Einführung in den Datenstandort

In diesem Dokument wird der Datenstandort für Apigee beschrieben.

Überblick

Für viele Branchen und Unternehmen führt die Verwendung eines Cloud-Angebots zu einer genaueren Kontrolle durch Sicherheits- und Compliance-Teams (die Daten, die in der Cloud gespeichert sind, wo sie gespeichert werden, wer Zugriff darauf hat und wer die Daten sieht). Darüber hinaus haben viele Länder Datenschutzgesetze verabschiedet, die verbieten, personenidentifizierbare Informationen (PII) außerhalb des Landes oder der Region zu speichern.

Der Datenstandort für Apigee erfüllt Compliance- und behördliche Anforderungen, indem Sie die geografischen Standorte (Regionen) angeben können, an denen Apigee-Daten gespeichert werden. In der Vergangenheit konnten Sie mit Apigee die Instanzregion und die Analyseregion auswählen. Apigee hat jedoch auch eine globale Infrastruktur wie ein API-Proxy-Bundle oder andere Kundendaten. Mit dem Datenstandort wird durch die Auswahl des Standorts der Steuerungsebene sichergestellt, dass alle Kundeninhalte in der angegebenen Region gespeichert werden.

Apigee ist gerade dabei, FedRAMP High und andere Zertifizierungen zu erwerben. Apigee hat den regionalisierten Stack auf Entwicklungsseite implementiert, kann den Datenstandort jedoch nicht vertraglich garantieren, bevor die eigentliche Zertifizierung genehmigt wurde.

Kompatibilität mit Datenstandorten

Der Datenstandort kann mit Folgendem verwendet werden:

• Apigee-Organisationen (Abo oder „Pay as you go“)
• Apigee Hybrid

Der Datenstandort wird derzeit nicht unterstützt für die Verwendung mit:

• Vorschau- oder Betarelease-Features wie der Vorschaurelease für die Looker Studio-Integration
• Eval-Organisationen
• Monetarisierung
• Integrierte Portale
• API-Sicherheit
• Daten-Collector
• Apigee wird in einem Browserfenster unter apigee.google.com ausgeführt, da die Namen der regionalen Organisationen nicht in der Organisationsauswahl angezeigt werden. Sie müssen Apigee in der Google Cloud Console verwenden.

Wichtige Fakten

Wenn der Datenstandort für Ihre Apigee-Installation aktiviert ist, beachten Sie die folgenden wichtigen Punkte:

• Der Datenstandort muss zu dem Zeitpunkt aktiviert sein, an dem Apigee bereitgestellt wird. Sie können den Datenstandort für eine bereits bereitgestellte Organisation nicht aktivieren.
• Standardmäßig ist die Steuerungsebene eine globale Entität, es sei denn, Sie wählen den Datenstandort (Regionalisierung) zum Zeitpunkt der Erstellung der Apigee-Organisation aus. Kann später nicht mehr geändert werden. Nachdem Sie den Datenstandort und den Standort der Steuerungsebene ausgewählt haben, können diese nicht mehr geändert werden. Wenn Sie später einen anderen Standort benötigen, müssen Sie ein neues Google Cloud-Projekt erstellen.
• Beim Bereitstellen einer Organisation:
  • Ohne Datenstandort: Geben Sie die Region mit ANALYTICS_REGION an.
  • Mit Datenstandort: Geben Sie die Region mit CONTROL_PLANE_LOCATION und die Subregion mit CONSUMER_DATA_REGION an. Siehe Datenstandortregionen.
• Der Administrator, der Apigee bereitstellt, muss:
  • Informieren Sie Apigee-Nutzer wie API-Entwickler und andere Administratoren über die Konfiguration des Datenstandorts.
  • Legen Sie die Standort-Organisationsrichtlinie fest, wie unter Ressourcenstandorte einschränken beschrieben.
• API-Entwickler, Administratoren oder andere Nutzer von Apigee Management APIs müssen den neuen Datenstandort-API-Dienstendpunkt verwenden.

Datenstandortregionen

Mit dem Datenstandort können Sie während der Bereitstellung die Region (physischer Standort) auswählen, in der Daten gespeichert werden.

Beim Angeben der Region (z. B. us) müssen Sie auch eine einzelne Region (z. B. us-west1) für andere Dienste angeben, die nur in einer einzelnen Region ausgeführt werden können, z. B.: Analytics-Berichte.

Alle Ressourcen müssen sich in der angegebenen Region befinden. Wenn Sie beispielsweise für die CONTROL_PLANE_LOCATION us auswählen, müssen sich die anderen Apigee-Ressourcen wie die Laufzeitinstanz, die auf CMEK, den Endpunktanhang usw. verweist, ebenfalls in der Region us befinden.

Der Datentyp, der gespeichert wird, wenn Sie den Datenstandort auswählen, wird als Daten der Steuerungsebene und Nutzerdaten bezeichnet.

Daten der Steuerungsebene sind Analysedaten, API-Proxys, Zielserver, Truststores und Schlüsselspeicher und alles andere, das von den Laufzeiten gemeinsam genutzt wird. Nutzerdaten sind Analysedaten, die von Diensten verarbeitet werden, die in einer einzelnen Region ausgeführt werden.

Die derzeit unterstützten Regionen der Steuerungsebene finden Sie unter Apigee-Standorte.

Dienstendpunkt des Datenstandorts

Ein Dienstendpunkt ist eine Basis-URL, die die Netzwerkadresse eines API-Dienstes angibt.

Der Apigee API-Dienstendpunkt oder Hostname ist apigee.googleapis.com.

• Kein Datenstandort:

  So verwenden Sie den Dienstendpunkt:

  apigee.googleapis.com

  Beispiel:

  curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

• Datenstandort:

  Stellen Sie dem Dienstendpunkt die Region der Steuerungsebene voran:

  CONTROL_PLANE_LOCATION-apigee.googleapis.com

  Beispiel:

  curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

  Dabei ist CONTROL_PLANE_LOCATION der physische Standort, der während der Bereitstellung angegeben wird, an dem Daten der Apigee-Steuerungsebene gespeichert werden.

  Beispiel:

  curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Region aufrufen

Wenn Sie Ihre Organisation (PROJECT_ID) bereits für die Verwendung mit dem Datenstandort bereitgestellt haben, können Sie mit der getProjectMapping API die einem Projekt zugeordneten Regionen anzeigen lassen:

1. So autorisieren Sie gcloud, mit Ihren Google-Nutzeranmeldedaten auf die Cloud Platform zuzugreifen:

   gcloud auth login

2. Rufen Sie die API auf:

   curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
       -H "Authorization: Bearer $(gcloud auth print-access-token)"

   Dabei ist PROJECT_ID der Name Ihrer Apigee-Organisation oder die Google Cloud-Projekt-ID.

   Es wird in etwa Folgendes zurückgegeben:

   {
     "organization": "my-project",
     "projectIds": [
       "my-project"
     ],
     "projectId": "my-project"
     "location": "us"
   }

Verschlüsselung des Datenstandorts

Siehe Einführung in CMEK

Einschränkungen für Datenstandort und Organisationsrichtlinien

Mit den Einschränkungen für Organisationsrichtlinien von Google Cloud können Sie eine Reihe von Standorten definieren, an denen standortbasierte Google Cloud-Ressourcen für Ihre Google Cloud-Organisation erstellt werden können. Wenn Sie eine Google Cloud-Organisationsrichtlinie haben, die eine Einschränkung des Ressourcenstandorts (constraints/gcp.resourceLocations) verwendet, gilt die Einschränkung für die folgenden Apigee-Ressourcen, die bei der Bereitstellung von Apigee erstellt werden:

• Steuerungsebene
• Nutzerdaten
• Laufzeit
• Endpoints-Anhang
• Analytics

Wenn Sie eine neue Apigee-Organisation in einem Google Cloud-Projekt mit einer angewendeten Ressourcenstandortbeschränkung bereitstellen, müssen Sie sicherstellen, dass die Standortbeschränkung mit dem für Ihre Apigee-Organisation angegebenen Standort der Steuerungsebene kompatibel ist:

• Wenn Sie eine Apigee-Organisation ohne Datenstandort bereitstellen, muss die Einschränkung des Ressourcenstandorts in der Google Cloud-Organisationsrichtlinie auf global festgelegt werden. Da die Apigee-Steuerungsebene standardmäßig eine globale Entität ist, schlägt die Bereitstellung fehl, wenn eine andere Einschränkung als global angewendet wird.
• Wenn Sie eine Apigee-Organisation mit Datenstandort bereitstellen, stellen Sie sicher, dass jegliche in Ihrer Google Cloud-Organisationsrichtlinie festgelegte Einschränkung des Ressourcenstandorts die Region nicht ausschließt, die Sie für die Daten Ihrer Steuerungsebene auswählen. Andernfalls schlägt die Bereitstellung fehl.