Schritt 2: Für AKS installieren und einrichten

In diesem Schritt wird erläutert, wie Sie apigeectl herunterladen und installieren, die Installationsverzeichnisse einrichten und GCP-Dienstkonten erstellen, die hybride Komponenten für die Kommunikation benötigen, sowie TLS-Anmeldedaten, die werden erforderlich sind, damit Apigee Hybrid funktioniert.

apigeectl herunterladen und installieren

apigeectl ist die Befehlszeile (CLI) zur Installation und Verwaltung von Apigee Hybrid in einem Kubernetes-Cluster.

So rufen Sie apigeectl ab:

1. Laden Sie das Release-Paket für Ihr Betriebssystem herunter:

   Mac 64-Bit:

   curl -LO https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.1.1/apigeectl_mac_64.tar.gz

   Linux 64-Bit

   curl -LO https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.1.1/apigeectl_linux_64.tar.gz

   Mac 32-Bit:

   curl -LO https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.1.1/apigeectl_mac_32.tar.gz

   Linux 32-Bit

   curl -LO https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.1.1/apigeectl_linux_32.tar.gz

2. Erstellen Sie auf Ihrem System ein Verzeichnis, das als Basisverzeichnis für die Installation von Apigee Hybrid verwendet wird.

3. Extrahieren Sie die heruntergeladenen GZIP-Dateiinhalte in das soeben erstellte Basisverzeichnis. Beispiel:

   tar xvzf filename.tar.gz -C path-to-base-directory

4. cd zum Basisverzeichnis.

5. Die TAR-Inhalte werden standardmäßig in ein Verzeichnis mit der Version und der Plattform in ihrem Namen erweitert. Beispiel: ./apigeectl_1.0.0-f7b96a8_linux_64. Benennen Sie dieses Verzeichnis in apigeectl um:

   mv apigeectl_1.0.0-f7b96a8_linux_64 apigeectl

6. cd in das Verzeichnis einbinden. Beispiel:
cd ./apigeectl

Dieses Verzeichnis ist das Basisverzeichnis apigeectl. Hier befindet sich der ausführbare Befehl apigeectl.

7. Erstellen Sie eine Umgebungsvariable, die diesen Pfad für das Basisverzeichnis enthält:

   export APIGEECTL_HOME=$PWD

8. Prüfen Sie, ob die Variable den richtigen Pfad enthält:

   echo $APIGEECTL_HOME

Projektverzeichnisstruktur einrichten

Die unten beschriebene Verzeichnisstruktur ist ein vorgeschlagener Ansatz. Es trennt die Apigee Hybrid-Releasesoftware von Konfigurationsdateien, die Sie erstellen müssen. Mit der Variable $APIGEECTL_HOME und symbolischen Links, die Sie erstellen, können Sie jederzeit zu einer neuen Softwareversion wechseln. Siehe auch Upgrade von Apigee Hybrid.

1. Sie müssen sich im Basisverzeichnis befinden (das Verzeichnis, in dem sich das Verzeichnis apigeectl befindet).
2. Erstellen Sie einen neuen Ordner mit dem Namen hybrid-files. Sie können dem Verzeichnis einen beliebigen Namen geben. In den Dokumenten wird jedoch der Name hybrid-files konsistent verwendet. Später speichern Sie Konfigurationsdateien, Dienstkontoschlüssel und TLS-Zertifikate in diesem Ordner. In diesem Ordner können Sie Ihre Konfigurationsdateien von der Softwareinstallation apigeectl getrennt halten:

   mkdir hybrid-files

3. Die aktuelle Verzeichnisstruktur sieht nun so aus:

   pwd && ls
   /hybrid-base-directory
     apigeectl
     hybrid-files

4. cd in den Ordner hybrid-files:

   cd hybrid-files

5. Erstellen Sie im Verzeichnis hybrid-files die folgenden drei Unterverzeichnisse, um Dateien zu organisieren, die Sie später erstellen:

   mkdir overrides
   mkdir service-accounts
   mkdir certs

6. Erstellen Sie im Verzeichnis hybrid-files symbolische Links zu $APIGEECTL_HOME. Mit diesen Symlinks können Sie den Befehl apigeectl aus dem Verzeichnis hybrid-files ausführen:

   ln -s $APIGEECTL_HOME/tools tools
   ln -s $APIGEECTL_HOME/config config
   ln -s $APIGEECTL_HOME/templates templates
   ln -s $APIGEECTL_HOME/plugins plugins

7. Prüfen Sie, ob die Symlinks ordnungsgemäß erstellt wurden. Führen Sie dazu den folgenden Befehl aus und achten Sie darauf, dass die Linkpfade auf die richtigen Speicherorte verweisen:

   ls -l | grep ^l
   

Dienstkonten erstellen

Apigee Hybrid verwendet GCP-Dienstkonten, um die Kommunikation zwischen Hybridkomponenten durch autorisierte API-Aufrufe zu ermöglichen. In diesem Schritt verwenden Sie ein Hybrid-Befehlszeilentool von Apigee, um eine Reihe von Dienstkonten zu erstellen. Das Tool lädt auch die privaten Schlüssel für das Dienstkonto herunter. Diese Schlüssel müssen Sie dann Ihrer Konfigurationsdatei für den Apigee-Hybridcluster hinzufügen.

Klicken Sie hier, um mehr zu erfahren

In der folgenden Tabelle werden die Dienstkonten beschrieben, die von Hybridkomponenten für die autorisierte Kommunikation benötigt werden. Siehe auch Informationen zu Dienstkonten.

Komponente*	Rolle	Erforderlich für die einfache Installation?	Beschreibung
apigee-cassandra	Storage-Objekt-Administrator		Ermöglicht Cassandra-Sicherungen in Google Cloud Storage, wie unter Sicherung und Wiederherstellung beschrieben.
apigee-logger	Log-Autor		Ermöglicht die Erfassung von Logging-Daten, wie in Logging beschrieben. Nur für Nicht-GKE-Clusterinstallationen erforderlich.
apigee-mart	Keine Rolle		Ermöglicht die Authentifizierung des MART-Dienstes. Mit diesem Dienstkonto sollte keine Rolle verknüpft sein. Wenn Sie dieses Dienstkonto erstellen, weisen Sie ihm daher keine Rolle zu.
apigee-metrics	Monitoring-Messwert-Autor		Erlaubt die Erhebung von Messwertdaten, wie unter Messwerterfassung beschrieben.
apigee-org-admin	Apigee-Organisationsadministrator		Hiermit können Sie die getSyncAuthorization API und die setSyncAuthorization API aufrufen. Sie können dieses Dienstkonto nicht mit dem create-service-account-Tool erstellen.
apigee-synchronizer	Apigee Synchronizer Manager		Ermöglicht dem Syncer, Proxy-Bundles und Konfigurationsdaten der Umgebung herunterzuladen. Außerdem wird der Vorgang der Trace-Funktion aktiviert.
apigee-udca	Apigee Analytics-Agent		Ermöglicht die Übertragung von Trace-, Analyse- und Bereitstellungsstatusdaten auf die Verwaltungsebene.
* Dieser Name wird im Dateinamen des heruntergeladenen Dienstkontoschlüssels verwendet.

Erstellen Sie die Schlüssel:

1. Achten Sie darauf, dass Sie sich im Verzeichnis base_directory/hybrid-files befinden:
2. Führen Sie den folgenden Befehl im Verzeichnis hybrid-files aus. Mit diesem Befehl wird ein Dienstkonto für die Komponente apigee-metrics erstellt und der heruntergeladene Schlüssel im Verzeichnis ./service-accounts abgelegt:

   ./tools/create-service-account apigee-metrics ./service-accounts

   Wenn diese Eingabeaufforderung angezeigt wird, geben Sie y ein:

   [INFO]: gcloud configured project ID is project_id.
    Press: y to proceed with creating service account in project: project_id
    Press: n to abort.

   Wenn dies eine erste SA mit dem genauen Namen ist, der vom Tool erstellt wurde, wird sie vom Tool einfach erstellt. Sie müssen nichts weiter tun.

   Wenn jedoch die folgende Meldung und Eingabeaufforderung angezeigt wird, wählen Sie y aus, um neue Schlüssel zu generieren:

   [INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists.
   ...
    [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
    Press: y to generate new keys.(this does not de-activate existing keys)
    Press: n to skip generating new keys.
    

3. Erstellen Sie nun die restlichen Dienstkonten:

   ./tools/create-service-account apigee-synchronizer ./service-accounts
   ./tools/create-service-account apigee-udca ./service-accounts
   ./tools/create-service-account apigee-mart ./service-accounts
   ./tools/create-service-account apigee-cassandra ./service-accounts
   ./tools/create-service-account apigee-logger ./service-accounts

4. Prüfen Sie, ob die Dienstkontoschlüssel erstellt wurden. Sie sind dafür verantwortlich, diese privaten Schlüssel sicher zu speichern. Den Schlüsseldateinamen wird der Name Ihres GCP-Projekts vorangestellt. Beispiel:

   ls ./service-accounts
   gcp-project-id-apigee-cassandra.json
   gcp-project-id-apigee-logger.json
   gcp-project-id-apigee-mart.json
   gcp-project-id-apigee-metrics.json
   gcp-project-id-apigee-synchronizer.json
   gcp-project-id-apigee-udca.json

TLS-Zertifikate erstellen

Sie müssen TLS-Zertifikate für die MART- und Laufzeit-Ingress-Gateways in der Apigee-Hybridkonfiguration bereitstellen. Die für das MART-Gateway verwendeten Anmeldedaten müssen von einer Zertifizierungsstelle autorisiert werden. Bei dieser Kurzanleitung (eine Nicht-Produktions-Testinstallation) akzeptiert das Laufzeitgateway selbst signierte Anmeldedaten.

In diesem Schritt erstellen Sie die TLS-Anmeldedatendateien und fügen sie dem Verzeichnis base_directory/hybrid-files/certs hinzu. In Schritt 3: Cluster konfigurieren fügen Sie der Clusterkonfigurationsdatei die Dateipfade hinzu.

Erstellen Sie TLS-Anmeldedaten für das Laufzeit-Gateway

Das Laufzeit-Ingress-Gateway (das den API-Proxy-Traffic verarbeitende Gateway) erfordert ein TLS-Zertifikat/-Schlüsselpaar. Für diese Schnellinstallation können Sie selbst signierte Anmeldedaten verwenden. In folgenden Schritten wird openssl zum Generieren der Anmeldedaten verwendet.

1. Achten Sie darauf, dass Sie sich im Verzeichnis base_directory/hybrid-files befinden.
2. Führen Sie den folgenden Befehl im Verzeichnis hybrid-files aus:

   openssl req  -nodes -new -x509 -keyout ./certs/keystore.key -out \
       ./certs/keystore.pem -subj '/CN=mydomain.net' -days 3650

   Dieser Befehl erstellt ein selbst signiertes Zertifikat/Schlüsselpaar, das Sie für die Schnellinstallation verwenden können. Der CN-mydomain.net kann ein beliebiger Wert für die selbst signierten Anmeldedaten sein.

3. Prüfen Sie, ob sich die Dateien im Verzeichnis ./certs befinden:

   ls ./certs
     keystore.pem
     keystore.key

   Dabei ist keystore.pem die selbst signierte TLS-Zertifikatsdatei und keystore.key die Schlüsseldatei.

TLS-Anmeldedaten für das MART-Gateway erstellen

Wie unter Vorbereitung angegeben, muss ein autorisiertes TLS-Zertifikat/-Schlüssel für die MART-Gateway-Konfiguration verwendet werden. Sofern noch nicht geschehen, rufen Sie diese Anmeldedaten ab oder erstellen Sie sie.

1. Ein TLS-Zertifikat/-Schlüssel anfordern, das von einer Zertifizierungsstelle autorisiert wurde. Ein Beispiel zeigt, wie Sie diese Anmeldedaten mithilfe der Let's Encrypt-CA erhalten. Beachten Sie, dass der Common Name (CN) des Zertifikats ein gültiger DNS-Name sein muss. Die Beispielschritte finden Sie unter TLS-Anmeldedaten abrufen: Beispiel.
2. Kopieren Sie die Anmeldedaten in das Verzeichnis base_directory/hybrid-files/certs.
3. Wenn Sie fertig sind, sollten Sie im Verzeichnis ./certs zwei Paare von Anmeldedatendateien haben. Beispiel:

   ls ./certs
     fullchain.pem
     privkey.key
     keystore.pem
     keystore.key

   Dabei ist fullchain.pem die autorisierte TLS-Zertifikatsdatei und privkey.key die autorisierte Schlüsseldatei.

Fazit

Sie haben nun eine Basis, in der Sie Apigee Hybrid in Ihrem Kubernetes-Cluster konfigurieren, bereitstellen und verwalten können. Als Nächstes erstellen Sie eine Datei, mit der Kubernetes die Hybridlaufzeitkomponenten im Cluster bereitstellt.

1 2 (ALS NÄCHSTES) Schritt 3: Cluster konfigurieren 4