配置属性参考文档

本部分列出了可用于自定义 Apigee 混合部署的运行时平面的所有配置属性。

顶层属性

下表描述了 overrides.yaml 文件中的顶层属性。以下属性不属于其他对象,并应用于组织或环境级别:

属性 说明
contractProvider 版本:1.0.0

默认值:https://apigee.googleapis.com

定义安装中所有 API 的 API 路径。

gcpProjectID Deprecated: 对于 1.2.0 版及更高版本,请改用 gcp.projectID

版本:1.0.0

默认值:none

必需

您的 Google Cloud 项目的 ID。与 k8sClusterName(已弃用)和 gcpRegion(已弃用)搭配使用,用于标识项目并确定 apigee-loggerapigee-metrics 推送其数据的位置。

gcpRegion Deprecated: 对于 1.2.0 版及更高版本,请改用 gcp.region

版本:1.0.0

默认值:us-central1

必需

您的 Kubernetes 集群的秘密 GCP 地区或区域。与 gcpProjectID(已弃用)和 k8sClusterName(已弃用)搭配使用,用于标识项目并确定 apigee-loggerapigee-metrics 推送其数据的位置。

imagePullSecrets.name 版本:1.0.0

默认值:None

配置为 docker-registry 类型的 Kubernetes 秘密名称;用于从私有代码库中提取映像。

k8sClusterName Deprecated: 对于 1.2.0 版及更高版本,请改用 k8sCluster.namek8sCluster.region

版本:1.0.0

默认值:None

您的混合项目正在运行的 Kubernetes (K8S) 专业集群名称。与 gcpProjectID(已弃用)和 gcpRegion(已弃用)搭配使用,用于标识项目并确定 apigee-loggerapigee-metrics 推送其数据的位置。

kmsEncryptionKey 版本:1.0.0

默认值:defaults.org.kmsEncryptionKey

可选。仅使用 kmsEncryptionKeykmsEncryptionKeykmsEncryptionKey 之一。

Apigee KMS 数据加密密钥的本地文件系统路径。

kmsEncryptionPath 版本:1.2.0

默认值:None

可选。仅使用 kmsEncryptionKeykmsEncryptionKeykmsEncryptionKey 之一。

包含 base64 编码的加密密钥的文件的路径。请参阅数据加密

kmsEncryptionSecret.key 版本:1.2.0

默认值:None

可选。仅使用 kmsEncryptionKeykmsEncryptionKeykmsEncryptionKey 之一。

包含 base64 编码的加密密钥的 Kubernetes Secret 的密钥。请参阅数据加密

kmsEncryptionSecret.name 版本:1.2.0

默认值:None

可选。仅使用 kmsEncryptionKeykmsEncryptionKeykmsEncryptionKey 之一。

包含 base64 编码的加密密钥的 Kubernetes Secret 的名称。请参阅数据加密

kvmEncryptionKey 版本:1.0.0

默认值:defaults.org.kmsEncryptionKey

可选。仅使用 kvmEncryptionKeykvmEncryptionKeykvmEncryptionKey 之一。

Apigee KVM 数据加密密钥的本地文件系统路径。

kvmEncryptionPath 版本:1.2.0

默认值:None

可选。仅使用 kvmEncryptionKeykvmEncryptionKeykvmEncryptionKey 之一。

包含 base64 编码的加密密钥的文件的路径。请参阅数据加密

kvmEncryptionSecret.key 版本:1.2.0

默认值:None

可选。仅使用 kvmEncryptionKeykvmEncryptionKeykvmEncryptionKey 之一。

包含 base64 编码的加密密钥的 Kubernetes Secret 的密钥。请参阅数据加密

kvmEncryptionSecret.name 版本:1.2.0

默认值:None

可选。仅使用 kvmEncryptionKeykvmEncryptionKeykvmEncryptionKey 之一。

包含 base64 编码的加密密钥的 Kubernetes Secret 的名称。请参阅数据加密

namespace 版本:1.0.0

默认值:apigee

将安装 Apigee 组件的 Kubernetes 集群的命名空间。

org

版本:1.0.0

默认值:None

必需

混合启用组织,由 Apigee 在混合安装期间为您预配。组织是 Apigee 中的顶层容器。它包含您的所有 API 代理及相关资源。如果值为空,则必须在创建后将其更新为组织名称。

revision 版本:1.0.0

默认值:v120

Apigee Hybrid 支持滚动 Kubernetes 更新,让部署更新可以通过用新的逐步更新 Pod 实例来实现零停机时间。

在更新可能导致底层 Kubernetes PodTemplateSpec 更改的特定 YAML 覆盖时,还必须在客户的 override.yaml 中更改 revision 覆盖属性。对于底层 Kubernetes ApigeeDeployment (AD) 控制器,必须执行此操作才能执行从上一个版本到新版本的安全滚动更新。您可以使用任何小写文本值,例如:“blue”“a”“1.0.0”

更改并应用 revision 属性后,将针对所有组件执行滚动更新

更改以下对象的属性时,需要更新 revision

如需了解详情,请参阅滚动更新

validateServiceAccounts 版本:1.0.0

默认值:true

对服务账号权限启用严格验证。这使用 Cloud Resource Manager API 方法“testIamPermissions”来验证所提供的服务账号是否具备所需的权限。对于 Apigee 组织服务账号,项目 ID 检查就是映射到组织的。对于 Metrics 和 Logger,所检查的项目基于“gcpProjectID”override.yaml 配置。

另请参阅 gcpProjectID

ao

Apigee Operators (AO) 创建和更新部署和维护 ApigeeDeployment (AD) 所需的低级 Kubernetes 和 Istio 资源。例如,控制器会执行消息处理器的发布。此外,先验证 ApigeeDeployment 配置,然后再将其保留在 Kubernetes 集群中。

下表介绍了 apigee-operators ao 对象的属性:

属性 说明
ao.image.pullPolicy 版本:1.2.0

默认值:IfNotPresent

确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

  • IfNotPresent:如果新映像已存在,则请勿提取它。
  • Always:始终提取映像,无论它是否已经存在。

如需了解详情,请参阅更新映像

ao.image.tag 版本:1.2.0

默认值:1.2.0

此服务 Docker 映像的版本标签。

ao.image.url 版本:1.2.0

默认值:"google/apigee-deployment-controller"

此服务的 Docker 映像的位置。

ao.resources.limits.cpu 版本:1.2.0

默认值:250m

Kubernetes 容器中资源的 CPU 限制,以毫米为单位。

ao.resources.limits.memory 版本:1.2.0

默认值:256Mi

Kubernetes 容器中资源的内存限制,以字节为单位。

ao.resources.requests.cpu 版本:1.2.0

默认值:250m

Kubernetes 容器中资源正常运行所需的 CPU,以毫秒为单位。

ao.resources.requests.memory 版本:1.2.0

默认值:256Mi

在 Kubernetes 容器中资源正常运行所需的内存,以兆比字节为单位。

authz

下表介绍了 authz 对象的属性:

属性 说明
authz.image.pullPolicy 版本:1.0.0

默认值:IfNotPresent

确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

  • IfNotPresent:如果新映像已存在,则请勿提取它。
  • Always:始终提取映像,无论它是否已经存在。

如需了解详情,请参阅更新映像

authz.image.tag 版本:1.0.0

默认值:1.2.0

此服务 Docker 映像的版本标签。

authz.image.url 版本:1.0.0

默认值:"google/apigee-authn-authz"

此服务的 Docker 映像的位置。

authz.livenessProbe.failureThreshold 版本:1.0.0

默认值:2

Kubernetes 将验证重启容器前,活跃探测失败的次数。最小值为 1。

authz.livenessProbe.initialDelaySeconds 版本:1.0.0

默认值:0

活跃探测启动前,容易开始后经过的秒数。

authz.livenessProbe.periodSeconds 版本:1.0.0

默认值:5

确定执行活跃探测的频率,以秒为单位。最小值为 1。

authz.livenessProbe.timeoutSeconds 版本:1.0.0

默认值:1

活跃探测超时后的秒数。最小值为 1。

authz.readinessProbe.failureThreshold 版本:Beta2

默认值:2

Kubernetes 将验证将 Pod 标记为“未就绪”前,就绪探测失败的次数。最小值为 1。

authz.readinessProbe.initialDelaySeconds 版本:1.0.0

默认值:0

就绪探测启动前,容易开始后经过的秒数。

authz.readinessProbe.periodSeconds 版本:1.0.0

默认值:5

确定执行就绪探测的频率,以秒为单位。最小值为 1。

authz.readinessProbe.successThreshold 版本:1.0.0

默认值:1

在失败后,被认为成功就绪探测需要的最小持续成功次数。最小值为 1。

authz.readinessProbe.timeoutSeconds 版本:1.0.0

默认值:1

活跃探测超时后的秒数。最小值为 1。

authz.resources.requests.cpu 版本:1.0.0

默认值:50m

为身份验证请求分配的 CPU 资源数量。

authz.resources.requests.memory 版本:1.0.0

默认值:128Mi

为身份验证请求分配的内存资源占用的内存。

busyBoxInit(已弃用)

下表介绍了 busyBoxInit 对象的属性:

属性 说明
busyBoxInit.image.pullPolicy Deprecated.

版本:1.0.0

默认值:IfNotPresent

确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

  • IfNotPresent:如果新映像已存在,则请勿提取它。
  • Always:始终提取映像,无论它是否已经存在。

如需了解详情,请参阅更新映像

busyBoxInit.image.tag Deprecated.

版本:1.0.0

默认值:"1.0.0"

此服务 Docker 映像的版本标签。

busyBoxInit.image.url Deprecated.

版本:1.0.0

默认值:"busybox"

此服务的 Docker 映像的位置。

cassandra

定义管理运行时数据存储区的混合服务。此存储区存储在网关上运行的应用存储应用配置、分配的配额计数器、API 密钥和 OAuth 令牌。

如需了解详情,请参阅配置 Cassandra

下表介绍了 cassandra 对象的属性:

属性 说明
cassandra.auth.admin.password 版本:1.0.0

默认值:“iloveapis123”

必需

Cassandra 管理员的密码。管理员用户用于在 Cassandra 集群上执行的任何管理活动。

cassandra.auth.ddl.password 版本:1.0.0

默认值:“iloveapis123”

必需

Cassandra 数据定义语言 (DDL) 用户的密码。MART 用于任何数据定义任务,例如键空间创建、更新和删除。

cassandra.auth.default.password 版本:1.0.0

默认值:"iloveapis123"

必需

启用身份验证时创建的默认 Cassandra 用户密码。配置 Cassandra 身份验证时,必须重置此密码。请参阅为 Cassandra 配置 TLS

cassandra.auth.dml.password 版本:1.0.0

默认值:“iloveapis123”

必需

Cassandra 数据操纵语言 (DML) 用户的密码。DML 用户供客户端通信读取和向 Cassandra 写入数据。

cassandra.auth.image.pullPolicy 版本:1.0.0

默认值:IfNotPresent

确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

  • IfNotPresent:如果新映像已存在,则请勿提取它。
  • Always:始终提取映像,无论它是否已经存在。

如需了解详情,请参阅更新映像

cassandra.auth.image.tag 版本:1.0.0

默认值:1.2.0

此服务 Docker 映像的版本标签。

cassandra.auth.image.url 版本:1.0.0

默认值:"google/apigee-hybrid-cassandra-client"

此服务的 Docker 映像的位置。

cassandra.backup.cloudProvider 版本:1.0.0

默认值:"GCP"

如果备份已启用,则是必需的。

用于备份存储的云提供商。

cassandra.backup.dbStorageBucket 版本:1.0.0

默认值:None

如果备份已启用,则是必需的。

备份数据的 Cloud Storage 存储分区。

cassandra.backup.enabled 版本:1.0.0

默认值:false

默认情况下,数据备份未启用。要启用该功能,请设置为 true

请参阅 Cassandra 备份和恢复

cassandra.backup.image.pullPolicy 版本:1.0.0

默认值:IfNotPresent

确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

  • IfNotPresent:如果新映像已存在,则请勿提取它。
  • Always:始终提取映像,无论它是否已经存在。

如需了解详情,请参阅更新映像

cassandra.backup.image.tag 版本:1.0.0

默认值:1.2.0

此服务 Docker 映像的版本标签。

cassandra.backup.image.url 版本:1.0.0

默认值:"google/apigee-cassandra-backup-utility"

此服务的 Docker 映像的位置。

cassandra.backup.schedule 版本:1.0.0

默认值:"0 2 * * *"

时间作业的时间表。

请参阅 Cassandra 备份和恢复

cassandra.backup.serviceAccountPath 版本:1.0.0

默认值:None

如果已启用备份,则必须提供 backup.serviceAccountPath 或 backup.serviceAccountSecretRef。

具有 Storage Object Admin 角色的 Google 服务账号密钥文件的路径。

cassandra.backup.serviceAccountSecretRef 版本:1.2.0

默认值:None

如果已启用备份,则必须提供 backup.serviceAccountPath 或 backup.serviceAccountSecretRef。

Kubernetes Secret 的名称。您必须使用具有 Storage Object Admin 角色的 Google 服务账号密钥作为输入来创建 Secret

cassandra.clusterName 版本:1.0.0

默认值:"apigeecluster"

指定 Cassandra 集群的名称。

cassandra.datacenter 版本:1.0.0

默认值:"dc-1"

指定 Cassandra 节点的数据中心。

cassandra.dnsPolicy 版本:1.1.1

默认值:ClusterFirstWithHostNet

cassandra.hostNetwork 设置为 true 时,可确定 Cassandra 使用哪个 DNS 政策。对于基于 Anthos 的部署,应将其设置为 ClusterFirstWithHostNet

如果 cassandra.hostNetwork 设置为 false,系统会忽略 cassandra.dnsPolicy

如需查看 cassandra.dnsPolicy 的更多值,请参阅 Kubernetes 文档中的 Pod 的 DNS 政策

cassandra.externalSeedHost 版本:1.0.0

默认值:None

Cassandra 集群节点的主机名或 IP。如果未设置,则使用 Kubernetes 本地服务。

cassandra.heapNewSize 版本:1.0.0

默认值:100M

分配给较新对象的 JVM 系统内存量,以兆字节为单位。

cassandra.hostNetwork 版本:1.1.1

默认值true 适用于 Anthos 部署。false 适用于非 Anthos 部署。

对于基于 Anthos 的部署,设为 true。

cassandra.hostNetworktrue 时,请确保将 cassandra.dnsPolicy 设置为 ClusterFirstWithHostNet

cassandra.image.pullPolicy 版本:1.0.0

默认值:IfNotPresent

确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

  • IfNotPresent:如果新映像已存在,则请勿提取它。
  • Always:始终提取映像,无论它是否已经存在。

如需了解详情,请参阅更新映像

cassandra.image.tag 版本:1.0.0

默认值:1.2.0

此服务 Docker 映像的版本标签。

cassandra.image.url 版本:1.0.0

默认值:"google/apigee-hybrid-cassandra"

此服务的 Docker 映像的位置。

cassandra.maxHeapSize 版本:1.0.0

默认值:512M

JVM 系统内存的上限可用于 Cassandra 操作,以 MB 为单位。

cassandra.multiRegionSeedHost 版本:1.0.0

默认值:None

现有 Cassandra 集群的 IP 地址,用于将现有集群扩展到新地区。请参阅配置多区域种子主机

cassandra.nodeSelector.key 版本:1.0.0

默认值:None

必需

节点选择器标签键,用于定位 cassandra 数据服务的专用 Kubernetes 节点。

请参阅添加节点选择器

cassandra.nodeSelector.value 版本:1.0.0

默认值:None

可选 ode 选择器标签值,用于定位 cassandra 数据服务的专用 Kubernetes 节点并覆盖 nodeSelector.apigeeData 设置。

请参阅 nodeSelector

cassandra.port 版本:1.0.0

默认值:9042

用于连接到 Cassandra 的端口号。

cassandra.rack 版本:1.0.0

默认值:"ra-1"

指定 Cassandra 节点的 Rack。

cassandra.readinessProbe.failureThreshold 版本:1.0.0

默认值:2

Kubernetes 将验证将 Pod 标记为“未就绪”前,就绪探测失败的次数。最小值为 1。

cassandra.readinessProbe.initialDelaySeconds 版本:1.0.0

默认值:0

就绪探测启动前,容易开始后经过的秒数。

cassandra.readinessProbe.periodSeconds 版本:1.0.0

默认值:10

确定执行就绪探测的频率,以秒为单位。最小值为 1。

cassandra.readinessProbe.successThreshold 版本:1.0.0

默认值:1

在失败后,被认为成功就绪探测需要的最小持续成功次数。最小值为 1。

cassandra.readinessProbe.timeoutSeconds 版本:1.0.0

默认值:5

活跃探测超时后的秒数。最小值为 1。

cassandra.replicaCount 版本:1.0.0

默认值:1

Cassandra 是一个副本数据库。此属性用于指定用作 StatefulSet 的 Cassandra 节点的数量。

cassandra.resources.requests.cpu 版本:1.0.0

默认值:500m

Kubernetes 容器中资源正常运行所需的 CPU,以毫秒为单位。

cassandra.resources.requests.memory 版本:1.0.0

默认值:1Gi

在 Kubernetes 容器中资源正常运行所需的内存,以兆比字节为单位。

cassandra.restore.cloudProvider 版本:1.0.0

默认值:"GCP"

如果恢复已启用,则必须提供。

用于备份存储的云提供商。

cassandra.restore.dbStorageBucket 版本:1.0.0

默认值:None

如果恢复已启用,则必须提供。

要恢复的备份数据的 Cloud Storage 存储分区。

cassandra.restore.enabled 版本:1.0.0

默认值:false

cassandra.restore.image.pullPolicy 版本:1.0.0

默认值:IfNotPresent

确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

  • IfNotPresent:如果新映像已存在,则请勿提取它。
  • Always:始终提取映像,无论它是否已经存在。

如需了解详情,请参阅更新映像

cassandra.restore.image.tag 版本:1.0.0

默认值:1.2.0

此服务 Docker 映像的版本标签。

cassandra.restore.image.url 版本:1.0.0

默认值:"google/apigee-cassandra-backup-utility"

此服务的 Docker 映像的位置。

cassandra.restore.serviceAccountPath 版本:1.0.0

默认值:None

如果启用了还原,则必须提供 restore.serviceAccountPath 或 restore.serviceAccountSecretRef。

具有 Storage Object Admin 角色的 Google 服务账号密钥文件的路径。

cassandra.restore.serviceAccountSecretRef 版本:1.2.0

默认值:None

如果启用了还原,则必须提供 restore.serviceAccountPath 或 restore.serviceAccountSecretRef。

Kubernetes Secret 的名称。您必须使用具有 Storage Object Admin 角色的 Google 服务账号密钥作为输入来创建 Secret

cassandra.restore.snapshotTimestamp 版本:1.0.0

默认值:None

如果恢复已启用,则必须提供。

应恢复的备份的时间戳。

cassandra.restore.user 版本:1.0.0

默认值:管理员账号

用于架构备份恢复的 Cassandra 用户名。如果未指定,系统会使用管理员用户。

cassandra.sslCertPath 版本:1.2.0

默认值:None

系统上指向 TLS 证书文件的路径。

cassandra.sslKeyPath 版本:1.2.0

默认值:None

在系统上指向 TLS 私钥文件的路径。

cassandra.sslRootCAPath 版本:1.2.0

默认值:None

根 CA(证书授权机构)的证书链。

cassandra.storage.capacity 版本:1.0.0

默认值:50Gi

如果指定了 storage.storageClass,则必须提供

指定所需的磁盘大小,以兆比字节为单位。

cassandra.storage.storageClass 版本:1.0.0

默认值:None

指定正在使用的本地存储空间类别。

cassandra.terminationGracePeriodSeconds 版本:1.0.0

默认值:300

请求删除 Pod 与终止 Pod 之间的时间,以秒为单位。在此期间,将执行任何预停止钩子,并且所有正在运行的进程都应正常终止。

certmanager

cert-manager 是 Apigee 使用的 Kubernetes 实现的证书管理器。请参阅欢迎使用证书管理器

下表介绍了 certmanager 对象的属性:

属性 说明
certmanager.image.tag 版本:1.2.0

默认值:"v0.12.0"

此服务 Docker 映像的版本标签。

certmanager.image.url 版本:1.2.0

默认值:"apigee-cert-manager-controller"

此服务的 Docker 映像的位置。

certmanagercainjector

cert-manager CA 注入器是一种证书管理器进程,负责将 CA 软件包注入证书管理器网络钩子进程。请参阅证书管理器文档中的 CA 注入器

下表介绍了 certmanagercainjector 对象的属性:

属性 说明
certmanagercainjector.image.tag 版本:1.2.0

默认值:"v0.12.0"

此服务 Docker 映像的版本标签。

certmanagercainjector.image.url 版本:1.2.0

默认值:"google/apigee-cert-manager-cainjector"

此服务的 Docker 映像的位置。

certmanagerwebhook

cert-manager 网络钩子是一种对证书管理资源进行动态准许控制的过程。请参阅 cert-manager 文档中的 Webhook

下表介绍了 certmanagerwebhook 对象的属性:

属性 说明
certmanagerwebhook.image.tag 版本:1.2.0

默认值:"v0.12.0"

此服务 Docker 映像的版本标签。

certmanagerwebhook.image.url 版本:1.2.0

默认值:"google/apigee-cert-manager-webhook"

此服务的 Docker 映像的位置。

connectAgent

Apigee Connect 让 Apigee Hybrid 管理平面可安全地连接到运行时平面中的 MART 服务,而无需在互联网上公开 MART 端点。如果您使用 Apigee Connect,则无需使用主机别名和授权 DNS 证书配置 MART 入站流量网关。

下表介绍了 connectAgent 对象的属性:

属性 说明
connectAgent.enabled 版本:1.2.0

默认值:false

此安装使用 Apigee Connect 取代 Istio Ingress 吗?True 或 False。

请参阅使用 Apigee Connect

connectAgent.server 版本:1.2.0

默认值:"apigeeconnect.googleapis.com:443"

此服务的服务器和端口的位置。

connectAgent.logLevel 版本:1.2.0

默认值:"INFO"

日志报告的级别。包含以下值:

  • INFO:除了警告、错误和严重消息之外的参考消息。最适用于调试。
  • WARNING:除错误消息和严重消息外的非严重警告。
  • ERROR:除了严重消息外,不会返回给用户的内部错误和错误。
  • FATAL:可能会导致 Apigee 连接崩溃且不可恢复的错误和事件。
connectAgent.image.pullPolicy 版本:1.2.0

默认值:IfNotPresent

确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

  • IfNotPresent:如果新映像已存在,则请勿提取它。
  • Always:始终提取映像,无论它是否已经存在。

如需了解详情,请参阅更新映像

connectAgent.image.tag 版本:1.2.0

默认值:"1.2.0"

此服务 Docker 映像的版本标签。

connectAgent.image.url 版本:1.2.0

默认值:"google/apigee-connect-agent"

此服务的 Docker 映像的位置。在 values.yaml 文件中检查特定网址。

connectAgent.replicaCountMax 版本:1.2.0

默认值:5

可用于自动扩缩的副本数上限。

connectAgent.replicaCountMin 版本:1.2.0

默认值:1

可自动扩缩的副本数下限。

在生产环境中,您可能需要将 replicaCountMin 增加到 3,以便增加与控制平面的连接数量,从而实现可靠性和可扩缩性。

connectAgent.resources.requests.cpu 版本:1.0.0

默认值:100m

Kubernetes 容器中资源正常运行所需的 CPU,以毫秒为单位。

connectAgent.resources.requests.memory 版本:1.0.0

默认值:30Mi

在 Kubernetes 容器中资源正常运行所需的内存,以兆比字节为单位。

connectAgent.targetCPUUtilizationPercentage 版本:1.2.0

默认值:75

pod 上 Apigee 连接代理的目标 CPU 利用率。在 CPU 利用率达到此值(最多 replicaCountMax)时,此字段值启用 Apigee 连接以自动扩缩。

connectAgent.terminationGracePeriodSeconds 版本:1.2.0

默认值:600

请求删除 Pod 与终止 Pod 之间的时间,以秒为单位。在此期间,将执行任何预停止钩子,并且所有正在运行的进程都应正常终止。

defaults

Apigee Hybrid 安装的默认加密密钥。

下表介绍了 defaults 对象的属性:

属性 说明
defaults.org.kmsEncryptionKey 版本:1.0.0

默认值:"aWxvdmVhcGlzMTIzNDU2Nw=="

KMS 中组织的默认加密密钥。

defaults.org.kvmEncryptionKey 版本:1.0.0

默认值:"aWxvdmVhcGlzMTIzNDU2Nw=="

KVM 中组织的默认加密密钥。

defaults.env.kmsEncryptionKey 版本:1.0.0

默认值:"aWxvdmVhcGlzMTIzNDU2Nw=="

KMS 中环境 (env) 的默认加密密钥。

defaults.env.kvmEncryptionKey 版本:1.0.0

默认值:"aWxvdmVhcGlzMTIzNDU2Nw=="

KVM 中环境(env)的默认加密密钥。

defaults.env.cacheEncryptionKey 版本:1.0.0

默认值:"aWxvdmVhcGlzMTIzNDU2Nw=="

环境 (env) 的默认缓存加密密钥。

envs

定义您可以部署 API 代理的环境数组。每个环境为运行 API 代理提供隔离上下文或“沙盒”。

您的混合启用组织必须至少包含一个环境。

如需了解详情,请参阅配置环境

下表介绍了 envs 对象的属性:

属性 说明
envs[].cacheEncryptionKey 版本:1.0.0

默认值:None

必须提供 cacheEncryptionKey、cacheEncryptionPath 或 cacheEncryptionSecret 之一

base64 编码的加密密钥。请参阅数据加密

envs[].cacheEncryptionPath 版本:1.2.0

默认值:None

必须提供 cacheEncryptionKey、cacheEncryptionPath 或 cacheEncryptionSecret 之一

包含 base64 编码的加密密钥的文件的路径。请参阅数据加密

envs[].cacheEncryptionSecret.key 版本:1.2.0

默认值:None

必须提供 cacheEncryptionKey、cacheEncryptionPath 或 cacheEncryptionSecret 之一

包含 base64 编码的加密密钥的 Kubernetes Secret 的密钥。请参阅数据加密

envs[].cacheEncryptionSecret.name 版本:1.2.0

默认值:None

必须提供 cacheEncryptionKey、cacheEncryptionPath 或 cacheEncryptionSecret 之一

包含 base64 编码的加密密钥的 Kubernetes Secret 的名称。请参阅数据加密

envs[].hostAlias 版本:1.0.0

默认值:None

已弃用:请改用 hostAliases[]

envs[].hostAliases[] 版本:1.2.0

默认值:None

指向环境的主机别名。每个主机别名必须是完全限定域名。

envs[].httpProxy.host 版本:1.2.0

默认值:None

指定运行 HTTP 代理的主机名或 IP 地址。

schemehostport 的顺序列出 httpProxy 属性。例如:

envs:
  - name: test
    httpProxy:
      scheme: HTTP
      host: 10.12.0.47
      port: 3128
      ...

另请参阅:为 API 代理配置转发代理

envs[].httpProxy.port 版本:1.2.0

默认值:None

指定运行 HTTP 代理的端口。如果省略此属性,默认情况下,它将使用端口 80(用于 HTTP)和端口 443(用于 HTTPS)。

envs[].httpProxy.scheme 版本:1.2.0

默认值:None

将 HTTP 代理的类型指定为 HTTP 或 HTTPS。默认情况下,它使用“HTTP”。

envs[].httpProxy.username 版本:1.2.0

默认值:None

如果 HTTP 代理需要基本身份验证,则使用此属性提供用户名。

envs[].httpProxy.password 版本:1.2.0

默认值:None

如果 HTTP 代理需要基本身份验证,则使用此属性提供密码。

envs[].kmsEncryptionKey 版本:1.0.0

默认值:None

必须提供 kmsEncryptionKey、kmsEncryptionPath 或 kmsEncryptionSecret 之一

Apigee KMS 数据加密密钥的本地文件系统路径。

envs[].kmsEncryptionPath 版本:1.2.0

默认值:None

必须提供 kmsEncryptionKey、kmsEncryptionPath 或 kmsEncryptionSecret 之一

包含 base64 编码的加密密钥的文件的路径。请参阅数据加密

envs[].kmsEncryptionSecret.key 版本:1.2.0

默认值:None

必须提供 kmsEncryptionKey、kmsEncryptionPath 或 kmsEncryptionSecret

包含 base64 编码的加密密钥的 Kubernetes Secret 的密钥。请参阅数据加密

envs[].kmsEncryptionSecret.name 版本:1.2.0

默认值:None

必须提供 kmsEncryptionKey、kmsEncryptionPath 或 kmsEncryptionSecret 之一

包含 base64 编码的加密密钥的 Kubernetes Secret 的名称。请参阅数据加密

envs[].name 版本:1.0.0

默认值:None

必需

要同步的 Apigee 环境名称。

envs[].pollInterval 版本:1.0.0

默认值:None

用于轮询组织和环境同步更改的时间间隔,以秒为单位。

envs[].port 版本:1.0.0

默认值:None

HTTPS 流量的 TCP 端口号。

envs[].serviceAccountPaths.synchronizer 版本:GA

默认值:None

具有 Apigee Synchronizer Manager 角色的 Google 服务账号密钥本地系统文件的路径。

envs[].serviceAccountPaths.udca 版本:GA

默认值:None

具有 Apigee Analytic Agent 角色的 Google 服务账号密钥本地系统文件的路径。

envs[].serviceAccountSecretRefs.synchronizer 版本:1.2.0

默认值:None

Kubernetes Secret 的名称。您必须使用具有 Apigee Synchronizer Manager 角色的 Google 服务账号密钥作为输入来创建 Secret

envs[].serviceAccountSecretRefs.udca 版本:1.2.0

默认值:None

Kubernetes Secret 的名称。您必须使用具有 Apigee Analytic Agent 角色的 Google 服务账号密钥作为输入来创建 Secret

envs[].sslCertPath 版本:1.2.0

默认值:None

必须提供 sslCertPath/sslKeyPathsslSecret

系统上指向 TLS 证书文件的路径。

envs[].sslKeyPath 版本:1.2.0

默认值:None

必须提供 sslCertPath/sslKeyPathsslSecret

在系统上指向 TLS 私钥文件的路径。

envs[].sslSecret 版本:1.2.0

默认值:None

必须提供 sslCertPath/sslKeyPathsslSecret

包含 TLS 证书和私钥的 Kubernetes Secret 中存储的文件的名称。您必须使用 TLS 证书和密钥数据作为输入来创建 Secret。

另请参阅:

gcp

标识 apigee-loggerapigee-metrics 推送其数据的 GCP 项目 ID 和区域。

下表介绍了 gcp 对象的属性:

属性 说明
gcp.region 版本:1.2.0

默认值:None

必需

标识 apigee-loggerapigee-metrics 推送其数据的 GCP 地区

gcp.projectID 版本:1.2.0

默认值:None

必需

标识 apigee-loggerapigee-metrics 推送其数据的 Google Cloud 项目。

gcp.projectIDRuntime 版本:1.2.0

默认值:None

标识运行时 Kubernetes 集群项目。

projectIDRuntime 是可选属性。如果不使用此属性,则假定 Apigee 组织的 GCP 项目和运行时 K8S 集群的项目均使用 projectID 值。

httpProxy

httpProxy 为 HTTP 转接代理服务器提供配置参数。在 override.yaml 中配置时,MART、Synchronizer 和 UDCA 组件的所有互联网通信都会通过代理服务器发送。

另请参阅:MARTSynchronizerUDCA

下表介绍了 httpProxy 对象的属性:

属性 说明
httpProxy.host 版本:1.1.1

默认值:None

HTTP 代理的主机名。

httpProxy.port 版本:1.1.1

默认值:None

HTTP 代理的端口。

httpProxy.scheme 版本:1.1.1

默认值:HTTPS

代理使用的方案。值可以是 HTTPHTTPS。值只能为大写。

ingress

Ingress 是 Istio Ingress Gateway 的实例化。Ingress 用于指定应在集群外部公开的服务。混合运行时安装程序会为以下两个运行时组件创建 Ingress 对象:

  • 运行时
  • MART

另请参阅:

下表介绍了 ingress 对象的属性:

属性 说明
ingress.enableAccesslog 版本:1.0.0

默认值:false

启用或停用 Ingress 访问日志。默认情况下,该功能处于停用状态。

ingress.envoyHeaders.headers 版本:1.0.0
默认值:
"x-envoy-decorator-operation"
"x-envoy-expected-rq-timeout-ms"
"x-envoy-external-address"
"x-istio-attributes"

Envoy 标头列表。

ingress.envoyHeaders.preserved 版本:1.0.0

默认值:false

确定是否保留 Envoy 的标头。默认情况下不会。

ingress.httpsRedirect 版本:1.0.0

默认值:true

为所有传入流量启用或停用自动 HTTPS 重定向功能。

ingress.mart.loadBalancerIP 版本:1.1.1

默认值:10.0.10.252

MART 负载平衡器的 IP 地址。

ingress.minTLSProtocolVersion 版本:1.2.0

默认值:如果 minTLSProtocolVersionmaxTLSProtocolVersion 均未指定,则 Ingress 使用默认的 TLS_AUTO,如 Envoy 代理文档的通用 TLS 配置中所述。

让您可以为 Ingress 设置最低的 TLS 版本。可能的值包括 1.0、1.1、1.2 和 1.3。

ingress.maxTLSProtocolVersion 版本:1.2.0

默认值:如果 minTLSProtocolVersionmaxTLSProtocolVersion 均未指定,则 Ingress 使用默认的 TLS_AUTO,如 Envoy 代理文档的通用 TLS 配置中所述。

让您可以为 Ingress 设置最高的 TLS 版本。可能的值包括 1.0、1.1、1.2 和 1.3。

ingress.runtime.loadBalancerIP 版本:1.1.1

默认值:10.0.10.251

Apigee 运行时对象负载平衡器的 IP 地址。

ingress.serviceType 版本:1.0.0

默认值:LoadBalancer

用于将外部流量路由到内部服务的服务类型。

可能的值包括:

  • ClusterIP(不支持)
  • LoadBalancer
  • NodePort

istio

Google Cloud Platform (GCP) 的 Istio 实现是一个服务网格,其叠加在您现有的 Apigee 实例上,可帮助该实例与日志记录平台、遥测和政策系统集成。

另请参阅:GCP 的 Istio 文档什么是 Istio

下表介绍了 istio 对象的属性:

属性 说明
istio.citadel.image.url 版本:1.2.0

默认值:"google/apigee-istio-citadel"

此服务的 Docker 映像的位置。

istio.galley.image.url 版本:1.2.0

默认值:"google/apigee-istio-galley"

此服务的 Docker 映像的位置。

istio.ingressgateway.replicaCountMax 版本:1.0.0

默认值:5

必需

允许的 Istio Ingress 网关副本数上限。

请参阅:

istio.ingressgateway.replicaCountMin 版本:1.0.0

默认值:1

必需

所需的 Istio Ingress 网关副本数下限。

请参阅:

istio.ingressgateway.resources.requests.cpu 版本:1.0.0

默认值:100m

必需

分配给入站流量控制器的 CPU 资源,需要网关优化执行。

请参阅:

istio.ingressgateway.resources.requests.memory 版本:1.0.0

默认值:128Mi

分配给入站流量控制器的内存资源,需要网关优化执行。

  • 入站流量对象
  • Istio 文档中的 Ingress Gateways
  • Kubernetes 文档中的入站流量控制器
  • istio.kubectl.image.url 版本:1.2.0

    默认值:"google/apigee-istio-kubectl"

    此服务的 Docker 映像的位置。

    istio.mixer.image.url 版本:1.2.0

    默认值:"google/apigee-istio-mixer"

    此服务的 Docker 映像的位置。

    istio.node_agent_k8s.image.url 版本:1.2.0

    默认值:"google/apigee-istio-node-agent-k8s"

    此服务的 Docker 映像的位置。

    istio.nodeSelector.key 版本:1.0.0

    默认值:None

    可选节点选择器标签键,用于定位 istio 服务的 Kubernetes 节点。如果您没有为 mart.nodeselector 指定键,则 istio 服务会使用 nodeSelector 对象中指定的节点。

    istio.nodeSelector.value 版本:1.0.0

    默认值:None

    可选节点选择器标签值,用于定位 istio 服务的 Kubernetes 节点。另请参阅 nodeSelector 对象。

    istio.pilot.image.url 版本:1.2.0

    默认值:"google/apigee-istio-pilot"

    此服务的 Docker 映像的位置。

    istio.pilot.replicaCountMax 版本:1.0.0

    默认值:5

    必需

    集群中的 pilot 核心流量管理,与 envoy Sidecar 代理进行通信。replicaCountMax 是允许的 Istio 试用副本的最大数量。

    请参阅 Istio 文档中的试用:核心流量管理

    istio.pilot.replicaCountMin 版本:1.0.0

    默认值:1

    必需

    集群中的 pilot 核心流量管理,与 envoy Sidecar 代理进行通信。replicaCountMax 是所需的 Istio 试用副本的最大数量。

    请参阅 Istio 文档中的试用:核心流量管理

    istio.pilot.resources.requests.cpu 版本:1.0.0

    默认值:500m

    必需

    分配给试运行进程的 CPU 资源,需要网关优化执行。

    请参阅:

    istio.pilot.resources.requests.memory 版本:1.0.0

    默认值:2048Mi

    分配给试运行进程的内存资源,需要网关优化执行。

    请参阅:

    istio.proxyv2.image.url 版本:1.2.0

    默认值:"google/apigee-istio-proxyv2"

    此服务的 Docker 映像的位置。

    istio.sidecar_injector.image.url 版本:1.2.0

    默认值:"google/apigee-istio-sidecar-injector"

    此服务的 Docker 映像的位置。

    istio.version 版本:1.2.0

    默认值:1.4.6

    用于 Apigee 此次实现过程的 Istio 版本。

    请参阅 GitHub 上的 Istio 版本

    k8sCluster

    确定安装了混合运行时的 Kubernetes 集群。

    下表介绍了 k8sCluster 对象的属性:

    属性 说明
    k8sCluster.name 版本:1.2.0

    默认值:None

    安装 Hybrid 运行时的 Kubernetes 集群的名称。

    k8sCluster.region 版本:1.2.0

    默认值:None

    识别其中创建了 Kubernetes 集群的 GCP 区域

    kubeRBACProxy

    标识 Apigee 应在何处查找 Kubernetes 基于角色的访问权限控制。

    下表介绍了 kubeRBACProxy 对象的属性:

    属性 说明
    kubeRBACProxy.image.pullPolicy 版本:1.2.0

    默认值:IfNotPresent

    确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

    • IfNotPresent:如果新映像已存在,则请勿提取它。
    • Always:始终提取映像,无论它是否已经存在。

    如需了解详情,请参阅更新映像

    kubeRBACProxy.image.tag 版本"v0.4.1"

    默认值:1.2.0

    此服务 Docker 映像的版本标签。

    kubeRBACProxy.image.url 版本:1.2.0

    默认值:"google/apigee-kube-rbac-proxy"

    此服务的 Docker 映像的位置。

    如果您不想使用 Google Docker Hub,请下载映像并使用您的 Docker 映像在内部托管的地址。

    logger

    定义管理运营日志的服务。Kubernetes 集群中运行的所有 Apigee 混合服务都会输出此信息。

    如需了解详情,请参阅 Logging

    下表介绍了 logger 对象的属性:

    属性 说明
    logger.enabled 版本:1.0.0

    默认值:true

    启用或停用集群上的日志记录功能。对于设置为 true 的非 GKE,Anthos 或 GKE 设置为 false

    logger.fluentd.buffer_chunk_limit 版本:1.0.0

    默认值:512k

    允许的缓冲区区块的大小上限,以千字节为单位。超出限制的区块将自动进入输出队列。

    logger.fluentd.buffer_queue_limit 版本:1.0.0

    默认值:6

    输出队列的最大长度。默认限制为 256 个区块。

    logger.fluentd.flush_interval 版本:1.0.0

    默认值:5s

    调用下一个缓冲区刷新前等待的时间间隔,以秒为单位。

    logger.fluentd.max_retry_wait 版本:1.0.0

    默认值:30

    写入操作之间的最大时间间隔,以秒为单位。

    logger.fluentd.num_threads 版本:1.0.0

    默认值:2

    用于刷新缓冲区的线程数。默认值为 1。

    logger.image.pullPolicy 版本:1.0.0

    默认值:IfNotPresent

    确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

    • IfNotPresent:如果新映像已存在,则请勿提取它。
    • Always:始终提取映像,无论它是否已经存在。

    如需了解详情,请参阅更新映像

    logger.image.tag 版本:1.0.0

    默认值:"1.6.8"

    此服务 Docker 映像的版本标签。

    logger.image.url 版本:1.0.0

    默认值:"google/apigee-stackdriver-logging-agent"

    此服务的 Docker 映像的位置。

    logger.livenessProbe.failureThreshold 版本:1.0.0

    默认值:3

    Kubernetes 将验证重启容器前,活跃探测失败的次数。最小值为 1。

    logger.livenessProbe.initialDelaySeconds 版本:1.0.0

    默认值:0

    活跃探测启动前,容易开始后经过的秒数。

    logger.livenessProbe.periodSeconds 版本:1.0.0

    默认值:60

    确定执行活跃探测的频率,以秒为单位。最小值为 1。

    logger.livenessProbe.successThreshold 版本:1.0.0

    默认值:1

    在失败后,被认为成功活跃性探测需要的最小持续成功次数。最小值为 1。

    logger.livenessProbe.timeoutSeconds 版本:1.0.0

    默认值:1

    活跃探测超时后的秒数。最小值为 1。

    logger.nodeSelector.key 版本:1.0.0

    默认值:"apigee.com/apigee-logger-enabled"

    必需

    节点选择器标签键,用于定位 logger 运行时服务的专用 Kubernetes 节点。

    请参阅添加节点选择器

    logger.nodeSelector.value 版本:1.0.0

    默认值:"true"

    必需

    节点选择器标签值,用于定位 logger 运行时服务的专用 Kubernetes 节点。

    请参阅添加节点选择器

    logger.proxyURL 版本:1.0.0

    默认值:None

    客户代理服务器的网址。

    logger.resources.limits.memory 版本:1.0.0

    默认值:500Mi

    Kubernetes 容器中资源的内存限制,以字节为单位。

    logger.resources.limits.cpu 版本:1.0.0

    默认值:200m

    Kubernetes 容器中资源的 CPU 限制,以毫米为单位。

    logger.resources.requests.cpu 版本:1.0.0

    默认值:100m

    Kubernetes 容器中资源正常运行所需的 CPU,以毫秒为单位。

    logger.resources.requests.memory 版本:1.0.0

    默认值:250Mi

    在 Kubernetes 容器中资源正常运行所需的内存,以兆比字节为单位。

    logger.serviceAccountPath 版本:1.0.0

    默认值:None

    必须提供 serviceAccountPath 或 serviceAccountSecretRef

    具有 Logs Writer 角色的 Google 服务账号密钥文件的路径。

    logger.serviceAccountSecretRef 版本:1.2.0

    默认值:None

    必须提供 serviceAccountPath 或 serviceAccountSecretRef

    Kubernetes Secret 的名称。您必须使用具有 Logs Writer 角色的 Google 服务账号密钥作为输入来创建 Secret

    logger.terminationGracePeriodSeconds 版本:1.0.0

    默认值:30

    请求删除 Pod 与终止 Pod 之间的时间,以秒为单位。在此期间,将执行任何预停止钩子,并且所有正在运行的进程都应正常终止。

    mart

    定义 MART(运行时数据的 Management API)服务,它充当公开 Apigee API 的 API 提供商,以便您可以访问和管理运行时数据实体,例如 KMS(API 密钥和 OAuth 令牌)、KVM、配额和 API 产品。

    下表介绍了 mart 对象的属性:

    属性 说明
    mart.hostAlias 版本:1.0.0

    默认值:None

    指向 MART 对象的主机别名。您可以将此属性设置为 * 或完全限定域名。

    mart.image.pullPolicy 版本:1.0.0

    默认值:IfNotPresent

    确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

    • IfNotPresent:如果新映像已存在,则请勿提取它。
    • Always:始终提取映像,无论它是否已经存在。

    如需了解详情,请参阅更新映像

    mart.image.tag 版本:1.0.0

    默认值:1.2.0

    此服务 Docker 映像的版本标签。

    mart.image.url 版本:1.0.0

    默认值:"google/apigee-mart-server"

    此服务的 Docker 映像的位置。检查特定网址的 values.yaml 文件。您可以覆盖它。

    mart.initCheckCF.resources.requests.cpu 版本:1.0.0

    默认值:10m

    分配给 Cloud Foundry 进程初始化检查的 CPU 资源量。

    mart.livenessProbe.failureThreshold 版本:1.0.0

    默认值:12

    Kubernetes 将验证重启容器前,活跃探测失败的次数。最小值为 1。

    mart.livenessProbe.initialDelaySeconds 版本:1.0.0

    默认值:15

    活跃探测启动前,容易开始后经过的秒数。

    mart.livenessProbe.periodSeconds 版本:1.0.0

    默认值:5

    确定执行活跃探测的频率,以秒为单位。最小值为 1。

    mart.livenessProbe.timeoutSeconds 版本:1.0.0

    默认值:1

    活跃探测超时后的秒数。最小值为 1。

    mart.metricsURL 版本:1.0.0

    默认值:"/v1/server/metrics"

    mart.nodeSelector.key 版本:1.0.0

    默认值:None

    可选节点选择器标签键,用于定位 mart 运行时服务的 Kubernetes 节点。如果您没有为 mart.nodeselector 指定键,则您的运行时将使用 nodeSelector 对象中指定的节点。

    请参阅添加节点选择器

    mart.nodeSelector.value 版本:1.0.0

    默认值:None

    可选节点选择器标签值,用于定位 mart 运行时服务的 Kubernetes 节点。另请参阅 nodeSelector 对象。

    请参阅添加节点选择器

    mart.readinessProbe.failureThreshold 版本:1.0.0

    默认值:2

    Kubernetes 将验证将 Pod 标记为“未就绪”前,就绪探测失败的次数。最小值为 1。

    mart.readinessProbe.initialDelaySeconds 版本:1.0.0

    默认值:15

    就绪探测启动前,容易开始后经过的秒数。

    mart.readinessProbe.periodSeconds 版本:1.0.0

    默认值:5

    确定执行就绪探测的频率,以秒为单位。最小值为 1。

    mart.readinessProbe.successThreshold 版本:1.0.0

    默认值:1

    在失败后,被认为成功就绪探测需要的最小持续成功次数。最小值为 1。

    mart.readinessProbe.timeoutSeconds 版本:1.0.0

    默认值:1

    活跃探测超时后的秒数。最小值为 1。

    mart.replicaCountMax 版本:1.0.0

    默认值:5

    可用于自动扩缩的副本数上限。

    mart.replicaCountMin 版本:1.0.0

    默认值:1

    可自动扩缩的副本数下限。

    mart.resources.requests.cpu 版本:1.0.0

    默认值:500m

    Kubernetes 容器中资源正常运行所需的 CPU,以毫秒为单位。

    mart.resources.requests.memory 版本:1.0.0

    默认值:512Mi

    在 Kubernetes 容器中资源正常运行所需的内存,以兆比字节为单位。

    mart.serviceAccountPath 版本:1.1.1

    默认值:None

    必须提供 serviceAccountPathserviceAccountSecretRef 之一。

    无角色的 Google 服务账号密钥文件的路径。

    mart.serviceAccountSecretRef 版本:1.2.0

    默认值:None

    必须提供 serviceAccountPathserviceAccountSecretRef 之一。

    Kubernetes Secret 的名称。您必须使用无角色的 Google 服务账号密钥作为输入来创建 Secret

    mart.sslCertPath 版本:1.0.0

    默认值:None

    必须提供 sslCertPath/sslKeyPathsslSecret

    将 SSL 证书加载和编码到 Secret 的本地文件系统路径。

    mart.sslKeyPath 版本:1.0.0

    默认值:None

    必须提供 sslCertPath/sslKeyPathsslSecret

    将 SSL 密钥加载和编码到 Secret 的本地文件系统路径。

    mart.sslSecret 版本:1.2.0

    默认值:None

    必须提供 sslCertPath/sslKeyPathsslSecret

    包含 TLS 证书和私钥的 Kubernetes Secret 中存储的文件的名称。您必须使用 TLS 证书和密钥数据作为输入来创建 Secret。

    另请参阅:

    mart.targetCPUUtilizationPercentage 版本:1.0.0

    默认值:75

    Pod 上 MART 进程的目标 CPU 利用率。在 CPU 利用率达到此值(最多 replicaCountMax)时,此字段值启用 MART 以自动扩缩。

    mart.terminationGracePeriodSeconds 版本:1.0.0

    默认值:30

    请求删除 Pod 与终止 Pod 之间的时间,以秒为单位。在此期间,将执行任何预停止钩子,并且所有正在运行的进程都应正常终止。

    metrics

    定义收集操作指标的服务。您可以使用指标数据来监控混合服务的运行状况、设置提醒等。

    如需了解详情,请参阅指标集合概览

    下表介绍了 metrics 对象的属性:

    属性 说明
    metrics.enabled 版本:1.0.0

    默认值:false

    启用 Apigee 指标。设置为 true 可启用指标。设置为 false 可停用指标。

    metrics.nodeSelector.key 版本:1.0.0

    默认值:None

    必需

    节点选择器标签键,用于定位 metrics 运行时服务的专用 Kubernetes 节点。

    请参阅添加节点选择器

    metrics.nodeSelector.value 版本:1.0.0

    默认值:None

    必需

    节点选择器标签值,用于定位 metrics 运行时服务的专用 Kubernetes 节点。

    请参阅添加节点选择器

    metrics.prometheus.args.storage_tsdb_retention 版本:1.0.0

    默认值:48h

    Prometheus 从本地存储空间中移除旧数据之前等待的时间,以小时为单位。

    metrics.prometheus.containerPort 版本:1.0.0

    默认值:9090

    连接到 Prometheus 指标服务的端口。

    metrics.prometheus.image.pullPolicy 版本:1.0.0

    默认值:IfNotPresent

    确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

    • IfNotPresent:如果新映像已存在,则请勿提取它。
    • Always:始终提取映像,无论它是否已经存在。

    如需了解详情,请参阅更新映像

    metrics.prometheus.image.tag 版本:1.0.0

    默认值:"v2.9.2"

    此服务 Docker 映像的版本标签。

    metrics.prometheus.image.url 版本:1.0.0

    默认值:"google/apigee-prom-prometheus"

    此服务的 Docker 映像的位置。

    metrics.prometheus.livenessProbe.failureThreshold 版本:1.0.0

    默认值:6

    Kubernetes 将验证重启容器前,活跃探测失败的次数。最小值为 1。

    metrics.prometheus.livenessProbe.periodSeconds 版本:1.0.0

    默认值:5

    确定执行活跃探测的频率,以秒为单位。最小值为 1。

    metrics.prometheus.livenessProbe.timeoutSeconds 版本:1.0.0

    默认值:3

    活跃探测超时后的秒数。最小值为 1。

    metrics.prometheus.readinessProbe.failureThreshold 版本:1.0.0

    默认值:120

    Kubernetes 将验证将 Pod 标记为“未就绪”前,就绪探测失败的次数。最小值为 1。

    metrics.prometheus.readinessProbe.periodSeconds 版本:1.0.0

    默认值:5

    确定执行就绪探测的频率,以秒为单位。最小值为 1。

    metrics.prometheus.readinessProbe.timeoutSeconds 版本:1.0.0

    默认值:3

    活跃探测超时后的秒数。最小值为 1。

    prometheus.sslCertPath 版本:1.0.0

    默认值:None

    必需

    指向 Prometheus 指标收集过程 SSL 证书的路径。Prometheus 是 Apigee 可用于收集和处理指标的工具。

    请参阅:

    prometheus.sslKeyPath 版本:1.0.0

    默认值:None

    必需

    指向 Prometheus 指标收集过程 SSL 密钥的路径。Prometheus 是 Apigee 可用于收集和处理指标的工具。

    请参阅:

    metrics.proxyURL 版本:1.0.0

    默认值:None

    Kubernetes 集群中的指标进程 Sidecar 代理的网址。

    metrics.resources.limits.cpu 版本:1.0.0

    默认值:250m

    Kubernetes 容器中资源的 CPU 限制,以毫米为单位。

    metrics.resources.limits.memory 版本:1.0.0

    默认值:256Mi

    Kubernetes 容器中资源的内存限制,以字节为单位。

    metrics.resources.requests.cpu 版本:1.0.0

    默认值:250m

    Kubernetes 容器中资源正常运行所需的 CPU,以毫秒为单位。

    metrics.resources.requests.memory 版本:1.0.0

    默认值:256Mi

    在 Kubernetes 容器中资源正常运行所需的内存,以兆比字节为单位。

    metrics.sdSidecar.containerPort 版本:1.0.0

    默认值:9091

    连接到 StackDriver 指标服务的端口。

    metrics.sdSidecar.image.pullPolicy 版本:1.0.0

    默认值:IfNotPresent

    确定 Kubelet 何时提取此服务的 Docker 映像。可能的值包括:

    • IfNotPresent:如果新映像已存在,则请勿提取它
    • Always:始终提取政策,即使它已存在

      如需了解详情,请参阅 更新映像

    metrics.sdSidecar.image.tag 版本:1.0.0

    默认值:"release-0.4.0"

    此服务 Docker 映像的版本标签。

    metrics.sdSidecar.image.url 版本:1.0.0

    默认值:"google/apigee-stackdriver-prometheus-sidecar"

    此服务的 Docker 映像的位置。

    metrics.serviceAccountPath 版本:1.0.0

    默认值:None

    必须提供 serviceAccountPath 或 serviceAccountSecretRef

    具有 Monitoring Metric Writer 角色的 Google 服务账号密钥文件的路径。

    metrics.serviceAccountSecretRef 版本:1.2.0

    默认值:None

    必须提供 serviceAccountPath 或 serviceAccountSecretRef

    Kubernetes Secret 的名称。您必须使用具有 Monitoring Metric Writer 角色的 Google 服务账号密钥作为输入来创建 Secret

    metrics.terminationGracePeriodSeconds 版本:1.0.0

    默认值:300

    请求删除 Pod 与终止 Pod 之间的时间,以秒为单位。在此期间,将执行任何预停止钩子,并且所有正在运行的进程都应正常终止。

    nodeSelector

    nodeSelector 对象用于定义 Apigee 实例的节点。Apigeectl 运行时场景的背后,应为 apigeeRuntime 和 apigeeData 将标签键/值映射到单个 Istio 和 MART 组件。您可以为 istio:nodeSelectormart:nodeSelector 属性中的单个对象覆盖此设置。

    下表介绍了 nodeSelector 对象的属性:

    属性 说明
    nodeSelector.apigeeData.key 版本:1.0.0

    默认值:“cloud.google.com/gke-nodepool”

    ApigeeData 是 Cassandra 数据库的节点。节点选择器标签键,用于定位 Kubernetes 节点以与 Apigee 服务数据配合使用。

    请参阅添加节点选择器

    nodeSelector.apigeeData.value 版本:1.0.0

    默认值:“apigee-data”

    apigee-data 是 Cassandra 数据库的节点。节点选择器标签值,用于定位 Kubernetes 节点以与 Apigee 服务数据配合使用。

    请参阅添加节点选择器

    nodeSelector.apigeeRuntime.key 版本:1.0.0

    默认值:“cloud.google.com/gke-nodepool”

    Apigee Runtime 是项目的运行时环境的节点。节点选择器标签键,用于定位 Apigee 运行时服务的 Kubernetes 节点。

    请参阅添加节点选择器

    nodeSelector.apigeeRuntime.value 版本:1.0.0

    默认值:“apigee-runtime”

    apigee-runtime 是项目的运行时环境的节点。节点选择器标签值,用于定位 Apigee 运行时服务的 Kubernetes 节点。

    请参阅添加节点选择器

    nodeSelector.requiredForScheduling 版本:1.0.0

    默认值:false

    requiredForScheduling 属性默认为 false。如果此值被替换为 true,则意味着,如果 Kubernetes 找不到配置了标签键/值的节点,则将不会在虚拟机工作器节点上安排底层 Pod。

    对于生产环境,nodeSelector.requiredForScheduling 应设置为 true。

    请参阅添加节点选择器

    runtime

    下表介绍了 runtime 对象的属性:

    属性 说明
    runtime.image.pullPolicy 版本:1.0.0

    默认值:IfNotPresent

    确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

    • IfNotPresent:如果新映像已存在,则请勿提取它。
    • Always:始终提取映像,无论它是否已经存在。

    如需了解详情,请参阅更新映像

    runtime.image.tag 版本:1.0.0

    默认值:1.2.0

    此服务 Docker 映像的版本标签。

    runtime.image.url 版本:1.0.0

    默认值安装映像资源网址,例如:"google/apigee-runtime"

    此服务的 Docker 映像的位置。

    runtime.livenessProbe.failureThreshold 版本:1.0.0

    默认值:2

    Kubernetes 将验证重启容器前,活跃探测失败的次数。最小值为 1。

    runtime.livenessProbe.initialDelaySeconds 版本:1.0.0

    默认值:60

    活跃探测启动前,容易开始后经过的秒数。

    runtime.livenessProbe.periodSeconds 版本:1.0.0

    默认值:5

    确定执行活跃探测的频率,以秒为单位。最小值为 1。

    runtime.livenessProbe.timeoutSeconds 版本:1.0.0

    默认值:1

    活跃探测超时后的秒数。最小值为 1。

    runtime.nodeSelector.key 版本:1.0.0

    默认值:None

    可选节点选择器标签键,用于定位 runtime 服务的 Kubernetes 节点。

    请参阅 nodeSelector 属性

    runtime.nodeSelector.value 版本:1.0.0

    默认值:None

    节点选择器标签值,用于定位 runtime 服务的 Kubernetes 节点。

    请参阅添加节点选择器

    runtime.readinessProbe.failureThreshold 版本:1.0.0

    默认值:2

    Kubernetes 将验证将 Pod 标记为“未就绪”前,就绪探测失败的次数。最小值为 1。

    runtime.readinessProbe.initialDelaySeconds 版本:1.0.0

    默认值:60

    就绪探测启动前,容易开始后经过的秒数。

    runtime.readinessProbe.periodSeconds 版本:1.0.0

    默认值:5

    确定执行就绪探测的频率,以秒为单位。最小值为 1。

    runtime.readinessProbe.successThreshold 版本:1.0.0

    默认值:1

    在失败后,被认为成功就绪探测需要的最小持续成功次数。最小值为 1。

    runtime.readinessProbe.timeoutSeconds 版本:1.0.0

    默认值:1

    活跃探测超时后的秒数。最小值为 1。

    runtime.replicaCountMax 版本:1.0.0

    默认值:4

    可用于自动扩缩的副本数上限。

    runtime.replicaCountMin 版本:1.0.0

    默认值:1

    可自动扩缩的副本数下限。

    runtime.resources.requests.cpu 版本:1.0.0

    默认值:500m

    Kubernetes 容器中资源正常运行所需的 CPU,以毫秒为单位。

    runtime.resources.requests.memory 版本:1.0.0

    默认值512Mi(请参阅下面的“注意”部分)

    在 Kubernetes 容器中资源正常运行所需的内存,以兆比字节 (Mi) 或吉比字节 (Gi) 为单位。

    runtime.service.type 版本:1.0.0

    默认值:ClusterIP

    服务类型。您可以将此设置为 ClusterIP 以外的服务;例如 LoadBalancer

    runtime.targetCPUUtilizationPercentage 版本:1.0.0

    默认值:75

    Pod 上运行时进程的目标 CPU 利用率。在 CPU 利用率达到此值(最多 replicaCountMax)时,此字段值启用运行时以自动扩缩。

    runtime.terminationGracePeriodSeconds 版本:1.0.0

    默认值:180

    请求删除 Pod 与终止 Pod 之间的时间,以秒为单位。在此期间,将执行任何预停止钩子,并且所有正在运行的进程都应正常终止。

    synchronizer

    确保消息处理器与最新部署的 API 代理软件包保持同步。为此,Synchronizer 会轮询管理平面;检测到新合同时,Synchronizer 会将其发送到运行时平面。

    如需了解详情,请参阅 Synchronizer

    下表介绍了 synchronizer 对象的属性:

    属性 说明
    synchronizer.image.pullPolicy 版本:1.0.0

    默认值:IfNotPresent

    确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

    • IfNotPresent:如果新映像已存在,则请勿提取它。
    • Always:始终提取映像,无论它是否已经存在。

    如需了解详情,请参阅更新映像

    synchronizer.image.tag 版本:1.0.0

    默认值:1.2.0

    此服务 Docker 映像的版本标签。

    synchronizer.image.url 版本:1.0.0

    默认值:"google/apigee-synchronizer"

    此服务的 Docker 映像的位置。

    synchronizer.livenessProbe.failureThreshold 版本:1.0.0

    默认值:2

    Kubernetes 将验证重启容器前,活跃探测失败的次数。最小值为 1。

    synchronizer.livenessProbe.initialDelaySeconds 版本:1.0.0

    默认值:0

    活跃探测启动前,容易开始后经过的秒数。

    synchronizer.livenessProbe.periodSeconds 版本:1.0.0

    默认值:5

    确定执行活跃探测的频率,以秒为单位。最小值为 1。

    synchronizer.livenessProbe.timeoutSeconds 版本:1.0.0

    默认值:1

    活跃探测超时后的秒数。最小值为 1。

    synchronizer.nodeSelector.key 版本:1.0.0

    默认值:None

    必需

    可选节点选择器标签键,用于定位 synchronizer 运行时服务的 Kubernetes 节点。

    请参阅 nodeSelector

    synchronizer.nodeSelector.value 版本:1.0.0

    默认值:None

    可选节点选择器标签值,用于定位 synchronizer 运行时服务的 Kubernetes 节点。

    请参阅 nodeSelector

    synchronizer.pollInterval 版本:1.0.0

    默认值:60

    Synchronizer 在轮询操作之间等待的时长。Synchronizer 轮询 Apigee 控制平面服务,以检测并提取新的运行时合同。

    synchronizer.readinessProbe.failureThreshold 版本:1.0.0

    默认值:2

    Kubernetes 将验证将 Pod 标记为“未就绪”前,就绪探测失败的次数。最小值为 1。

    synchronizer.readinessProbe.initialDelaySeconds 版本:1.0.0

    默认值:0

    就绪探测启动前,容易开始后经过的秒数。

    synchronizer.readinessProbe.periodSeconds 版本:1.0.0

    默认值:5

    确定执行就绪探测的频率,以秒为单位。最小值为 1。

    synchronizer.readinessProbe.successThreshold 版本:1.0.0

    默认值:1

    在失败后,被认为成功就绪探测需要的最小持续成功次数。最小值为 1。

    synchronizer.readinessProbe.timeoutSeconds 版本:1.0.0

    默认值:1

    活跃探测超时后的秒数。最小值为 1。

    synchronizer.replicaCount 版本:1.0.0

    默认值:2

    自动扩缩的副本数。

    synchronizer.replicaCountMax 版本:1.2.0

    默认值:4

    自动扩缩的副本数上限。

    synchronizer.replicaCountMin 版本:1.2.0

    默认值:1

    自动扩缩的副本数下限。

    synchronizer.resources.requests.cpu 版本:1.0.0

    默认值:100m

    Kubernetes 容器中资源正常运行所需的 CPU,以毫秒为单位。

    synchronizer.resources.requests.memory 版本:1.0.0

    默认值:1Gi

    在 Kubernetes 容器中资源正常运行所需的内存,以千兆字节为单位。

    synchronizer.serviceAccountPath 版本:1.0.0

    默认值:None

    必须提供 serviceAccountPath 或 serviceAccountSecretRef

    具有 Apigee Synchronizer Manager 角色的 Google 服务账号密钥文件的路径。

    synchronizer.serviceAccountSecretRef 版本:1.2.0

    默认值:None

    必须提供 serviceAccountPath 或 serviceAccountSecretRef

    Kubernetes Secret 的名称。您必须使用具有 Apigee Synchronizer Manager 角色的 Google 服务账号密钥作为输入来创建 Secret

    synchronizer.targetCPUUtilizationPercentage 版本:1.0.0

    默认值:75

    Pod 上 Synchronizer 进程的目标 CPU 利用率。在 CPU 利用率达到此值(最多 replicaCountMax)时,此字段值启用 Synchronizer 以自动扩缩。

    synchronizer.terminationGracePeriodSeconds 版本:1.0.0

    默认值:30

    请求删除 Pod 与终止 Pod 之间的时间,以秒为单位。在此期间,将执行任何预停止钩子,并且所有正在运行的进程都应正常终止。

    udca

    (通用数据收集代理)定义在运行时平面的数据收集 pod 中运行的服务。此服务会提取分析和部署状态数据并将其发送到统一分析平台 (UAP)。

    如需了解详情,请参阅分析和部署状态数据收集

    下表介绍了 udca 对象的属性:

    属性 说明
    udca.fluentd.image.pullPolicy 版本:1.0.0

    默认值:IfNotPresent

    确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

    • IfNotPresent:如果新映像已存在,则请勿提取它。
    • Always:始终提取映像,无论它是否已经存在。

    如需了解详情,请参阅更新映像

    udca.fluentd.image.tag 版本:1.0.0

    默认值:1.2.0

    此服务 Docker 映像的版本标签。

    udca.fluentd.image.url 版本:1.0.0

    默认值:"google/apigee-stackdriver-logging-agent"

    此服务的 Docker 映像的位置。

    udca.fluentd.resource.limits.memory 版本:1.0.0

    默认值:500Mi

    Kubernetes 容器中资源的内存限制,以字节为单位。

    udca.fluentd.resource.requests.cpu 版本:1.0.0

    默认值:500m

    Kubernetes 容器中资源正常运行所需的 CPU,以毫秒为单位。

    udca.fluentd.resource.requests.memory 版本:1.0.0

    默认值:250Mi

    在 Kubernetes 容器中资源正常运行所需的内存,以兆比字节为单位。

    udca.image.pullPolicy 版本:1.0.0

    默认值:IfNotPresent

    确定 kubelet 何时提取 pod 的 Docker 映像。可能的值包括:

    • IfNotPresent:如果新映像已存在,则请勿提取它。
    • Always:始终提取映像,无论它是否已经存在。

    如需了解详情,请参阅更新映像

    udca.image.tag 版本:1.0.0

    默认值:"1.2.0"

    此服务 Docker 映像的版本标签。

    udca.image.url 版本:1.0.0

    默认值:"google/apigee-udca"

    此服务的 Docker 映像的位置。

    udca.jvmXms 版本:1.0.0

    默认值:256m

    数据收集 pod JVM 的内存量。

    udca.jvmXmx 版本:1.0.0

    默认值:256m

    数据收集 pod 的 JVM 的最大内存分配。

    udca.livenessProbe.failureThreshold 版本:1.0.0

    默认值:2

    Kubernetes 将验证重启容器前,活跃探测失败的次数。最小值为 1。

    udca.livenessProbe.initialDelaySeconds 版本:1.0.0

    默认值:0

    活跃探测启动前,容易开始后经过的秒数。

    udca.livenessProbe.periodSeconds 版本:1.0.0

    默认值:5

    确定执行活跃探测的频率,以秒为单位。最小值为 1。

    udca.livenessProbe.timeoutSeconds 版本:1.0.0

    默认值:1

    活跃探测超时后的秒数。最小值为 1。

    udca.nodeSelector.key 版本:1.0.0

    默认值:None

    必需

    节点选择器标签键,用于定位 udca 运行时服务的专用 Kubernetes 节点。

    请参阅添加节点选择器

    udca.nodeSelector.value 版本:1.0.0

    默认值:None

    必需

    节点选择器标签值,用于定位 udca 运行时服务的专用 Kubernetes 节点。

    请参阅添加节点选择器

    udca.pollingIntervalInSec 版本:1.0.0

    默认值:1

    UDCA 轮询操作之间等待的时长,以秒为单位。UDCA 轮询数据收集 pod 文件系统上的数据目录,以检测要上传的新文件。

    udca.replicaCountMax 版本:1.0.0

    默认值:4

    混合可为 UDCA 部署自动添加的 pod 数上限。由于 UDCA 是作为 ReplicaSet 实现的,因此 pod 是副本。

    udca.replicaCountMin 版本:1.0.0

    默认值:1

    UDCA 部署的 pod 数下限。由于 UDCA 是作为 ReplicaSet 实现的,因此 pod 是副本。

    如果 CPU 使用率高于 udca.targetCPUUtilizationPercentage,则混合将逐步增加 pod 数,最高可达 udca.replicaCountMax

    udca.resource.requests.cpu 版本:1.0.0

    默认值:250m

    Kubernetes 容器中资源正常运行所需的 CPU,以毫秒为单位。

    udca.revision 版本:1

    默认值:"v1"

    填充到标签页中可启用 Canary 部署的静态值。

    udca.serviceAccountPath 版本:1.0.0

    默认值:None

    必须提供 serviceAccountPath 或 serviceAccountSecretRef

    具有 Apigee Analytics Agent 角色的 Google 服务账号密钥文件的路径。

    udca.serviceAccountSecretRef 版本:1.2.0

    默认值:None

    必须提供 serviceAccountPath 或 serviceAccountSecretRef

    Kubernetes Secret 的名称。您必须使用具有 Apigee Analytics Agent 角色的 Google 服务账号密钥作为输入来创建 Secret

    udca.targetCPUUtilizationPercentage 版本:1.0.0

    默认值:75

    用于扩缩 ReplicaSet 中 pod 数量的 CPU 使用率的阈值,表示为占可用 CPU 资源的百分比。混合使用数据收集 pod(fluentd 和 UDCA)中所有容器的组合利用率来计算当前利用率。

    当 CPU 使用率超过此值时,混合将逐步增加 ReplicaSet 中的 pod 数,最高可达 udca.replicaCountMax

    udca.terminationGracePeriodSeconds 版本:1.0.0

    默认值:600

    请求删除 Pod 与终止 Pod 之间的时间,以秒为单位。在此期间,将执行任何预停止钩子,并且所有正在运行的进程都应正常终止。

    virtualhosts

    virtualhosts 属性是必需的配置属性。虚拟主机允许 Apigee Hybrid 处理向多个域名发出的 API 请求,并将代理基本路径路由到特定环境。

    如需了解详情,请参阅配置虚拟主机

    下表介绍了 virtualhosts 对象的属性:

    属性 说明
    virtualhosts[].additionalGateways 版本:1.2.0

    默认值:None

    要将流量路由到的 Istio Gateway 列表。

    virtualhosts[].name 版本:1.2.0

    默认值:None

    必需

    虚拟主机的名称。

    virtualhosts[].hostAliases[] 版本:1.2.0

    默认值:None

    必需

    您的服务器的一个或多个 DNS 名称。例如 foo-test.mydomain.com

    如果您在虚拟主机中使用多个主机别名,则每个主机别名必须是唯一的。例如,foo-test.mydomain.comfoo-prod.mydomain.com

    如果创建多个虚拟主机定义,则每个定义中都必须具有唯一的主机别名。换句话说,两个虚拟主机定义不能包含相同的主机别名域名。

    virtualhosts[].routingRules[].connectTimeout 版本:1.2.0

    默认值: 300

    所定义路径集的连接超时(以秒为单位)。

    connectTimeout 为可选项。

    virtualhosts[].routingRules[].env 版本:1.2.0

    默认值:None。

    必需

    要将 API 调用传递到的环境。您必须指定至少一个环境。

    如果包含 paths 条目,则 env 条目必须位于映射到此环境的路径下方。

    另请参阅配置虚拟主机

    virtualhosts[].routingRules[].paths[] 版本:1.2.0

    默认值:默认路径为 /

    支持前缀基本路径路由。路由规则将 API 调用定向到特定路径,以解析通过 env 指定的环境。paths[] 为可选项。默认路径为 /。

    路由规则配置遵循以下模式:

    org: hybrid
    virtualhosts:
    - name: default
      routingRules:
        - paths:
            - path-1
            - path-2
            - path-n
          env: test
        - paths:
            - /v1/customers
          env: prod

    另请参阅配置虚拟主机

    virtualhosts[].selector 版本:1.2.0

    默认值:app: istio-ingressgateway

    必需

    指向不同入站流量选择器的键值选择器值对。

    virtualhosts[].sslCertPath 版本:1.2.0

    默认值:None

    必须提供 sslCertPath/sslKeyPathsslSecret

    系统上指向 TLS 证书文件的路径。

    virtualhosts[].sslKeyPath 版本:1.2.0

    默认值:None

    必须提供 sslCertPath/sslKeyPathsslSecret

    在系统上指向 TLS 私钥文件的路径。

    virtualhosts[].sslSecret 版本:1.2.0

    默认值:None

    必须提供 sslCertPath/sslKeyPathsslSecret

    包含 TLS 证书和私钥的 Kubernetes Secret 中存储的文件的名称。您必须使用 TLS 证书和密钥数据作为输入来创建 Secret。

    另请参阅: