Aprovisiona una organización pagada con intercambio de tráfico entre VPC
bookmark_border Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Esta página se aplica a Apigee, pero no a Apigee Hybrid.

Consulta la documentación de Apigee Edge.

En este documento, se describe cómo instalar y configurar Apigee desde la línea de comandos con el intercambio de tráfico entre VPC. Estos pasos se aplican a los modelos de precios de suscripción y de pago por uso para las organizaciones pagadas con o sin la residencia de datos habilitada.

Resumen de los pasos

Los pasos de aprovisionamiento son los siguientes:

Paso 1: Define las variables de entorno: Configura gcloud y define las variables de entorno. Google Cloud CLI administra la autenticación, la configuración local, el flujo de trabajo de los desarrolladores y las interacciones con las APIs de Google Cloud.
Paso 2: Habilita las API: Apigee requiere que habilites varias APIs de Google Cloud.
Paso 3: Crea la identidad del servicio de Apigee: Las bibliotecas cliente de Google Cloud usan esta cuenta de servicio. para autenticarse con las APIs de Google Cloud.
Paso 4: Configura herramientas de redes de servicio: las herramientas de redes de servicio automatizan la configuración de la conectividad privada (con el intercambio de tráfico entre redes de VPC) entre tu red y Apigee.
Paso 5: Crea una organización: Una organización de Apigee (a veces conocida como org) es el contenedor de nivel superior en Apigee. Incluye todos los entornos y grupos de entornos, usuarios, proxies de API y recursos relacionados.
Paso 6: Crea una instancia del entorno de ejecución: Una instancia, o entorno de ejecución, es donde se almacenan tu proyecto y los servicios relacionados. Le proporciona a tus servicios el extremo para el usuario.
Paso 7: Crea un entorno: Un proxy de API debe implementarse en un entorno y agregarse a un grupo de entornos, antes de que las APIs que expone sean accesibles a través de la red.
Paso 8: Configura el enrutamiento: Permite el acceso externo o el acceso solo interno a la API.
Paso 9: Implementa un proxy de muestra: Prueba el aprovisionamiento mediante la implementación y llamada de un proxy de API.

Paso 1: Definir las variables de entorno

Configura gcloud y define variables de entorno para usarlas en pasos posteriores:

Asegúrate de haber completado los requisitos de configuración que se enumeran en Antes de comenzar.
Debes tener instalado el SDK de Cloud. Si necesitas instalarlo, consulta Instala el SDK de Cloud.
Inicializa el SDK de Cloud, como se describe enInicializa gcloud CLI, o asegúrate de que el proyecto de Google Cloud que creaste en Requisitos previos es el proyecto predeterminado para gcloud.
Define las siguientes variables de entorno en tu terminal de comando. Selecciona la pestaña que corresponda al tipo de organización que necesitas: Sin residencia de datos o con Residencia de datos
Sugerencia: Guarda las variables de entorno en un archivo de texto para que puedas restablecerlas con facilidad si es necesario.
Sin residencia de datosResidencia de los datos
```
AUTH="$(gcloud auth print-access-token)"
PROJECT_ID="YOUR_PROJECT_ID"
PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format="value(projectNumber)")
RUNTIME_LOCATION="YOUR_RUNTIME_LOCATION"
ANALYTICS_REGION="YOUR_ANALYTICS_REGION"
BILLING_TYPE="YOUR_BILLING_TYPE"
```
Nota: Si aprovisionas una nueva organización de Apigee dentro de un proyecto de Google Cloud con una restricción de ubicación de recursos aplicada en una política de la organización, confirma que la restricción de ubicación se establezca en global. Debido a que el plano de control de Apigee es una entidad global de forma predeterminada, el aprovisionamiento fallará si se aplica una restricción distinta de global. Para obtener más información, consulta Introducción a la residencia de datos.

Donde:
- AUTH define el encabezado Authentication con un token del portador. Usarás este encabezado cuando llames a las APIs de Apigee. Ten en cuenta que el token vence después de un período y, cuando lo hace, puedes volver a generarlo con el mismo comando. Para obtener más información, consulta la página de referencia del comando print-access-token.
- PROJECT_ID es el ID del proyecto de Cloud que creaste como parte de los requisitos previos.
- PROJECT_NUMBER es el número de proyecto de Cloud que creaste como parte de los requisitos previos.
- RUNTIME_LOCATION es la ubicación física en la que se encuentra la instancia de Apigee que crearás más tarde. Para obtener una lista de las ubicaciones disponibles del entorno de ejecución, consulta Ubicaciones de Apigee.
  
  Nota: Para RUNTIME_LOCATION, asegúrate de usar un nombre de región y no un nombre de zona. Por ejemplo, us-west1 es un nombre de región, mientras que us-west1-a es una zona en la región. Consulta también Identifica una región o zona.
- ANALYTICS_REGION es la ubicación física en la que se almacenarán los datos analíticos de Apigee. Para obtener una lista de las regiones disponibles de las estadísticas de la API de Apigee, consulta Ubicaciones de Apigee.
  
  Tanto RUNTIME_LOCATION como ANALYTICS_REGION pueden ser de la misma región, pero no es necesario que sean iguales.
- BILLING_TYPE es el tipo de facturación para la organización que creas. Estos son los valores válidos:
  - PAYG para organizaciones de Pay-as-you-go.
  - SUBSCRIPTION para las organizaciones de suscripción.
```
AUTH="$(gcloud auth print-access-token)"
PROJECT_ID="YOUR_PROJECT_ID"
PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format="value(projectNumber)")
RUNTIME_LOCATION="YOUR_RUNTIME_LOCATION"
CONTROL_PLANE_LOCATION="YOUR_CONTROL_PLANE_LOCATION"
CONSUMER_DATA_REGION="YOUR_CONSUMER_DATA_REGION"
BILLING_TYPE="YOUR_BILLING_TYPE"
```
Importante: Cuando usas la residencia de datos, la ubicación del plano de control es la región que lo contiene. Todas las demás regiones deben estar dentro de la ubicación del plano de control. Cuando la ubicación del plano de control es us, la región de datos del consumidor y la ubicación del entorno de ejecución también deben estar dentro de us. Por ejemplo, se acepta us-west1, en el que no se incluye europe-west1.

Donde:
- AUTH define el encabezado Authentication con un token del portador. Usarás este encabezado cuando llames a las APIs de Apigee. Ten en cuenta que el token vence después de un período y, cuando lo hace, puedes volver a generarlo con el mismo comando. Para obtener más información, consulta la página de referencia del comando print-access-token.
- PROJECT_ID es el ID del proyecto de Cloud que creaste como parte de los requisitos previos.
- PROJECT_NUMBER es el número de proyecto de Cloud que creaste como parte de los requisitos previos.
- RUNTIME_LOCATION es la ubicación física en la que se encuentra la instancia de Apigee que crearás más tarde. Para obtener una lista de las ubicaciones disponibles del entorno de ejecución, consulta Ubicaciones de Apigee.
  
  Nota: Para RUNTIME_LOCATION, asegúrate de usar un nombre de región y no un nombre de zona. Por ejemplo, us-west1 es un nombre de región, mientras que us-west1-a es una zona en la región. Consulta también Identifica una región o zona.
  La ubicación del entorno de ejecución debe estar dentro de la ubicación del plano de control.
- CONTROL_PLANE_LOCATION es la ubicación física en la que se almacenarán los datos del plano de control de Apigee. Para obtener una lista de las ubicaciones disponibles del plano de control, consulta Ubicaciones de Apigee.
- CONSUMER_DATA_REGION es una subregión de la región del plano de control. Debes especificar tanto CONTROL_PLANE_LOCATION como CONSUMER_DATA_REGION. Para obtener una lista de las regiones de datos del consumidor disponibles, consulta Ubicaciones de Apigee.
- BILLING_TYPE es el tipo de facturación para la organización que creas. Estos son los valores válidos:
  - PAYG para organizaciones de Pay-as-you-go.
  - SUBSCRIPTION para las organizaciones de suscripción.

(Opcional) Para verificar su trabajo, repita los valores que acaba de configurar. Ten en cuenta que cuando quieras usar una variable en tus comandos, deberás colocar un signo de dólar antes de su nombre ($).

Sin residencia de datosResidencia de los datos

echo $AUTH
echo $PROJECT_ID
echo $PROJECT_NUMBER
echo $RUNTIME_LOCATION
echo $ANALYTICS_REGION
echo $BILLING_TYPE

Las respuestas a tus comandos echo deberían verse de la siguiente manera:

YOUR_TOKEN
my-cloud-project
1234567890
us-west1
us-west1
SUBSCRIPTION

echo $AUTH
echo $PROJECT_ID
echo $PROJECT_NUMBER
echo $RUNTIME_LOCATION
echo $CONTROL_PLANE_LOCATION
echo $CONSUMER_DATA_REGION
echo $BILLING_TYPE

Las respuestas a tus comandos echo deberían verse de la siguiente manera:

YOUR_TOKEN
my-cloud-project
1234567890
us-west1
us
us-west1
SUBSCRIPTION

Paso 2: Habilitar las API

Permisos necesarios para esta tarea

Puedes otorgar al aprovisionador de Apigee un rol predefinido que incluya los permisos necesarios para completar esta tarea, o bien otorgar permisos más detallados para proporcionar el privilegio mínimo necesario. Consulta Roles predefinidos y Permisos de habilitación de API.

Apigee requiere que habilites varias APIs de Google Cloud. Habilítalas mediante la ejecución del siguiente comando de services enable:

gcloud services enable apigee.googleapis.com \
    servicenetworking.googleapis.com \
    compute.googleapis.com \
    cloudkms.googleapis.com --project=$PROJECT_ID

Si deseas verificar tu trabajo, usa el comando services list para mostrar todas las APIs habilitadas (opcional):
```
gcloud services list
```
En la respuesta, se muestran todos los servicios habilitados, incluidas las APIs que acabas de habilitar.

Paso 3: Crear la identidad de servicio de Apigee

Crea la identidad del servicio de Apigee:

gcloud beta services identity create --service=apigee.googleapis.com \
  --project=$PROJECT_ID

Verifica que el agente se haya creado correctamente. La respuesta debe mostrar el nombre del agente en el siguiente formato: service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com. Por ejemplo:
```
Service identity created: service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
```

Paso 4: Configurar las herramientas de redes de servicio

En este paso, asignarás un par de rangos de direcciones IP (un rango CIDR /22 y /28) a Apigee y realizarás el intercambio de tráfico de VPC entre tu red y la red de Apigee. Cada instancia de Apigee requiere un rango de CIDR no superpuesto de /22 y /28. Se asignan direcciones IP desde este rango de CIDR al plano del entorno de ejecución de Apigee. Por lo tanto, es importante que el rango esté reservado para Apigee y que no use otras aplicaciones en la red de VPC. Para obtener más información y consideraciones importantes, consulta Información sobre los rangos de intercambio de tráfico.

Ten en cuenta que estás creando un rango de IP de red suficiente para una instancia de Apigee. Si planeas crear instancias adicionales de Apigee, debes repetir este paso para cada una. Los rangos no se pueden compartir entre instancias. Consulta también Expande Apigee a varias regiones.

Importante: Si ya tienes un rango de intercambio de tráfico y una conexión privada con servicenetworking.googleapis.com, y tu rango es tan grande como se necesita como para manejar otro rango CIDR /22 y /28, puedes omitir este paso. Apigee creará los bloques CIDR necesarios por ti. Este paso solo es necesario si aún no tienes un espacio creado que tenga margen para crear un bloque /22 y /28, o si quieres usar un /22 y /28 específico que, por el momento, no está presente.

Permisos necesarios para esta tarea

Crea estas variables de entorno:
```
RANGE_NAME=YOUR_RANGE_NAME
NETWORK_NAME=YOUR_NETWORK_NAME
```
Donde:
- RANGE_NAME es el nombre del rango de direcciones IP que estás creando. Puedes nombrar el rango como desees. Por ejemplo: google-svcs.
- NETWORK_NAME es el nombre del recurso de red en el que se deben reservar las direcciones.
  
  Google crea una red predeterminada (llamada default) para cada proyecto nuevo, por lo que puedes usarla. Sin embargo, no recomienda usar la red predeterminada para nada más que la prueba.
  
  Nota: Google no recomienda usar default, a menos que pruebes este proceso de configuración. No se debe usar una organización con una red predeterminada en producción.
Crea un rango de IP de red con una longitud de CIDR de /22:
```
gcloud compute addresses create $RANGE_NAME \
  --global \
  --prefix-length=22 \
  --description="Peering range for Apigee services" \
  --network=$NETWORK_NAME \
  --purpose=VPC_PEERING \
  --addresses=OPTIONAL_ADDRESSES \
  --project=$PROJECT_ID
```
En el ejemplo anterior, --addresses te permite especificar un rango de direcciones. Por ejemplo, para asignar el bloque CIDR 192.168.0.0/22, especifica 192.168.0.0 como la dirección y 22 como la longitud de prefijo. Consulta también Crea una asignación de IP.

Si no proporcionas el parámetro --addresses, gcloud selecciona un rango de direcciones disponible por ti.

Si se ejecuta de forma correcta, gcloud responde con lo siguiente:
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/addresses/google-svcs].
```
Después de crear un rango de direcciones IP, las direcciones se asocian al proyecto hasta que las liberes.

Verifica que el rango de IP de la red se haya creado con una longitud de CIDR de /22:

gcloud compute addresses list --global --project=$PROJECT_ID
gcloud compute addresses describe $RANGE_NAME --global --project=$PROJECT_ID

Crea un rango de IP de red con una longitud de CIDR de /28. Este rango es obligatorio y Apigee lo usa para solucionar problemas y no se puede personalizar ni cambiar.
```
gcloud compute addresses create google-managed-services-support-1 \
  --global \
  --prefix-length=28 \
  --description="Peering range for supporting Apigee services" \
  --network=$NETWORK_NAME \
  --purpose=VPC_PEERING \
  --addresses=OPTIONAL_ADDRESSES \
  --project=$PROJECT_ID
```
En el ejemplo anterior, --addresses te permite especificar un rango de direcciones. Por ejemplo, para asignar el bloque CIDR 192.168.0.0/28, especifica 192.168.0.0 como la dirección y 28 como la longitud de prefijo. Consulta también Crea una asignación de IP.

Si no proporcionas el parámetro --addresses, gcloud selecciona un rango de direcciones disponible por ti.

Verifica que el rango de IP de la red se haya creado con una longitud de CIDR de /28:

gcloud compute addresses list --global --project=$PROJECT_ID
gcloud compute addresses describe google-managed-services-support-1 --global \
  --project=$PROJECT_ID

Conecta tus servicios a la VPC con el siguiente comando:

gcloud services vpc-peerings connect \
  --service=servicenetworking.googleapis.com \
  --network=$NETWORK_NAME \
  --ranges=$RANGE_NAME,google-managed-services-support-1 \
  --project=$PROJECT_ID

Esta operación puede tardar varios minutos en completarse. Si se ejecuta de forma correcta, gcloud responde con lo siguiente, donde OPERATION_ID es el UUID de LRO.

Operation "operations/OPERATION_ID" finished successfully.

Apigee crea una conexión entre tu VPC y los servicios de Google. En específico, Apigee conecta tu proyecto con la API de Service Networking a través del intercambio de tráfico de VPC. Apigee también asocia direcciones IP a tu proyecto.

Después de unos minutos, verifica si el intercambio de tráfico entre VPC se realizó de forma correcta:

gcloud services vpc-peerings list \
  --network=$NETWORK_NAME \
  --service=servicenetworking.googleapis.com \
  --project=$PROJECT_ID

Paso 5: Crear una organización

Permisos necesarios para esta tarea

Antes de crear una organización, debes crear un llavero de claves y una clave de encriptación de la base de datos del entorno de ejecución (consulta el paso 1) y, si usas la residencia de datos., llaveros de claves y claves de encriptación del plano de control (consulta el paso 2). Estas claves de Cloud KMS encriptan los datos que se almacenan y replican en las ubicaciones del entorno de ejecución y del plano de control. Apigee usa estas entidades para encriptar datos de aplicaciones, como KVM, caché y secretos del clientes, que luego se almacenan en la base de datos. Para obtener más información, consulta Acerca de las claves de encriptación de Apigee.

Crea un llavero de claves y una clave de encriptación de la base de datos del entorno de ejecución.
1. Define una variable de entorno para la ubicación de la clave y el llavero de encriptación de la base de datos del entorno de ejecución. Esto garantiza la coherencia cuando se crean y facilita el seguimiento en la documentación.
  
  El valor es la ubicación física en la que se almacenan el llavero de claves y la clave de encriptación de la base de datos del entorno de ejecución.
  UnirregionalMultirregión
  Opciones de configuración de región única (en las que solo tienes una instancia en una región): elige entre las ubicaciones regionales de KMS compatibles.
  
  Por ejemplo:
  RUNTIMEDBKEY_LOCATION="us-west1"
  El valor puede ser el mismo que la $RUNTIME_LOCATION (también una región), pero no es necesario que lo sea. Sin embargo, puede haber un beneficio de rendimiento si son iguales.
  Opciones de configuración multirregional: Elige entre ubicaciones multirregionales compatibles (como us o europe) o ubicaciones birregionales.
  
  Por ejemplo:
  RUNTIMEDBKEY_LOCATION="us"
  Te recomendamos que, si tienes una configuración multirregional en EE.UU., uses us para tu ubicación si es posible. De lo contrario, usa nam4.
2. Define variables de entorno para el nombre de las claves y los llaveros de claves de la base de datos.
  El nombre del llavero de claves debe ser único para tu organización. Si creas una segunda región o una posterior, el nombre no puede ser el mismo que los nombres de otros llaveros de claves.
```
RUNTIMEDB_KEY_RING_NAME=YOUR_DB_KEY_RING_NAME
RUNTIMEDB_KEY_NAME=YOUR_DB_KEY_NAME
```
3. (Opcional) Para verificar su trabajo, repita los valores que acaba de configurar. Recuerda que cuando quieras usar una variable en tus comandos, deberás colocar un signo de dólar antes de su nombre ($).
```
echo $RUNTIMEDBKEY_LOCATION
echo $RUNTIMEDB_KEY_RING_NAME
echo $RUNTIMEDB_KEY_NAME
```
4. Crea un llavero de claves nuevo:
```
gcloud kms keyrings create $RUNTIMEDB_KEY_RING_NAME \
  --location $RUNTIMEDBKEY_LOCATION --project $PROJECT_ID
```
  La ubicación de la clave de encriptación de la base de datos del entorno de ejecución de Apigee admite todas las ubicaciones de Cloud KMS compatibles con Cloud HSM y Cloud EKM.
5. Crea una clave:
```
gcloud kms keys create $RUNTIMEDB_KEY_NAME \
  --keyring $RUNTIMEDB_KEY_RING_NAME \
  --location $RUNTIMEDBKEY_LOCATION \
  --purpose "encryption" \
  --project $PROJECT_ID
```
  Con este comando, se crea la clave y se agrega al llavero de claves.
  
  Obtén el ID de clave:
```
gcloud kms keys list \
  --location=$RUNTIMEDBKEY_LOCATION \
  --keyring=$RUNTIMEDB_KEY_RING_NAME \
  --project=$PROJECT_ID
```
  El ID de clave tiene la siguiente sintaxis (similar a una ruta de archivo):
```
projects/PROJECT_ID/locations/RUNTIMEDBKEY_LOCATION/keyRings/RUNTIMEDB_KEY_RING_NAME/cryptoKeys/RUNTIMEDB_KEY_NAME
```
6. Coloca el ID de clave en una variable de entorno. Usarás esta variable en un comando posterior:
```
RUNTIMEDB_KEY_ID=YOUR_RUNTIMEDB_KEY_ID
```
7. Otorga acceso al agente de servicio de Apigee para que use la clave nueva:
```
gcloud kms keys add-iam-policy-binding $RUNTIMEDB_KEY_NAME \
  --location $RUNTIMEDBKEY_LOCATION \
  --keyring $RUNTIMEDB_KEY_RING_NAME \
  --member serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
  --project $PROJECT_ID
```
  Este comando vincula la clave con el agente de servicio de Apigee.
  
  Cuando se completa correctamente esta solicitud, gcloud muestra una respuesta similar a la siguiente:
```
Updated IAM policy for key [runtime].
bindings:
- members:
  - serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
  role: roles/cloudkms.cryptoKeyEncrypterDecrypter
etag: BwWqgEuCuwk=
version: 1
```
  Si recibes un error como el que se muestra a continuación, haz lo siguiente:
```
INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.
```
  Asegúrate de haber usado el número del proyecto,y no el nombre, en la dirección de correo electrónico de la cuenta de servicio.
Si usas la residencia de datos, crea un llavero de claves y una clave de encriptación del plano de control. Si no usas la residencia de datos, ve al paso 3.
Nota: Este paso solo es necesario si seleccionaste us (multiple regions in us) o eu (multiple regions in European Union) como la jurisdicción de hosting del plano de control. Si seleccionaste otra región, ve al paso 3.

Realiza los siguientes pasos para crear un llavero de claves y una clave de encriptación del plano de control.

Define una variable de entorno para la ubicación del llavero y de la clave de encriptación de la base de datos del plano de control:
```
CONTROL_PLANE_LOCATION=YOUR_CONTROL_PLANE_LOCATION
CONSUMER_DATA_REGION=YOUR_CONSUMER_DATA_REGION
```
Donde:
- CONTROL_PLANE_LOCATION es la ubicación física en la que se almacenarán los datos del plano de control de Apigee. Para obtener una lista de las ubicaciones disponibles del plano de control, consulta Ubicaciones de Apigee.
- CONSUMER_DATA_REGION es una subregión de la región del plano de control. Debes especificar tanto CONTROL_PLANE_LOCATION como CONSUMER_DATA_REGION. Para obtener una lista de las regiones de datos del consumidor disponibles, consulta Ubicaciones de Apigee.
Define variables de entorno para los llaveros de claves y los nombres de claves de la base de datos del plano de control.

El nombre del llavero de claves debe ser único para tu organización.
```
CONTROL_PLANE_KEY_RING_NAME=YOUR_CONTROL_PLANE_KEY_RING_NAME
CONTROL_PLANE_KEY_NAME=YOUR_CONTROL_PLANE_KEY_NAME
CONSUMER_DATA_KEY_RING_NAME=YOUR_CONSUMER_DATA_KEY_RING_NAME
CONSUMER_DATA_KEY_NAME=YOUR_CONSUMER_DATA_REGION_KEY_NAME
```
Donde:
- CONTROL_PLANE_KEY_RING_NAME es el nombre del llavero de claves que usarás para identificar el llavero de claves de la encriptación de tu plano de control.
- CONTROL_PLANE_KEY_NAME es el nombre de la clave que usarás para identificar la clave de encriptación del plano de control.
- CONSUMER_DATA_KEY_RING_NAME es el nombre del llavero de claves que usarás para identificar el llavero de claves de la encriptación de la región de datos del consumidor.
- CONSUMER_DATA_KEY_NAME es el nombre de la clave que usarás para identificar la clave de encriptación de la región de datos del consumidor.

Crea un llavero de claves nuevo:

gcloud kms keyrings create $CONTROL_PLANE_KEY_RING_NAME \
  --location $CONTROL_PLANE_LOCATION \
  --project $PROJECT_ID

gcloud kms keyrings create $CONSUMER_DATA_KEY_RING_NAME \
  --location $CONSUMER_DATA_REGION \
  --project $PROJECT_ID

Crea una clave:

gcloud kms keys create $CONTROL_PLANE_KEY_NAME \
  --keyring $CONTROL_PLANE_KEY_RING_NAME \
  --location $CONTROL_PLANE_LOCATION \
  --purpose "encryption" \
  --project $PROJECT_ID

gcloud kms keys create $CONSUMER_DATA_KEY_NAME \
  --keyring $CONSUMER_DATA_KEY_RING_NAME \
  --location $CONSUMER_DATA_REGION \
  --purpose "encryption" \
  --project $PROJECT_ID

Con este comando, se crea la clave y se agrega al llavero de claves.

Obtén el ID de clave:

gcloud kms keys list \
--location=$CONTROL_PLANE_LOCATION \
--keyring=$CONTROL_PLANE_KEY_RING_NAME \
--project=$PROJECT_ID

gcloud kms keys list \
--location=$CONSUMER_DATA_REGION \
--keyring=$CONSUMER_DATA_KEY_RING_NAME \
--project=$PROJECT_ID

El ID de clave tiene la siguiente sintaxis (similar a una ruta de archivo):

projects/PROJECT_ID/locations/CONTROL_PLANE_LOCATION/keyRings/CONTROL_PLANE_KEY_RING_NAME/cryptoKeys/CONTROL_PLANE_KEY_NAME

projects/PROJECT_ID/locations/CONSUMER_DATA_REGION/keyRings/CONSUMER_DATA_KEY_RING_NAME/cryptoKeys/CONSUMER_DATA_KEY_NAME

Coloca el ID de clave en una variable de entorno. Usarás esta variable en un comando posterior:
```
CONTROL_PLANE_KEY_ID=YOUR_CONTROL_PLANE_KEY_ID
```
```
CONSUMER_DATA_KEY_ID=YOUR_CONSUMER_DATA_KEY_ID
```

Otorga acceso al agente de servicio de Apigee para que use la clave nueva:

gcloud kms keys add-iam-policy-binding $CONTROL_PLANE_KEY_NAME \
  --location $CONTROL_PLANE_LOCATION \
  --keyring $CONTROL_PLANE_KEY_RING_NAME \
  --member "serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com" \
  --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
  --project $PROJECT_ID

gcloud kms keys add-iam-policy-binding $CONSUMER_DATA_KEY_NAME \
 --location $CONSUMER_DATA_REGION \
 --keyring $CONSUMER_DATA_KEY_RING_NAME \
 --member "serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com" \
 --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
 --project $PROJECT_ID

Este comando vincula la clave con el agente de servicio de Apigee. Cuando se completa correctamente esta solicitud, gcloud muestra una respuesta similar a la siguiente:

Updated IAM policy for key [runtime].
bindings:
- members:
  - serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
  role: roles/cloudkms.cryptoKeyEncrypterDecrypter
etag: BwWqgEuCuwk=
version: 1

Si recibes un error como el que se muestra a continuación, haz lo siguiente:

INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.

Asegúrate de haber usado el número del proyecto, y no el nombre, en la dirección de correo electrónico de la cuenta de servicio.

Consulta también: Solución de problemas de CMEK.

Para crear la organización, envía la siguiente solicitud a la API de la organización de Apigee:
Sin residencia de datosResidencia de los datos
```
curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID"  \
  -H "Authorization: Bearer $AUTH" \
  -X POST \
  -H "Content-Type:application/json" \
  -d '{
    "name":"'"$PROJECT_ID"'",
    "analyticsRegion":"'"$ANALYTICS_REGION"'",
    "runtimeType":"CLOUD",
    "billingType":"'"$BILLING_TYPE"'",
    "authorizedNetwork":"'"$NETWORK_NAME"'",
    "runtimeDatabaseEncryptionKeyName":"'"$RUNTIMEDB_KEY_ID"'"
  }'
```
Donde:
- -d define la carga útil de datos para la solicitud. Esta carga útil debe incluir lo siguiente:
  - name: Identifica tu organización nueva. Debe ser el mismo que el ID del proyecto.
  - analyticsRegion: Especifica la ubicación física en la que se almacenarán tus datos de estadísticas.
  - runtimeType: Configura este valor en CLOUD.
  - billingType: Especifica el tipo de facturación de la organización creada.
  - authorizedNetwork: Identifica la red de intercambio de tráfico que especificaste en Configura las herramientas de redes de servicios.
    Nota: Apigee también admite el uso de VPC compartida (es decir, el proyecto de red host no es el mismo que realiza intercambio de tráfico con Apigee). Para usar una red de VPC compartida, usa el siguiente formato: projects/HOST_PROJECT_ID/REGION/networks/NETWORK_NAME. Por ejemplo:
    projects/my-sharedvpc-host/global/networks/mynetwork
    Consulta también la Descripción general de VPC y el Recurso de REST: organizaciones.
  - runtimeDatabaseEncryptionKeyName: El ID de la clave de encriptación de la aplicación que creaste en el paso anterior. Recuerda que el ID está estructurado como una ruta de archivo. Por ejemplo:
    projects/my-project/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-key
Crea una organización con la API:
```
curl "https://$CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID"  \
  -H "Authorization: Bearer $AUTH" \
  -X POST \
  -H "Content-Type:application/json" \
  -d '{
    "name":"'"$PROJECT_ID"'",
    "runtimeType":"CLOUD",
    "billingType":"'"$BILLING_TYPE"'",
    "controlPlaneEncryptionKeyName":"'"$CONTROL_PLANE_KEY_ID"'",
    "apiConsumerDataLocation":"'"$CONSUMER_DATA_REGION"'",
    "apiConsumerDataEncryptionKeyName":"'"$CONSUMER_DATA_KEY_ID"'",
    "authorizedNetwork":"'"$NETWORK_NAME"'",
    "runtimeDatabaseEncryptionKeyName":"'"$RUNTIMEDB_KEY_ID"'"
  }'
```
Donde:

-d define la carga útil de datos para la solicitud. Esta carga útil debe incluir lo siguiente:
- name: Identifica tu organización nueva. Debe ser el mismo que el ID del proyecto.
- runtimeType: Configura este valor en CLOUD.
- billingType: Especifica el tipo de facturación de la organización creada.
- controlPlaneEncryptionKeyName: es el ID de la clave del plano de control.
- apiConsumerDataLocation: también debes especificar una subregión para que la usen los recursos internos. Consulta Regiones de residencia de datos para conocer los valores admitidos.
- apiConsumerDataEncryptionKeyName: es el ID de la clave de la región de datos del consumidor.
- authorizedNetwork: Identifica la red de intercambio de tráfico que especificaste en Configura las herramientas de redes de servicios.
  Nota: Apigee también admite el uso de VPC compartida (es decir, el proyecto de red host no es el mismo que realiza intercambio de tráfico con Apigee). Para usar una red de VPC compartida, usa el siguiente formato: projects/HOST_PROJECT_ID/REGION/networks/NETWORK_NAME. Por ejemplo:
  projects/my-sharedvpc-host/global/networks/mynetwork
  Consulta también la Descripción general de VPC y el Recurso de REST: organizaciones.
- runtimeDatabaseEncryptionKeyName: El ID de la clave de encriptación de la aplicación que creaste en el paso anterior. Recuerda que el ID está estructurado como una ruta de archivo. Por ejemplo:
  projects/my-project/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-key
Después de ejecutar este comando, Apigee inicia una operación de larga duración, que puede tardar unos minutos en completarse.

Si recibes un error, verifica el uso de comillas alrededor de los valores de las variables en la carga útil de datos. Asegúrate de tener comillas dobles alrededor de la variable $PROJECT_ID, como se muestra en el siguiente ejemplo:
```
"'"$PROJECT_ID"'"
```
Si usas strings simples (no variables de entorno) para los valores de solicitud, puedes colocarlas entre comillas dobles dentro de la string de carga útil entre comillas simples, como se muestra en el siguiente ejemplo:
```
'{ "name":"my-gcp-project", ... }'
```
Espera unos minutos.

Para verificar el estado de la solicitud de creación, envía una solicitud GET a la API de la lista de organizaciones de Apigee, como se muestra en el siguiente ejemplo:

Sin residencia de datosResidencia de los datos

curl -H "Authorization: Bearer $AUTH" "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID"

curl -H "Authorization: Bearer $AUTH" "https://$CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations/$PROJECT_ID"

Si ves esta respuesta, significa que la creación de la organización aún no se completó:

{
  "error": {
    "code": 403,
    "message": "Permission denied on resource \"organizations/apigee-docs-m\" (or it may not exist)",
    "status": "PERMISSION_DENIED"
  }
}

Si Apigee creó una organización nueva de forma correcta, recibirás una respuesta similar a la que se muestra a continuación:

Sin residencia de datosResidencia de los datos

{
  "name": "my-cloud-project",
  "createdAt": "1592586495539",
  "lastModifiedAt": "1592586495539",
  "environments": [],
  "properties": {
    "property": [
      {
        "name": "features.hybrid.enabled",
        "value": "true"
      },
      {
        "name": "features.mart.connect.enabled",
        "value": "true"
      }
    ]
  },
  "analyticsRegion": "us-west1",
  "runtimeType": "CLOUD",
  "subscriptionType": "PAID",
  "caCertificate": "YOUR_CERTIFICATE",
  "authorizedNetwork": "my-network",
  "projectId": "my-cloud-project"
}

  {
    "name": "my-cloud-project",
    "createdAt": "1681412783749",
    "lastModifiedAt": "1681412783749",
    "environments": [
      "test-env"
    ],
    "properties": {
      "property": [
        {
          "name": "features.mart.connect.enabled",
          "value": "true"
        },
        {
          "name": "features.hybrid.enabled",
          "value": "true"
        }
      ]
    },
    "authorizedNetwork": "default",
    "runtimeType": "CLOUD",
    "subscriptionType": "PAID",
    "caCertificate": "YOUR_CERTIFICATE",
    "runtimeDatabaseEncryptionKeyName": "projects/my-cloud-project/locations/us/keyRings/my-key-ring/cryptoKeys/my-key-name",
    "projectId": "my-cloud-project",
    "state": "ACTIVE",
    "billingType": "PAYG",
    "addonsConfig": {
      "advancedApiOpsConfig": {},
      "integrationConfig": {},
      "monetizationConfig": {},
      "connectorsPlatformConfig": {}
    },
    "apiConsumerDataEncryptionKeyName": "projects/my-cloud-project/locations/us-central1/keyRings/my-key-ring/cryptoKeys/my-key-name",
    "controlPlaneEncryptionKeyName": "projects/my-cloud-project/locations/us/keyRings/my-key-ring/cryptoKeys/my-key-name",
    "apiConsumerDataLocation": "us-central1",
    "apigeeProjectId": "i0c2a37e80f9850ab-tp"
  }

Si Apigee muestra una respuesta de error HTTP, consulta Crea una organización de Apigee.

Tipo de acceso	Descripción de los procesos de configuración e implementación
Interno con intercambio de tráfico de VPC	Permite solo el acceso interno a tus proxies de API. Debes crear una VM nueva dentro de la red y conectarte a ella. Desde la VM nueva, puedes enviar una solicitud a un proxy de API de Apigee.
Externo con MIG	Permite el acceso externo a tus proxies de API. Usa un grupo de instancias administrado (MIG) para enviar el tráfico de la API del servicio de backend de un balanceador de cargas global a Apigee. Con esta configuración, Apigee solo puede conectarse a la VPC de intercambio de tráfico. Esta configuración te permite enviar solicitudes de proxy de API de Apigee desde cualquier máquina habilitada para la red.
Interno con PSC (nuevo)	Permite solo el acceso interno a tus proxies de API desde cualquiera de tus proyectos de Google Cloud con Private Service Connect (PSC). PSC habilita la conexión privada entre un productor de servicios (Apigee) y un consumidor de servicios (el proyecto de VPC con intercambio de tráfico o uno o más proyectos de Cloud que tú controlas). Con este método, las solicitudes pasan a través de un extremo de servicio o un balanceador de cargas interno regional a un único punto de adjunto, llamado adjunto de servicio. Esta configuración permite que tus clientes internos envíen solicitudes de proxy de API de Apigee desde cualquier máquina habilitada para la red.
Externo con PSC (nuevo)	Permite el acceso externo a tus proxies de API con Private Service Connect (PSC). Utiliza Private Service Connect (PSC) para habilitar la conexión privada entre un productor de servicios (Apigee) y un consumidor de servicios (el proyecto de VPC con intercambio de tráfico o uno o más proyectos de Cloud que tú controlas). Con este método, las solicitudes pasan a través de un balanceador de cargas externo global o un balanceador de cargas externo regional a un único punto de adjunto, llamado adjunto de servicio. Esta configuración te permite enviar solicitudes de proxy de API de Apigee desde cualquier máquina habilitada para la red.

Aprovisiona una organización pagada con intercambio de tráfico entre VPC
bookmark_border Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Resumen de los pasos

Paso 1: Definir las variables de entorno

Paso 2: Habilitar las API

Permisos necesarios para esta tarea

Paso 3: Crear la identidad de servicio de Apigee

Paso 4: Configurar las herramientas de redes de servicio

Permisos necesarios para esta tarea

Paso 5: Crear una organización

Permisos necesarios para esta tarea

Paso 6: Crear una instancia del entorno de ejecución

Permisos necesarios para esta tarea

Paso 7: Crear un entorno

Permisos necesarios para esta tarea

Paso 8: Configurar el enrutamiento

Enrutamiento interno (VPC)

Enrutamiento externo (MIG)

Permisos necesarios para esta tarea

Paso 8a: Habilita el acceso privado a Google para una subred de tu red de VPC

Paso 8b: Configura variables de entorno

Paso 8c: Crea un grupo de instancias administrado

Paso 8d: Crea un certificado SSL y una clave para el balanceador de cargas

Paso 8e: Crea un balanceador de cargas global

Paso 8f: Obtén una dirección IP reservada y crea reglas de firewall

Enrutamiento interno (PSC)

Permisos necesarios para esta tarea

Crea un extremo de servicio de PSC para el adjunto de servicio

Permisos necesarios para esta tarea

Paso 8a: Configura variables de entorno

Paso 8b: Crear una subred de solo proxy

Paso 8c: Crea un grupo de extremos de red (NEG)

Paso 8d: Configurar el balanceador de cargas interno regional

Enrutamiento externo (PSC)

Permisos necesarios para esta tarea

Paso 8b: Crear un NEG y configura el balanceador de cargas

Paso 9: Implementar un proxy de muestra

Permisos necesarios para esta tarea

Aprovisiona una organización pagada con intercambio de tráfico entre VPC bookmark_borderbookmark Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Resumen de los pasos

Paso 1: Definir las variables de entorno

Paso 2: Habilitar las API

Permisos necesarios para esta tarea

Paso 3: Crear la identidad de servicio de Apigee

Paso 4: Configurar las herramientas de redes de servicio

Permisos necesarios para esta tarea

Paso 5: Crear una organización

Permisos necesarios para esta tarea

Paso 6: Crear una instancia del entorno de ejecución

Permisos necesarios para esta tarea

Paso 7: Crear un entorno

Permisos necesarios para esta tarea

Paso 8: Configurar el enrutamiento

Enrutamiento interno (VPC)

Enrutamiento externo (MIG)

Permisos necesarios para esta tarea

Paso 8a: Habilita el acceso privado a Google para una subred de tu red de VPC

Paso 8b: Configura variables de entorno

Paso 8c: Crea un grupo de instancias administrado

Paso 8d: Crea un certificado SSL y una clave para el balanceador de cargas

Paso 8e: Crea un balanceador de cargas global

Paso 8f: Obtén una dirección IP reservada y crea reglas de firewall

Enrutamiento interno (PSC)

Permisos necesarios para esta tarea

Crea un extremo de servicio de PSC para el adjunto de servicio

Permisos necesarios para esta tarea

Paso 8a: Configura variables de entorno

Paso 8b: Crear una subred de solo proxy

Paso 8c: Crea un grupo de extremos de red (NEG)

Paso 8d: Configurar el balanceador de cargas interno regional

Enrutamiento externo (PSC)

Permisos necesarios para esta tarea

Paso 8b: Crear un NEG y configura el balanceador de cargas

Paso 9: Implementar un proxy de muestra

Permisos necesarios para esta tarea

Aprovisiona una organización pagada con intercambio de tráfico entre VPC
bookmark_border Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.