建一个或多个使用您的 API 的客户端应用。 如果开发者创建的客户端应用调用的 API 需要检查凭据(例如 API 密钥或 OAuth 令牌),则必须先向组织创建应用注册。应用注册向开发者提供 API 密钥、密钥/密码对,或者客户端应用在调用 API 时必须使用的其他凭据。 由于组织中的所有应用均已注册,因此您可以使用 Apigee 来监控和收集有关该应用及其使用您的 API 情况的分析信息。 |
未显示的其他 Apigee 组件包括 API 密钥和 OAuth 令牌。
Apigee 支持不同类型的身份验证,例如简单的 API 密钥、二足式 OAuth、三足式 OAuth 等等。
如果 API 提供方指定 API 密钥验证作为授权机制,则客户端应用必须在每个 API 请求中传递 API 密钥。如果该密钥有效,Apigee 会允许请求。或者,如果 API 提供方将 OAuth 令牌验证指定为授权机制,则客户端应用必须先获取 OAuth 令牌,然后在每个 API 请求中传递该令牌。如果该令牌有效,Apigee 会允许请求。还可能有其他自定义授权机制。
作为 API 提供商,您必须定义开发者注册其应用的方法。每个应用注册将会有一个或多个密钥或凭据与之关联。如果您允许开发者通过开发者门户注册自己的应用,则开发者可以通过便捷的自助体验来检索访问您的 API 所需的密钥或凭据。
在注册应用时,开发者可以选择访问单个 API 产品或多个 API 产品。开发者的应用使用相同的密钥/凭据访问与该应用关联的所有 API 产品。
您可以随时撤销密钥,这样开发者的应用便无法再访问您的 API(但开发者应用的注册仍存在于您的组织中)。或者,您可以定义密钥的过期时间,以使开发者必须在特定时间之后刷新密钥。
Apigee 用户
Apigee 用户构成了组织的 API 团队,他们可能包括管理员、API 代理和 API 产品创建者或者监控分析和其他统计信息的用户等人员。最终用户是使用 Apigee 开发者构建的应用的人员。在大多数情况下,本文档使用“用户”一词指代 Apigee 用户。
管理员可以将用户添加到组织。
不同的用户可以拥有不同的角色和访问权限。例如,将部分用户定义为组织管理员和操作管理员,他们有权修改组织及其组件。定义其他用户,他们有权创建 API 代理和 API 产品,但是无权修改其他用户。
用户可以是多个组织的成员。例如,您的公司可能在 Apigee 上定义多个组织以支持不同的开发者社区,但在内部,相同的人员也参与构建所有 API 代理和 API 产品,因此是您所有组织的成员。
要成为用户,您不需要创建 Apigee 组织。管理员可以将您添加到现有组织。
所有用户都在此处登录 Apigee:Apigee 界面。
权益
组织权益取决于付费组织使用订阅还是随用随付价格模式。
订阅权益
组织:组织权益以单元表示。获得组织单元权益后,您可以使用它在所需的任何区域中启用单个新组织,也可以将现有组织扩展到单个新区域(使用域名扩展)。就权益而言,N 个区域中的一个组织消耗 N 个组织单元。例如,如果您购买了四个新的组织单元,则可以:
- 将现有组织扩展到四个新区域,
- 或将两个现有组织分别扩展到两个新区域。
- 或创建四个新组织,每个区域提供一个组织。
总的组织单元权益是订阅层级和相关组织包的总和。
环境:环境权益也以单元表示。它们与组织权益无关,并且行为方式不同。使用环境单位权益有两个步骤:首先创建一个环境,然后将该环境关联到一个组织。将环境关联到组织后,环境将计入您的环境单位权益。
环境单位用量的计算方式为所有组织和每个区域中使用的环境数量。换句话说,在两个区域中为一个组织预配的环境将消耗您的权益中的两个环境单元。
总的环境单元权益是订阅层级中提供的权益加上通过环境或组织包获得的额外权益的总和。购买组织包后,您将获得一个组织单元和一定数量的环境单元。通过组织包添加的任何环境单元权益都独立于您选择创建或扩展的任何组织。通过组织包添加的环境单元权益会添加到总环境单元权益中。如需在不购买额外组织单元的情况下添加更多环境单元,您可以购买环境包。
如需了解详情,请参阅订阅权益。
随用随付权益
组织:随用随付价格模式可让账号持有人使用一个组织。
环境:环境权益与组织权益无关。它们与组织权益也有所不同,因为您需要执行两个步骤才能使用它们:首先创建环境,然后将该环境附加到组织。在附加到组织之前,环境不会计入您的权益限额。
换句话说,计入权益限额的环境数是已附加到组织的环境数。
随用随付价格模式包括所有区域享有 85 个环境的权益。
如需了解详情,请参阅随用随付权益。