Northbound-Netzwerk mit Private Service Connect

Diese Seite gilt für Apigee, aber nicht für Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

In diesem Dokument wird die Verwendung von Private Service Connect (PSC) zum Konfigurieren des Routings von Clients zu Apigee beschrieben, auch als "Northbound-Traffic" bezeichnet.

Übersicht

Sie können PSC verwenden, um die Apigee-VPC mit der VPC zu verbinden, die Sie mit Apigee verbunden haben, oder mit einer anderen von Ihnen verwalteten VPC. Dank dieses Architekturmusters ist es nicht mehr erforderlich, verwaltete Instanzgruppen (Managed Instance Groups, MIGs) zu erstellen, um Anfragen vom globalen Load-Balancer an Apigee weiterzuleiten. Mit der PSC-Routingmethode durchlaufen API-Proxyanfragen einen globalen externen HTTP(S)-Load-Balancer, den Sie in einer VPC an einem einzelnen Punkt des Anhangs in der Apigee-VPC namens Service Attachment installieren. Mit dieser Konfiguration können Sie Apigee API-Proxy-Anfragen von jeder netzwerkfähigen Maschine aus senden. Siehe Abbildung 1.

Beachten Sie die folgenden unterstützten Northbound-PSC-Features:

Sie können PSC mit jeder vorhandenen Apigee-Instanz verwenden.
Sie können mehrere PSC-Netzwerk-Endpunktgruppen (NEGs) an den Envoy-basierten globalen externen HTTP(S)-Load-Balancer von Google Cloud anhängen.
PSC wird mit VPC Service Controls unterstützt.
Sie können für den Backend-Dienst eine Traffic-Richtlinie für Ausreißererkennung festlegen, um Failover-Szenarien automatisch zu verarbeiten. Weitere Informationen finden Sie hier:

Abbildung 1: Private Dienstverbindungen

Beschränkungen

Die Verwendung von PSC mit Apigee unterliegt derzeit den folgenden Einschränkungen:

Einschränkungen: Beachten Sie die folgenden Einschränkungen für die PSC-Konfiguration:

Globaler externer HTTP(S)-Load-Balancer (klassisch) wird für diese Konfiguration nicht unterstützt.
Für Failover mit mehreren PSC-NEGs werden aktive Systemdiagnosen nicht unterstützt. Verwenden Sie stattdessen die Ausreißererkennung.
Es gelten Einschränkungen für die Anzahl der Google Cloud-Projekte, die über PSC eine Verbindung zu einer Apigee-Instanz herstellen können, und für die Anzahl der PSC-NEG-Verbindungen, die Sie pro Projekt haben können. Weitere Informationen finden Sie unter Einschränkungen für Private Service Connect (PSC).
Wenn ein Google Cloud-Projekt aus consumerAcceptList entfernt wird, funktionieren die vorhandenen PSC-NEGs in diesem entfernten Projekt weiterhin. Neue NEGs werden jedoch abgelehnt. Sie müssen vorhandene NEGs löschen, wenn Sie die zugehörigen Projekte aus consumerAcceptList entfernen. Alternativ können Sie die Apigee-Instanz neu erstellen, wodurch der Dienstanhang im Apigee-Projekt neu erstellt wird.

Nutzerakzeptanzliste für eine Apigee-Instanz aktualisieren

Am 10. Oktober 2024 wurde die zulässige Anzahl von PSC-NEG-Verbindungen pro Projekt zu einer Apigee-Instanz von 20 auf 100 erhöht. Bei allen Apigee-Instanzen, die vor diesem Datum erstellt wurden, müssen Sie die Schritte in diesem Abschnitt ausführen, um die Liste der akzeptierten Nutzer zu aktualisieren und das neue Limit zu nutzen. Sie müssen jede Apigee-Instanz nur einmal aktualisieren, um das neue Verbindungslimit zu erhalten. Weitere Informationen finden Sie unter Einschränkungen von Private Service Connect (PSC).

Wenn Sie insgesamt mehr als 1.000 PSC-NEG-Verbindungen für alle Cloud-Projekte benötigen, die mit einer Apigee-Instanz verbunden sind, wenden Sie sich an den Google Cloud-Support.

So aktualisieren Sie die Liste der Nutzer, die eine Apigee-Instanz akzeptieren, um das höhere Verbindungslimit zu nutzen:

Cloud Console

Eine detaillierte Anleitung finden Sie unter Liste „Akzeptierte Projekte” bearbeiten.

Apigee API

Bearbeiten Sie die vorhandene Nutzerakzeptanzliste für Ihre Apigee-Instanz. So verwenden Sie die Instances API:

Rufen Sie das Authentifizierungstoken für die Apigee API ab:
```
TOKEN="$(gcloud auth print-access-token)"
```

Liste der Cloud-Projekte in der Liste der vom Nutzer akzeptierten Projekte einer Instanz abrufen:

curl https://apigee.googleapis.com/v1/organizations/PROJECT_IDinstances \
  -H "Authorization: Bearer $TOKEN" -H Content-Type:application/json | jq .consumerAcceptList

Erstellen Sie eine JSON-Datei mit dem Namen update_consumer_accept_list.json, die die aktuelle Liste der akzeptierten Projekte enthält, die vom vorherigen Befehl zurückgegeben wurden. Beispiel:
```
{
  "consumerAcceptList": [
    "dg-runtime-test1",
    "ne24b79b92c7db623p-tp",
    "dg-runtime-test2",
    "jd2fee78402218863p-tp"
  ]
}
```
Optional können Sie die Datei bearbeiten, um weitere Projekte hinzuzufügen.

Aktualisieren Sie die Instanz mit der von Ihnen erstellten JSON-Datei. Beispiel:

curl https://apigee.googleapis.com/v1/organizations/PROJECT_ID/instances?updateMask="consumer_accept_list" \
  -X PATCH -H "Authorization: Bearer $TOKEN" -H Content-Type:application/json -d @update_consumer_accept_list.json

PSC-Routing konfigurieren

Wir unterstützen die Verwendung von PSC für das Northbound-Routing von sowohl internen als auch externen Clients. Eine ausführliche Anleitung finden Sie unter Schritt 8: Routing konfigurieren der Anleitung zur Bereitstellung der Befehlszeile.

Multiregionale Erweiterung mit PSC

Sie können eine Apigee-Organisation auf mehrere Regionen erweitern und PSC für das Northbound-Routing in den neuen Regionen verwenden. Weitere Informationen finden Sie unter Apigee auf mehrere Regionen erweitern.

Apigee-Instanz löschen

So löschen Sie eine Apigee-Instanz, die PSC verwendet:

Entfernen und löschen Sie das PSC NEG-Backend vom externen Load-Balancer.
Löschen Sie die Apigee-Laufzeitinstanz mit der Apigee API. Dieser Vorgang mit langer Ausführungszeit kann bis zu 20 Minuten dauern.
Optional können Sie den Vorgang mit langer Ausführungszeit mit der Apigee API abrufen.