第 3 步：创建 Apigee 组织

本页面适用于 Apigee，但不适用于 Apigee Hybrid。

查看 Apigee Edge 文档。

Apigee 组织（有时称为组织）是 Apigee 中的顶级容器。它包括所有环境和环境组、用户、API 代理以及相关资源。如需了解详情，请参阅了解组织。

您在此步骤中执行的操作

现在，您已启用所需的 API，接下来可以创建 Apigee 组织。请记住，项目 ID 和组织名称始终相同。

向导会为新组织提供与项目 ID 相同的名称。这可确保它具有全局唯一性。

在此步骤中，根据具体的用户体验历程，您需要指定 Apigee 分析或控制平面和运行时实例的托管位置以及 API 使用方数据区域。您还需要指定加密密钥选择。

每个用户体验历程之间的差异在于您是否使用数据驻留。

在创建组织期间，系统会使用以下密钥：

加密密钥	说明
控制平面密钥	加密在 Apigee 租户项目的 BigQuery 中存储的 Analytics 数据。加密 API 代理、目标服务器、truststore 和密钥库，以及跨运行时共享的任何其他内容。
API 数据使用方密钥	这必须是控制平面位置内的一个区域。
运行时数据库密钥	加密应用数据（如 KVM、缓存和客户端密钥），然后将其存储在数据库中。

加密密钥

说明

控制平面密钥

加密在 Apigee 租户项目的 BigQuery 中存储的 Analytics 数据。

加密 API 代理、目标服务器、truststore 和密钥库，以及跨运行时共享的任何其他内容。

API 数据使用方密钥

这必须是控制平面位置内的一个区域。

运行时数据库密钥

加密应用数据（如 KVM、缓存和客户端密钥），然后将其存储在数据库中。

在创建每个实例期间，系统会使用以下密钥：

加密密钥	说明
运行时磁盘密钥	加密 KVM；环境缓存；配额存储桶和计数器。加密 KMS 数据 API 产品、开发者、开发者应用、OAuth 令牌（包括访问令牌、刷新令牌和授权代码）和 API 密钥。

执行步骤

执行此任务所需的权限

您可以向 Apigee 预配工具授予包含完成此任务所需的权限的预定义角色，也可以授予更精细的权限以提供所需的最小权限。请参阅：

如需查看特定用户体验历程的步骤，请选择以下用户体验历程之一。

查看用户体验历程流程图

下图显示了在订阅向导中配置托管和加密的可能用户体验历程。

用户体验历程标注了 A 和 B；其中，A 无数据驻留，B 有数据驻留。

	用户体验历程	说明
	用户体验历程 A：无数据驻留	如果您不需要在同一地理区域存储核心内容和处理，请选择此选项：
	用户体验历程 B：有数据驻留	如果您想要将核心内容和处理存储在同一个地理区域中，请选择此选项：

用户体验历程 A：无数据驻留

如需在 Apigee 预配向导中创建新组织，请执行以下操作：

打开 Apigee 预配向导（如果尚未打开）。该向导会返回到下一个未完成的安装任务。
在向导中，点击 Apigee 组织旁边的修改：
此时会显示创建 Apigee 组织视图：
在控制平面数据部分中，取消选中启用数据驻留框。
注意：如果您要在 Google Cloud 项目中预配新的 Apigee 组织，并在组织政策中应用资源位置限制条件，请确认位置限制设置为 global。由于 Apigee 控制平面默认是全局实体，因此在应用 global 以外的限制条件时，预配将失败。如需了解详情，请参阅数据驻留简介。
从分析托管地区下拉列表中，选择要存储分析数据的物理位置。如需查看可用的 Apigee API Analytics 区域列表，请参阅 Apigee 位置。
在运行时数据库加密密钥下，进行以下选择：
1. 选择 Cloud KMS 位置。该下拉菜单列出了两个位置分组：多区域位置和双区域位置位于一个分组中，而单区域位置则位于另一个分组中。请注意，如果您选择单区域位置，我们将无法提供高于 99.9% 的服务等级协议 (SLA)。
  注意：创建组织后，您将无法更改所选的 KMS 位置。
2. 为各运行时位置中存储和复制的数据选择或创建密钥。
3. 点击授权，向服务账号授予使用所选密钥进行加密/解密的权限。
点击创建组织。
Apigee 会开始为您的项目创建组织这个过程。该过程大约需要 20 分钟才能完成。

提示：如果在此过程中出现错误，请尝试使用浏览器的开发者工具来查看底层 HTTP 响应。它可以帮助您了解导致错误的原因。
如需了解详情，请参阅问题排查。

当 Apigee 创建完您的组织后，任务旁边会出现一个对勾标记，而且向导中的下一个任务旁边会显示一个修改按钮。

用户体验历程 B：有数据驻留

如需在 Apigee 预配向导中创建新组织，请执行以下操作：

打开 Apigee 预配向导（如果尚未打开）。该向导会返回下一个未完成的安装任务。
在向导中，点击 Apigee 组织旁边的修改。此时会显示创建 Apigee 组织视图。
在控制平面数据部分中，选中启用数据驻留框。
在控制平面托管位置部分：
1. 选择您的位置类型：
  - 单区域：您的数据存储在单个区域中，这样可以缩短延迟时间。
  - 多区域：您的数据存储在多个区域中，从而提高大区域的可用性。
2. 从显示的区域或多区域下拉列表中，选择要存储数据的物理位置。如需查看可用的控制平面区域列表，请参阅 Apigee 位置。
3. 从控制平面加密密钥下拉列表中，选择或创建密钥。
  注意：仅当您选择 us (multiple regions in us) 或 eu (multiple regions in European Union) 作为控制平面托管位置时，才需要执行此步骤。如果选择其他区域，则不需要此密钥。
4. 在系统提示时点击授权。
在 API 使用方数据区域部分中：
1. 从 API 使用方数据区域下拉列表中，选择要存储数据的物理位置。如需查看可用的控制平面区域列表，请参阅 Apigee 位置。
2. 从 API 使用方数据加密密钥下拉列表中，为存储的控制平面数据选择或创建密钥。
3. 在系统提示时点击授权。
在运行时数据库加密密钥部分中：
1. 选择 Cloud KMS 位置。
2. 从运行时数据库加密密钥下拉列表中，为各运行时位置存储和复制的数据选择或创建密钥。
3. 在系统提示时点击授权。
点击创建组织。
Apigee 会开始为您的项目创建组织这个过程。该过程大约需要 20 分钟才能完成。

提示：如果在此过程中出现错误，请尝试使用浏览器的开发者工具来查看底层 HTTP 响应。它可以帮助您了解导致错误的原因。
如需了解详情，请参阅问题排查。

当 Apigee 创建完您的组织后，任务旁边会出现一个对勾标记，而且向导中的下一个任务旁边会显示一个修改按钮。

如何创建密钥

如要创建项，请执行以下操作：

点击创建密钥。
选择密钥环；如果密钥环不存在，请启用创建密钥环，然后输入密钥环名称并选择密钥环位置。密钥环名称可以包含字母、数字、下划线 (_) 和连字符 (-)。不能重命名或删除密钥环。
点击继续。
创建密钥。输入名称和保护级别。请注意，密钥名称可以包含字母、数字、下划线 (_) 和连字符 (-)。不能重命名或删除密钥。对于保护级别而言，软件是一个好的选择。这是 Cloud KMS 使用的同一默认值；不过，您可以根据需要进行更改。
点击继续，然后检查您的选择。
点击创建。

问题排查

如果您在此过程的这个过程中遇到错误，请参阅问题排查。

进度（3/8 ... 请继续！）

1 2 3 下一步：配置服务网络 5 6 7 8