Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

דוגמה ל-Apigee Hybrid עם Kubernetes

הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

בדוגמה הזו מוסבר איך להשתמש ב-Apigee Adapter ל-Envoy עם פריסת Apigee Hybrid.

דרישות מוקדמות

לפני שמתחילים:
מוודאים ש-Istio מותקן. אפשר לעיין במדריך Istio Getting Started.
מורידים ומתקינים את Apigee Adapter ל-Envoy Remote Service and CLI, כמו שמוסבר במאמר תחילת העבודה. נדרשת גרסה 1.2.5 או גרסה מאוחרת יותר של ה-CLI. הערה: Apigee Remote Service CLI תומך בגרסאות של Istio עד גרסה 1.24.
חשוב לוודא שGoogle Cloud SDK מותקן. ה-SDK כולל את כלי שורת הפקודה `gcloud`.
חשוב לוודא ש-`kubectl` מותקן.

סקירה כללית

בדוגמה הזו מוסבר איך להשתמש ב-Apigee Adapter ל-Envoy עם Apigee Hybrid. בדוגמה הזו, תפרסו שירות HTTP פשוט באותו אשכול Kubernetes שבו נפרס Apigee Hybrid. לאחר מכן, מגדירים את Apigee Adapter ל-Envoy כדי לנהל קריאות ל-API של השירות הזה באמצעות Apigee.

האיור הבא מציג את הארכיטקטורה הבסיסית של שילוב Apigee hybrid:

תצוגה ברמה גבוהה של Envoy Adapter שמשולב בסביבה היברידית של Apigee Hybrid, כולל מישור הניהול, מישור זמן הריצה ושירותי Google Cloud

‫Envoy proxy נפרס עם שירות ה-HTTP של היעד כ-sidecar של Istio ב-Service mesh של Istio. ה-sidecar מטפל בתעבורת ה-API אל שירות היעד וממנו, ומתקשר עם השירות המרוחק. השירות המרוחק מתקשר גם עם מישור הניהול ההיברידי כדי לאחזר מידע על מוצרי API ועל שרתי proxy.

בדיקת ההגדרות האישיות של gcloud

בודקים שההגדרה של gcloud היא הפרויקט בענן של Google שמשויך לארגון ההיברידי.
כדי להציג את ההגדרות הנוכחיות:
```
gcloud config list
```
אם צריך, מגדירים את מזהה הפרויקט הנכון ב-Google Cloud באמצעות הפקודה הבאה:
```
gcloud config set project project-id
```
צריך לאמת את הפרויקט בענן ב-Google Cloud באמצעות Google Cloud SDK‏ (gcloud):
```
gcloud auth login
```

הקצאת Apigee Hybrid

בשלב הזה, תשתמשו ב-Remote Service CLI כדי להקצות היברידי באמצעות remote-service proxy ל-API. פקודת ההקצאה גם מגדירה אישור ב-Apigee ויוצרת פרטי כניסה שהשירות המרוחק ישתמש בהם כדי להתחבר בצורה מאובטחת בחזרה ל-Apigee.

עוברים לספרייה $CLI_HOME:
```
cd $CLI_HOME
```
אם אינכם הבעלים של פרויקט בענן של Google שמשויך לארגון Apigee Hybrid, ודאו שחשבון המשתמש שלכם ב-Google Cloud כולל את התפקיד Apigee Organization Admin, או את התפקידים API Creator ו-Deployer.
במאמר הענקה, שינוי וביטול גישה למשאבים מוסבר איך נותנים לחשבונות משתמשים תפקידים, משנים אותם או מבטלים את הגישה אליהם.
מריצים את הפקודה הבאה כדי לקבל אסימון גישה:
```
TOKEN=$(gcloud auth print-access-token);echo $TOKEN
```
(אופציונלי) כברירת מחדל, המתאם מחפש פרטי כניסה של חשבון שירות שמוגדר כברירת מחדל בפרויקט בענן שלכם ב-Google כדי לקבל הרשאה לשלוח נתוני ניתוח ל-Apigee. אם אתם לא רוצים להשתמש בפרטי הכניסה של חשבון השירות שמוגדרים כברירת מחדל, אתם יכולים ליצור חשבון שירות ולהפנות למפתח שלו בפקודת ההקצאה. לחשבון השירות צריך להיות מוקצה התפקיד apigee.analyticsAgent. הוראות מפורטות זמינות במאמר יצירה וניהול של חשבונות שירות.

יוצרים את משתני הסביבה הבאים. המשתנים האלה ישמשו כפרמטרים בסקריפט ההקצאה:

export ORG=organization_name
export ENV=environment_name
export RUNTIME=host_alias_url
export NAMESPACE=hybrid_runtime_namespace
export AX_SERVICE_ACCOUNT=analytics_service_account  ## Optional

כאשר:

משתנה	תיאור
`organization_name`	השם של הארגון ב-Apigee בהתקנת Apigee Hybrid.
`environment_name`	השם של סביבה בארגון Apigee Hybrid.
`host_alias_url`	כתובת URL שכוללת את `hostAlias` עבור מארח וירטואלי שהוגדר בהגדרה ההיברידית. כתובת ה-URL חייבת להתחיל ב-`https://`. לדוגמה: `https://apitest.apigee-hybrid-docs.net`
`hybrid_runtime_namepace`	מרחב השמות שבו רכיבי זמן הריצה ההיברידיים נפרסים. הערה: מרחב השמות שמוגדר כברירת מחדל לפריסה היברידית הוא `apigee`.
`analytics_service_account`	(אופציונלי) הנתיב לקובץ JSON של מפתח חשבון שירות ב-Google Cloud עם התפקיד `Apigee Analytics Agent`. תיאור מפורט של הפרמטר הזה מופיע במאמר בנושא פקודת הקצאה.

מריצים את הפקודה הבאה כדי להקצות את שרת ה-proxy של השירות המרוחק ל-Apigee Hybrid:
הערה: אם התקנת זמן הריצה של Hybrid מוגדרת באמצעות אישורי TLS בחתימה עצמית עבור המארח הווירטואלי, צריך להשתמש בדגל --insecure עם הפקודה provision שמוצגת בהמשך.

הערה: פלט הפקודה מנותב לקובץ תצורה שבו תשתמשו בשלב מאוחר יותר.

אם אתם משדרגים: אם אתם משדרגים גרסה קיימת של Apigee Adapter ל-Envoy, אתם צריכים להוסיף את הדגל --force-proxy-install לפקודה provision. הדגל הזה מאלץ את שרת ה-proxy של Apigee להיות מוחלף בשרת ה-proxy העדכני ביותר.

אם לא משדרגים, משתמשים בפקודה הזו כדי להקצות את Apigee:
```
./apigee-remote-service-cli provision --organization $ORG --environment $ENV \
     --runtime $RUNTIME --namespace $NAMESPACE --analytics-sa $AX_SERVICE_ACCOUNT --token $TOKEN > config.yaml
```
אם אתם משדרגים, משתמשים בפקודה הזו עם הדגל --force-proxy-install כדי להקצות Apigee:
```
./apigee-remote-service-cli provision --force-proxy-install --organization $ORG --environment $ENV \
     --runtime $RUNTIME --namespace $NAMESPACE --analytics-sa $AX_SERVICE_ACCOUNT --token $TOKEN > config.yaml
```

בודקים את התוכן של הקובץ config.yaml. הוא אמור להיראות בערך כך:

# Configuration for apigee-remote-service-envoy (platform: Google Cloud)
# generated by apigee-remote-service-cli provision on 2020-11-20 02:49:28
apiVersion: v1
kind: ConfigMap
metadata:
  name: apigee-remote-service-envoy
  namespace: apigee
data:
  config.yaml: |
    tenant:
      remote_service_api: https://apitest.example.com/remote-service
      org_name: hybrid-gke
      env_name: test
    analytics:
      collection_interval: 10s
    auth:
      jwt_provider_key: https://apitest.example.com/remote-token/token
---
apiVersion: v1
kind: Secret
metadata:
  name: hybrid-gke-new-test-policy-secret
  namespace: apigee
type: Opaque
data:
  remote-service.crt: eyJrZXlzIjpbeyJrdHkiOiJSU0EiLCJhbGci...
  remote-service.key: LS0tLS1CRUdJTiBSU0EgUFJJVkFURS...
  remote-service.properties: a2lkPTIwMjAtMDctMDZ...
---
apiVersion: v1
kind: Secret
metadata:
  name: hybrid-gke-new-test-analytics-secret
  namespace: apigee
type: Opaque
data:
  client_secret.json: ewogICJ0eXBlIjogInNlcnZ...
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: apigee-remote-service-envoy
  namespace: apigee

מחילים את הגדרת השירות (הפלט של הקובץ שנוצר על ידי פקודת ההקצאה) על האשכול שבו הותקן Apigee Hybrid בשלב 1: יצירת אשכול.
```
kubectl apply -f $CLI_HOME/config.yaml
```

מאמתים את ה-proxy ואת האישור. הפעולות הבאות אמורות להחזיר JSON תקין:

curl -i $RUNTIME/remote-token/certs

הפלט אמור להיראות כך:

{
    "keys": [
        {
            "alg": "RS256",
            "e": "AQAB",
            "kid": "2020-05-11T11:32:26-06:00",
            "kty": "RSA",
            "n": "0v-nbTQyAmtVZ-wZRP0ZPIbrVaX91YO9JZ9xCQPb4mOdOSS7yKfTDJGg0KM130sGVYBvR76alN8
            fhrrSDEG5VXG8YYMqPXarwRC7MRJWocCQ_ECYrjDD0_Q018M2HyXZYSd8fhAogi9mVUYsEmCKqJH53Dh1
            jqsHOQzBLKsX0iDO9hEZNFtjbX0UCbSxsUlmBCub7Uj2S-PahA6DEQOMhQjZM7bBMtkTMpFmaJ_RZTmow
            BHP57qMna17R8wHD4kUsO2u_-3HHs5PSj1NrEYoVU2dwLQw0GlkB__ZWeFgXTqot81vb-PmoM9YxwoZrm
            TcHdljugWy_s7xROPzTod0uw"
        }
    ]
}

יצירת קובצי תצורה לדוגמה

משתמשים בפקודה apigee-remote-service-cli samples create כדי ליצור קובצי תצורה לדוגמה.

בדוגמה הזו, צריך את הקבצים שנוצרו:

‫httpbin.yaml – הגדרת פריסה לשירות HTTP.
‫apigee-envoy-adapter.yaml – הגדרת פריסה של השירות המרוחק עבור Envoy.
‫envoyfilter-sidecar.yaml – הגדרה שמתקינה EnvoyFilter. למרחב השמות שמוגדר כברירת מחדל.

כדי ליצור את הדוגמאות:

עוברים לספרייה $CLI_HOME.
מריצים את הפקודה הבאה כדי ליצור את הקבצים:
```
./apigee-remote-service-cli samples create -c ./config.yaml --template istio-1.12
```
הערה: הפקודה שלמעלה יוצרת את הקבצים באמצעות תבנית Istio 1.12. כדי לראות גרסאות אחרות של התבנית, מריצים את הפקודה ./apigee-remote-service-cli samples templates

הקבצים הבאים מופקים בספרייה ./samples:
```
ls samples
apigee-envoy-adapter.yaml envoyfilter-sidecar.yaml httpbin.yaml request-authentication.yaml
```

מידע נוסף זמין במאמר בנושא פקודת דוגמאות.

פריסת שירות בדיקה באשכול

בשלב הזה, תפרסו שירות פשוט לבדיקת בקשות ותשובות של HTTP באותו אשכול שבו נפרס Apigee Hybrid.

מפעילים את ההחדרה של Istio במרחב השמות default של האשכול. בשלב מאוחר יותר, תפרסו Envoy sidecar לאותו אשכול. הפעלת ההחדרה של Istio מאפשרת פריסה של sidecar. בדוגמה הזו נעשה שימוש במרחב השמות default, וכל ההוראות הבאות מניחות שזה המצב.
אם אתם משתמשים ב-Istio בקוד פתוח:
```
kubectl label namespace default istio-injection=enabled --overwrite
```
אם אתם משתמשים ב-ASM:
```
kubectl label namespace default istio-injection=enabled istio.io/rev=REVISION --overwrite
```
החלת שירות httpbin פשוט על האשכול במרחב השמות שמוגדר כברירת מחדל:
```
kubectl apply -f $CLI_HOME/samples/httpbin.yaml
```
עכשיו בודקים את השירות. מפעילים שירות curl שפועל באשכול ופותחים טרמינל:
```
kubectl run -it curl --image=curlimages/curl --restart=Never -- sh
```

כדי לבדוק את השירות, מתקשרים אליו מתוך האשכול:

curl -i httpbin.default.svc.cluster.local/headers

אם הפעולה תצליח, יוצג סטטוס 200 והשירות יחזיר רשימה של כותרות. לדוגמה:

HTTP/1.1 200 OK
server: envoy
date: Tue, 12 May 2020 17:09:01 GMT
content-type: application/json
content-length: 328
access-control-allow-origin: *
access-control-allow-credentials: true
x-envoy-upstream-service-time: 7

{
  "headers": {
    "Accept": "*/*",
    "Content-Length": "0",
    "Host": "httpbin.default.svc.cluster.local",
    "User-Agent": "curl/7.70.0-DEV",
    "X-B3-Parentspanid": "69f88bc3e322e157",
    "X-B3-Sampled": "0",
    "X-B3-Spanid": "8dd725f30e393d8b",
    "X-B3-Traceid": "38093cd817ad30a569f88bc3e322e157"
  }
}

הערה: חשוב להשאיר את לקוח curl פועל ואת מעטפת הפקודות פתוחה. תשתמשו בו בשלב מאוחר יותר.

הפעלת שירות מרוחק עבור Envoy

בשלב הזה מפעילים את השירות המרוחק עבור לקוח Envoy. השירות הזה מספק את נקודות הקצה של קובצי ה-sidecar של Istio שמותקנים בשירותי היעד. תותקן גם תוכנת sidecar עם שירות httpbin.

החלת Apigee Remote Service על רשת השירותים:

kubectl apply -f $CLI_HOME/samples/apigee-envoy-adapter.yaml

מחילים את EnvoyFilter על קבצי ה-sidecar של Istio במרחב השמות שמוגדר כברירת מחדל. התגית EnvoyFilter מאפשרת ל-httpbin sidecar לתקשר עם Apigee Remote Service.
```
kubectl apply -f $CLI_HOME/samples/envoyfilter-sidecar.yaml
```

בדיקת ההטמעה

עכשיו חוזרים אל מעטפת ה-curl שפתחתם בשלב פריסת שירות בדיקה באשכול ומפעילים את השירות httpbin:
```
curl -i httpbin.default.svc.cluster.local/headers
```
השירות מנוהל עכשיו על ידי Apigee, ומכיוון שלא סיפקתם מפתח API, השרת מחזיר את השגיאה הבאה.
```
curl -i httpbin.default.svc.cluster.local/headers
HTTP/1.1 403 Forbidden
date: Tue, 12 May 2020 17:51:36 GMT
server: envoy
content-length: 0
x-envoy-upstream-service-time: 11
```
מגדירים מוצר API ומקבלים מפתח API כמו שמוסבר במאמר איך מקבלים מפתח API.

מבצעים קריאה ל-API באמצעות המפתח:

export APIKEY=YOUR_API_KEY
curl -i httpbin.default.svc.cluster.local/headers -H "x-api-key: $APIKEY"

הקריאה צריכה להצליח עם סטטוס 200 ולהחזיר רשימה של כותרות בתגובה. לדוגמה:

curl -i httpbin.default.svc.cluster.local/headers -H "x-api-key: kyOTalNNLMPfOSy6rnVeclmVSL6pA2zS"
HTTP/1.1 200 OK
server: envoy
date: Tue, 12 May 2020 17:55:34 GMT
content-type: application/json
content-length: 828
access-control-allow-origin: *
access-control-allow-credentials: true
x-envoy-upstream-service-time: 301

{
  "headers": {
    "Accept": "*/*",
    "Content-Length": "0",
    "Host": "httpbin.default.svc.cluster.local",
    "User-Agent": "curl/7.70.0-DEV",
    "X-Api-Key": "kyOTalNNLMPfOSy6rnVeclmVSL6pA2zS",
    "X-Apigee-Accesstoken": "",
    "X-Apigee-Api": "httpbin.default.svc.cluster.local",
    "X-Apigee-Apiproducts": "httpbin",
    "X-Apigee-Application": "httpbin",
    "X-Apigee-Authorized": "true",
    "X-Apigee-Clientid": "kyOTalNNLMPfOSy6rnVeclmVSL6pA2zS",
    "X-Apigee-Developeremail": "jdoe@example.com",
    "X-Apigee-Environment": "envoy",
    "X-Apigee-Organization": "acme-org",
    "X-Apigee-Scope": "",
    "X-B3-Parentspanid": "1476f9a2329bbdfa",
    "X-B3-Sampled": "0",
    "X-B3-Spanid": "1ad5c19bfb4bc96f",
    "X-B3-Traceid": "6f329a34e8ca07811476f9a2329bbdfa"
  }
}

השלבים הבאים

תעבורת הנתונים של API לשירות httpbin מנוהלת עכשיו על ידי Apigee. אלה כמה תכונות שכדאי לנסות:

ניגשים ל-Apigee Analytics בממשק המשתמש של Edge. עוברים אל Analyze > API Metrics > API Proxy Performance.
משתמשים ב-CLI כדי לנהל, ליצור אסימונים ולשלוט בהתאמות. פרטים על CLI זמינים במאמר העזר.

הסרת Apigee Adapter ל-Envoy

כדי להסיר התקנה של Apigee Envoy Adapter:

בכל מקום שבו בחרתם להפעיל את מתאם Envoy (באופן מקורי או ב-Docker), הסירו אותו.
מוחקים את ה-proxies‏ remote-service ו-remote-token מהסביבות שלכם ב-Apigee. מידע נוסף זמין במאמר בנושא מחיקת proxy ל-API.
מסירים מוצרי API או פעולות שלא נמצאים בשימוש בתרחישי השימוש של מתאם Envoy. מידע נוסף זמין במאמר בנושא מחיקת מוצר API.

אפשר גם להריץ את הפקודות הבאות:

kubectl delete -f $CLI_HOME/samples/envoyfilter-sidecar.yaml
  kubectl delete -f $CLI_HOME/samples/apigee-envoy-adapter.yaml
  kubectl delete -f $CLI_HOME/samples/httpbin.yaml
  kubectl delete -f $CLI_HOME/config.yaml