Questo documento descrive come installare e configurare Apigee dalla riga di comando
con il peering VPC. Questi passaggi si applicano ai modelli di prezzi sia di abbonamento che di pagamento a consumo per le organizzazioni a pagamento con o senza la residenza dei dati abilitata.
Riepilogo dei passaggi
Ecco la procedura di provisioning:
Passaggio 1: definisci le variabili di ambiente:
configura gcloud e definisci le variabili di ambiente.
Google Cloud CLI gestisce l'autenticazione, la configurazione locale,
il flusso di lavoro degli sviluppatori e le interazioni con le API Google Cloud.
Passaggio 4: configura il networking di servizi: il networking di servizi automatizza la configurazione della connettività privata (utilizzando il peering di rete VPC) tra la tua rete e Apigee.
Passaggio 5: crea un'organizzazione: un'organizzazione Apigee (a volte denominata organizzazione) è il container di primo livello in Apigee. Include tutti gli ambienti e i gruppi di ambienti, gli utenti, i proxy API e le risorse correlate.
Passaggio 6: crea un'istanza di runtime: un'istanza, o runtime, è la posizione in cui sono archiviati il tuo progetto e i relativi servizi. Fornisce l'endpoint rivolto agli utenti per i tuoi servizi.
Passaggio 7: crea un ambiente: prima che le API esposte siano accessibili sulla rete, è necessario eseguire il deployment di un proxy API in un ambiente e poi aggiungerlo a un gruppo di ambienti.
Inizializza Cloud SDK, come descritto in Inizializzare gcloud CLI, oppure assicurati che il progetto Google Cloud che hai creato nella sezione Prerequisiti sia quello predefinito per gcloud.
Definisci le seguenti variabili di ambiente nel terminale di comando.
Seleziona la scheda che corrisponde al tipo di organizzazione di cui hai bisogno:
Nessuna residenza dei dati o con
Residenza dei dati:
AUTH definisce l'intestazione Authentication con un token di connessione.
Utilizzerai questa intestazione durante la chiamata alle API Apigee. Tieni presente che il token scade dopo un determinato periodo di tempo e quando succede, puoi semplicemente rigenerarlo utilizzando lo stesso comando. Per ulteriori informazioni, consulta la pagina di riferimento per il
comando Print-access-token.
PROJECT_ID è l'ID del progetto Cloud che hai creato nell'ambito dei
Prerequisiti.
PROJECT_NUMBER è il numero del progetto Cloud che hai creato nell'ambito
dei Prerequisiti.
RUNTIME_LOCATION è la località fisica in cui si trova l'istanza Apigee che creerai in seguito. Per un elenco delle località di runtime disponibili, consulta
Località Apigee.
ANALYTICS_REGION è la posizione fisica in cui verranno archiviati
i dati di analisi Apigee. Per un elenco delle regioni disponibili per l'analisi delle API Apigee, consulta le
località di Apigee.
Sia RUNTIME_LOCATION che ANALYTICS_REGION
possono essere la stessa regione, ma non devono essere necessariamente la stessa.
BILLING_TYPE è il tipo di fatturazione per l'organizzazione che crei. I valori validi sono:
PAYG per le organizzazioni che prevedono il Pay-as-you-go.
SUBSCRIPTION per le organizzazioni che utilizzano gli abbonamenti.
AUTH definisce l'intestazione Authentication con un token di connessione.
Utilizzerai questa intestazione durante la chiamata alle API Apigee. Tieni presente che il token scade dopo un determinato periodo di tempo e quando succede, puoi semplicemente rigenerarlo utilizzando lo stesso comando. Per ulteriori informazioni, consulta la pagina di riferimento per il
comando Print-access-token.
PROJECT_ID è l'ID del progetto Cloud che hai creato nell'ambito dei
Prerequisiti.
PROJECT_NUMBER è il numero del progetto Cloud che hai creato nell'ambito
dei Prerequisiti.
RUNTIME_LOCATION è la località fisica in cui si trova l'istanza Apigee che creerai in seguito. Per un elenco delle località di runtime disponibili, consulta
Località Apigee.
La località di runtime deve trovarsi all'interno della località del piano di controllo.
CONTROL_PLANE_LOCATION è la località fisica in cui verranno archiviati i dati del piano di controllo Apigee.
Per un elenco delle località del piano di controllo disponibili, consulta
Località Apigee.
CONSUMER_DATA_REGION è una sottoregione della regione del piano di controllo. Devi specificare sia CONTROL_PLANE_LOCATION che CONSUMER_DATA_REGION.
Per un elenco delle regioni di dati dei consumatori disponibili, consulta
Località Apigee.
BILLING_TYPE è il tipo di fatturazione per l'organizzazione che crei. I valori validi sono:
PAYG per le organizzazioni che prevedono il Pay-as-you-go.
SUBSCRIPTION per le organizzazioni che utilizzano gli abbonamenti.
(Facoltativo) Controlla il tuo lavoro richiamando i valori che hai appena impostato. Tieni presente che quando vuoi
utilizzare una variabile nei tuoi comandi, fai precedere il nome della variabile dal simbolo del dollaro
($).
Le risposte ai tuoi comandi echo dovrebbero avere il seguente aspetto:
YOUR_TOKEN
my-cloud-project
1234567890
us-west1
us
us-west1
SUBSCRIPTION
Passaggio 2: attivazione delle API
Autorizzazioni richieste per questa attività
Puoi assegnare al provisioner Apigee un ruolo predefinito che include le autorizzazioni necessarie per completare questa attività oppure concedere autorizzazioni più granulari per fornire il privilegio minimo necessario. Vedi
Ruoli predefiniti e
Autorizzazioni per l'abilitazione delle API.
Apigee richiede l'abilitazione di diverse API Google Cloud. Abilitale eseguendo questo comando services enable:
Verifica che l'agente sia stato creato correttamente. La risposta dovrebbe mostrare il nome
dell'agente nel seguente formato:
service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com.
ad esempio:
Service identity created: service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
Passaggio 4: configurazione del networking di servizi
In questo passaggio, allocherai una coppia di intervalli di indirizzi IP (un intervallo CIDR /22 e /28) ad Apigee ed eseguirai il peering VPC tra la tua rete e la rete Apigee. Ogni istanza Apigee richiede un intervallo CIDR non sovrapposto di /22 e /28. Al piano di runtime Apigee sono assegnati indirizzi IP interni a questo intervallo CIDR. Di conseguenza, è importante che l'intervallo sia riservato ad Apigee e non sia utilizzato da altre applicazioni nella tua rete VPC. Per ulteriori informazioni e considerazioni importanti, consulta Informazioni sugli intervalli di peering.
Tieni presente che stai creando un intervallo IP di rete sufficiente per un'istanza Apigee. Se prevedi di creare altre istanze Apigee, devi ripetere questo passaggio per ciascuna. Gli intervalli non possono essere condivisi tra istanze. Vedi anche Espansione di Apigee in più regioni.
Autorizzazioni richieste per questa attività
Puoi assegnare al provisioner Apigee un ruolo predefinito che include le autorizzazioni necessarie per completare questa attività oppure concedere autorizzazioni più granulari per fornire il privilegio minimo necessario. Vedi
Ruoli predefiniti e
Autorizzazioni di networking dei servizi.
RANGE_NAME è il nome dell'intervallo di indirizzi IP che stai creando.
Puoi assegnare all'intervallo il nome che preferisci. Ad esempio: google-svcs
NETWORK_NAME è il nome della risorsa di rete in cui devono essere prenotati
gli indirizzi.
Google crea una rete predefinita
(denominata default) per ogni nuovo progetto, quindi puoi utilizzarla. Tuttavia, Google sconsiglia di utilizzare la rete predefinita per scopi diversi dai test.
Crea un intervallo IP di rete con lunghezza CIDR di /22:
Dove --addresses ti consente di specificare facoltativamente un intervallo di indirizzi. Ad esempio, per allocare il blocco CIDR 192.168.0.0/22, specifica 192.168.0.0 come indirizzo e 22 come lunghezza del prefisso. Vedi anche
Creare un'allocazione IP.
Se non fornisci il parametro --addresses, gcloud seleziona automaticamente un intervallo di indirizzi disponibile.
Se l'operazione riesce, gcloud risponde con quanto segue:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/addresses/google-svcs].
Dopo aver creato un intervallo di indirizzi IP, gli indirizzi vengono associati al progetto finché non li rilasci.
Verifica che l'intervallo IP di rete sia stato creato con una lunghezza CIDR pari a /22:
Crea un intervallo IP di rete con lunghezza CIDR di /28. Questo intervallo è obbligatorio e viene utilizzato da Apigee per la risoluzione dei problemi e non può essere personalizzato o modificato.
Dove --addresses ti consente di specificare facoltativamente un intervallo di indirizzi. Ad esempio, per allocare il blocco CIDR 192.168.0.0/28, specifica 192.168.0.0 come indirizzo e 28 come lunghezza del prefisso. Vedi anche
Creare un'allocazione IP.
Se non fornisci il parametro --addresses, gcloud seleziona automaticamente un intervallo di indirizzi disponibile.
Verifica che l'intervallo IP di rete sia stato creato con una lunghezza CIDR pari a /28:
Il completamento di questa operazione può richiedere diversi minuti. Se l'operazione riesce, gcloud
risponde con il seguente codice, dove OPERATION_ID è l'UUID dell'LRO.
Apigee crea una connessione tra la tua rete e i servizi di Google; in particolare, Apigee connette il tuo progetto all'API Service Networking tramite peering VPC. Apigee associa anche gli indirizzi IP al tuo progetto.
Dopo alcuni minuti, verifica se il peering VPC è riuscito:
gcloud services vpc-peerings list \
--network=$NETWORK_NAME \
--service=servicenetworking.googleapis.com \
--project=$PROJECT_ID
Passaggio 5: crea un'organizzazione
Autorizzazioni richieste per questa attività
Puoi assegnare al provisioner Apigee un ruolo predefinito che include le autorizzazioni necessarie per completare questa attività oppure concedere autorizzazioni più granulari per fornire il privilegio minimo necessario. Vedi:
Prima di poter creare un'organizzazione, devi creare un keyring e una chiave di crittografia del
database runtime (vedi passaggio 1) e, se
utilizzi la
residenza dei dati, i keyring e le chiavi di crittografia del piano di controllo
(vedi il passaggio 2). Queste chiavi
Cloud KMS criptano i dati archiviati e replicati nelle località di runtime e del piano di controllo. Apigee utilizza queste entità per criptare i dati delle applicazioni, come KVM, cache e client secret, che vengono poi archiviati nel database. Per maggiori informazioni, consulta
Informazioni sulle chiavi di crittografia Apigee.
Creare un keyring e una chiave di crittografia del database di runtime.
Definisci una variabile di ambiente per la località dell'anello e della chiave di crittografia del database del runtime. Questo contribuisce a garantire coerenza quando li crei e ti consente di seguire più facilmente la documentazione.
Il valore è la posizione fisica in cui sono archiviati il keyring e la chiave di crittografia del database del runtime.
Regione singola
Configurazioni a regione singola (in cui è presente una sola istanza in una regione): scegli tra le località regionali KMS supportate.
Ad esempio:
RUNTIMEDBKEY_LOCATION="us-west1"
Il valore può essere uguale a $RUNTIME_LOCATION (anche una regione), ma
non deve essere necessariamente così. Tuttavia, se le prestazioni sono uguali, potrebbero esserci un vantaggio in termini di prestazioni.
Se hai una configurazione per più regioni negli Stati Uniti, ti consigliamo di utilizzare
us per la tua località, se possibile. Altrimenti, usa nam4.
Definisci le variabili di ambiente per i keyring e i nomi delle chiavi del database.
Il nome del keyring deve essere univoco per la tua organizzazione. Se crei una seconda regione o una regione successiva, il nome non può essere uguale ai nomi di altri keyring.
(Facoltativo) Controlla il tuo lavoro richiamando i valori che hai appena impostato. Ricorda che quando vuoi
utilizzare una variabile nei tuoi comandi, fai precedere il nome della variabile dal simbolo del dollaro
($).
Questo comando associa la chiave all'agente di servizio Apigee.
Una volta completata questa richiesta, gcloud risponde con un messaggio simile al seguente:
Updated IAM policy for key [runtime].
bindings:
- members:
- serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
role: roles/cloudkms.cryptoKeyEncrypterDecrypter
etag: BwWqgEuCuwk=
version: 1
Se ricevi un messaggio di errore simile al seguente:
INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.
Assicurati di aver utilizzato il numero di progetto e non il nome del progetto nell'indirizzo email dell'account di servizio.
Se utilizzi la
residenza dei dati, crea un keyring e una chiave
di crittografia del piano di controllo. Se non utilizzi la residenza dei dati, vai al passaggio 3.
Per creare un keyring e una chiave di crittografia del piano di controllo, segui questi passaggi.
Definisci una variabile di ambiente per la località della chiave e dell'anello di crittografia del database del piano di controllo:
CONTROL_PLANE_LOCATION è la località fisica in cui verranno archiviati i dati del piano di controllo Apigee.
Per un elenco delle località del piano di controllo disponibili, consulta
Località Apigee.
CONSUMER_DATA_REGION è una sottoregione della regione del piano di controllo. Devi specificare sia CONTROL_PLANE_LOCATION che CONSUMER_DATA_REGION.
Per un elenco delle regioni di dati dei consumatori disponibili, consulta
Località Apigee.
Definisci le variabili di ambiente per i keyring e i nomi delle chiavi del database del piano di controllo.
Il nome del keyring deve essere univoco per la tua organizzazione.
Questo comando associa la chiave all'agente di servizio Apigee. Una volta completata correttamente questa richiesta, gcloud risponde con qualcosa di simile al seguente:
Updated IAM policy for key [runtime].
bindings:
- members:
- serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
role: roles/cloudkms.cryptoKeyEncrypterDecrypter
etag: BwWqgEuCuwk=
version: 1
Se ricevi un messaggio di errore simile al seguente:
INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.
Assicurati di aver utilizzato il numero di progetto e non il nome del progetto nell'indirizzo email dell'account di servizio.
runtimeDatabaseEncryptionKeyName: l'ID della chiave di crittografia dell'applicazione che hai creato nel passaggio precedente. Ricorda che l'ID è strutturato come un percorso di file. Ad esempio: projects/my-project/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-key
-d definisce il payload dei dati per la richiesta. Questo payload deve includere quanto segue:
name: identifica la nuova organizzazione. Deve essere uguale al nome del tuo ID progetto.
runtimeType: imposta questo valore su CLOUD.
billingType: specifica il tipo di fatturazione dell'organizzazione creata.
controlPlaneEncryptionKeyName: è l'ID chiave del piano di controllo.
apiConsumerDataLocation: devi anche specificare una regione secondaria per l'utilizzo da parte delle risorse interne. Per i valori supportati, consulta
Regioni di residenza dei dati.
apiConsumerDataEncryptionKeyName: è l'ID chiave della regione di dati del consumatore.
runtimeDatabaseEncryptionKeyName: l'ID della chiave di crittografia dell'applicazione che hai creato nel passaggio precedente. Ricorda che l'ID è strutturato come un percorso di file. Ad esempio: projects/my-project/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-key
Dopo aver eseguito questo comando, Apigee avvia un'operazione a lunga esecuzione, il cui completamento può richiedere alcuni minuti.
Se ricevi un messaggio di errore, assicurati di utilizzare le virgolette intorno ai valori della variabile nel payload dei dati. Assicurati di racchiudere la variabile $PROJECT_ID tra virgolette doppie singole e doppie, come mostrato nell'esempio seguente:
"'"$PROJECT_ID"'"
Se utilizzi stringhe semplici (non variabili di ambiente) per i valori delle richieste, puoi racchiuderli tra virgolette doppie all'interno della stringa di payload tra virgolette singole, come mostra l'esempio seguente:
'{ "name":"my-gcp-project", ... }'
Attendi qualche minuto.
Per controllare lo stato della richiesta di creazione, puoi inviare una richiesta GET all'API List Organization di Apigee, come mostra l'esempio seguente:
Se vedi questa risposta, significa che la creazione dell'organizzazione non è ancora stata completata:
{
"error": {
"code": 403,
"message": "Permission denied on resource \"organizations/apigee-docs-m\" (or it may not exist)",
"status": "PERMISSION_DENIED"
}
}
Se Apigee ha creato correttamente una nuova organizzazione, riceverai una risposta simile alla seguente:
Puoi assegnare al provisioner Apigee un ruolo predefinito che include le autorizzazioni necessarie per completare questa attività oppure concedere autorizzazioni più granulari per fornire il privilegio minimo necessario. Vedi
Ruoli predefiniti e
Autorizzazioni delle istanze di runtime.
Un'istanza di runtime è l'area in cui vengono archiviati il tuo progetto Apigee e i servizi correlati; fornisce l'endpoint rivolto agli utenti per i tuoi servizi. Per creare una nuova istanza di runtime:
Verifica che Apigee abbia terminato la creazione della tua organizzazione. Hai inviato una richiesta per
creare una nuova organizzazione in Crea un'organizzazione Apigee, ma
devi assicurarti che sia fatto prima di continuare.
Se l'organizzazione esiste (e disponi delle autorizzazioni appropriate per visualizzarla), Apigee
risponde fornendo i relativi dettagli. Se Apigee risponde con un errore, attendi un paio di minuti e invia di nuovo la richiesta.
Analogamente all'attività precedente in cui hai creato una chiave di crittografia per il database, ora devi creare una chiave
Cloud KMS utilizzata per criptare i dati sul lato server.
Per iniziare, definisci le seguenti variabili di ambiente:
INSTANCE_NAME: il nome della nuova istanza. Ad esempio,
my-runtime-instance. Il nome deve iniziare con una lettera minuscola, può contenere fino a 32 caratteri e può includere solo lettere minuscole, numeri e trattini. Non può iniziare o terminare con un trattino e deve avere una lunghezza di almeno due caratteri.
RUNTIME_LOCATION è la posizione fisica in cui è ospitato il cluster.
Per valori validi si intende qualsiasi località consentita da Compute Engine. (Vedi Regioni e zone disponibili.) Questo esempio utilizza
us-west1.
DISK_KEY_RING_NAME è il nome del keyring di crittografia del disco.
DISK_KEY_NAME è il nome della chiave di crittografia del disco.
consumerAcceptList (Facoltativo) Specifica un elenco di ID progetto Google Cloud che possono connettersi privatamente al
collegamento al servizio del VPC Apigee. Il collegamento al servizio è un'entità utilizzata con Google Cloud
Private Service Connect per consentire ai producer di servizi (in questo caso, Apigee) di
esporre i servizi ai consumer (in questo caso uno o più progetti Cloud di tua proprietà).
Per impostazione predefinita, utilizziamo il progetto Cloud già associato alla tua organizzazione Apigee. Ad esempio:
"consumerAcceptList": ["project1", "project2", "project3"]
Tieni presente che puoi anche impostare e modificare l'elenco dei progetti accettati nella UI dell'istanza. Per maggiori dettagli, consulta
Gestione delle istanze.
Il completamento di questa richiesta può richiedere fino a 20 minuti perché Apigee deve creare e avviare un nuovo cluster Kubernetes, installare le risorse Apigee su quel cluster e configurare il bilanciamento del carico.
Per controllare lo stato della richiesta di creazione dell'istanza di runtime, esegui questo comando. Quando lo stato è ATTIVO, puoi andare al passaggio successivo.
Nessuna residenza dei dati
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances/$INSTANCE_NAME"
Residenza dei dati
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://$CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances/$INSTANCE_NAME"
Passaggio 7: creazione di un ambiente
Autorizzazioni richieste per questa attività
Puoi assegnare al provisioner Apigee un ruolo predefinito che include le autorizzazioni necessarie per completare questa attività oppure concedere autorizzazioni più granulari per fornire il privilegio minimo necessario. Vedi:
Per creare un ambiente e collegarlo al runtime dalla riga di comando:
Definisci le variabili di ambiente da utilizzare in questa sezione. Le variabili di ambiente specifiche che creerai dipenderanno dal fatto che tu stia creando un ambiente per un'organizzazione in abbonamento o con pagamento a consumo.
Abbonamento
Per un ambiente con abbonamento, crea queste variabili:
ENVIRONMENT_NAME è il nome di una stringa. Ad esempio: test
ENVIRONMENT_TYPE è il tipo di ambiente per questo ambiente ed è applicabile solo agli utenti Pay-as-you-go, che devono specificare uno di questi valori: BASE, INTERMEDIATE o COMPREHENSIVE. Gli altri utenti devono omettere il tipo di ambiente.
ENV_GROUP_NAME è il nome di una stringa. Ad esempio: test-group
ENV_GROUP_HOSTNAME è un nome host di dominio valido. Ad esempio: foo.example.com
Crea un nuovo ambiente con l'API Environments. I comandi specifici da utilizzare dipendono dal fatto che tu stia creando un ambiente per un'organizzazione in abbonamento o con pagamento a consumo.
Abbonamento
Per un nuovo ambiente di sottoscrizione, utilizza il comando seguente:
In questo passaggio configurerai il modo in cui le applicazioni client comunicano con Apigee. Il traffico da client ad Apigee è anche chiamato traffico "verso nord". Le opzioni di configurazione associate a nord sono le seguenti.
Vai all'opzione di configurazione che vuoi utilizzare ed esegui i relativi passaggi:
Tipo di accesso
Descrizione del processo di configurazione e deployment
Utilizza un gruppo di istanze gestite (MIG) per inviare il traffico API dal servizio di backend di un bilanciatore del carico globale ad Apigee. Con questa configurazione, Apigee è in grado di connettersi solo al VPC in peering. Questa configurazione consente di inviare richieste proxy API Apigee da qualsiasi macchina abilitata in rete.
Consenti solo l'accesso interno ai proxy API da qualsiasi progetto Google Cloud utilizzando Private Service Connect (PSC).
PSC consente una connessione privata tra un producer di servizi (Apigee) e un consumer di servizi (il progetto VPC in peering e/o uno o più altri progetti Cloud controllati da te). Con questo metodo, le richieste passano attraverso un endpoint di servizio o un bilanciatore del carico interno a livello di regione a un singolo punto di collegamento, chiamato collegamento al servizio.
Questa configurazione consente ai tuoi client interni di inviare richieste proxy API Apigee da qualsiasi macchina abilitata in rete.
Utilizza Private Service Connect (PSC) per abilitare la connessione privata tra un producer di servizi (Apigee) e un consumer di servizi (il progetto VPC in peering e/o uno o più altri progetti Cloud controllati da te). Con questo metodo, le richieste passano attraverso un bilanciatore del carico esterno globale o un bilanciatore del carico esterno regionale a un singolo punto di collegamento, chiamato collegamento al servizio.
Questa configurazione ti consente di inviare richieste proxy API Apigee da qualsiasi macchina abilitata in rete.
Ciascuno di questi approcci di routing è presentato nelle istruzioni riportate di seguito.
Routing interno (VPC)
Per il routing del traffico dai client interni ad Apigee, puoi scegliere se utilizzare o meno la terminazione TLS:
Opzioni TLS: hai due opzioni se vuoi effettuare chiamate proxy API da client interni con TLS abilitato:
(Opzione 1) Configura un bilanciatore del carico interno (ILB):
Crea un gruppo di istanze gestite nel tuo progetto. Per creare il gruppo di istanze gestite, segui i passaggi 8a, 8b e 8c nella scheda Routing esterno (MIG).
Crea e configura un bilanciatore del carico(ILB) HTTPS (S) interno e collega il gruppo di istanze gestite che hai creato al servizio di backend dell'ILB, come spiegato in
Configurare il bilanciamento del carico HTTP(S) interno con backend di gruppi di istanze VM. Con la configurazione del bilanciatore del carico interno, hai il controllo completo sui certificati CA utilizzati con il bilanciatore del carico interno.
(Opzione 2) Utilizza il nome di dominio completo predefinito interno e l'IP del bilanciatore del carico interno dell'istanza Apigee. Questa richiesta è consigliata solo a scopo di test e non per un ambiente di produzione. In questo caso, con il bilanciatore del carico interno di Apigee vengono utilizzati certificati autofirmati creati da Apigee e non puoi modificarli. Vedi
Chiamare un proxy API con accesso solo interno.
Opzione non TLS: se non devi abilitare la terminazione TLS, puoi chiamare i proxy API
in cui il client disabilita TLS. Ad esempio, utilizzando l'opzione -k con cURL, puoi disabilitare TLS. Vedi
Chiamare un proxy API con accesso solo interno.
Routing esterno (MIG)
Questa sezione descrive come configurare il routing per consentire l'accesso esterno ai proxy API utilizzando un gruppo di istanze gestite (MIG) per inviare il traffico API da un servizio di backend del bilanciatore del carico globale ad Apigee. Devi farlo prima di poter inviare una richiesta da un client esterno alla tua istanza di runtime Apigee.
Autorizzazioni richieste per questa attività
Puoi assegnare al provisioner Apigee un ruolo predefinito che include le autorizzazioni necessarie per completare questa attività oppure concedere autorizzazioni più granulari per fornire il privilegio minimo necessario.
Vedi Ruoli predefiniti e Accedere alle autorizzazioni di routing.
Le istruzioni in questa sezione usano le variabili di ambiente per fare riferimento alle stringhe
utilizzate ripetutamente. Ti consigliamo di impostarli prima di continuare:
MIG_NAME=apigee-mig-MIG_NAME # You can choose a different name if you like
VPC_NAME=default # If you are using a shared VPC, use the shared VPC nameVPC_SUBNET=default # Private Google Access must be enabled for this subnetREGION=RUNTIME_REGION # The same region as your Apigee runtime instanceAPIGEE_ENDPOINT=APIGEE_INSTANCE_IP # See the tip below for details on getting this IP address value
Utilizzerai queste variabili più volte durante i processi rimanenti. Se vuoi configurare più regioni, crea variabili con valori specifici per ciascuna regione.
Passaggio 8c: crea un gruppo di istanze gestite
In questo passaggio creerai e configurerai un gruppo di istanze gestite. In un passaggio successivo, aggiungerai il gruppo di istanze gestite a un servizio di backend collegato a un bilanciatore del carico globale. Per inviare il traffico API dal servizio di backend del bilanciatore del carico globale ad Apigee,
è necessario un gruppo di istanze gestite.
Come puoi vedere da questo comando, le macchine sono di tipo e2-medium. Eseguono
Debian 10 e hanno 20 GB di disco. Lo script startup-script.sh configura il gruppo di istanze gestite per instradare il traffico in entrata dal bilanciatore del carico all'istanza Apigee.
Passaggio 8d: crea un certificato e una chiave SSL per il bilanciatore del carico
Devi creare le credenziali una sola volta, sia che tu stia eseguendo l'installazione in una o più regioni. In un passaggio successivo, assocerai queste credenziali al proxy HTTPS di destinazione del bilanciatore del carico.
Puoi creare le credenziali con:
Il tuo certificato da un'autorità di certificazione
Per ulteriori informazioni sulla creazione e sull'utilizzo dei certificati SSL per il bilanciatore del carico Google Cloud, consulta i certificati SSL e la panoramica dei certificati SSL.
Nel seguente esempio, viene creato un certificato SSL gestito da Google:
Imposta DOMAIN_HOSTNAME su un nome host di dominio valido che hai registrato. In un passaggio successivo, otterrai l'indirizzo IP del bilanciatore del carico e aggiornerai il record A del dominio in modo che punti a quell'indirizzo. Ad esempio, un nome host di dominio potrebbe avere il seguente aspetto: foo.example.com.
Utilizzerai questo controllo di integrità per garantire che il servizio di backend sia in esecuzione. Per configurare controlli di integrità più avanzati su un proxy specifico, consulta Esecuzione di controlli di integrità.
Passaggio 8f: ottieni un indirizzo IP riservato e crea le regole firewall
Devi assegnare un indirizzo IP al bilanciatore del carico, quindi creare regole che consentano al bilanciatore del carico di accedere al gruppo di istanze gestite. Devi eseguire questo passaggio una sola volta, indipendentemente dal fatto che l'installazione venga eseguita in una o più regioni.
Passaggio importante : vai al sito, all'host DNS o all'ISP dove sono gestiti i record DNS e assicurati che il record DNS del tuo dominio venga risolto nell'indirizzo IP del bilanciatore del carico Google Cloud. Questo indirizzo è il valore IP restituito nell'ultimo passaggio. Per maggiori dettagli, consulta
Aggiornare i record DNS A e AAAA in modo che puntino all'indirizzo IP del bilanciatore del carico.
Crea una regola firewall che consenta al bilanciatore del carico di accedere al gruppo di istanze gestite utilizzando il seguente comando:
gcloud compute firewall-rules create FIREWALL_RULE_NAME \
--description "Allow incoming from GLB on TCP port 443 to Apigee Proxy" \
--project $PROJECT_ID --network $VPC_NAME --allow=tcp:443 \
--source-ranges=130.211.0.0/22,35.191.0.0/16 --target-tags=gke-apigee-proxy
Tieni presente che gli intervalli di indirizzi IP 130.211.0.0/22 e 35.191.0.0/16 sono gli intervalli di indirizzi IP di origine per il bilanciamento del carico di Google. Questa regola firewall consente a Google Cloud Load Balancing di effettuare richieste di controllo di integrità al gruppo di istanze gestite.
Questa sezione spiega come consentire solo l'accesso interno ai proxy API da qualsiasi progetto Google Cloud utilizzando Private Service Connect (PSC).
Hai due opzioni per configurare l'accesso interno con PSC:
Endpoint di servizio: le richieste passano attraverso un endpoint di servizio a un singolo punto di collegamento, chiamato collegamento di servizio.
Seleziona la scheda di seguito per la tua scelta di configurazione e segui i passaggi:
Endpoint di servizio
Autorizzazioni richieste per questa attività
Puoi assegnare al provisioner Apigee un ruolo predefinito che include le autorizzazioni necessarie per completare questa attività oppure concedere autorizzazioni più granulari per fornire il privilegio minimo necessario.
Vedi Ruoli predefiniti e Accedere alle autorizzazioni di routing.
Crea un endpoint di servizio PSC per il collegamento al servizio
Recupera il collegamento al servizio dall'istanza creata in precedenza:
Nessuna residenza dei dati
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances"
Residenza dei dati
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://$CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances"
Nel seguente output di esempio, il valore serviceAttachment
è mostrato in grassetto:
Crea un endpoint di servizio PSC che punti al collegamento al servizio che hai ottenuto dal corpo della risposta dell'istanza nel passaggio precedente, come spiegato in Creare un endpoint Private Service Connect.
Puoi assegnare al provisioner Apigee un ruolo predefinito che include le autorizzazioni necessarie per completare questa attività oppure concedere autorizzazioni più granulari per fornire il privilegio minimo necessario.
Vedi Ruoli predefiniti e Accedere alle autorizzazioni di routing.
Passaggio 8a: configura le variabili di ambiente
Le istruzioni in questa sezione utilizzano le variabili di ambiente per fare riferimento alle stringhe utilizzate più volte. Assicurati di aver impostato le variabili in Definisci le variabili di ambiente.
Inoltre, imposta le seguenti variabili di ambiente:
NEG_NAME: un nome per il gruppo di endpoint di rete.
TARGET_SERVICE: il collegamento al servizio a cui vuoi connetterti. Ad esempio: projects/bfac7497a40c32a12p-tp/regions/us-west1/serviceAttachments/apigee-us-west1-crw7
NETWORK_NAME: (facoltativo) nome della rete in cui viene creato il NEG. Se ometti questo parametro, viene utilizzata la rete del progetto default.
SUBNET_NAME: nome della subnet utilizzata per la connettività privata al producer.
Le dimensioni della subnet possono essere ridotte: il NEG PSC richiede solo un IP dalla subnet.
Per Apigee, è necessario un solo NEG PSC per regione. La subnet può essere condivisa e utilizzata dalle VM o da altre entità.
Se non viene specificata una subnet, gli endpoint di rete possono appartenere a qualsiasi subnet nella regione in cui viene creato il gruppo di endpoint di rete.
Dove $PROJECT_ID può essere il progetto Cloud già associato alla tua organizzazione Apigee o un progetto Cloud incluso in consumerAcceptlist al momento della creazione dell'istanza di runtime Apigee.
Passaggio 8d: configura il bilanciatore del carico interno a livello di regione
Prenota un indirizzo IPv4 interno per il bilanciatore del carico.
BACKEND_SERVICE_NAME con il nome del servizio di backend.
Per creare un bilanciatore del carico HTTPS, devi disporre di una risorsa di certificato SSL da utilizzare nel proxy di destinazione HTTPS.
Utilizza questo comando per creare una risorsa del certificato SSL autogestito. Per creare un certificato SSL autogestito, sono necessari un file di chiave privata locale e un file di certificato locale. Se devi creare questi file, consulta il passaggio 1 sull'utilizzo dei certificati SSL autogestiti.
DEFAULT_BACKEND_SERVICE_NAME: il nome del servizio di backend predefinito del bilanciatore del carico.
L'impostazione predefinita viene utilizzata quando nessuna regola host corrisponde al nome host richiesto.
Utilizza la risorsa del certificato SSL per creare un proxy HTTPS di destinazione.
Questa sezione descrive come configurare il routing esterno utilizzando
Private Service Connect (PSC) per consentire la comunicazione tra Apigee e i VPC che controlli. Devi farlo prima di poter inviare una richiesta da un client esterno alla tua istanza di runtime Apigee.
Autorizzazioni richieste per questa attività
Puoi assegnare al provisioner Apigee un ruolo predefinito che include le autorizzazioni necessarie per completare questa attività oppure concedere autorizzazioni più granulari per fornire il privilegio minimo necessario.
Vedi Ruoli predefiniti e Accedere alle autorizzazioni di routing.
Passaggio 8b: crea un NEG e configura il bilanciatore del carico
Puoi creare un bilanciatore del carico globale o regionale.
Anche se il NEG Private Service Connect è a livello di regione, tutti gli altri componenti di bilanciamento del carico in questa configurazione sono globali.
NEG_NAME: un nome per il gruppo di endpoint di rete.
TARGET_SERVICE: il collegamento al servizio a cui vuoi connetterti. Utilizza il valore del collegamento al servizio restituito dal comando precedente. Ad esempio:
projects/bfac7497a40c32a12p-tp/regions/us-west1/serviceAttachments/apigee-us-west1-crw7
NETWORK_NAME: (facoltativo) nome della rete in cui viene creato il NEG. Se ometti questo parametro, viene utilizzata la rete del progetto default.
SUBNET_NAME: nome della subnet utilizzata per la connettività privata al producer.
Le dimensioni della subnet possono essere ridotte: il NEG PSC richiede solo un IP dalla subnet.
Per Apigee, è necessario un solo NEG PSC per regione. La subnet può essere condivisa e utilizzata dalle VM o da altre entità.
Se non viene specificata una subnet, gli endpoint di rete possono appartenere a qualsiasi subnet nella regione in cui viene creato il gruppo di endpoint di rete.
$PROJECT_ID Il progetto Cloud già associato alla tua organizzazione Apigee o un progetto Cloud incluso in consumerAcceptlist al momento della creazione dell'istanza di runtime Apigee.
Se non l'hai già fatto, crea una variabile di ambiente che contenga l'ID progetto, perché viene utilizzato nella maggior parte dei seguenti comandi.
Prenota un indirizzo IPv4 esterno globale per il bilanciatore del carico.
DEFAULT_BACKEND_SERVICE_NAME: il nome del servizio di backend predefinito del bilanciatore del carico.
L'impostazione predefinita viene utilizzata quando nessuna regola host corrisponde al nome host richiesto.
Crea il proxy HTTPS di destinazione.
Per creare un bilanciatore del carico HTTPS, devi disporre di una risorsa del certificato SSL da utilizzare nel proxy di destinazione HTTPS. Puoi creare una risorsa del certificato SSL utilizzando un certificato SSL gestito da Google o un certificato SSL autogestito. Ti consigliamo di utilizzare i certificati gestiti da Google perché Google Cloud li ottiene, gestisce e rinnova automaticamente.
DOMAIN: il nome di dominio del bilanciatore del carico.
Utilizza questo comando per creare una risorsa del certificato SSL autogestito. Per creare un certificato SSL autogestito, sono necessari un file di chiave privata locale e un file di certificato locale. Se devi creare questi file, consulta il passaggio 1 sull'utilizzo dei certificati SSL autogestiti.
(Facoltativo) NETWORK_NAME: nome della rete in cui viene creata la subnet. Se ometti questo parametro, viene utilizzata la rete di progetto predefinita.
Recupera il collegamento al servizio dall'istanza creata in precedenza:
Nessuna residenza dei dati
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances"
Residenza dei dati
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://$CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances"
Nel seguente output di esempio, il valore serviceAttachment è mostrato in grassetto:
TARGET_SERVICE: il nome del collegamento al servizio a cui vuoi connetterti.
Ad esempio: projects/bfac7497a40c32a12p-tp/regions/us-west1/serviceAttachments/apigee-us-west1-crw7
DEFAULT_BACKEND_SERVICE_NAME: il nome del servizio di backend predefinito del bilanciatore del carico.
L'impostazione predefinita viene utilizzata quando nessuna regola host corrisponde al nome host richiesto.
Crea il proxy HTTPS di destinazione.
Per creare un bilanciatore del carico HTTPS, devi disporre di una risorsa del certificato SSL da utilizzare nel proxy di destinazione HTTPS.
Utilizza questo comando per creare una risorsa del certificato SSL autogestito. Per creare un certificato SSL autogestito, sono necessari un file di chiave privata locale e un file di certificato locale. Se devi creare questi file, consulta il passaggio 1 sull'utilizzo dei certificati SSL autogestiti.
La creazione e il deployment dei proxy richiede un insieme minimo di autorizzazioni. Se hai il ruolo di amministratore organizzazione Apigee, puoi completare questa attività. Per scoprire di più sugli altri ruoli che puoi utilizzare, consulta
Ruoli Apigee.
Scarica il
proxy di esempio da GitHub. La destinazione del proxy è il servizio httpbin.org, un servizio pubblico di richiesta e risposta di uso comune.
Carica il bundle proxy API nel runtime utilizzando l'API Apigee
apis:
Se ricevi un errore come questo:
CONNECT_CR_SRVR_HELLO:sslv3 alert handshake failure, verifica che
sia stato eseguito il provisioning del certificato SSL che hai creato in precedenza.
Utilizza questo comando per controllare lo
stato del provisioning. Dopo il provisioning del certificato, il suo stato è
ACTIVE.
Per ulteriori informazioni sul deployment dei proxy, incluse ulteriori informazioni sulla risoluzione dei problemi, consulta
Deployment di un proxy API.