了解组织

本页面适用于 ApigeeApigee Hybrid

查看 Apigee Edge 文档。

组织是 Apigee 中的顶层容器。Apigee 组织包含您的所有 API 代理及相关资源。虽然本主题的其余部分更加深入地介绍了组织,但是下面列出了一些有用的要点:

  • Apigee 组织与 Google Cloud 组织不同,是 Google Cloud 组织的子级组织。为 Apigee X 或 Apigee Hybrid 创建组织时,该组织只能映射到一个 Google Cloud 项目,并且 Apigee 组织和 Google Cloud 项目共用一个名称。并非所有 Google Cloud 项目都与 Apigee 组织相关联。
  • Apigee 文档中使用“组织”一词时,是专门指 Apigee 组织。Apigee 文档使用“Google Cloud 组织”一词来指代替代方案。
  • Apigee 组织一经创建便无法重命名。
  • 您的 Apigee 组织名称会显示为 Google Cloud 控制台的 Apigee 部分的网址中的项目。 例如: 
    https://console.cloud.google.com/apigee/overview?project=ORG_ID
  • 调用 Apigee API 的 REST 调用时,组织标识符是路径的必需部分。例如,以下 curl 请求使用组织 API 返回组织中的所有 API 代理的列表:
    curl https://apigee.googleapis.com/v1/organizations/ORG_ID/apis
  • 虽然您可能只创建了一个组织,但是您可以作为拥有特定权限的用户或管理员在其他组织中获得授权。在 Cloud 控制台中,您可以如在组织之间切换中所述切换到其他组织。

视频:观看一段短视频,了解组织如何支持 API 管理的多租户架构。

组织类型

组织有以下两种类型:

  • 付费组织:具有完全可扩缩性的永久组织,也称为生产组织。付费组织包括在订阅或随用随付 Apigee 价格模式中创建的组织。

  • 评估组织:用于测试 Apigee 的自助式临时组织。这些组织有时也称为“评估组织”;这些组织具有时间限制,并且缺乏生产组织的可伸缩性和灵活性。

另请参阅比较评估组织和付费组织

评估组织生命周期

评估组织的有效期有限:

  1. 第 0 天:创建评估组织。
  2. 第 30 天:Google 会向您发送电子邮件通知,通知您评估即将过期。
  3. 第 60 天:Google 会删除评估组织。

Google Cloud 层次结构中的 Apigee 组织

下图显示了 Apigee 组织和环境与 Google Cloud 项目和文件夹之间的关系。

显示 Apigee 组织在 Google Cloud 组织层次结构中的图表

组织内的组件

下图显示了 Apigee 组织模型的主要组件。 此模型定义了您的 API、API 产品、应用和应用开发者在 Apigee 中的相关性。

显示组织作为 Apigee 部署根的层次结构图。

此模型并未显示 Apigee 的所有功能,仅用于显示组织是部署的根。

下表更详细地描述了组织模型的组件:

组件 说明
组织

每个 Apigee 组织只能属于一个 Google Cloud 项目,而一个项目最多只能包含一个组织。组织包含环境、API 代理、API 产品、API 软件包、应用和用户。

账号持有人并不限于单个组织。某些账号持有人可能会定义或成为支持不同应用开发者社区的多个组织。
环境和环境组

环境是组织内独立软件环境,您可以在其中部署 API 代理。 您可以在一个组织中创建多个环境。

环境组是一组具有一个或多个主机名的环境。主机名是用于调用部署到环境组中任何环境的 API 代理的网址的一部分。

API 代理

API 代理是传入请求和后端服务之间的接口。代理实体包含 Apigee 在处理来自客户端的请求和来自后端的响应时执行的说明和政策。

API 产品

用于发布 API 的实体。API 产品会被发布到开发者门户,以供外部开发者使用。API 产品提供了用于访问一个或多个已发布 API 的接口。接口(可通过 OpenAPI 规范描述)可能包含由一个或多个 API 代理处理的一个或多个 API 请求的组合。

组织中的用户可以创建 API 产品。 执行此操作时,它们可以将任意元数据附加到每个 API 产品。一种常用的元数据类型可以定义服务计划,从而指定 API 调用访问限制、规定安全要求、允许监控和分析,以及提供其他功能。

Apigee 会收集有关 API 产品的分析的数据。

API 提供方

创建和管理 API 代理和产品的个人或实体。客户端应用开发者会访问这些发布的 API。

应用开发者

组织包含一个或多个开发者,他们构建使用您的组织定义的 API(发布为 API 产品)的应用。开发者使用 API,但不能创建 API,也不能在组织中执行任何其他操作。

开发者可以是公司内部的开发者,可以是合作伙伴,也可以是免费或付费访问 API 的外部开发者。您可以将开发者视为使用您的 API 的客户

您必须先在组织中注册开发者,然后他们才能注册应用并接收用于访问 API 的 API 密钥或其他客户端凭据。作为 API 提供方,您自行决定如何在组织中添加、更新或移除开发者。您可以通过界面手动添加开发者,创建开发者门户以通过网站注册开发者,或者使用 Apigee API 定义和实现您自己的注册机制。

Apigee 应用(或应用)

Apigee 开发者创建一个或多个使用您的 API 的客户端应用。

如果开发者创建的客户端应用调用的 API 需要检查凭据(例如 API 密钥或 OAuth 令牌),则必须先向组织创建应用注册。应用注册向开发者提供 API 密钥、密钥/密码对,或者客户端应用在调用 API 时必须使用的其他凭据。

由于组织中的所有应用均已注册,因此您可以使用 Apigee 来监控和收集有关该应用及其使用您的 API 情况的分析信息。

未显示的其他 Apigee 组件包括 API 密钥和 OAuth 令牌。

Apigee 支持不同类型的身份验证,例如简单的 API 密钥、二足式 OAuth、三足式 OAuth 等等。

如果 API 提供方指定 API 密钥验证作为授权机制,则客户端应用必须在每个 API 请求中传递 API 密钥。如果该密钥有效,Apigee 会允许请求。或者,如果 API 提供方将 OAuth 令牌验证指定为授权机制,则客户端应用必须先获取 OAuth 令牌,然后在每个 API 请求中传递该令牌。如果该令牌有效,Apigee 会允许请求。还可能有其他自定义授权机制。

作为 API 提供商,您必须定义开发者注册其应用的方法。每个应用注册将会有一个或多个密钥或凭据与之关联。如果您允许开发者通过开发者门户注册自己的应用,则开发者可以通过便捷的自助体验来检索访问您的 API 所需的密钥或凭据。

在注册应用时,开发者可以选择访问单个 API 产品或多个 API 产品。开发者的应用使用相同的密钥/凭据访问与该应用关联的所有 API 产品。

您可以随时撤销密钥,这样开发者的应用便无法再访问您的 API(但开发者应用的注册仍存在于您的组织中)。或者,您也可以撤消开发者,在这种情况下,为该开发者注册的所有应用的所有凭据都将无法使用。撤消操作是可逆的。 在 Apigee 创建应用凭据时,您可以指定过期时间,以便开发者必须在特定时间之后获取新密钥或凭据。

Apigee 用户

Apigee 用户构成了组织的 API 团队,他们可能包括管理员、API 代理和 API 产品创建者或者监控分析和其他统计信息的用户等人员。最终用户是使用 Apigee 开发者构建的应用的人员。在大多数情况下,本文档使用“用户”一词指代 Apigee 用户。

管理员可以将用户添加到组织。

不同的用户可以拥有不同的角色和访问权限。例如,将部分用户定义为组织管理员和操作管理员,他们有权修改组织及其组件;将其他用户定义为有权创建 API 代理和 API 产品,但无权修改其他用户。

用户可以是多个组织的成员。例如,您的公司可能在 Apigee 上定义多个组织以支持不同的开发者社区,但在内部,相同的人员也参与构建所有 API 代理和 API 产品,因此是您所有组织的成员。

要成为用户,您不需要创建 Apigee 组织。管理员可以将您添加到现有组织。

所有用户都在此处登录 Apigee:Cloud 控制台中的 Apigee 界面

使用权和结算

无论付费组织使用的是订阅还是随用随付价格模式,系统都会按以下项计量流量以进行结算:环境、API 调用和代理部署。

订阅方案允许您预付权限费用,以换取大幅折扣。如果使用量较大(环境数量较多、API 调用量较大或 Apigee 管理的 API 代理数量较多),订阅方案会很有用。在随用随付模式下,您只需为实际使用的资源付费,但无法享受折扣。

订阅权益

组织

您可以在任何 Google Cloud 项目中启用 Apigee。 这样做会为该项目创建一个 Apigee 组织。您可以根据需要创建任意数量的组织。与创建 Google Cloud 项目无需任何使用权或付费一样,创建 Apigee 组织也无需任何使用权。

环境

环境权益以单元表示。使用环境组织权益有两个步骤:首先创建一个环境,然后将该环境关联到一个组织。将环境关联到组织后,环境将计入您的环境单元权益。如需了解单个组织中的环境数上限,请参阅 限制

您可以选择在一个或多个可用的 Google Cloud 区域中创建 Apigee 环境。将环境映射到每个区域都会消耗您权益中的 1 个环境单元。在单个区域中预配的环境将消耗您的权益中的 1 个环境单元。在两个区域中预配的环境将消耗您的权益中的两个环境单元。环境单位总用量是指所有组织使用的环境单位数量的总和。

总的环境单元权益是订阅层级中提供的权益加上通过环境包获得的额外权益的总和。

Google 会强制执行环境使用权;您不能超出使用权限上限。 如果您尝试创建的环境超出您的使用权限上限,则会收到错误消息。 您可以通过购买更多环境包来扩大权益。
API 调用

Google 会统计 Apigee 处理的每次 API 调用。您的总 API 调用权限是订阅层级中提供的权限加上通过通话包获得的额外权限的总和。

在订阅方案下,Google 不会对 API 调用强制执行使用权限限制。如果您超出 API 调用配额,Apigee 将继续处理 API 调用。Google 会对超出现有使用权的用量向您收费。您可以随时购买更多调用次数包,扩大 API 调用次数配额。
代理部署

Google 会统计您部署的每个 API 代理。总的代理部署权益是订阅层级中提供的权益加上通过代理部署包获得的额外权益的总和。

在订阅方案下,Google 不会限制代理部署数量。 如果您部署的代理数量超出了使用权限允许的数量,即超出了代理部署使用权限,Apigee 仍会允许您部署新的代理,并且 Apigee 会继续处理 API 调用。Google 会针对超出现有使用权的用量向您收费。您可以通过购买额外的通话包来扩展代理部署权限。

如需了解详情,请参阅订阅权益

随用随付权益

组织

您可以在任何 Google Cloud 项目中启用 Apigee。 这样做会为该项目创建一个 Apigee 组织。您可以根据需要创建任意数量的组织。与创建 Google Cloud 项目无需付费一样,在按需付费定价模式下,创建 Apigee 组织也是免费的。

环境

您可以将多个环境附加到 Apigee 组织。使用环境有两个步骤:首先创建环境,然后将该环境关联到组织。Google 会根据与组织关联的环境向您收费。

您最多可以在一个组织中创建 85 个环境。

对于多区域环境,Google 会按该环境可用的每个区域向您收费。您可以选择任何可用的 Google Cloud 区域。
API 调用

Google 会统计 Apigee 处理的每次 API 调用。Google 会根据您的 Apigee 环境处理的 API 调用次数向您收费。没有限制。Apigee 会自动扩缩并继续处理 API 调用,即使负载增加也不例外。

代理部署

Google 会统计您部署的每个 API 代理。Google 会根据您在 Apigee 环境中部署的 API 代理数量向您收费。

如需了解详情,请参阅随用随付权益