管理区域

Application Integration 是区域级的，这意味着运行您的集成的基础架构位于特定区域，并且由 Google 管理，以使其在该区域内的所有可用区以冗余方式提供。除了在设置过程中为 Application Integration 选择初始预配区域之外，您还可以启用或预配新的区域，以在同一 Google Cloud 项目中创建和管理集成。

本页面介绍了在 Google Cloud 项目中成功预配新的 Application Integration 区域和修改现有区域所需的步骤。

准备工作

启用以下 API：

Application Integration API (integrations.googleapis.com)
Connectors API (connectors.googleapis.com)

预配新区域

如需在 Google Cloud 项目中为应用集成预配新的区域，请选择以下任一选项：

控制台

前往 Application Integration 页面。
转到 Application Integration
在导航菜单中，点击 Regions
系统随即会显示区域页面，其中列出了您项目中预配的所有区域。
点击预配新区域。
在预配新区域页面中配置以下字段：
1. 区域：选择您要预配的新区域位置。
  如需了解支持的 Application Integration 区域，请参阅 Application Integration 位置。
2. 高级设置：您可以选择展开并选择要在所选区域中使用的加密方法。您可以选择以下方法之一：
  - 由 Google 管理的加密密钥：这是默认的加密方法。如果您希望 Google 管理用于保护您在所选区域中数据的加密密钥，请使用此方法。
  - 客户管理的加密密钥 (CMEK)：如果您希望控制和管理用于在所选区域中保护数据的加密密钥，请使用此方法。
    注意：为 Application Integration 区域启用 CMEK 加密后，此操作无法撤消。这也意味着，一旦启用 CMEK，您便无法针对某个区域更改/切换加密方法。
    1. 点击选择客户管理的密钥，然后选择所选区域中可用的现有 CMEK 密钥。您还可以创建新密钥或使用现有密钥的密钥资源 ID。
    2. 点击验证，检查您的默认服务账号是否对所选 CMEK 密钥拥有加密密钥访问权限。
    3. 如果所选 CMEK 密钥的验证失败，请点击授予，将 CryptoKey Encrypter/Decrypter IAM 角色分配给默认服务账号。
      提示：授予对加密密钥的访问权限是可选步骤，这意味着您可以直接点击完成以完成应用集成设置流程。但是，如果您未授予加密密钥访问权限，则系统将不会配置 Application Integration 的身份验证配置文件，您必须在创建新的身份验证配置文件时手动授予此访问权限。
    如需详细了解 CMEK，请参阅客户管理的加密密钥。
点击完成。

Terraform

使用 google_integrations_client 资源。以下示例会预配 us-east1 区域：

resource "random_id" "default" {
  byte_length = 8
}

resource "google_kms_key_ring" "default" {
  name     = "${random_id.default.hex}-example-keyring"
  location = "us-east1"
}

resource "google_kms_crypto_key" "default" {
  name            = "crypto-key-example"
  key_ring        = google_kms_key_ring.default.id
  rotation_period = "7776000s"
}

resource "google_kms_crypto_key_version" "default" {
  crypto_key = google_kms_crypto_key.default.id
}

resource "google_service_account" "default" {
  account_id   = "service-account-id"
  display_name = "Service Account"
}

resource "google_integrations_client" "example" {
  location                   = "us-east1"
  create_sample_integrations = true
  run_as_service_account     = google_service_account.default.email
  cloud_kms_config {
    kms_location   = "us-east1"
    kms_ring       = google_kms_key_ring.default.id
    key            = google_kms_crypto_key.default.id
    key_version    = google_kms_crypto_key_version.default.id
    kms_project_id = data.google_project.default.project_id
  }
}

修改区域

您可以修改现有区域，以启用或停用集成治理，以及更新区域的数据加密方法。

如需修改 Application Integration 中的现有区域，请执行以下步骤：

在 Google Cloud 控制台中，前往 Application Integration 页面。
前往“Application Integration”
在导航菜单中，点击地区。
系统随即会显示区域页面，其中列出了 Application Integration 中已预配的区域。
对于要修改的现有区域，在操作列中，点击 地区操作，然后选择修改。
系统随即会显示修改地区窗格。
展开高级设置。
如需为所选区域启用或停用集成治理，请点击启用治理切换开关。
注意：
- 启用治理后，该区域将强制要求使用服务账号身份验证。启用治理功能后，您必须手动向在此区域中创建的所有新集成和集成版本添加服务账号。您可以随时在集成工具栏的 集成设置窗格中更改或更新集成的服务账号详细信息。
  如果启用了治理功能，则只能在关联服务账号时发布或测试集成。
- 如果您要针对所选区域停用治理功能，则所有现有已发布集成都将继续使用各自关联的服务账号，直到创建新版集成为止。
如需为变量启用遮盖功能，请在变量遮盖部分中，点击在日志中启用变量遮盖切换开关。此功能目前为预览版。
如需了解如何进行遮盖，请参阅在日志中遮盖敏感数据。
如需为所选区域启用 CMEK 加密，请选择客户管理的加密密钥 (CMEK)，然后执行以下操作：
1. 从可用下拉列表中选择一个 CMEK 密钥。下拉菜单中列出的 CMEK 密钥取决于预配的区域。如需创建新密钥，请参阅创建新的 CMEK 密钥。
2. 点击验证，检查您的默认服务账号是否拥有对所选 CMEK 密钥的加密密钥访问权限。
3. 如果所选 CMEK 密钥的验证失败，请点击授予，将 CryptoKey Encrypter/Decrypter IAM 角色分配给默认服务账号。
点击完成完成区域的修改。