In diesem Schritt wird erläutert, wie Sie apigeectl herunterladen und installieren, die Installationsverzeichnisse einrichten und GCP-Dienstkonten erstellen, die hybride Komponenten für die Kommunikation benötigen, sowie TLS-Anmeldedaten, die werden erforderlich sind, damit Apigee Hybrid funktioniert.
apigeectl herunterladen und installieren
apigeectl
ist die Befehlszeile (CLI) zur Installation und Verwaltung von Apigee Hybrid in einem Kubernetes-Cluster.
So rufen Sie apigeectl
ab:
Laden Sie das Release-Paket für Ihr Betriebssystem herunter:
Mac 64-Bit:
curl -LO \ https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.2.0/apigeectl_mac_64.tar.gz
Linux 64-Bit
curl -LO \ https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.2.0/apigeectl_linux_64.tar.gz
Mac 32-Bit:
curl -LO \ https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.2.0/apigeectl_mac_32.tar.gz
Linux 32-Bit
curl -LO \ https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.2.0/apigeectl_linux_32.tar.gz
- Erstellen Sie auf Ihrem System ein Verzeichnis, das als Basisverzeichnis für die Installation von Apigee Hybrid verwendet wird.
-
Extrahieren Sie die heruntergeladenen GZIP-Dateiinhalte in das soeben erstellte Basisverzeichnis. Beispiel:
tar xvzf filename.tar.gz -C path-to-base-directory
cd
zum Basisverzeichnis.-
Die TAR-Inhalte werden standardmäßig in ein Verzeichnis mit der Version und der Plattform in ihrem Namen erweitert. Beispiel:
./apigeectl_1.0.0-f7b96a8_linux_64
. Benennen Sie dieses Verzeichnis inapigeectl
um:mv apigeectl_1.0.0-f7b96a8_linux_64 apigeectl
cd
in das Verzeichnis einbinden. Beispiel:- Erstellen Sie eine Umgebungsvariable, die diesen Pfad für das Basisverzeichnis enthält:
export APIGEECTL_HOME=$PWD
- Prüfen Sie, ob die Variable den richtigen Pfad enthält:
echo $APIGEECTL_HOME
cd ./apigeectl
Dieses Verzeichnis ist das Basisverzeichnis apigeectl
. Hier befindet sich der ausführbare Befehl apigeectl
.
Projektverzeichnisstruktur einrichten
Die unten beschriebene Verzeichnisstruktur ist ein vorgeschlagener Ansatz. Es trennt die Apigee Hybrid-Releasesoftware von Konfigurationsdateien, die Sie erstellen müssen. Mit der Variable $APIGEECTL_HOME
und symbolischen Links, die Sie erstellen, können Sie jederzeit zu einer neuen Softwareversion wechseln. Siehe auch Upgrade von Apigee Hybrid.
- Sie müssen sich im Basisverzeichnis befinden (das Verzeichnis, in dem sich das Verzeichnis
apigeectl
befindet). - Erstellen Sie einen neuen Ordner mit dem Namen
hybrid-files
. Sie können dem Verzeichnis einen beliebigen Namen geben. In den Dokumenten wird jedoch der Namehybrid-files
konsistent verwendet. Später speichern Sie Konfigurationsdateien, Dienstkontoschlüssel und TLS-Zertifikate in diesem Ordner. In diesem Ordner können Sie Ihre Konfigurationsdateien von der Softwareinstallationapigeectl
getrennt halten:mkdir hybrid-files
- Die aktuelle Verzeichnisstruktur sieht nun so aus:
pwd && ls
/hybrid-base-directory apigeectl hybrid-files cd
in den Ordnerhybrid-files
:cd hybrid-files
- Erstellen Sie im Verzeichnis
hybrid-files
die folgenden drei Unterverzeichnisse, um Dateien zu organisieren, die Sie später erstellen:mkdir overrides
mkdir service-accounts
mkdir certs
- Erstellen Sie im Verzeichnis
hybrid-files
symbolische Links zu$APIGEECTL_HOME
. Mit diesen Symlinks können Sie den Befehlapigeectl
aus dem Verzeichnishybrid-files
ausführen:ln -s
$APIGEECTL_HOME
/tools toolsln -s
$APIGEECTL_HOME
/config configln -s
$APIGEECTL_HOME
/templates templatesln -s
$APIGEECTL_HOME
/plugins plugins - Prüfen Sie, ob die Symlinks ordnungsgemäß erstellt wurden. Führen Sie dazu den folgenden Befehl aus und achten Sie darauf, dass die Linkpfade auf die richtigen Speicherorte verweisen:
ls -l | grep ^l
Dienstkonten erstellen
Apigee Hybrid verwendet GCP-Dienstkonten, um die Kommunikation zwischen Hybridkomponenten durch autorisierte API-Aufrufe zu ermöglichen. In diesem Schritt verwenden Sie ein Hybrid-Befehlszeilentool von Apigee, um eine Reihe von Dienstkonten zu erstellen. Das Tool lädt auch die privaten Schlüssel für das Dienstkonto herunter. Diese Schlüssel müssen Sie dann Ihrer Konfigurationsdatei für den Apigee-Hybridcluster hinzufügen.
Erstellen Sie die Schlüssel:
- Achten Sie darauf, dass Sie sich im Verzeichnis
base_directory/hybrid-files
befinden: - Führen Sie den folgenden Befehl im Verzeichnis
hybrid-files
aus. Mit diesem Befehl wird ein Dienstkonto für die Komponenteapigee-metrics
erstellt und der heruntergeladene Schlüssel im Verzeichnis./service-accounts
abgelegt:./tools/create-service-account apigee-metrics ./service-accounts
Wenn diese Eingabeaufforderung angezeigt wird, geben Sie
y
ein:[INFO]: gcloud configured project ID is project_id. Press: y to proceed with creating service account in project: project_id Press: n to abort.
Wenn dies eine erste SA mit dem genauen Namen ist, der vom Tool erstellt wurde, wird sie vom Tool einfach erstellt. Sie müssen nichts weiter tun.
Wenn jedoch die folgende Meldung und Eingabeaufforderung angezeigt wird, wählen Sie
y
aus, um neue Schlüssel zu generieren:[INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists. ... [INFO]: The service account might have keys associated with it. It is recommended to use existing keys. Press: y to generate new keys.(this does not de-activate existing keys) Press: n to skip generating new keys.
- Erstellen Sie nun die restlichen Dienstkonten:
./tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts
- Prüfen Sie, ob die Dienstkontoschlüssel erstellt wurden. Sie sind dafür verantwortlich, diese privaten Schlüssel sicher zu speichern. Den Schlüsseldateinamen wird der Name Ihres GCP-Projekts vorangestellt.
Beispiel:
ls ./service-accounts gcp-project-id-apigee-cassandra.json gcp-project-id-apigee-logger.json gcp-project-id-apigee-mart.json gcp-project-id-apigee-metrics.json gcp-project-id-apigee-synchronizer.json gcp-project-id-apigee-udca.json
TLS-Zertifikate erstellen
Sie müssen TLS-Zertifikate für die MART- und Laufzeit-Ingress-Gateways in der Apigee-Hybridkonfiguration bereitstellen. Die für das MART-Gateway verwendeten Anmeldedaten müssen von einer Zertifizierungsstelle autorisiert werden. Bei dieser Kurzanleitung (eine Nicht-Produktions-Testinstallation) akzeptiert das Laufzeitgateway selbst signierte Anmeldedaten.
In diesem Schritt erstellen Sie die TLS-Anmeldedatendateien und fügen sie dem Verzeichnis base_directory/hybrid-files/certs
hinzu.
In Schritt 3: Cluster konfigurieren fügen Sie der Clusterkonfigurationsdatei die Dateipfade hinzu.
Erstellen Sie TLS-Anmeldedaten für das Laufzeit-Gateway
Das Laufzeit-Ingress-Gateway (das den API-Proxy-Traffic verarbeitende Gateway) erfordert ein TLS-Zertifikat/-Schlüsselpaar. Für diese Schnellinstallation können Sie selbst signierte Anmeldedaten verwenden. In folgenden Schritten wird openssl zum Generieren der Anmeldedaten verwendet.
- Achten Sie darauf, dass Sie sich im Verzeichnis
base_directory/hybrid-files
befinden. - Führen Sie den folgenden Befehl im Verzeichnis
hybrid-files
aus:openssl req -nodes -new -x509 -keyout ./certs/keystore.key -out \ ./certs/keystore.pem -subj '/CN=mydomain.net' -days 3650
Dieser Befehl erstellt ein selbst signiertes Zertifikat/Schlüsselpaar, das Sie für die Schnellinstallation verwenden können. Der CN-mydomain.net kann ein beliebiger Wert für die selbst signierten Anmeldedaten sein.
- Prüfen Sie, ob sich die Dateien im Verzeichnis
./certs
befinden:ls ./certs
keystore.pem keystore.keyDabei ist
keystore.pem
die selbst signierte TLS-Zertifikatsdatei undkeystore.key
die Schlüsseldatei.
TLS-Anmeldedaten für das MART-Gateway erstellen
Wie unter Vorbereitung angegeben, muss ein autorisiertes TLS-Zertifikat/-Schlüssel für die MART-Gateway-Konfiguration verwendet werden. Sofern noch nicht geschehen, rufen Sie diese Anmeldedaten ab oder erstellen Sie sie.
- Ein TLS-Zertifikat/-Schlüssel anfordern, das von einer Zertifizierungsstelle autorisiert wurde. Ein Beispiel zeigt, wie Sie diese Anmeldedaten mithilfe der Let's Encrypt-CA erhalten. Beachten Sie, dass der Common Name (CN) des Zertifikats ein gültiger DNS-Name sein muss. Die Beispielschritte finden Sie unter TLS-Anmeldedaten abrufen: Beispiel.
- Kopieren Sie die Anmeldedaten in das Verzeichnis
base_directory/hybrid-files/certs
. - Wenn Sie fertig sind, sollten Sie im Verzeichnis
./certs
zwei Paare von Anmeldedatendateien haben. Beispiel:ls ./certs
fullchain.pem privkey.key keystore.pem keystore.keyDabei ist
fullchain.pem
die autorisierte TLS-Zertifikatsdatei undprivkey.key
die autorisierte Schlüsseldatei.
Fazit
Sie haben nun eine Basis, in der Sie Apigee Hybrid in Ihrem Kubernetes-Cluster konfigurieren, bereitstellen und verwalten können. Als Nächstes erstellen Sie eine Datei, mit der Kubernetes die Hybridlaufzeitkomponenten im Cluster bereitstellt.
1 2 (ALS NÄCHSTES) Schritt 3: Cluster konfigurieren 4