预配评估组织

本页面适用于 Apigee，但不适用于 Apigee Hybrid。

查看 Apigee Edge 文档。

本部分介绍如何使用 Apigee 预配向导设置 Apigee 评估组织（也称为 eval org）。如需了解详情，请参阅组织类型。

视频：观看此视频短片，了解如何设置和测试 Apigee 评估组织。

使用 Apigee 预配向导预配评估组织

此部分介绍如何使用 Apigee 预配向导创建评估组织。

开始使用

执行此任务所需的权限

Apigee 预配者必须具有足够的权限才能使用向导。要授予此权限，Google Cloud 管理员可以向 Apigee 预配者授予预定义的 Apigee Organization Admin 角色，也可以授予更为精细的权限来提供所需的最小权限。

请先确保您已满足前提条件，然后再继续操作。
创建 Google Cloud 项目（如果您尚未创建）。
在浏览器中启动 Apigee 预配向导。

Apigee 预配向导的设置 Apigee 窗格会显示：
在 Project 字段中输入您的 Google Cloud 项目 ID。

如果您没有项目的管理权限，或者项目不存在，则会看到一条错误消息。请确保您输入的项目 ID 正确无误，并且它是项目 ID 而非项目名称（如果二者不同的话）。

如果项目已与付费 Apigee 账号关联，则无法为该项目创建评估组织。请参阅预配 > 付费组织 > 准备工作，了解如何使用 Apigee 预配向导来预配付费组织。

注意：Apigee 预配向导会记录此项目的步骤。完成某个步骤后，您可以退出向导。当您返回到向导并再次输入项目 ID 时，系统将继续下一步。
点击开始评估。
Apigee 预配向导会显示设置 Apigee 评估页面。每完成一个步骤，下一步都会显示修改图标。

启用 API

执行此任务所需的权限

您可以向 Apigee 预配工具授予包含完成此任务所需的权限的预定义角色，也可以授予更精细的权限以提供所需的最小权限。请参阅预定义角色和 API 启用权限。

启用 Apigee 正常运行所需的 Google Cloud API。

点击启用 API 旁边的修改，为您的评估组织启用所需的 API。
在向导的“启用 API”窗格中点击启用 API。这会为您的项目启用 API：
- Apigee API
- Compute Engine API
- Service Networking API
请稍等片刻，待完成该步骤。此操作完成后，启用 API 步骤旁边会显示一个勾号，且会提供网络步骤。
提示：您可以在 Google Cloud Platform API 和服务信息中心中查看为项目启用的 API。

网络

执行此任务所需的权限

您可以向 Apigee 预配工具授予包含完成此任务所需的权限的预定义角色，也可以授予更精细的权限以提供所需的最小权限。请参阅预定义角色和服务网络权限。

为本地 Virtual Private Cloud (VPC) 设置网络。

点击网络旁边的修改。

设置网络窗格会显示：
从已获授权的网络下拉列表中选择网络。对于大多数评估组织，您需要选择 default，这是您在创建 Google Cloud 项目时 Google Cloud 为您创建的网络。如果您已有其他 Cloud 网络并希望使用该网络，请从列表中选择该网络。（请注意，网络必须具有可用的 /22 CIDR IP 地址块。）

如果您的项目使用的是共享虚拟私有云 (VPC) 网络，请选择管理项目网络设置的网络。如果在下拉列表中没有看到该网络，请让用户有权管理网络的用户登录以完成此步骤。然后，您可以返回到向导并继续操作。如需详细了解共享 VPC 网络，请参阅使用共享 VPC 网络。

选择网络后，向导会显示对等互连范围选择选项：
选择您希望 Apigee 为您的网络确定 IP 地址的方式。对于评估组织，最常见的选择是自动分配 IP 范围。如果您希望指定范围，请选择选择一个或多个现有的 IP 范围，或创建新 IP 范围。您必须指定名称和特定的 IP 范围，如 10.20.238.0/22。

点击分配并连接以继续操作。

向导会创建该网络，并为该网络中的服务分配 IP 地址。网络创建过程需要几分钟才能完成。

Apigee 评估组织

执行此任务所需的权限

您可以向 Apigee 预配者授予包含完成此任务所需的权限的预定义角色，也可以授予更精细的权限来提供所需的最小权限。请参阅预定义角色或组织创建权限（评估组织）。

创建 Apigee 评估组织。

点击 Apigee 评估组织旁边的修改。

创建 Apigee 评估组织窗格会显示：
选择分析托管区域和运行时位置。如需查看可用的 Apigee API Analytics 和运行时位置的列表，请参阅 Apigee 位置。
点击预配。

Apigee 预配向导会创建评估组织及其关联的运行时实例。评估组织的名称和 ID 与您的项目 ID 相同。

注意：此过程最多可能需要 45 分钟。
完成后，Apigee 评估组织步骤旁边会显示一个检查字段，并且系统将显示访问路由步骤。

访问路由

在此步骤中，您可以选择是将新集群公开给外部请求，还是不公开集群（并且仅允许来自 VPC 内的请求）。访问 API 代理的方式取决于您是决定是允许外部请求还是仅允许访问内部请求：

访问类型	配置和部署过程的说明
外部	允许从外部访问 API 代理。向导会为您将 Hello World 代理部署到运行时实例。然后，您可以从管理机器或能够访问互联网的任何机器向 API 代理发送请求。
内部	仅允许从内部访问 API 代理。向导会为您将 Hello World 代理部署到运行时实例。您必须在 VPC 中手动创建一个新虚拟机并连接到该虚拟机。您可以通过新虚拟机向 API 代理发送请求。注意：由于 Google Cloud 内部应用负载均衡器的限制，Apigee 内部路由选项不支持 HTTP 1.0 请求。指定 HTTP 1.0 协议的传入客户端请求将失败。支持更高版本的 HTTP。

访问类型

配置和部署过程的说明

外部

允许从外部访问 API 代理。

向导会为您将 Hello World 代理部署到运行时实例。然后，您可以从管理机器或能够访问互联网的任何机器向 API 代理发送请求。

内部

仅允许从内部访问 API 代理。

向导会为您将 Hello World 代理部署到运行时实例。您必须在 VPC 中手动创建一个新虚拟机并连接到该虚拟机。您可以通过新虚拟机向 API 代理发送请求。

按照“外部访问权限”或“内部访问权限”标签页中的步骤操作：

外部访问权限

本部分介绍如何使用 Apigee 预配向导来配置路由，并且您希望允许外部访问 API 代理。

执行此任务所需的权限

您可以向 Apigee 预配工具授予包含完成此任务所需的权限的预定义角色，也可以授予更精细的权限以提供所需的最小权限。请参阅预定义角色和访问路由权限。

如需在 Apigee 预配向导中配置外部访问权限的路由，请执行以下操作：

打开 Apigee 预配向导（如果其当前未打开）。该向导随即会返回列表中最新的不完整任务。
点击访问旁边的修改。
从“配置访问权限”面板中选择启用互联网访问权限。

向导显示了用于配置实例的其他选项：
对于网域设置，请输入您拥有的有效 DNS 名称，或使用通配符 DNS 服务，例如 nip.io。如果您选择通配符服务，则系统会为您保留一个静态外部 IP 地址。通配符选项易于使用，但仅用于测试目的。
（可选）您可以将虚拟机实例名称更改为更有意义的名称。在预配过程中，Apigee 会创建一个包含多个虚拟机的托管实例组 (MIG)，以代理负载均衡器和 Apigee 运行时之间的流量。如需更改虚拟机实例名称，请点击修改并进行更改。
选择用于托管虚拟机 MIG 的子网，以桥接到 Apigee 运行时。子网大小可以很小（例如 /28），因为它最多需要托管三个虚拟机。子网可以由虚拟机或其他实体共享和使用。
如果您使用的是通配符 DNS 服务，请注意，系统会为该网域创建 Google 管理的证书。您无需采取进一步的措施。另请参阅使用 Google 管理的 SSL 证书。

若您使用自己的网域，请选择是提供您管理的证书还是使用 Google 管理的证书：
- 提供自行管理的证书：
  1. 生成一个证书/密钥对（如果您还没有证书）。对于测试环境，该证书可以是自签名证书。对于生产系统，您应该使用由证书授权机构签名的证书。请参阅使用自行管理的 SSL 证书。
  2. 在相应的字段中，浏览文件系统并附加包含证书和私钥的文件。两者都必须采用 PEM 格式。
- 使用由 Google 管理的证书。如需使用由 Google 管理的证书，请勿输入签名的证书或 RSA 私钥。系统将为您创建 Google 管理的证书。
点击设置访问权限。

Apigee 会准备好集群以供外部访问。这包括设置 MIG 以代理流量、创建防火墙规则、上传证书以及创建负载均衡器。

此过程可能需要几分钟时间才能完成。
在 Apigee 设置完运行时的访问权限后，您会发现向导中的所有步骤旁边都有一个蓝色对勾标记：
点击继续。

向导会显示 建议的后续步骤：显示的步骤取决于您使用的是自己的 DNS 名称还是通配符 DNS。

注意：DNS 更改会立即发布，但可能需要一段时间才能传播。由于这种延迟，您最多可能需要等待一个小时才能调用示例代理。
- 如果您指定了自己的域名，请转到您的域名注册商，为域名托管服务商创建一条记录，指向向导中显示的 IP 地址。完成此操作后，点击启动以调用为您部署的 API 代理。
- 如果您使用的是通配符 DNS，只需点击启动即可调用为您部署的 hello-world API 代理。
（可选）为您的组织添加用户和角色。请参阅用户和角色。

现在，您已完成配置对 API 代理的外部互联网访问权限的步骤。

内部访问权限

本部分介绍如何使用 Apigee 预配向导时配置路由，并且不希望允许外部访问 API 代理。相反，您希望限制最初来自 VPC 内部的内部内部请求。

如需在 Apigee 预配向导中配置内部访问权限的路由，请执行以下操作：

点击“访问路由”步骤旁边的修改。
在配置对“eval-group”环境组的访问权限面板中选择无法访问互联网。
点击继续。
您会注意到，向导中的所有步骤旁边都会显示蓝色对勾标记。这表示所有步骤都已成功完成：
点击继续。
如需测试新预配的组织，请按照调用具有仅限内部访问权限的 API 代理中的说明操作。在这些步骤中，您将在 VPC 中创建一个虚拟机 (VM)，以便将 API 代理请求发送到内部负载均衡器，从而将请求转发到 Apigee 运行时实例。为方便起见，预配向导为您创建并部署了一个名为 hello-world 的测试代理。
（可选）为您的组织添加用户和角色。请参阅用户和角色。

如果您在此过程的这个过程中遇到错误，请参阅问题排查。

查看组织详细信息

最后，打开 Apigee 界面以查看有关您组织的详细信息。

执行此任务所需的权限

如果您具有 Apigee Org Admin 角色，则可以完成此任务。如需了解可用于使用 Apigee 界面的其他角色，请参阅 Apigee 角色。

点击打开 API 控制台，打开 Apigee 界面。
确保已在 Apigee 界面中选择您刚刚创建的项目。例如：

如果您刚创建的组织并非所选的组织，请点击项目名称以展开项目列表。

如果您的项目不在可用项目列表中，您可能需要等待片刻才能看到它。刷新浏览器，然后再次检查。

点击管理以查看组织的配置：

位置	属性	值
管理 > 实例	名称	`eval-instance`
	IP 地址	这是组织的内部负载均衡器 IP 地址。
管理 > 环境 > 概览	环境名称	`eval`
管理 > 环境 > 群组	环境组	`eval-group`
管理 > 环境 > 群组	主机名	`PROJECT_NAME-eval.apigee.net`

点击 开发 > API 代理。当您预配评估组织时，Apigee 会为您创建名为 hello-world 的 API 代理。

位置	属性	值
开发 > API 代理	API 代理	`hello-world`

删除评估组织

如需删除（或取消预配）评估组织，请使用 gcloud alpha apigee organizations delete 命令。