管理区域

Application Integration 是区域级的，这意味着运行您的集成的基础架构位于特定区域，并且由 Google 管理，以使其在该区域内的所有可用区以冗余方式提供。除了在setup过程中为 Application Integration 选择初始预配区域之外，您还可以启用或预配新的区域，以在同一 Google Cloud 项目中创建和管理集成。

本页面介绍了在 Google Cloud 项目中成功预配新的 Application Integration 区域以及修改现有区域所需的步骤。

准备工作

启用以下 API：

Application Integration API (integrations.googleapis.com)
Connectors API (connectors.googleapis.com)

预配新区域

如需在 Google Cloud 项目中为 Application Integration 预配新区域，请选择以下任一选项：

控制台

转到 Application Integration 页面。
转到 Application Integration
在导航菜单中，点击 Regions
系统会显示区域页面，其中列出了项目中预配的所有区域。
点击预配新区域。
在预配新区域页面中配置以下字段：
1. 区域：选择您要预配的新区域位置。
  如需了解受支持的 Application Integration 区域，请参阅 Application Integration 位置。
2. 高级设置：（可选）展开并选择您要在所选区域中使用的加密方法。您可以选择以下方法之一：
  - Google 管理的加密密钥：这是默认加密方法。如果您希望 Google 管理用于在所选区域中保护数据的加密密钥，请使用此方法。
  - 客户管理的加密密钥 (CMEK)：如果您希望控制和管理用于在所选区域中保护数据的加密密钥，请使用此方法。
    注意：为 Application Integration 区域启用 CMEK 加密的操作无法撤消。这也意味着，一旦启用 CMEK，您便无法针对某个区域更改/切换加密方法。
    1. 点击选择客户管理的密钥，然后选择所选区域中可用的现有 CMEK 密钥。您还可以创建新密钥或使用现有密钥的密钥资源 ID。
    2. 点击验证，检查您的默认服务帐号是否拥有对所选 CMEK 密钥的加密密钥访问权限。
    3. 如果所选 CMEK 密钥的验证失败，请点击授权，将 CryptoKey Encrypter/Decrypter IAM 角色分配给默认服务帐号。
      提示：授予加密密钥访问权限是可选步骤，这意味着您可以直接点击完成以完成 Application Integration 设置流程。但是，如果您未授予加密密钥访问权限，系统将不会配置 Application Integration 的身份验证配置文件，您必须在创建新的身份验证配置文件时手动授予此访问权限。
    如需详细了解 CMEK，请参阅客户管理的加密密钥。
点击完成。

Terraform

使用 google_integrations_client 资源。以下示例会预配 us-east1 区域：

resource "random_id" "default" {
  byte_length = 8
}

resource "google_kms_key_ring" "default" {
  name     = "${random_id.default.hex}-example-keyring"
  location = "us-east1"
}

resource "google_kms_crypto_key" "default" {
  name            = "crypto-key-example"
  key_ring        = google_kms_key_ring.default.id
  rotation_period = "7776000s"
}

resource "google_kms_crypto_key_version" "default" {
  crypto_key = google_kms_crypto_key.default.id
}

resource "google_service_account" "default" {
  account_id   = "service-account-id"
  display_name = "Service Account"
}

resource "google_integrations_client" "example" {
  location                   = "us-east1"
  create_sample_integrations = true
  run_as_service_account     = google_service_account.default.email
  cloud_kms_config {
    kms_location   = "us-east1"
    kms_ring       = google_kms_key_ring.default.id
    key            = google_kms_crypto_key.default.id
    key_version    = google_kms_crypto_key_version.default.id
    kms_project_id = data.google_project.default.project_id
  }
}

修改区域

您可以修改现有区域，以启用或停用集成治理，以及更新区域的数据加密方法。

如需修改 Application Integration 中的现有区域，请执行以下步骤：

在 Google Cloud 控制台中，前往 Application Integration 页面。
转到 Application Integration
在导航菜单中，点击地区。
系统会显示区域页面，其中列出了 Application Integration 中的已配置区域。
对于要修改的现有区域，在操作列中，点击 地区操作，然后选择修改。
系统随即会显示修改区域窗格。
展开高级设置。
如需为所选区域启用或停用集成治理，请点击启用治理切换开关。
注意：
- 启用治理功能后，必须对区域进行服务帐号身份验证。启用治理功能后，您必须手动向在此区域中创建的所有新集成和集成版本添加服务帐号。您可以随时在集成工具栏的 集成设置窗格中更改或更新集成的服务帐号详细信息。
  如果启用了治理功能，则只能在关联服务帐号时发布或测试集成。
- 如果您要针对所选区域停用治理功能，则所有现有已发布集成都将继续使用各自关联的服务账号，直到创建新版集成为止。
如需为变量启用遮盖功能，请在变量遮盖部分中，点击在日志中启用变量遮盖切换开关。此功能目前为预览版。
如需了解如何遮盖，请参阅遮盖日志中的敏感数据。
如需为所选区域启用 CMEK 加密，请选择客户管理的加密密钥 (CMEK)，然后执行以下操作：
1. 从可用下拉列表中选择一个 CMEK 密钥。下拉菜单中列出的 CMEK 密钥基于预配的区域。如需创建新密钥，请参阅创建新的 CMEK 密钥。
2. 点击验证，检查您的默认服务帐号是否拥有对所选 CMEK 密钥的加密密钥访问权限。
3. 如果所选 CMEK 密钥的验证失败，请点击授权，将 CryptoKey Encrypter/Decrypter IAM 角色分配给默认服务帐号。
点击完成完成区域的修改。