Dokumen ini menjelaskan cara menginstal dan mengonfigurasi Apigee dari command line
dengan peering VPC. Langkah-langkah ini berlaku untuk model harga Langganan dan Bayar sesuai penggunaan untuk organisasi berbayar
dengan atau tanpa mengaktifkan residensi data.
Ringkasan langkah-langkah
Langkah-langkah penyediaannya adalah sebagai berikut:
Langkah 1: Tentukan variabel lingkungan:
Siapkan gcloud dan tentukan variabel lingkungan.
Google Cloud CLI mengelola autentikasi, konfigurasi lokal, alur kerja developer,dan interaksi dengan Google Cloud API.
Langkah 4: Konfigurasikan jaringan layanan: Networking layanan mengotomatiskan penyiapan konektivitas pribadi (menggunakan Peering Jaringan VPC) antara jaringan Anda dan Apigee.
Langkah 5: Buat organisasi: Organisasi Apigee (terkadang disebut sebagai organisasi) adalah penampung level teratas di Apigee. Project ini mencakup semua
grup lingkungan dan lingkungan Anda, pengguna, proxy API, dan resource terkait.
Langkah 6: Buat instance runtime: Instance, atau runtime,
adalah tempat project dan layanan terkait disimpan, dan menyediakan endpoint
yang ditampilkan kepada pengguna untuk layanan Anda.
Langkah 7: Buat lingkungan: Proxy API harus
di-deploy ke lingkungan, dan ditambahkan ke grup lingkungan, sebelum API yang ditampilkan
dapat diakses melalui jaringan.
Siapkan gcloud dan tentukan variabel lingkungan untuk digunakan di langkah berikutnya:
Pastikan Anda telah menyelesaikan persyaratan penyiapan yang tercantum di
Sebelum memulai.
Anda harus menginstal Cloud SDK. Jika Anda perlu menginstalnya, lihat
Menginstal Cloud SDK.
Lakukan inisialisasi Cloud SDK, seperti yang dijelaskan dalam Melakukan inisialisasi gcloud CLI, atau pastikan bahwa project Google Cloud yang Anda buat dalam Prasyarat adalah project default untuk gcloud.
Tentukan variabel lingkungan berikut di terminal perintah Anda.
Pilih tab yang sesuai dengan jenis organisasi yang Anda perlukan:
Tidak ada residensi data atau dengan
Residensi data:
AUTH menentukan header Authentication dengan token pemilik.
Anda akan menggunakan header ini saat memanggil Apigee API. Perlu diperhatikan bahwa masa berlaku token telah berakhir setelah jangka waktu tertentu dan jika token sudah habis masa berlakunya, Anda cukup membuatnya kembali menggunakan perintah yang sama. Untuk mengetahui informasi selengkapnya, lihat halaman referensi untuk
perintah print-access-token.
PROJECT_ID adalah project ID Cloud yang Anda buat sebagai bagian dari
Prasyarat.
PROJECT_NUMBER adalah nomor project Cloud yang Anda buat sebagai bagian
dari Prasyarat.
RUNTIME_LOCATION adalah lokasi fisik tempat instance Apigee yang akan Anda buat nanti berada. Untuk daftar lokasi runtime yang tersedia, lihat
Lokasi Apigee.
ANALYTICS_REGION adalah lokasi fisik tempat data analisis Apigee akan disimpan. Untuk mengetahui daftar region Analisis API Apigee yang tersedia, lihat Lokasi Apigee.
RUNTIME_LOCATION dan ANALYTICS_REGION
dapat berada di region yang sama, tetapi tidak harus sama.
BILLING_TYPE adalah jenis penagihan untuk organisasi yang Anda buat. Nilai yang valid adalah:
AUTH menentukan header Authentication dengan token pemilik.
Anda akan menggunakan header ini saat memanggil Apigee API. Perlu diperhatikan bahwa masa berlaku token telah berakhir setelah jangka waktu tertentu dan jika token sudah habis masa berlakunya, Anda cukup membuatnya kembali menggunakan perintah yang sama. Untuk mengetahui informasi selengkapnya, lihat halaman referensi untuk
perintah print-access-token.
PROJECT_ID adalah project ID Cloud yang Anda buat sebagai bagian dari
Prasyarat.
PROJECT_NUMBER adalah nomor project Cloud yang Anda buat sebagai bagian
dari Prasyarat.
RUNTIME_LOCATION adalah lokasi fisik tempat instance Apigee yang akan Anda buat nanti berada. Untuk daftar lokasi runtime yang tersedia, lihat
Lokasi Apigee.
Lokasi runtime harus berada dalam
lokasi bidang kontrol.
CONTROL_PLANE_LOCATION adalah lokasi fisik tempat data bidang kontrol Apigee akan disimpan.
Untuk mengetahui daftar lokasi bidang kontrol yang tersedia, lihat
Lokasi Apigee.
CONSUMER_DATA_REGION adalah sub-region dari region bidang kontrol. Anda harus menentukan CONTROL_PLANE_LOCATION dan CONSUMER_DATA_REGION.
Untuk mengetahui daftar region data konsumen yang tersedia, lihat
Lokasi Apigee.
BILLING_TYPE adalah jenis penagihan untuk organisasi yang Anda buat. Nilai yang valid adalah:
(Opsional) Periksa pekerjaan Anda dengan menjalankan nilai yang baru saja Anda tetapkan. Perhatikan bahwa jika Anda ingin menggunakan variabel dalam perintah Anda, awali nama variabel dengan tanda dolar ($).
Respons terhadap perintah echo Anda akan terlihat seperti berikut:
YOUR_TOKEN
my-cloud-project
1234567890
us-west1
us
us-west1
SUBSCRIPTION
Langkah 2: Mengaktifkan API
Izin yang diperlukan untuk langkah ini
Anda dapat memberikan peran bawaan kepada penyedia Apigee yang mencakup izin yang diperlukan untuk menyelesaikan tugas ini, atau memberikan izin yang lebih terperinci untuk memberikan hak istimewa terendah yang diperlukan. Lihat
Peran yang telah ditetapkan dan
Izin pengaktifan API.
Apigee mengharuskan Anda mengaktifkan beberapa Google Cloud API. Aktifkan keduanya dengan menjalankan perintah services enable berikut:
Verifikasi bahwa agen berhasil dibuat. Respons akan menampilkan nama
agen dalam format berikut:
service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com.
misalnya:
Service identity created: service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
Langkah 4: Konfigurasi jaringan layanan
Pada langkah ini, Anda mengalokasikan sepasang Rentang Alamat IP (rentang CIDR /22 dan /28) ke Apigee dan melakukan peering VPC antara jaringan Anda dan jaringan Apigee. Setiap instance Apigee memerlukan rentang CIDR yang tidak tumpang-tindih antara /22 dan /28. Bidang runtime Apigee diberi alamat IP dari dalam rentang CIDR ini. Oleh karena itu, rentang ini harus dicadangkan untuk Apigee dan tidak digunakan oleh aplikasi lain di jaringan VPC Anda. Untuk informasi selengkapnya dan pertimbangan penting, lihat Memahami rentang peering.
Perlu diperhatikan bahwa Anda membuat rentang IP jaringan yang memadai untuk satu instance Apigee. Jika Anda berencana membuat instance Apigee tambahan, Anda harus mengulangi langkah ini untuk setiap instance. Rentang tidak dapat dibagikan antar-instance. Lihat juga Memperluas Apigee ke beberapa region.
Izin yang diperlukan untuk
tugas ini
Anda dapat memberikan peran bawaan kepada penyedia Apigee yang mencakup izin yang diperlukan untuk menyelesaikan tugas ini, atau memberikan izin yang lebih terperinci untuk memberikan hak istimewa terendah yang diperlukan. Lihat
Peran yang telah ditetapkan dan
Izin jaringan layanan.
RANGE_NAME adalah nama rentang alamat IP yang Anda buat.
Anda dapat memberi nama rentang apa pun sesuai keinginan. Contoh: google-svcs
NETWORK_NAME adalah nama resource jaringan tempat alamat harus dicadangkan.
Google membuat jaringan default (bernama default) untuk setiap project baru sehingga Anda dapat menggunakannya. Namun,
Google tidak merekomendasikan penggunaan jaringan default untuk hal apa pun selain pengujian.
--addresses memungkinkan Anda menentukan
rentang alamat secara opsional. Misalnya, untuk mengalokasikan blok CIDR 192.168.0.0/22, tentukan 192.168.0.0 untuk alamat dan 22 untuk panjang awalan. Lihat juga
Membuat alokasi IP.
Jika parameter --addresses tidak diberikan, gcloud akan memilih rentang alamat IP yang tersedia untuk Anda.
Jika berhasil, gcloud akan merespons dengan hal berikut:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/addresses/google-svcs].
Setelah Anda membuat rentang alamat IP, alamat tersebut akan dikaitkan dengan project sampai Anda melepaskannya.
Pastikan rentang IP jaringan telah dibuat dengan panjang CIDR /22:
Buat rentang IP jaringan dengan panjang CIDR /28. Rentang ini diperlukan dan digunakan oleh Apigee untuk tujuan pemecahan masalah dan tidak dapat disesuaikan atau diubah.
--addresses memungkinkan Anda menentukan
rentang alamat secara opsional. Misalnya, untuk mengalokasikan blok CIDR 192.168.0.0/28, tentukan 192.168.0.0 untuk alamat dan 28 untuk panjang awalan. Lihat juga
Membuat alokasi IP.
Jika parameter --addresses tidak diberikan, gcloud akan memilih rentang alamat IP yang tersedia untuk Anda.
Pastikan rentang IP jaringan telah dibuat dengan panjang CIDR /28:
Operasi ini bisa memakan waktu beberapa menit sampai selesai. Jika berhasil, gcloud
akan merespons dengan kode berikut, dengan OPERATION_ID adalah UUID dari LRO.
Apigee membuat koneksi antara jaringan Anda dan layanan Google; secara khusus, Apigee menghubungkan project Anda ke Service Networking API melalui peering VPC. Apigee juga mengaitkan alamat IP dengan project Anda.
Setelah beberapa menit, verifikasi apakah peering VPC berhasil:
gcloud services vpc-peerings list \
--network=$NETWORK_NAME \
--service=servicenetworking.googleapis.com \
--project=$PROJECT_ID
Langkah 5: Buat organisasi
Izin yang diperlukan untuk langkah ini
Anda dapat memberikan peran bawaan kepada penyedia Apigee yang mencakup izin yang diperlukan untuk menyelesaikan tugas ini, atau memberikan izin yang lebih terperinci untuk memberikan hak istimewa terendah yang diperlukan. Lihat:
Agar dapat membuat organisasi, Anda harus membuat key ring dan kunci enkripsi database runtime (lihat langkah 1) dan, jika Anda menggunakan
residensi data, kunci dan key ring enkripsi bidang kontrol (lihat langkah 2). Kunci
Cloud KMS ini mengenkripsi data yang disimpan dan direplikasi di seluruh lokasi runtime dan bidang kontrol. Apigee menggunakan entity ini untuk mengenkripsi data aplikasi seperti KVM, cache, dan rahasia klien, yang kemudian disimpan dalam database. Untuk mengetahui informasi selengkapnya, lihat
Tentang kunci enkripsi Apigee.
Membuat kunci dan key ring enkripsi database runtime.
Tentukan variabel lingkungan untuk lokasi lingkaran dan kunci enkripsi database runtime Anda. Hal ini membantu memastikan konsistensi saat Anda membuatnya dan memudahkan Anda untuk mengikuti dokumentasi.
Nilainya adalah lokasi fisik tempat key ring dan kunci enkripsi database runtime Anda disimpan.
Satu region
Single region configuration (di mana Anda hanya memiliki satu instance dalam satu region): Pilih dari lokasi regional KMS yang didukung.
Contoh:
RUNTIMEDBKEY_LOCATION="us-west1"
Nilainya bisa sama dengan $RUNTIME_LOCATION Anda (juga region), tetapi tidak harus demikian. Namun, mungkin ada manfaat performa jika keduanya
sama.
Jika Anda memiliki konfigurasi multi-region di AS, sebaiknya gunakan
us untuk lokasi Anda jika memungkinkan. Jika tidak, gunakan nam4.
Menentukan variabel lingkungan untuk key ring dan nama kunci database.
Nama key ring harus unik untuk organisasi Anda. Jika Anda membuat region kedua atau berikutnya, nama tersebut tidak boleh sama dengan nama key ring lainnya.
(Opsional) Periksa pekerjaan Anda dengan menjalankan nilai yang baru saja Anda tetapkan. Ingat bahwa jika Anda ingin menggunakan variabel dalam perintah Anda, awali nama variabel dengan tanda dolar ($).
Perintah ini mengikat kunci ke Agen Layanan Apigee.
Setelah berhasil menyelesaikan permintaan ini, gcloud akan merespons dengan sesuatu yang mirip dengan berikut:
Updated IAM policy for key [runtime].
bindings:
- members:
- serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
role: roles/cloudkms.cryptoKeyEncrypterDecrypter
etag: BwWqgEuCuwk=
version: 1
Jika Anda mendapatkan error seperti berikut:
INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.
Pastikan Anda menggunakan nomor project, bukan nama project di alamat email akun layanan.
Jika Anda menggunakan
residensi data, buat key ring dan
kunci enkripsi bidang kontrol. Jika Anda tidak menggunakan residensi data, lanjutkan ke langkah 3.
Lakukan langkah-langkah berikut untuk membuat kunci dan key ring enkripsi bidang kontrol.
Tentukan variabel lingkungan untuk lokasi lingkaran dan kunci enkripsi database bidang kontrol Anda:
CONTROL_PLANE_LOCATION adalah lokasi fisik tempat data bidang kontrol Apigee akan disimpan.
Untuk mengetahui daftar lokasi bidang kontrol yang tersedia, lihat
Lokasi Apigee.
CONSUMER_DATA_REGION adalah sub-region dari region bidang kontrol. Anda harus menentukan CONTROL_PLANE_LOCATION dan CONSUMER_DATA_REGION.
Untuk mengetahui daftar region data konsumen yang tersedia, lihat
Lokasi Apigee.
Menentukan variabel lingkungan untuk key ring dan nama kunci database bidang kontrol.
Perintah ini mengikat kunci ke Agen Layanan Apigee. Setelah berhasil menyelesaikan
permintaan ini, gcloud akan merespons dengan sesuatu yang mirip dengan berikut ini:
Updated IAM policy for key [runtime].
bindings:
- members:
- serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
role: roles/cloudkms.cryptoKeyEncrypterDecrypter
etag: BwWqgEuCuwk=
version: 1
Jika Anda mendapatkan error seperti berikut:
INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.
Pastikan Anda menggunakan nomor project, bukan nama project di alamat email
akun layanan.
runtimeDatabaseEncryptionKeyName: ID kunci enkripsi aplikasi yang Anda buat di langkah sebelumnya. Ingat kembali bahwa ID terstruktur seperti jalur file. Contoh: projects/my-project/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-key
-d menentukan payload data untuk permintaan. Payload ini harus mencakup
hal-hal berikut:
name: Mengidentifikasi organisasi baru Anda. Nama ini harus sama dengan nama project ID Anda.
runtimeType: Tetapkan nilai ini ke CLOUD.
billingType: Menentukan jenis penagihan organisasi yang dibuat.
controlPlaneEncryptionKeyName: Adalah ID kunci bidang kontrol Anda.
apiConsumerDataLocation: Anda juga harus menentukan sub-wilayah untuk digunakan oleh
resource internal. Lihat
Wilayah residensi data untuk nilai yang didukung.
apiConsumerDataEncryptionKeyName: Apakah ID kunci region data konsumen Anda.
runtimeDatabaseEncryptionKeyName: ID kunci enkripsi aplikasi yang Anda buat di langkah sebelumnya. Ingat kembali bahwa ID terstruktur seperti jalur file. Contoh: projects/my-project/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-key
Setelah Anda menjalankan perintah ini, Apigee akan memulai operasi yang berjalan lama, yang dapat memerlukan waktu beberapa menit hingga selesai.
Jika terjadi error, periksa penggunaan tanda kutip pada
nilai variabel dalam payload data. Pastikan Anda memiliki tanda kutip ganda-tunggal ganda
di sekitar variabel $PROJECT_ID, seperti yang ditunjukkan contoh berikut:
"'"$PROJECT_ID"'"
Jika menggunakan string biasa (bukan variabel lingkungan) untuk nilai permintaan, Anda dapat menggabungkannya dalam tanda kutip ganda dalam string payload dengan tanda kutip tunggal, seperti yang ditampilkan dalam contoh berikut:
'{ "name":"my-gcp-project", ... }'
Tunggu beberapa menit.
Untuk memeriksa status permintaan pembuatan, Anda dapat mengirim permintaan GET ke List organizations API Apigee, seperti yang ditunjukkan contoh berikut:
Jika Anda melihat respons ini, artinya pembuatan organisasi belum selesai:
{
"error": {
"code": 403,
"message": "Permission denied on resource \"organizations/apigee-docs-m\" (or it may not exist)",
"status": "PERMISSION_DENIED"
}
}
Jika Apigee berhasil membuat organisasi baru, Anda akan menerima respons seperti berikut:
Anda dapat memberikan peran bawaan kepada penyedia Apigee yang mencakup izin yang diperlukan untuk menyelesaikan tugas ini, atau memberikan izin yang lebih terperinci untuk memberikan hak istimewa terendah yang diperlukan. Lihat
Peran yang telah ditetapkan dan
Izin instance runtime.
Instance runtime adalah tempat project Apigee dan layanan terkait disimpan. Instance ini menyediakan endpoint yang ditampilkan kepada pengguna untuk layanan Anda. Untuk membuat instance runtime baru:
Pastikan Apigee telah selesai membuat organisasi Anda. Anda telah mengirimkan permintaan untuk membuat organisasi baru di Membuat organisasi Apigee, tetapi Anda harus memastikan hal tersebut telah dilakukan sebelum melanjutkan.
Jika organisasi tersebut ada (dan Anda memiliki izin yang sesuai untuk melihatnya), Apigee
akan merespons dengan memberikan detail tentang organisasi tersebut. Jika Apigee merespons dengan error, tunggu beberapa menit dan kirim permintaan lagi.
Sama seperti tugas sebelumnya saat Anda membuat kunci enkripsi untuk database, sekarang Anda harus membuat kunci
Cloud KMS yang digunakan untuk mengenkripsi data di sisi server.
Untuk memulai, tentukan variabel lingkungan berikut:
INSTANCE_NAME: Nama instance baru Anda. Misalnya:
my-runtime-instance. Nama harus diawali dengan huruf kecil, panjangnya maksimal 32 karakter, dan hanya boleh berisi huruf kecil, angka, dan tanda hubung. Nama ini tidak boleh diawali atau diakhiri dengan tanda hubung dan panjangnya minimal harus dua
karakter.
RUNTIME_LOCATION adalah tempat fisik tempat cluster Anda dihosting.
Nilai yang valid adalah semua lokasi yang diizinkan oleh Compute Engine. (Lihat
Region dan zona yang tersedia.) Contoh ini menggunakan
us-west1.
DISK_KEY_RING_NAME adalah nama key ring enkripsi disk.
consumerAcceptList (Opsional) Menentukan daftar
ID project Google Cloud yang dapat terhubung secara pribadi ke
lampiran layanan VPC Apigee. Lampiran layanan adalah entity yang digunakan dengan
Private Service Connect Google Cloud untuk memungkinkan produsen layanan (dalam hal ini, Apigee) mengekspos layanan kepada konsumen (dalam hal ini, satu atau beberapa project Cloud yang Anda miliki).
Secara default, kami menggunakan project Cloud yang sudah dikaitkan dengan organisasi Apigee Anda. Contoh:
"consumerAcceptList": ["project1", "project2", "project3"]
Perlu diperhatikan bahwa Anda juga dapat menetapkan dan mengubah daftar project yang diterima di UI Instance. Untuk mengetahui detailnya, lihat
Mengelola instance.
Proses permintaan ini dapat memakan waktu hingga 20 menit karena Apigee harus membuat dan meluncurkan cluster Kubernetes baru, menginstal resource Apigee di cluster tersebut, dan menyiapkan load balancing.
Untuk memeriksa status permintaan pembuatan instance runtime Anda, jalankan perintah berikut. Saat status AKTIF, Anda dapat melanjutkan ke langkah berikutnya.
Tidak ada residensi data
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances/$INSTANCE_NAME"
Residensi Data
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://$CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances/$INSTANCE_NAME"
Langkah 7: Buat lingkungan
Izin yang diperlukan untuk langkah ini
Anda dapat memberikan peran bawaan kepada penyedia Apigee yang mencakup izin yang diperlukan untuk menyelesaikan tugas ini, atau memberikan izin yang lebih terperinci untuk memberikan hak istimewa terendah yang diperlukan. Lihat:
Untuk membuat lingkungan dan melampirkannya ke runtime pada command line:
Tentukan variabel lingkungan yang akan digunakan di bagian ini. Variabel lingkungan khusus yang Anda buat
akan bergantung pada apakah Anda membuat lingkungan untuk organisasi langganan atau
Bayar sesuai penggunaan.
Langganan
Untuk lingkungan langganan, buat variabel berikut:
ENVIRONMENT_TYPE adalah
jenis lingkungan
untuk lingkungan ini dan hanya berlaku untuk pengguna Pay-as-you-go, yang harus
menentukan salah satu nilai berikut: BASE, INTERMEDIATE, atau
COMPREHENSIVE. Pengguna lain harus menghapus jenis lingkungan.
ENV_GROUP_NAME adalah nama string. Contoh: test-group
ENV_GROUP_HOSTNAME adalah nama host domain yang valid. Contoh: foo.example.com
Buat lingkungan baru dengan Environments API. Perintah khusus yang Anda gunakan
bergantung pada apakah Anda membuat lingkungan untuk organisasi langganan atau
Bayar sesuai penggunaan.
Langganan
Untuk lingkungan langganan baru, gunakan perintah berikut:
Pada langkah ini, Anda akan mengonfigurasi cara aplikasi klien berkomunikasi dengan Apigee. Traffic klien ke Apigee juga disebut traffic "northbound". Opsi konfigurasi arah utara mencakup hal berikut.
Buka opsi konfigurasi yang ingin digunakan, lalu lakukan langkah-langkah untuk opsi tersebut:
Gunakan grup instance terkelola (MIG) untuk mengirim traffic API dari layanan backend load balancer global ke Apigee. Dengan konfigurasi ini, Apigee hanya dapat terhubung ke VPC yang di-peering. Konfigurasi ini memungkinkan Anda mengirim permintaan proxy Apigee API dari mesin apa pun yang mendukung jaringan.
Hanya izinkan akses internal ke proxy API dari project Google Cloud Anda menggunakan Private Service Connect (PSC).
PSC memungkinkan koneksi pribadi antara produsen layanan (Apigee) dan konsumen layanan (project VPC yang di-peering dan/atau satu atau beberapa project Cloud lain yang Anda kontrol). Dengan metode ini, permintaan akan melewati endpoint layanan atau load balancer internal regional ke satu titik lampiran, yang disebut lampiran layanan.
Konfigurasi ini memungkinkan klien internal Anda mengirimkan
permintaan proxy Apigee API dari mesin apa pun yang mendukung jaringan.
Gunakan Private Service Connect (PSC) untuk mengaktifkan koneksi pribadi antara produsen layanan (Apigee) dan konsumen layanan (project VPC yang di-peering dan/atau satu atau beberapa project Cloud lain yang Anda kontrol). Dengan metode ini, permintaan akan melewati load balancer eksternal global atau load balancer eksternal regional ke satu titik lampiran, yang disebut lampiran layanan.
Dengan konfigurasi ini, Anda dapat mengirim permintaan proxy Apigee API dari mesin apa pun yang mendukung jaringan.
Masing-masing pendekatan {i>routing<i} ini disajikan dalam petunjuk di bawah ini.
Perutean internal (VPC)
Untuk perutean traffic dari klien internal ke Apigee, Anda dapat memilih untuk menggunakan penghentian TLS atau tidak:
Opsi TLS: Anda memiliki dua pilihan jika ingin melakukan panggilan proxy API
dari klien internal yang mengaktifkan TLS:
Buat grup instance terkelola (MIG) di project Anda. Untuk membuat MIG, ikuti langkah-langkah 8a, 8b, dan 8c di tab External routing (MIG).
Buat dan konfigurasi load balancer HTTPS(S) internal (ILB), dan
tambahkan MIG yang Anda buat ke layanan backend ILB, seperti yang dijelaskan dalam
Menyiapkan Load Balancing HTTP(S) Internal dengan backend grup instance VM. Dengan konfigurasi ILB,
Anda memiliki kontrol penuh atas sertifikat CA yang digunakan dengan ILB.
(Opsi 2) Gunakan nama domain internal yang sepenuhnya memenuhi syarat, serta IP load balancer internal dari instance Apigee. Kasus ini hanya direkomendasikan untuk tujuan pengujian, bukan untuk lingkungan produksi. Dalam hal ini, sertifikat yang ditandatangani sendiri dan dibuat oleh Apigee akan digunakan, dengan load balancer internal Apigee, dan Anda tidak dapat mengubahnya. Lihat
Memanggil proxy API dengan akses khusus internal.
Opsi non-TLS: Jika tidak perlu mengaktifkan penghentian TLS, Anda dapat memanggil proxy API
tempat klien menonaktifkan TLS. Misalnya, dengan menggunakan opsi -k bersama
cURL, Anda dapat menonaktifkan TLS. Lihat
Memanggil proxy API dengan akses khusus internal.
Perutean eksternal (MIG)
Bagian ini menjelaskan cara mengonfigurasi perutean guna mengizinkan akses eksternal ke proxy API menggunakan grup instance terkelola (MIG) untuk mengirim traffic API dari layanan backend load balancer global ke Apigee. Anda harus melakukannya sebelum dapat mengirim permintaan dari klien eksternal ke instance runtime Apigee.
Izin yang diperlukan untuk langkah ini
Anda dapat memberi penyedia Apigee peran bawaan yang mencakup izin yang diperlukan untuk menyelesaikan tugas ini, atau memberikan izin yang lebih terperinci untuk memberikan hak istimewa terendah yang diperlukan.
Lihat Peran yang telah ditetapkan dan Izin pemilihan rute akses.
Petunjuk di bagian ini menggunakan variabel lingkungan untuk merujuk ke string yang digunakan berulang kali. Sebaiknya tetapkan setelan berikut sebelum melanjutkan:
MIG_NAME=apigee-mig-MIG_NAME # You can choose a different name if you like
VPC_NAME=default # If you are using a shared VPC, use the shared VPC nameVPC_SUBNET=default # Private Google Access must be enabled for this subnetREGION=RUNTIME_REGION # The same region as your Apigee runtime instanceAPIGEE_ENDPOINT=APIGEE_INSTANCE_IP # See the tip below for details on getting this IP address value
Anda akan menggunakan variabel ini beberapa kali selama proses yang tersisa. Jika ingin mengonfigurasi beberapa wilayah, buat variabel dengan nilai spesifik untuk setiap wilayah.
Langkah 8c: Membuat grup instance terkelola
Pada langkah ini, Anda akan membuat dan mengonfigurasi grup instance terkelola (MIG). Pada langkah selanjutnya, Anda akan menambahkan MIG ke layanan backend yang dilampirkan ke load balancer global. MIG diperlukan untuk mengirim traffic API dari layanan backend load balancer global ke Apigee.
Seperti yang dapat Anda lihat dari perintah ini, jenis mesin adalah e2-medium. Paket ini menjalankan Debian 10 dan memiliki disk sebesar 20 GB. Skrip startup-script.sh mengonfigurasi MIG untuk merutekan traffic masuk dari load balancer ke instance Apigee.
Langkah 8d: Buat kunci dan sertifikat SSL untuk load balancer
Anda hanya perlu membuat kredensial satu kali, baik saat menginstal di satu maupun beberapa region. Pada langkah selanjutnya, Anda akan mengaitkan kredensial ini dengan proxy HTTPS target load balancer.
Anda dapat membuat kredensial dengan:
Sertifikat Anda sendiri dari certificate authority
Untuk mengetahui informasi selengkapnya tentang cara membuat dan menggunakan sertifikat SSL untuk load balancer Google Cloud, lihat Sertifikat SSL dan Ringkasan sertifikat SSL.
Pada contoh berikut, kami membuat sertifikat SSL yang dikelola Google:
Setel DOMAIN_HOSTNAME ke nama host domain yang valid yang telah Anda daftarkan. Pada langkah selanjutnya, Anda akan mendapatkan alamat IP load balancer dan memperbarui data A domain agar mengarah ke alamat tersebut. Misalnya, nama host domain
mungkin terlihat seperti ini: foo.example.com.
Anda akan menggunakan health check ini untuk memastikan bahwa layanan backend berjalan. Untuk
mengonfigurasi health check lanjutan lainnya terhadap proxy tertentu, lihat
Melakukan health check.
Langkah 8f: Dapatkan alamat IP yang dicadangkan dan buat aturan firewall
Anda harus menetapkan alamat IP ke load balancer, lalu membuat aturan yang mengizinkan load balancer mengakses MIG. Anda hanya perlu melakukan langkah ini satu kali, baik saat menginstal di satu maupun beberapa region.
Langkah penting: Buka situs, host DNS, atau ISP tempat data DNS Anda dikelola, dan pastikan data DNS domain Anda ditetapkan ke alamat IP load balancer Google Cloud. Alamat ini adalah nilai IP yang ditampilkan pada langkah terakhir. Untuk mengetahui detail selengkapnya, lihat
Memperbarui data DNS A dan AAAA agar mengarah ke alamat IP load balancer.
Buat aturan firewall yang memungkinkan load balancer mengakses MIG menggunakan
perintah berikut:
gcloud compute firewall-rules create FIREWALL_RULE_NAME \
--description "Allow incoming from GLB on TCP port 443 to Apigee Proxy" \
--project $PROJECT_ID --network $VPC_NAME --allow=tcp:443 \
--source-ranges=130.211.0.0/22,35.191.0.0/16 --target-tags=gke-apigee-proxy
Perlu diperhatikan bahwa rentang alamat IP 130.211.0.0/22 dan 35.191.0.0/16 adalah rentang alamat IP sumber untuk Google Load Balancing. Aturan firewall ini memungkinkan Google Cloud Load Balancing untuk membuat permintaan health check ke MIG.
Bagian ini menjelaskan cara mengizinkan akses internal saja ke proxy API dari project Google Cloud Anda yang menggunakan Private Service Connect (PSC).
Anda memiliki dua opsi untuk mengonfigurasi akses internal dengan PSC:
Endpoint layanan: Permintaan melewati endpoint layanan ke satu titik lampiran, yang disebut lampiran layanan.
Load balancer regional internal: Permintaan melewati load balancer HTTP(S) internal regional. Lihat juga Load balancing global vs regional.
Pilih tab di bawah untuk pilihan konfigurasi Anda, lalu ikuti langkah-langkahnya:
Endpoint layanan
Izin yang diperlukan untuk langkah ini
Anda dapat memberi penyedia Apigee peran bawaan yang mencakup izin yang diperlukan untuk menyelesaikan tugas ini, atau memberikan izin yang lebih terperinci untuk memberikan hak istimewa terendah yang diperlukan.
Lihat Peran yang telah ditetapkan dan Izin pemilihan rute akses.
Membuat endpoint layanan PSC untuk lampiran layanan
Dapatkan lampiran layanan dari instance yang Anda buat sebelumnya:
Tidak ada residensi data
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances"
Residensi Data
curl -i -X GET -H "Authorization: Bearer $AUTH" \
"https://$CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances"
Dalam contoh output berikut, nilai serviceAttachment
ditampilkan dalam huruf tebal:
Buat Endpoint Layanan PSC yang mengarah ke lampiran layanan yang Anda dapatkan dari isi respons instance pada langkah sebelumnya, seperti yang dijelaskan dalam Membuat endpoint Private Service Connect.
Anda dapat memberi penyedia Apigee peran bawaan yang mencakup izin yang diperlukan untuk menyelesaikan tugas ini, atau memberikan izin yang lebih terperinci untuk memberikan hak istimewa terendah yang diperlukan.
Lihat Peran yang telah ditetapkan dan Izin pemilihan rute akses.
Langkah 8a: Menyiapkan variabel lingkungan
Petunjuk di bagian ini menggunakan variabel lingkungan untuk merujuk ke string yang digunakan berulang kali. Pastikan Anda telah menetapkan variabel di Menentukan variabel lingkungan.
TARGET_SERVICE: lampiran layanan yang ingin Anda hubungkan. Contoh: projects/bfac7497a40c32a12p-tp/regions/us-west1/serviceAttachments/apigee-us-west1-crw7
NETWORK_NAME: (Opsional) Nama jaringan tempat NEG dibuat. Jika Anda menghapus
parameter ini, jaringan project default akan digunakan.
SUBNET_NAME: Nama subnet yang digunakan untuk konektivitas pribadi ke produsen.
Ukuran subnet boleh kecil: NEG PSC hanya memerlukan satu IP dari subnet.
Untuk Apigee, hanya satu NEG PSC yang diperlukan per wilayah. Subnet dapat dibagikan dan digunakan oleh VM atau entitas lainnya.
Jika subnet tidak ditentukan, endpoint jaringan dapat menjadi bagian dari subnetwork mana pun di
region tempat grup endpoint jaringan dibuat.
$PROJECT_ID dapat berupa project Cloud yang sudah terkait dengan organisasi Apigee Anda, atau project Cloud yang disertakan di consumerAcceptlist saat instance runtime Apigee dibuat.
Untuk membuat load balancer HTTPS, Anda harus memiliki resource sertifikat SSL untuk digunakan di
proxy target HTTPS.
Gunakan perintah ini untuk membuat resource sertifikat SSL yang dikelola sendiri. Untuk membuat sertifikat SSL yang dikelola sendiri, Anda memerlukan file kunci pribadi lokal dan file sertifikat lokal. Jika Anda perlu membuat file ini, lihat langkah 1 menggunakan sertifikat SSL yang dikelola sendiri.
DEFAULT_BACKEND_SERVICE_NAME: nama layanan backend default load balancer.
Setelan default digunakan jika tidak ada aturan host yang cocok dengan nama host yang diminta.
Gunakan resource sertifikat SSL untuk membuat proxy HTTPS target.
Bagian ini menjelaskan cara mengonfigurasi perutean eksternal menggunakan
Private Service Connect (PSC) untuk
memungkinkan komunikasi antara Apigee dan VPC yang Anda kontrol. Anda harus melakukannya sebelum dapat mengirim permintaan dari klien eksternal ke instance runtime Apigee.
Izin yang diperlukan untuk langkah ini
Anda dapat memberi penyedia Apigee peran bawaan yang mencakup izin yang diperlukan untuk menyelesaikan tugas ini, atau memberikan izin yang lebih terperinci untuk memberikan hak istimewa terendah yang diperlukan.
Lihat Peran yang telah ditetapkan dan Izin pemilihan rute akses.
Langkah 8b: Buat NEG dan konfigurasikan load balancer
Anda dapat membuat load balancer global atau regional.
TARGET_SERVICE: lampiran layanan yang ingin Anda hubungkan. Gunakan nilai lampiran layanan yang ditampilkan oleh perintah sebelumnya. Contoh: projects/bfac7497a40c32a12p-tp/regions/us-west1/serviceAttachments/apigee-us-west1-crw7
NETWORK_NAME: (Opsional) Nama jaringan tempat NEG dibuat. Jika Anda menghapus
parameter ini, jaringan project default akan digunakan.
SUBNET_NAME: Nama subnet yang digunakan untuk konektivitas pribadi ke produsen.
Ukuran subnet boleh kecil: NEG PSC hanya memerlukan satu IP dari subnet.
Untuk Apigee, hanya satu NEG PSC yang diperlukan per wilayah. Subnet dapat dibagikan dan digunakan oleh VM atau entitas lainnya.
Jika subnet tidak ditentukan, endpoint jaringan dapat menjadi bagian dari subnetwork mana pun di region tempat grup endpoint jaringan dibuat.
$PROJECT_ID Project Cloud yang sudah terkait dengan organisasi Apigee Anda, atau project Cloud yang disertakan dalam consumerAcceptlist saat instance runtime Apigee dibuat.
Jika belum melakukannya, buat variabel lingkungan untuk menyimpan project ID, karena variabel tersebut digunakan di sebagian besar perintah berikut.
Cadangkan alamat IPv4 eksternal global untuk load balancer.
DEFAULT_BACKEND_SERVICE_NAME: nama layanan backend default load balancer.
Setelan default digunakan jika tidak ada aturan host yang cocok dengan nama host yang diminta.
Buat proxy HTTPS target.
Untuk membuat load balancer HTTPS, Anda harus memiliki resource sertifikat SSL untuk digunakan di
proxy target HTTPS. Anda dapat membuat resource sertifikat SSL menggunakan sertifikat SSL yang dikelola Google atau sertifikat SSL yang dikelola sendiri. Sebaiknya gunakan sertifikat yang dikelola Google
karena Google Cloud mendapatkan, mengelola, dan memperpanjang sertifikat ini secara otomatis.
Gunakan perintah ini untuk membuat resource sertifikat SSL yang dikelola sendiri. Untuk membuat
sertifikat SSL yang dikelola sendiri, Anda memerlukan file kunci pribadi lokal dan file sertifikat
lokal. Jika Anda perlu membuat file ini, lihat langkah 1 menggunakan sertifikat SSL yang dikelola sendiri.
TARGET_SERVICE: nama lampiran layanan yang ingin Anda hubungkan.
Contoh: projects/bfac7497a40c32a12p-tp/regions/us-west1/serviceAttachments/apigee-us-west1-crw7
DEFAULT_BACKEND_SERVICE_NAME: nama layanan backend default load balancer.
Setelan default digunakan jika tidak ada aturan host yang cocok dengan nama host yang diminta.
Buat proxy HTTPS target.
Untuk membuat load balancer HTTPS, Anda harus memiliki resource sertifikat SSL untuk digunakan di
proxy target HTTPS.
Gunakan perintah ini untuk membuat resource sertifikat SSL yang dikelola sendiri. Untuk membuat
sertifikat SSL yang dikelola sendiri, Anda memerlukan file kunci pribadi lokal dan file sertifikat
lokal. Jika Anda perlu membuat file ini, lihat langkah 1 menggunakan sertifikat SSL yang dikelola sendiri.
Membuat dan men-deploy proxy memerlukan serangkaian izin minimum. Jika memiliki peran Admin Org Apigee, Anda dapat menyelesaikan tugas ini. Untuk mempelajari peran lain yang dapat Anda terapkan, lihat
Peran Apigee.
Download
contoh proxy dari GitHub. Target proxy adalah layanan httpbin.org, yang merupakan layanan permintaan dan respons publik yang umum digunakan.
Upload paket proxy API ke runtime menggunakan Apigee
apis API:
Jika Anda mendapatkan error seperti ini:
CONNECT_CR_SRVR_HELLO:sslv3 alert handshake failure, periksa untuk
memastikan sertifikat SSL yang Anda buat sebelumnya telah disediakan.
Gunakan perintah ini untuk memeriksa
status penyediaan. Saat sertifikat disediakan, statusnya adalah
ACTIVE.