本主题介绍如何配置新的 Apigee Hybrid 安装以确保数据驻留地合规性。
数据驻留简介
从 Hybrid 1.12 版开始,您可以在新的 Apigee Hybrid 安装中使用数据驻留。您无法将现有安装转换为使用数据驻留。
数据驻留允许指定存储 Apigee 数据的地理位置(区域),以满足合规性和监管要求。使用数据驻留时,选择控制平面位置可确保所有客户内容存储在指定区域内。 另请参阅数据驻留简介。
数据驻留配置的基本步骤
如需将 Apigee Hybrid 配置为数据驻留,您需要执行一些基本步骤,包括:
创建具有数据驻留功能的 Apigee 组织
创建 Apigee 组织时,您可以选择启用具有数据驻留功能的组织。创建具有数据驻留功能的组织时,您需要指定两个关键位置属性:控制平面位置和使用方数据区域。如需了解详情,请参阅第 2 步:创建组织。
使用 Apigee API 创建环境
如果您使用 Apigee API 创建新环境,则必须指定控制平面位置。请参阅创建环境。如果您使用界面创建环境,则无需执行任何特殊步骤。
启用新的数据流水线
如果为新的 1.13.1 混合云组织启用了数据驻留功能,则必须启用新的数据流水线功能。此功能可让您将分析数据和调试数据发送到 Apigee 控制平面。如需启用数据流水线,请按照使用数据驻留功能对 Google Analytics 数据收集进行调试中的说明操作。
请注意,您可以
配置替换文件
如果您使用的是启用了数据驻留功能的新混合 v1.13.1 组织,则必须向每个替换文件添加以下配置属性并应用它们:
contractProvider:Apigee 管理 API 的服务端点。例如:https://us-apigee.googleapis.com。newDataPipeline.debugSession:将其设置为true以使用新的数据流水线。newDataPipeline.analytics:将其设置为true以使 Google Analytics 能够使用新的数据流水线。
例如:
instanceID: "my_hybrid_example" namespace: apigee gcp: projectID: hybrid-example region: us-central1 k8sCluster: name: apigee-hybrid region: us-central1 org: hybrid-example contractProvider: https://us-apigee.googleapis.com newDataPipeline: debugSession: true analytics: true
请参阅第 6 步:创建替换文件
调用 Apigee API 时
当您对 Apigee API 发出 curl 调用以在 Hybrid 安装中执行任务时,您需要从控制平面位置调用 API:
curl -H "Authorization: Bearer $TOKEN" \ "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations/ORG_NAME/envgroups"
例如:
curl -H "Authorization: Bearer $TOKEN" \ "https://us-apigee.googleapis.com/v1/organizations/my-hybrid-org/envgroups"
网址许可名单
您必须为 Apigee Hybrid 数据驻留启用非转发代理路线。此路线可以是 NAT,并允许以下内容:
iamcredentials.googleapis.comoauth2.googleapis.com
如果您使用的是数据驻留前向代理,则必须将以下内容列入许可名单:
-
CONTROL_PLANE_LOCATION.apigee-googleapis.com -
ANALYTICS_REGION-pubsub.googleapis.com - Apigee Hybrid 所需的网址,请参阅允许 Hybrid 的 Google Cloud 网址。