데이터 상주 소개

이 문서에서는 Apigee의 데이터 상주에 대해 설명합니다.

개요

많은 업종 카테고리 및 기업에서 클라우드 서비스를 사용하면 보안 및 컴플라이언스 팀에서 클라우드에 저장된 데이터, 저장된 위치, 액세스 권한이 있는 사용자, 데이터를 볼 수 있는 사람 등의 많은 정밀 조사가 수행됩니다. 이 외에도 많은 국가에서 개인 식별 정보(PII) 데이터를 해당 국가 또는 리전 외부에 저장하지 못하도록 금지하는 데이터 개인 정보 보호법을 통과시켰습니다.

Apigee의 데이터 상주는 Apigee 데이터가 저장되는 지리적 위치(리전)을 지정할 수 있게 허용함으로서 규정 준수 및 규제 요구사항을 충족합니다. 지금까지 Apigee에서는 사용자가 인스턴스 리전 및 애널리틱스 리전을 선택할 수 있었습니다. 하지만 Apigee에는 또한 API 프록시 번들 또는 기타 고객 데이터와 같은 전역 인프라가 포함됩니다. 데이터 상주를 통해 제어 영역 위치를 선택하면 모든 고객 콘텐츠가 지정된 리전 내에 저장되도록 보장합니다.

Apigee는 FedRAMP High 및 기타 인증을 획득하는 중입니다. Apigee는 엔지니어링 측면에서 리전화된 스택을 구현했지만 실제 인증이 승인되기 전에는 계약상으로 데이터 상주를 보장할 수 없습니다.

데이터 상주 호환성

데이터 상주는 다음과 함께 사용될 수 있습니다.

Apigee 유료 조직(구독 및 사용한 만큼만 지불)

데이터 상주는 현재 다음과 함께 사용하도록 지원되지 않습니다.

Apigee Hybrid
Looker Studio 통합을 위한 미리보기 출시와 같은 미리보기 또는 베타 출시 기능
평가 조직
수익 창출
통합 포털
API 보안
데이터 수집기
리전화된 조직 이름이 조직 선택기에 표시되지 않기 때문에 apigee.google.com에서 브라우저 창에서 실행되는 Apigee. Google Cloud 콘솔에서 Apigee를 사용해야 합니다.

핵심 사항

Apigee 설치에 대해 데이터 상주가 사용 설정되었으면 다음 핵심 사항을 참조하세요.

데이터 상주는 Apigee를 프로비저닝할 때 사용 설정해야 합니다. 이미 프로비저닝된 조직에 대해서는 데이터 상주를 사용 설정할 수 없습니다.
기본적으로 Apigee 조직을 만들 때 데이터 상주(리전화)를 선택하지 않는 한 제어 영역이 전역 항목이며, 나중에 변경할 수 없습니다. 데이터 상주 및 제어 영역 위치를 선택한 다음에는 이를 변경할 수 없습니다. 나중에 다른 위치가 필요하면 Google Cloud 프로젝트를 새로 만들어야 합니다.
조직을 프로비저닝할 때:
- 데이터 상주를 사용하지 않는 경우: ANALYTICS_REGION으로 리전을 지정합니다.
- 데이터 상주를 사용하는 경우: CONTROL_PLANE_LOCATION으로 리전을 지정하고 CONSUMER_DATA_REGION으로 하위 리전을 지정합니다. 데이터 상주 리전을 참조하세요.
Apigee를 프로비저닝하는 관리자는 다음을 수행해야 합니다.
- API 개발자 및 기타 관리자와 같은 Apigee 사용자에게 데이터 상주 구성을 알립니다.
- 리소스 위치 제한에 설명된 대로 위치 조직 정책을 설정합니다.
Apigee 관리 API의 API 개발자, 관리자, 기타 사용자는 새 데이터 상주 API 서비스 엔드포인트를 사용해야 합니다.

데이터 상주 리전

데이터 상주를 사용하면 데이터가 저장된 위치를 프로비저닝하는 동안 리전(물리적 위치)을 선택할 수 있습니다.

리전을 지정할 때는(예: us) 또한 애널리틱스 보고서와 같이 단일 리전에서만 실행될 수 있는 기타 서비스에 대해 단일 리전(예: us-west1)을 지정해야 합니다.

모든 리소스는 지정된 리전 내에 있어야 합니다. 예를 들어 CONTROL_PLANE_LOCATION에 대해 us를 선택하면 런타임 인스턴스, 참조 CMEK, 엔드포인트 연결 등의 Apigee 리소스도 us 리전 내에 있어야 합니다.

데이터 상주를 선택할 때 저장되는 데이터 유형은 데이터 영역 데이터 및 소비자 데이터로 참조됩니다.

제어 영역 데이터는 애널리틱스 데이터, API 프록시, 대상 서버, 트러스트 저장소 및 런타임 간에 공유되는 기타 모든 항목입니다. 소비자 데이터는 단일 리전에서 실행되는 서비스에서 처리되는 애널리틱스 데이터입니다.

현재 지원되는 제어 영역 리전은 Apigee 위치를 참조하세요.

데이터 상주 서비스 엔드포인트

서비스 엔드포인트는 API 서비스의 네트워크 주소를 지정하는 기준 URL입니다.

Apigee API 서비스 엔드포인트 또는 호스트 이름은 apigee.googleapis.com입니다.

데이터 상주 없음:
서비스 엔드포인트를 다음과 같이 사용합니다.

apigee.googleapis.com

예를 들면 다음과 같습니다.

curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
데이터 상주:
제어 영역 리전을 서비스 엔드포인트에 추가합니다.

CONTROL_PLANE_LOCATION-apigee.googleapis.com
예를 들면 다음과 같습니다.

curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

여기에서 CONTROL_PLANE_LOCATION은 프로비저닝 중에 지정되었고 Apigee 제어 영역 데이터가 저장되는 물리적 위치입니다.

예를 들면 다음과 같습니다.

curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

리전 확인 방법

데이터 상주에 사용할 조직(PROJECT_ID)을 이미 프로비저닝했으면 getProjectMapping API를 사용해서 프로젝트와 연관된 리전을 표시합니다.

Google 사용자 인증 정보로 Cloud Platform에 액세스하도록 gcloud를 승인합니다.
```
gcloud auth login
```

API를 호출합니다.

curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
    -H "Authorization: Bearer $(gcloud auth print-access-token)"

여기서 PROJECT_ID는 Apigee 조직 이름 또는 Google Cloud 프로젝트 ID입니다.

다음과 비슷한 결과가 반환됩니다.

{
  "organization": "my-project",
  "projectIds": [
    "my-project"
  ],
  "projectId": "my-project"
  "location": "us"
}

데이터 상주 암호화

CMEK 소개를 참조하세요.

데이터 상주 및 조직 정책 제약조건

Google Cloud의 조직 정책 제약조건을 사용하면 Google Cloud 조직에 위치 기반 Google Cloud 리소스를 만들 수 있는 위치 집합을 정의할 수 있습니다. 리소스 위치 제약조건(constraints/gcp.resourceLocations)을 사용하는 Google Cloud 조직 정책이 있는 경우 제약조건은 Apigee가 프로비저닝될 때 생성되는 다음 Apigee 리소스에 적용됩니다.

리소스 위치 제약조건이 적용된 Google Cloud 프로젝트 내에서 새 Apigee 조직을 프로비저닝하는 경우 위치 제약조건이 Apigee 조직에 지정된 제어 영역 위치와 호환되는지 확인해야 합니다.

데이터 상주 없이 Apigee 조직을 프로비저닝하는 경우 Google Cloud 조직 정책에서 리소스 위치 제약조건을 global로 설정해야 합니다. Apigee 제어 영역은 기본적으로 전역 항목이므로 global 이외의 제약조건이 적용되면 프로비저닝이 실패합니다.
데이터 상주가 있는 Apigee 조직을 프로비저닝하는 경우 Google Cloud 조직 정책에 설정할 수 있는 모든 리소스 위치 제약조건이 제어 영역에 대해 선택한 리전을 제외하지 않는지 확인합니다. 그렇지 않으면 프로비저닝이 실패합니다.