Einführung in den Datenstandort

In diesem Dokument wird der Datenstandort für Apigee beschrieben.

Überblick

Für viele Branchen und Unternehmen führt die Verwendung eines Cloud-Angebots zu einer genaueren Kontrolle durch Sicherheits- und Compliance-Teams (die Daten, die in der Cloud gespeichert sind, wo sie gespeichert werden, wer Zugriff darauf hat und wer die Daten sieht). Darüber hinaus haben viele Länder Datenschutzgesetze verabschiedet, die verhindern, dass personenbezogene Daten außerhalb des Landes oder der Region gespeichert werden.

Der Datenstandort für Apigee erfüllt die Compliance- und behördlichen Anforderungen, da Sie die geografischen Standorte (Regionen) angeben können, in denen Apigee-Daten gespeichert sind. In der Vergangenheit konnten Sie Apigee verwenden, um die Instanz- und die Analyseregion auszuwählen. Apigee hat jedoch auch eine globale Infrastruktur, z. B. ein API-Proxy-Bundle oder andere Kundendaten. Mit dem Datenstandort wird durch die Auswahl des Speicherorts der Steuerungsebene sichergestellt, dass alle Kundeninhalte innerhalb der angegebenen Region gespeichert werden.

Apigee ist gerade dabei, FedRAMP High und andere Zertifizierungen zu erwerben. Apigee hat den regionalisierten Stack von der Entwicklerseite implementiert, kann jedoch den Datenstandort nicht vertraglich garantieren, bevor die tatsächliche Zertifizierung genehmigt wird.

Kompatibilität des Datenstandorts

Der Datenstandort kann so verwendet werden:

• Kostenpflichtige Apigee-Organisationen (Abo und Pay-as-you-go)
• Apigee Hybrid

Der Datenstandort wird derzeit nicht unterstützt für die Verwendung mit:

• Vorschau- oder Betarelease-Features wie der Vorschaurelease für die Looker Studio-Integration
• Eval-Organisationen
• Monetarisierung
• Integrierte Portale
• API-Sicherheit
• Datenerfassungsmodul
• Apigee wird in einem Browserfenster unter apigee.google.com ausgeführt, da die regionalen Organisationsnamen nicht in der Organisationsauswahl angezeigt werden. Sie müssen Apigee in der Google Cloud Console verwenden.

Wichtige Fakten

Wenn der Datenstandort für Ihre Apigee-Installation aktiviert ist, beachten Sie die folgenden wichtigen Punkte:

• Der Datenstandort muss aktiviert werden, wenn Apigee bereitgestellt wird. Sie können den Datenstandort für eine bereits bereitgestellte Organisation nicht aktivieren.
• Standardmäßig ist die Steuerungsebene eine globale Entität, es sei denn, Sie wählen den Datenstandort (Regionalisierung) zum Zeitpunkt der Erstellung der Apigee-Organisation aus. Kann später nicht mehr geändert werden. Nachdem Sie den Datenstandort und den Standort der Steuerungsebene ausgewählt haben, können sie nicht mehr geändert werden. Wenn Sie später einen anderen Standort benötigen, müssen Sie ein neues Google Cloud-Projekt erstellen.
• Bei der Bereitstellung einer Organisation:
  • Ohne Datenstandort: Geben Sie die Region mit ANALYTICS_REGION an.
  • Mit Datenstandort: Geben Sie die Region mit CONTROL_PLANE_LOCATION und die Unterregion mit CONSUMER_DATA_REGION an. Siehe Regionen für Datenstandort.
• Der Administrator, der Apigee bereitstellt, muss Folgendes tun:
  • Informieren Sie Apigee-Nutzer wie API-Entwickler und andere Administratoren über die Konfiguration des Datenstandorts.
  • Legen Sie die Organisationsrichtlinie für Standorte fest, wie unter Ressourcenstandorte einschränken beschrieben.
• API-Entwickler, Administratoren oder andere Nutzer von Apigee Management APIs müssen den neuen Datenstandort-API-Dienstendpunkt verwenden.

Datenstandortregionen

Mit dem Datenstandort können Sie die Region (physischen Standort) während der Bereitstellung auswählen, in der Daten gespeichert werden.

Wenn Sie die Region angeben (z. B. us), müssen Sie auch eine einzelne Region (z. B. us-west1) für andere Dienste angeben, die nur in einer einzelnen Region ausgeführt werden können, z. B.: Analytics-Berichte

Alle Ressourcen müssen sich in der angegebenen Region befinden. Wenn Sie beispielsweise für die CONTROL_PLANE_LOCATION us auswählen, müssen sich die anderen Apigee-Ressourcen wie die Laufzeitinstanz, die auf CMEK, den Endpunktanhang usw. verweist, ebenfalls in der Region us befinden.

Der Datentyp, der bei der Auswahl des Datenstandorts gespeichert wird, wird als Daten der Steuerungsebene und Nutzerdaten bezeichnet.

Daten der Steuerungsebene sind Analysedaten, API-Proxys, Zielserver, Truststores und Schlüsselspeicher und alle anderen von Laufzeiten gemeinsam genutzten Daten. Verbraucherdaten sind Analysedaten, die von Diensten verarbeitet werden, die in einer einzelnen Region ausgeführt werden.

Die derzeit unterstützten Regionen der Steuerungsebene finden Sie unter Apigee-Standorte.

Dienstendpunkt des Datenstandorts

Ein Dienstendpunkt ist eine Basis-URL, die die Netzwerkadresse eines API-Dienstes angibt.

Der Apigee API-Dienstendpunkt oder Hostname ist apigee.googleapis.com.

• Kein Datenstandort:

  So verwenden Sie den Dienstendpunkt:

  apigee.googleapis.com

  Beispiel:

  curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

• Datenstandort:

  Stellen Sie dem Dienstendpunkt die Region der Steuerungsebene voran:

  CONTROL_PLANE_LOCATION-apigee.googleapis.com

  Beispiel:

  curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

  Dabei ist CONTROL_PLANE_LOCATION der physische Standort, der während der Bereitstellung angegeben wird, an dem Apigee-Steuerungsebenendaten gespeichert werden.

  Beispiel:

  curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Region aufrufen

Wenn Sie Ihre Organisation (PROJECT_ID) bereits für den Datenstandort bereitgestellt haben, können Sie die getProjectMapping API verwenden, um die mit einem Projekt verknüpften Regionen aufzurufen:

1. So autorisieren Sie gcloud mit Ihren Google-Nutzeranmeldedaten, um auf die Cloud Platform zuzugreifen:

   gcloud auth login

2. API aufrufen:

   curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
       -H "Authorization: Bearer $(gcloud auth print-access-token)"

   Dabei ist PROJECT_ID der Name Ihrer Apigee-Organisation oder Ihre Google Cloud-Projekt-ID.

   Es wird in etwa Folgendes zurückgegeben:

   {
     "organization": "my-project",
     "projectIds": [
       "my-project"
     ],
     "projectId": "my-project"
     "location": "us"
   }

Verschlüsselung des Datenstandorts

Einführung in CMEK

Einschränkungen für Datenstandort und Organisationsrichtlinien

Mit den Einschränkungen für Organisationsrichtlinien von Google Cloud können Sie eine Reihe von Standorten definieren, an denen standortbasierte Google Cloud-Ressourcen für Ihre Google Cloud-Organisation erstellt werden können. Wenn Sie eine Google Cloud-Organisationsrichtlinie haben, die eine Einschränkung des Ressourcenstandorts (constraints/gcp.resourceLocations) verwendet, gilt die Einschränkung für die folgenden Apigee-Ressourcen, die bei der Bereitstellung von Apigee erstellt werden:

• Steuerungsebene
• Nutzerdaten
• Laufzeit
• Endpoints-Anhang
• Analytics

Wenn Sie eine neue Apigee-Organisation in einem Google Cloud-Projekt mit angewendeter Ressourcenstandortbeschränkung bereitstellen, müssen Sie sicherstellen, dass die Standortbeschränkung mit dem für Ihre Apigee-Organisation angegebenen Standort der Steuerungsebene kompatibel ist:

• Wenn Sie eine Apigee-Organisation ohne Datenstandort bereitstellen, muss die Einschränkung des Ressourcenstandorts in der Google Cloud-Organisationsrichtlinie auf global festgelegt werden. Da die Apigee-Steuerungsebene standardmäßig eine globale Entität ist, schlägt die Bereitstellung fehl, wenn eine andere Einschränkung als global angewendet wird.
• Wenn Sie eine Apigee-Organisation mit Datenstandort bereitstellen, prüfen Sie, ob eine in Ihrer Google Cloud-Organisationsrichtlinie festgelegte Einschränkung des Ressourcenstandorts die Region nicht ausschließt, die Sie für Ihre Steuerungsebene auswählen. . Andernfalls schlägt die Bereitstellung fehl.