Mise en réseau Northbound avec Private Service Connect

Cette page s'applique à Apigee, mais pas à Apigee hybrid.

Consultez la documentation d'Apigee Edge.

Ce document décrit l'utilisation de Private Service Connect (PSC) pour configurer le routage des clients vers Apigee, également appelé trafic "Northbound".

Présentation

Vous pouvez utiliser PSC pour connecter le VPC Apigee au VPC que vous avez appairé à Apigee, ou à tout autre VPC que vous contrôlez. Ce modèle architectural vous évite d'avoir à créer des groupes d'instances gérés pour transférer les requêtes de l'équilibreur de charge global vers Apigee. Avec la méthode de routage PSC, les requêtes de proxy d'API passent par un équilibreur de charge HTTP(S) externe global que vous installez dans un VPC vers un seul point de rattachement du VPC Apigee, appelé Rattachement de service. Cette configuration vous permet d'envoyer des requêtes de proxy d'API Apigee à partir de n'importe quelle machine compatible avec le réseau. (voir Figure 1).

Notez les fonctionnalités PSC Northbound compatibles suivantes :

Vous pouvez utiliser PSC avec n'importe quelle instance Apigee existante.
Vous pouvez associer plusieurs groupes de points de terminaison du réseau (NEG) PSC à l'équilibreur de charge HTTP(S) externe global Google Cloud basé sur Envoy.
PSC est compatible avec VPC Service Controls.
Vous pouvez définir une règle de trafic de détection des anomalies sur le service de backend pour gérer automatiquement les scénarios de basculement. Pour en savoir plus, lisez les informations ci-après.

Figure 1 : Connexions de service privées

Restrictions

L'utilisation de PSC avec Apigee présente actuellement les restrictions suivantes :

Restrictions : Notez les restrictions suivantes pour la configuration PSC:

L'équilibreur de charge HTTP(S) externe global (classique) n'est pas compatible avec cette configuration.
Dans le cas de basculements avec plusieurs NEG PSC, les vérifications d'état actives ne sont pas acceptées. Utilisez plutôt la détection d'anomalies.
Des limites s'appliquent au nombre de projets Google Cloud pouvant se connecter à une instance Apigee via PSC, et au nombre de connexions NEG PSC que vous pouvez avoir par projet. Pour en savoir plus, consultez la section Limites Private Service Connect (PSC).
Si un projet Google Cloud est supprimé de la liste consumerAcceptList, les NEG PSC existants de ce projet supprimé continuent de fonctionner. Cependant, tous les nouveaux NEG seront refusés. Vous devez supprimer les NEG existants si vous supprimez leurs projets associés de la liste consumerAcceptList. Vous pouvez également recréer l'instance Apigee, qui recrée le rattachement de service dans le projet Apigee.

Mettre à jour la liste d'acceptation des clients pour une instance Apigee

Le 10 octobre 2024, la limite de connexions NEG PSC autorisées par projet à une instance Apigee est passée de 20 à 100. Pour les instances Apigee créées avant cette date, vous devez suivre les étapes de cette section afin de mettre à jour la liste d'acceptation des consommateurs pour profiter de la nouvelle limite. Vous ne devez mettre à niveau chaque instance Apigee qu'une seule fois pour recevoir la nouvelle limite de connexion. Consultez également les limites applicables à Private Service Connect (PSC).

Si vous avez besoin de plus de 1 000 connexions NEG PSC au total pour tous les projets Cloud connectés à une instance Apigee, contactez l'assistance Google Cloud.

Pour mettre à jour la liste d'acceptation des consommateurs d'une instance Apigee afin de profiter de la limite de connexion plus élevée, procédez comme suit :

Cloud Console

Pour connaître la procédure détaillée, consultez Modifier la liste des projets acceptés.

API Apigee

Modifiez la liste d'acceptation des consommateurs existante pour votre instance Apigee. Pour utiliser l'API Instances, procédez comme suit :

Obtenez le jeton d'authentification pour l'API Apigee :
```
TOKEN="$(gcloud auth print-access-token)"
```

Obtenez la liste des projets Cloud figurant dans la liste d'acceptation des consommateurs d'une instance :

curl https://apigee.googleapis.com/v1/organizations/PROJECT_ID/instances/INSTANCE_ID \
  -H "Authorization: Bearer $TOKEN" -H Content-Type:application/json | jq .consumerAcceptList

Créez un fichier JSON nommé update_consumer_accept_list.json qui contient la liste actuelle des projets acceptés renvoyés par la commande précédente. Exemple :
```
{
  "consumerAcceptList": [
    "dg-runtime-test1",
    "ne24b79b92c7db623p-tp",
    "dg-runtime-test2",
    "jd2fee78402218863p-tp"
  ]
}
```
Vous pouvez également modifier le fichier pour ajouter d'autres projets.

Mettez à jour l'instance à l'aide du fichier JSON que vous avez créé. Exemple :

curl https://apigee.googleapis.com/v1/organizations/PROJECT_ID/instances/INSTANCE_ID?updateMask="consumer_accept_list" \
  -X PATCH -H "Authorization: Bearer $TOKEN" -H Content-Type:application/json -d @update_consumer_accept_list.json

Configurer le routage PSC

Nous acceptons l'utilisation de PSC pour le routage Northbound à partir de clients internes et externes. Pour obtenir la procédure détaillée, consultez la section Étape 8 : Configurer le routage des instructions de provisionnement de la CLI.

Expansion multirégionale avec PSC

Vous pouvez étendre une organisation Apigee dans plusieurs régions et utiliser PSC pour le routage Northbound dans les nouvelles régions. Pour en savoir plus, consultez Étendre Apigee dans plusieurs régions.

Supprimer une instance Apigee

Pour supprimer une instance Apigee utilisant PSC, procédez comme suit :

Supprimez le backend du NEG PSC de l'équilibreur de charge externe.
Supprimez l'instance d'exécution Apigee à l'aide de l'API Apigee. Il s'agit d'une opération de longue durée qui peut prendre jusqu'à 20 minutes.
Vous pouvez éventuellement récupérer l'état de l'opération de longue durée à l'aide de l'API Apigee.