管理地區

Application Integration 具有「地區性」，這表示執行整合的基礎架構位於特定地區，且由 Google 代管，可為該地區內的所有區域提供備援功能。除了在設定程序中選取 Application Integration 的初始佈建區域外，您也可以啟用或佈建新區域，在同一個 Google Cloud 專案中建立及管理整合。

本頁說明在 Google Cloud 專案中成功佈建新的 Application Integration 區域，以及編輯現有區域的必要步驟。

事前準備

啟用下列 API：

應用程式整合 API (integrations.googleapis.com)
連線器 API (connectors.googleapis.com)

佈建新區域

如要為 Google Cloud 專案中的 Application Integration 佈建新地區，請選取下列其中一個選項：

控制台

前往「Application Integration」(應用程式整合) 頁面。
前往「Application Integration」
在導覽選單中，按一下「區域」
「區域」頁面隨即顯示，列出專案中佈建的所有區域。
按一下「佈建新區域」。
在「Provision new region」頁面中，設定下列欄位：
1. 地區：選取要佈建的新地區位置。
  如要瞭解支援的 Application Integration 區域，請參閱「Application Integration 位置」。
2. 進階設定：視需要展開這個部分，啟用或停用整合的 HTTP 存取權，並為所選區域設定加密方法。
  - HTTP：按一下「啟用 HTTP」切換鈕，為所選區域內的整合服務啟用 HTTP 存取權。啟用後，即可透過 HTTP 存取這個區域的整合功能。
    注意：HTTP 切換按鈕預設為停用，確保所有整合功能都會透過 HTTPS 安全地叫用。
  - Google-managed encryption key：這是預設的加密方法，如要讓 Google 管理加密金鑰，保護所選區域的資料，請使用這個方法。
  - 客戶自行管理的加密金鑰 (CMEK)：如果您想管理用於保護所選區域資料的加密金鑰，請使用這個方法。
    注意： 為 Application Integration 區域啟用 CMEK 加密後，即無法復原。這也表示啟用 CMEK 後，您無法變更/切換區域的加密方式。
    
    設定加密設定時，您有兩個選項可管理 CMEK：應用程式整合和連線器 (CMEK)，以及為整合連線器使用不同的 CMEK，如下所示：
    - Application Integration 和連線器 - CMEK：這是預設選項，適合用於 Application Integration 和 Integration Connectors 使用相同加密金鑰的情況。如要使用這個選項，請按照下列步驟操作：
      1. 按一下「選取 Cloud KMS 金鑰」，然後選擇所選區域中可用的現有 CMEK 金鑰。您也可以建立新金鑰，或使用現有金鑰的 KMS 資源 ID。
      2. 按一下「驗證」，檢查預設服務帳戶是否具有所選 CMEK 金鑰的 CryptoKey 存取權。
      3. 如果驗證失敗，請按一下「授權」，將「CryptoKey Encrypter/Decrypter」 IAM 角色指派給預設服務帳戶。
    - 為 Integration Connectors 使用不同的 CMEK：如果您偏好為 Application Integration 和 Integration Connectors 使用不同的加密金鑰，請選取這個核取方塊。選取後，系統會顯示下列選項：
      - 應用程式整合 - CMEK
        
        按一下「選取 Cloud KMS 金鑰」，然後在所選區域中，為 Application Integration 選擇現有的 CMEK 金鑰。或者，您也可以建立新金鑰，或使用現有金鑰的金鑰資源 ID。
        
        按一下「驗證」，完成 Application Integration 的 CMEK 設定。
      - Integration Connectors - CMEK
        
        按一下「選取 Cloud KMS 金鑰」，然後為所選區域的 Integration Connectors 選擇現有的 CMEK 金鑰。或者，您也可以建立新金鑰，或使用現有金鑰的金鑰資源 ID。
        
        按一下「驗證」，檢查預設服務帳戶是否擁有選定 CMEK 的 CryptoKey 存取權。
        
        如果所選 CMEK 金鑰的驗證失敗，請按一下「授予」，將「CryptoKey Encrypter/Decrypter」 IAM 角色指派給預設服務帳戶。
        
        注意：如果已啟用 Integration Connectors CMEK，Application Integration 會自動檢查預設服務帳戶是否具有所選 CMEK 的 CryptoKey 存取權。如果驗證失敗，您必須手動授予存取權。
    如要進一步瞭解 CMEK，請參閱「客戶管理的加密金鑰」。
按一下 [完成]。

Terraform

使用 google_integrations_client 資源。以下範例會佈建 us-east1 區域：

resource "random_id" "default" {
  byte_length = 8
}

resource "google_kms_key_ring" "default" {
  name     = "${random_id.default.hex}-example-keyring"
  location = "us-east1"
}

resource "google_kms_crypto_key" "default" {
  name            = "crypto-key-example"
  key_ring        = google_kms_key_ring.default.id
  rotation_period = "7776000s"
}

resource "google_kms_crypto_key_version" "default" {
  crypto_key = google_kms_crypto_key.default.id
}

resource "google_service_account" "default" {
  account_id   = "service-account-id"
  display_name = "Service Account"
}

resource "google_integrations_client" "example" {
  location                   = "us-east1"
  create_sample_integrations = true
  run_as_service_account     = google_service_account.default.email
  cloud_kms_config {
    kms_location   = "us-east1"
    kms_ring       = basename(google_kms_key_ring.default.id)
    key            = basename(google_kms_crypto_key.default.id)
    key_version    = basename(google_kms_crypto_key_version.default.id)
    kms_project_id = data.google_project.default.project_id
  }
}

編輯區域

您可以編輯現有區域，啟用或停用整合控管功能，以及更新該區域的資料加密方法。

如要在 Application Integration 中編輯現有區域，請執行下列步驟：

前往 Google Cloud 控制台的「Application Integration」頁面。
前往「Application Integration」
在導覽選單中，按一下「區域」。

系統會顯示「Regions」(區域) 頁面，列出 Application Integration 中已佈建的區域。

如要編輯現有區域，請在「動作」欄中按一下「區域動作」圖示，然後選取「編輯」。
「編輯區域」窗格隨即顯示。
展開「進階設定」。
如要啟用或停用所選區域的整合控管功能，請按一下「啟用控管」切換按鈕。
注意：
- 啟用控管功能，強制要求區域使用服務帳戶進行驗證。啟用控管功能後，您必須手動將服務帳戶新增至這個區域中建立的所有新整合項目和整合版本。如要變更或更新整合服務帳戶詳細資料，請前往整合工具列的「整合設定」窗格。
  如果已啟用控管功能，您必須將服務帳戶附加至整合服務，才能發布或測試整合服務。
- 如果您為所選區域停用控管功能，所有現有已發布的整合都會繼續使用各自附加的服務帳戶，直到建立新版整合為止。
如要為所選區域的整合項目啟用或停用 HTTP 存取權，請按一下「啟用 HTTP」切換按鈕。啟用後，即可透過 HTTP 存取這個區域的整合功能。
如要啟用變數遮蓋功能，請在「變數遮蓋」部分中，按一下「在記錄中啟用變數遮蓋功能」切換鈕。這項功能目前為預先發布版。
如要瞭解如何遮蓋資料，請參閱「遮蓋記錄中的機密資料」。
如要為所選區域啟用 CMEK 加密，請選取「客戶管理的加密金鑰 (CMEK)」，然後執行下列操作：
1. 從下拉式清單中選取 CMEK。下拉式選單中列出的 CMEK 會根據佈建的區域顯示。如要建立新金鑰，請參閱「建立新的 CMEK」。
2. 按一下「驗證」，檢查預設服務帳戶是否擁有選定 CMEK 的 CryptoKey 存取權。
3. 如果所選 CMEK 的驗證失敗，請按一下「授權」，將「CryptoKey Encrypter/Decrypter」 IAM 角色指派給預設服務帳戶。
如要為 Integration Connectors 啟用 CMEK 加密功能，請選取「Use different CMEK for Integration connectors」(為 Integration Connectors 使用不同的 CMEK)，然後執行下列操作：
1. 從下拉式清單中選取 CMEK。下拉式選單中列出的 CMEK 會根據佈建的區域顯示。如要建立新金鑰，請參閱「建立新的 CMEK」。
2. 按一下「驗證」，完成 Integration Connectors CMEK 設定。
按一下「完成」即可完成區域編輯作業。