Evaluierungsorganisation mit VPC-Peering bereitstellen

Diese Seite gilt für Apigee, aber nicht für Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Zusammenfassung der Schritte

In diesem Dokument wird erläutert, wie Sie eine Organisation (oder Evaluierungsorganisation) von Apigee über die Befehlszeile installieren und konfigurieren. Evaluierungsorganisationen laufen nach 60 Tagen ab und können weitere Einschränkungen haben. Siehe auch Vergleich von Evaluierungs- und bezahlten Organisationen.

Dazu sind folgende Schritte erforderlich:

Schritt 1: Umgebungsvariablen definieren: Richten Sie gcloud ein und definieren Sie Umgebungsvariablen. Die Google Cloud CLI verwaltet Authentifizierung, lokale Konfiguration, Entwickler-Workflow und Interaktionen mit den Google Cloud APIs.
Schritt 2: APIs aktivieren: Für Apigee müssen Sie mehrere Google Cloud APIs aktivieren.
Schritt 3: Dienstnetzwerk konfigurieren: Das Dienstnetzwerk automatisiert die Einrichtung privater Verbindungen (mit VPC-Netzwerk-Peering) zwischen Ihrem Netzwerk und Apigee.
Schritt 4: Organisation erstellen: Eine Apigee-Organisation (manchmal auch als Org bezeichnet) ist der oberste Container in Apigee. Sie enthält alle Umgebungen und Umgebungsgruppen, Nutzer, API-Proxys und zugehörigen Ressourcen.
Schritt 5: Routing konfigurieren: Erlauben Sie den externen Zugriff oder den internen Zugriff auf Ihre API.
Schritt 6: Beispiel-API-Proxy aufrufen: Testen Sie die Bereitstellung, indem Sie einen API-Proxy bereitstellen und aufrufen.

Schritt 1: Umgebungsvariablen definieren

Richten Sie gcloud ein und definieren Sie Umgebungsvariablen zur Verwendung in späteren Schritten:

Prüfen Sie, ob die unter Voraussetzungen aufgeführten Einrichtungsanforderungen erfüllt sind.
Die gcloud-Befehlszeile muss installiert sein. Weitere Informationen zur Installation finden Sie unter gcloud-CLI installieren.
Initialisieren Sie die gcloud-Befehlszeile wie unter gcloud-Befehlszeile initialisieren beschrieben. Wenn die Befehlszeile bereits initialisiert ist, prüfen Sie, ob das unter Voraussetzungen erstellte Google Cloud-Projekt das Standardprojekt für gcloud ist.
Legen Sie die folgenden Umgebungsvariablen fest:
```
AUTH="Authorization: Bearer $(gcloud auth print-access-token)"
PROJECT_ID="YOUR_PROJECT_ID"
RUNTIME_LOCATION="YOUR_RUNTIME_LOCATION"
ANALYTICS_REGION="YOUR_ANALYTICS_REGION"
```
Dabei gilt:
- AUTH definiert den Header Authentication mit einem Inhabertoken. Dieser Header wird beim Aufrufen von Apigee APIs verwendet. Beachten Sie, dass das Token nach einer gewissen Zeit abläuft. Wenn dies der Fall ist, können Sie es einfach mit demselben Befehl neu generieren. Weitere Informationen finden Sie auf der Referenzseite für den Befehl print-access-token.
- PROJECT_ID ist die Cloud-Projekt-ID, die Sie als eine der Voraussetzungen erstellt haben.
- RUNTIME_LOCATION ist der physische Standort, an dem sich die Apigee-Instanz befindet. Eine Liste der verfügbaren Laufzeitstandorte finden Sie unter Apigee-Standorte.
  
  Hinweis: Verwenden Sie für RUNTIME_LOCATION unbedingt einen Regionsnamen und keinen Zonennamen. Beispielsweise ist us-west1 ein Regionsname, während us-west1-a eine Zone in der Region ist. Siehe auch Region oder Zone identifizieren.
- ANALYTICS_REGION ist der physische Standort, an dem Apigee-Analysedaten gespeichert werden. Eine Liste der verfügbaren Apigee API Analytics-Regionen finden Sie unter Apigee-Standorte.
  
  RUNTIME_LOCATION und RUNTIME_LOCATION können sich zwar auf dieselbe Region beziehen, müssen aber nicht identisch sein. Unter Umständen verbessert die Übereinstimmung aber die Leistung.

(Optional) Um Ihre Arbeit zu testen, rufen Sie die soeben festgelegten Werte ab. Wenn Sie in Ihren Befehlen eine Variable verwenden möchten, stellen Sie dem Variablennamen ein Dollarzeichen ($) voran.

echo $AUTH
echo $PROJECT_ID
echo $RUNTIME_LOCATION
echo $ANALYTICS_REGION

Die Antworten auf Ihre echo-Befehle sollten etwa so aussehen:

Authorization: Bearer ya29.a123456678940B63hPSAMPLEsampleKKYVsample0f3pWDWZDuH2-hENkNa
TvgZ1PD977TMvv6edBQPJezdHw040880Ol_LoD5ZDkt-i-knizia_KhA9L20sSvztL81-SAMPLE42ELPMASk2_
1CxN
my-cloud-project
us-west1
us-west1

Schritt 2: APIs aktivieren

Erforderliche Berechtigungen für diese Aufgabe

Sie können dem Apigee-Bereitsteller eine vordefinierte Rolle mit den Berechtigungen zuweisen, die zum Ausführen dieser Aufgabe erforderlich sind, oder detailliertere Berechtigungen erteilen, um die geringstmögliche Berechtigung zu gewähren. Weitere Informationen finden Sie unter Vordefinierte Rollen und API-Aktivierungsberechtigungen.

Für Apigee müssen Sie mehrere Google Cloud APIs aktivieren. Aktivieren Sie diese mit dem Befehl services enable:

gcloud services enable apigee.googleapis.com \
  servicenetworking.googleapis.com compute.googleapis.com \
  cloudkms.googleapis.com --project=$PROJECT_ID

(Optional) Rufen Sie zum Prüfen Ihrer Arbeit mit dem Befehl services list alle aktivierten APIs auf:
```
gcloud services list
```
Die Antwort zeigt alle aktivierten Dienste, einschließlich der APIs, die Sie gerade aktiviert haben (Apigee, Service Networking, Cloud KMS und Compute Engine).

Schritt 3: Dienstnetzwerk konfigurieren

Wichtig: Wenn Sie bereits einen Peering-Bereich und eine private Verbindung mit servicenetworking.googleapis.com haben und Ihr Bereich ist groß genug, um einen weiteren /22- und /28-CIDR-Bereich zu verarbeiten, können Sie diesen Schritt überspringen. Apigee erstellt die erforderlichen CIDR-Blöcke für Sie. Dieser Schritt ist nur erforderlich, wenn Sie noch keinen Bereich erstellt haben, der Platz zum Erstellen eines /22- und /28-Blocks bietet, oder wenn Sie einen bestimmten /22- und /28-Block verwenden möchten, der derzeit nicht vorhanden ist.

Erforderliche Berechtigungen für diese Aufgabe

Erstellen Sie folgende Umgebungsvariablen:
```
RANGE_NAME=YOUR_RANGE_NAME
NETWORK_NAME=YOUR_NETWORK_NAME
```
Dabei gilt:
- RANGE_NAME ist der Name des IP-Adressbereichs, den Sie erstellen. Sie können diesen Bereich beliebig benennen. Beispiel: google-svcs
- NETWORK_NAME ist der Name der Netzwerkressource, in der die Adressen reserviert werden sollen. Google erstellt für jedes neue Projekt ein Standardnetzwerk namens default, das Sie verwenden können. Google empfiehlt jedoch, das Standardnetzwerk ausschließlich für Tests zu verwenden.
  Hinweis: Wenn Sie ein anderes vorhandenes Cloud-Netzwerk nutzen möchten, geben Sie dessen Namen ein. Beachten Sie, dass für das Netzwerk ein CIDR-Block /22 für IP-Adressen frei sein muss.
Erstellen Sie einen IP-Bereich mit einer CIDR-Länge von /22:
```
gcloud compute addresses create $RANGE_NAME \
  --global \
  --prefix-length=22 \
  --description="Peering range for Apigee services" \
  --network=$NETWORK_NAME \
  --purpose=VPC_PEERING \
  --addresses=OPTIONAL_ADDRESSES \
  --project=$PROJECT_ID
```
Dabei können Sie mit --addresses optional eine oder mehrere Adress-IP-Adressen für die Präfixlänge von /22 angeben. Wenn Sie beispielsweise den CIDR-Block 192.168.0.0/22 zuordnen möchten, geben Sie 192.168.0.0 für die Adresse und 22 für die Präfixlänge an. Weitere Informationen finden Sie unter IP-Zuordnung erstellen.

Wenn Sie den Parameter --addresses nicht angeben, wählt gcloud einen verfügbaren Adressbereich für Sie aus.

Bei Erfolg gibt gcloud Folgendes zurück:
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/addresses/google-svcs].
```
Wenn Sie einen Bereich von IP-Adressen erstellt haben, sind die Adressen mit dem Projekt verknüpft, bis Sie sie wieder freigeben.
Erstellen Sie einen zweiten IP-Bereich mit einer CIDR-Länge von /28. Dieser Bereich wird von Apigee zur Fehlerbehebung verwendet und kann nicht angepasst oder geändert werden.
```
gcloud compute addresses create google-managed-services-support-1 \
  --global \
  --prefix-length=28 \
  --description="Peering range for supporting Apigee services" \
  --network=$NETWORK_NAME \
  --purpose=VPC_PEERING \
  --addresses=OPTIONAL_ADDRESSES \
  --project=$PROJECT_ID
```
Dabei können Sie mit --addresses optional eine oder mehrere Adress-IP-Adressen für die Präfixlänge von /28 angeben. Wenn Sie beispielsweise den CIDR-Block 192.168.0.0/28 zuordnen möchten, geben Sie 192.168.0.0 für die Adresse und 28 für die Präfixlänge an. Weitere Informationen finden Sie unter IP-Zuordnung erstellen.

Wenn Sie den Parameter --addresses nicht angeben, wählt gcloud einen verfügbaren Adressbereich für Sie aus.
Nutzen Sie den folgenden Befehl, um Ihre Dienste mit dem Netzwerk zu verbinden:
```
gcloud services vpc-peerings connect \
  --service=servicenetworking.googleapis.com \
  --network=$NETWORK_NAME \
  --ranges=$RANGE_NAME,google-managed-services-support-1 \
  --project=$PROJECT_ID
```
Dieser Vorgang kann einige Minuten dauern. Bei Erfolg gibt gcloud Folgendes zurück:
```
Operation "operations/OPERATION_ID" finished successfully.
```
Dabei ist OPERATION_ID die UUID des LRO (Vorgang mit langer Ausführungszeit).

Apigee stellt eine Verbindung zwischen Ihrem Netzwerk und den Google-Diensten her. Insbesondere verbindet Apigee Ihr Projekt über VPC-Peering mit der Service Networking API. Apigee verknüpft außerdem IP-Adressen mit Ihrem Projekt.

Schritt 4: Organisation erstellen

Eine Organisation ist der übergeordnete Container in Apigee. Sie enthält alle Ihre API-Proxys und die zugehörigen Ressourcen. Weitere Informationen finden Sie unter Informationen zu Organisationen.

Erforderliche Berechtigungen für diese Aufgabe

Erstellen Sie mit dem Befehl gcloud alpha organizations eine neue Evaluierungsorganisation.

gcloud alpha apigee organizations provision \
  --runtime-location=$RUNTIME_LOCATION \
  --analytics-region=$ANALYTICS_REGION \
  --authorized-network=$NETWORK_NAME \
  --project=$PROJECT_ID

Dabei ist --authorized-network der Name Ihres benutzerdefinierten Peering-Netzwerks. Beispiel: default

Wenn Sie den Befehl provision ausführen, startet Google einen LRO, um die Evaluierungsorganisation zu erstellen. Dieser Vorgang dauert bis zu 40 Minuten. Während dieser Zeit wird von gcloud Folgendes angezeigt:
```
Provisioning organization...
```
Hinweis: Mit dem Befehl provision können nur Evaluierungsorganisationen erstellt werden. Er kann nicht zum Erstellen von Produktionsorganisationen verwendet werden.

Wenn die Evaluierungsorganisation und die zugehörige Laufzeitinstanz erstellt werden, gibt gcloud Folgendes zurück:
```
Provisioning organization...done.
```

Wenn Sie den folgenden Befehl ausführen:

gcloud alpha apigee operations list --organization=$PROJECT_ID

sollten alle UUIDs im Status FINISHED sein. Beispiel:

UUID                                  ORGANIZATION  STATE
00bab06f-c60c-41a5-4242-7SAMPLE7f     my-org        FINISHED
429790a7-3151-4642-4343-7SAMPLE7f     my-org        FINISHED
d00a92a9-9b83-4642-4343-7SAMPLE7f     my-org        FINISHED
f48a00ff-7daa-4c4a-4444-7SAMPLE7f     my-org        FINISHED

Schritt 5: Routing konfigurieren

Legen Sie fest, ob auch der externe Zugriff oder nur der interne Zugriff zulässig sein soll:

Zugriffstyp	Beschreibung des Konfigurations- und Bereitstellungsprozesses
Intern	Nur internen Zugriff auf Ihre API-Proxys erlauben. Sie müssen eine neue VM im Netzwerk erstellen und eine Verbindung zu ihr herstellen. Von der neuen VM aus können Sie eine Anfrage an einen Apigee API-Proxy senden.
Extern	Erlaubt den externen Zugriff auf API-Proxys. Verwenden Sie Private Service Connect (PSC), um eine private Verbindung zwischen einem Dienstersteller (Apigee) und einem Dienstnutzer (dem Peering-VPC-Projekt und/oder einem oder mehreren anderen Cloud-Projekten zu ermöglichen, über die Sie die Kontrolle haben). Bei dieser Methode werden Anfragen über einen globalen externen Load-Balancer an einen einzigen Zugriffspunkt namens Service Attachment weitergeleitet. Mit dieser Konfiguration können Sie Apigee API-Proxy-Anfragen von jeder netzwerkfähigen Maschine aus senden.

Zugriffstyp

Beschreibung des Konfigurations- und Bereitstellungsprozesses

Intern

Nur internen Zugriff auf Ihre API-Proxys erlauben.

Sie müssen eine neue VM im Netzwerk erstellen und eine Verbindung zu ihr herstellen. Von der neuen VM aus können Sie eine Anfrage an einen Apigee API-Proxy senden.

Extern

Erlaubt den externen Zugriff auf API-Proxys.

Verwenden Sie Private Service Connect (PSC), um eine private Verbindung zwischen einem Dienstersteller (Apigee) und einem Dienstnutzer (dem Peering-VPC-Projekt und/oder einem oder mehreren anderen Cloud-Projekten zu ermöglichen, über die Sie die Kontrolle haben). Bei dieser Methode werden Anfragen über einen globalen externen Load-Balancer an einen einzigen Zugriffspunkt namens Service Attachment weitergeleitet. Mit dieser Konfiguration können Sie Apigee API-Proxy-Anfragen von jeder netzwerkfähigen Maschine aus senden.

Jeder dieser Routing-Ansätze wird in einem Tab in der folgenden Anleitung beschrieben.

Internes Routing

Sie können keine Aufgaben für diesen Schritt ausführen, wenn Sie die API-Proxy ausschließlich über die Befehlszeile für den internen Zugriff einrichten. Sie können direkt mit Schritt 6: Beispiel-API-Proxy aufrufen fortfahren, wo Sie eine Anfrage an Ihren API-Proxy senden.

Externes Routing

In diesem Abschnitt wird beschrieben, wie Sie das externe Routing mit Private Service Connect (PSC) konfigurieren, um die Kommunikation zwischen Apigee und Ihren verwalteten VPCs zu ermöglichen. Dies ist erforderlich, bevor eine Anfrage von einem externen Client an Ihre Apigee-Laufzeitinstanz gesendet werden kann.

Erforderliche Berechtigungen für diese Aufgabe

Die externen Konfigurationsschritte sind:

Schritt 5a: Netzwerk-Endpunktgruppe erstellen (NEG)
Schritt 5b: Load-Balancer konfigurieren

Jeder dieser Schritte wird in den folgenden Abschnitten beschrieben.

Schritt 5b: Netzwerk-Endpunktgruppe (NEG) erstellen

Rufen Sie den Dienstanhang für Ihre Apigee-Instanz ab:

curl -i -X GET -H "$AUTH" \
  "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances"

In der folgenden Beispielausgabe ist der Wert serviceAttachment fett dargestellt:

{
  "instances": [
    {
      "name": "eval-instance",
      "location": "us-west1",
      "host": "10.72.100.2",
      "port": "443",
      "createdAt": "1657832463500",
      "lastModifiedAt": "1657833920670",
      "state": "ACTIVE",
      "peeringCidrRange": "SLASH_22",
      "runtimeVersion": "1-8-0-apigee-18",
      "ipRange": "10.74.100.0/28,10.74.100.16/28",
      "consumerAcceptList": [
        "apigee-eval-test"
      ],
      "serviceAttachment": "projects/s8da1b0111eb33765-tp/regions/us-west1/serviceAttachments/apigee-us-west1-icza"
    }
  ]
}

Hinweis: Die ID des Projekts, mit dem Sie Ihre Apigee-Organisation erstellt haben, wird immer in der Liste consumerAcceptList angezeigt. In der oben gezeigten Beispielausgabe ist dies das einzige Projekt in der Liste.

Erstellen Sie eine Private Service Connect-Netzwerk-Endpunktgruppe (NEG), die auf den Dienstanhang verweist, den Sie im vorherigen Schritt aus dem Antworttext der Instanz abgerufen haben.
```
gcloud compute network-endpoint-groups create NEG_NAME \
  --network-endpoint-type=private-service-connect \
  --psc-target-service=TARGET_SERVICE \
  --region=$RUNTIME_LOCATION \
  --network=$NETWORK_NAME \
  --subnet=SUBNET_NAME \
  --project=$PROJECT_ID
```
Ersetzen Sie Folgendes:
- NEG_NAME ist ein Name für die Netzwerk-Endpunktgruppe.
- TARGET_SERVICE ist der Dienstanhang, mit dem Sie eine Verbindung herstellen möchten. Beispiel: projects/bfac7497a40c32a12p-tp/regions/us-west1/serviceAttachments/apigee-us-west1-crw7
- SUBNET_NAME: Name des Subnetzes, das für die private Verbindung zum Ersteller verwendet wird. Die Subnetzgröße kann klein sein: Die PSC NEG benötigt nur eine IP-Adresse aus dem Subnetz. Für Apigee ist nur eine PSC-NEG pro Region erforderlich. Das Subnetz kann von VMs oder anderen Entitäten gemeinsam genutzt und verwendet werden. Wenn kein Subnetz angegeben ist, können Netzwerkendpunkte zu einem Subnetzwerk in der Region gehören, in der die Netzwerk-Endpunktgruppe erstellt wird.
  HINWEIS: Wenn Sie den Parameter --network angeben, müssen Sie auch --subnet angeben.

Schritt 5b: Load-Balancer konfigurieren

Konfigurieren Sie einen globalen externen HTTP(S)-Load-Balancer (das Load-Balancing-Schema ist auf EXTERNAL_MANAGED gesetzt).

Obwohl die Private Service Connect-NEG regional ist, sind alle anderen Load-Balancing-Komponenten in dieser Konfiguration global.

Reservieren Sie eine globale externe IPv4-Adresse für den Load-Balancer.
```
gcloud compute addresses create ADDRESS_NAME \
  --ip-version=IPV4 --global --project=$PROJECT_ID
```
Ersetzen Sie ADDRESS_NAME durch einen Namen für die IP-Adressressource

Führen Sie diesen Befehl aus, um die reservierte IP-Adresse aufzurufen:
```
gcloud compute addresses describe ADDRESS_NAME \
  --format="get(address)" --global --project=$PROJECT_ID
```

Erstellen Sie einen neuen Backend-Dienst für die NEG.

gcloud compute backend-services create BACKEND_SERVICE_NAME \
  --load-balancing-scheme=EXTERNAL_MANAGED \
  --protocol=HTTPS \
  --global --project=$PROJECT_ID

Ersetzen Sie BACKEND_SERVICE_NAME durch den Namen des Backend-Dienstes.

Fügen Sie dem Backend-Dienst die NEG hinzu:

gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
  --network-endpoint-group=NEG_NAME \
  --network-endpoint-group-region=$RUNTIME_LOCATION \
  --global --project=$PROJECT_ID

Ersetzen Sie Folgendes:

BACKEND_SERVICE_NAME ist der Name des Backend-Dienstes.
NEG_NAME ist der Name der Netzwerk-Endpunktgruppe.

Erstellen Sie eine URL-Zuordnung für den Load-Balancer.

Eine URL-Zuordnung muss auf einen Standard-Backend-Dienst verweisen. Legen Sie den Backend-Dienst fest, den Sie gerade als Standard erstellt haben.
```
gcloud compute url-maps create URL_MAP_NAME \
  --default-service=DEFAULT_BACKEND_SERVICE_NAME \
  --global --project=$PROJECT_ID
```
Ersetzen Sie dabei Folgendes:
- URL_MAP_NAME ist ein Name für die URL-Zuordnung.
- DEFAULT_BACKEND_SERVICE_NAME ist der Name des Standard-Backend-Dienstes des Load-Balancers. Die Standardeinstellung wird verwendet, wenn keine Hostregel mit dem angeforderten Hostnamen übereinstimmt.
Erstellen Sie ein SSL-Zertifikat für den HTTPS-Zielproxy.

Zum Erstellen eines HTTPS-Load-Balancers benötigen Sie eine SSL-Zertifikatsressource, die im HTTPS-Proxy verwendet wird. Sie können eine SSL-Zertifikatsressource entweder mit einem von Google verwalteten SSL-Zertifikat oder mit einem selbst verwalteten SSL-Zertifikat erstellen.

Hinweis: Zum Erstellen eines von Google verwalteten Zertifikats benötigen Sie eine registrierte Domain.

Verwenden Sie diesen Befehl, um eine von Google verwaltete SSL-Zertifikatsressource zu erstellen:
```
gcloud compute ssl-certificates create CERTIFICATE \
  --domains DOMAIN --project=$PROJECT_ID
```
Ersetzen Sie dabei Folgendes:
- CERTIFICATE ist ein Name für das Zertifikat.
- DOMAIN ist der Domainname, den Sie für den externen Load-Balancer verwenden.
Zum Erstellen eines selbstverwalteten SSL-Zertifikats benötigen Sie eine lokale private Schlüsseldatei und eine lokale Zertifikatsdatei. Informationen zum Erstellen dieser Dateien finden Sie unter Selbstverwaltete SSL-Zertifikate verwenden.
```
gcloud compute ssl-certificates create CERTIFICATE \
  --certificate LB_CERT \
  --private-key LB_PRIVATE_KEY --project=$PROJECT_ID
```
Ersetzen Sie Folgendes:
- CERTIFICATE ist ein Name für das Zertifikat.
- LB_CERT ist der Pfad zur Zertifikatsdatei im PEM-Format für Ihr selbstverwaltetes Zertifikat.
- LB_PRIVATE_KEY ist der Pfad zur privaten Schlüsseldatei im PEM-Format für Ihr selbstverwaltetes Zertifikat.
Es kann bis zu einer Stunde dauern, bis das Zertifikat bereitgestellt wird. Führen Sie folgenden Befehl aus, um den Status der Bereitstellung zu überprüfen:
```
gcloud compute ssl-certificates describe CERTIFICATE \
   --global \
   --format="get(name,managed.status, managed.Status)"
```

Fügen Sie die Domain der für Sie erstellten Apigee-Umgebungsgruppe hinzu. Der Name der Umgebungsgruppe lautet eval-group:

curl "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/envgroups/eval-group" \
  -H "$AUTH" \
  -X PATCH \
  -H "Content-Type:application/json" \
  -d '{
    "hostnames":["'"DOMAIN"'"]
  }'

Prüfen Sie den Status des Umgebungsgruppenvorgangs:

curl -H "$AUTH" \
  "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/envgroups/eval-group/attachments"

Verwenden Sie die SSL-Zertifikatsressource, um einen Ziel-HTTPS-Proxy zu erstellen.
```
gcloud compute target-https-proxies create PROXY_NAME \
  --url-map=URL_MAP_NAME \
  --ssl-certificates=CERTIFICATE --project=$PROJECT_ID
```
Ersetzen Sie dabei Folgendes:
- PROXY_NAME ist ein Name für den Ziel-HTTPS-Proxy.
- URL_MAP_NAME ist der Name der URL-Zuordnung.
- CERTIFICATE ist der Name der Zertifikatsressource.
Erstellen Sie die Weiterleitungsregel.
```
gcloud compute forwarding-rules create FWD_RULE \
  --load-balancing-scheme=EXTERNAL_MANAGED \
  --network-tier=PREMIUM \
  --address=ADDRESS_NAME \
  --target-https-proxy=PROXY_NAME \
  --ports=443 \
  --global --project=$PROJECT_ID
```
Ersetzen Sie dabei Folgendes:
- FWD_RULE ist ein Name für die Weiterleitungsregel.
- ADDRESS_NAME ist die IP-Adressressource, die Sie für die Weiterleitungsregel reserviert haben.
- PROXY_NAME ist der Name des HTTPS-Ziel-Proxys.

Die Bereitstellung von Apigee ist abgeschlossen.

Schritt 6: API-Beispielproxy aufrufen

Während der Bereitstellung wurde ein API-Proxy mit dem Namen hello-world erstellt und bereitgestellt. In diesem Schritt testen Sie die neue Evaluierungsorganisation, indem Sie den Proxy aufrufen.

Erforderliche Berechtigungen für diese Aufgabe

Zum Erstellen und Bereitstellen von Proxys ist ein Mindestsatz an Berechtigungen erforderlich. Wenn Sie die Rolle "Apigee-Organisationsadministrator" haben, können Sie diese Aufgabe ausführen. Weitere Informationen zu anderen Rollen, die Sie verwenden können, finden Sie unter Apigee-Rollen.

Proxy mit internem Routing aufrufen

Wenn Sie in Schritt 5 die Option für das interne Routing ausgewählt haben, führen Sie die Schritte unter API-Proxy mit ausschließlich internem Zugriff aufrufen aus.

Proxy mit externem Routing aufrufen

Wenn Sie in Schritt 5 die Option für das externe Routing ausgewählt haben, führen Sie die Schritte in diesem Abschnitt aus.

Richten Sie einen DNS-Eintrag für Ihre Domain ein. Es gibt zwei Möglichkeiten, um diese Aufgabe auszuführen:
- Erstellen Sie bei Ihrem Registrator einen A-Eintrag, der auf Ihre Domain verweist. Wenn Ihre Domain beispielsweise sales.example.com und die IP-Adresse 10.23.0.2 lautet, verweisen Sie den Eintrag für sales.example.com auf die Adresse 10.23.0.2.
  Führen Sie diesen Befehl aus, um die reservierte IP-Adresse aufzurufen:
```
gcloud compute addresses describe ADDRESS_NAME \
  --format="get(address)" --global --project=$PROJECT_ID
```
- Verwenden Sie Google Cloud DNS, um einer IP-Adresse eine URL zuzuordnen.

Prüfen Sie, ob der hello-world-Proxy bereitgestellt wurde:

curl -i -H "$AUTH" \
  "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/environments/eval/apis/hello-world/revisions/1/deployments"

Den API-Proxy aufrufen
Senden Sie von jeder netzwerkfähigen Maschine aus eine Anfrage an den API-Proxy, indem Sie den folgenden Befehl ausführen:
```
curl -i -H "Host: DOMAIN" \
  https://DOMAIN/hello-world
```
Dabei ist DOMAIN die Domain, die Sie in das Zertifikat einfügen und der Umgebungsgruppe hinzufügen, wie unter Schritt 5: Routing konfigurieren beschrieben. Bei Bedarf können Sie mit dieser API den Wert DOMAIN aus der Umgebungsgruppe abrufen:
```
curl -i -H "$AUTH" \
  "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/envgroups"
```
Bei Erfolg gibt der Beispiel-API-Proxy die Antwort zurück:
```
Hello, Guest!
```
Tipps zur Fehlerbehebung:

Wenn Sie einen Handshakefehler erhalten, prüfen Sie den Status des SSL-Zertifikats. Informationen zur Fehlerbehebung bei selbstverwalteten und von Google verwalteten Zertifikaten finden Sie unter Fehlerbehebung bei SSL-Zertifikaten.
Ihre registrierte Domain muss einen A-Eintrag haben, der auf die IP-Adresse der globalen externen IPv4-Adresse verweist, die in Schritt 5 erstellt wurde. Führen Sie diesen Befehl aus, um die reservierte IP-Adresse aufzurufen:
```
gcloud compute addresses describe ADDRESS_NAME \
  --format="get(address)" --global --project=$PROJECT_ID
```
Wenn Sie die Domainkonfiguration nicht auflösen können, versuchen Sie, den Proxy mit diesem Befehl aufzurufen:
```
curl  -H Host:DOMAIN --resolve \
  DOMAIN:443:EXTERNAL_IP_ADDRESS  \
  https://DOMAIN:443/hello-world -k
```
Hinweis: DNS-Änderungen werden sofort veröffentlicht, es kann jedoch einige Zeit dauern, bis sie wirksam werden. Aufgrund dieser Verzögerung müssen Sie möglicherweise bis zu eine Stunde warten, bevor Sie den Beispielproxy aufrufen können.

Als Nächstes: Weitere Informationen zum Erstellen und Bereitstellen von API-Proxys finden Sie unter Ersten API-Proxy erstellen.