שלב 3: הגדרת אירוח והצפנה

הדף הזה מתייחס ל-Apigee, אבל לא ל-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

מה עושים בשלב הזה

בשלב הזה, בהתאם למסלול המשתמש הספציפי, מציינים את מיקומי האירוח של ניתוח הנתונים של Apigee או של מישור הבקרה, של מופעי זמן הריצה ומישור הנתונים, ושל האזור הגיאוגרפי לאחסון נתונים של צרכני ה-API. מציינים גם את הבחירות של מפתחות ההצפנה.

ההבדל בין כל אחד מנתיבי המשתמשים הוא הבחירה או היצירה של מפתחות הצפנה, בין אם הם מנוהלים על ידי Google או על ידי הלקוח, ובין אם הגדרת מיקום הנתונים מופעלת או לא.

חלק מהתכונות לא נתמכות כשמופעלת שמירת נתונים באזור מסוים. פרטים נוספים זמינים במאמר תאימות למיקום הנתונים.

המפתחות הבאים משמשים במהלך יצירת הארגון:

מפתח הצפנה	תיאור
מפתח מישור הבקרה	הצפנה של נתוני Analytics שמאוחסנים ב-BigQuery בפרויקט הדייר של Apigee. הצפנה של פרוקסי ל-API, שרתים של יעד, חנויות אישורים וחנויות מפתחות וכל דבר אחר שמשותף בין סביבות זמן ריצה.
מפתח נתוני צרכן API	הצפנה של נתונים בתשתית השירות. המיקום הזה צריך להיות אזור במיקום של מישור הבקרה.
מפתח מסד נתונים בזמן ריצה	הצפנה של נתוני אפליקציה כמו KVM, מטמון וסודות לקוח, שאחר כך מאוחסנים במסד הנתונים.

המפתח הבא משמש במהלך כל יצירת מופע:

מפתח הצפנה	תיאור
מפתח הדיסק של סביבת זמן הריצה	הצפנה של משתני KVM, מטמון סביבה, מכסות ומונים. מצפין מוצרי API של נתונים ב-KMS, מפתחים, אפליקציות למפתחים, אסימוני OAuth (כולל אסימוני גישה, אסימוני רענון וקודי הרשאה) ומפתחות API.

ביצוע השלב

ההרשאות שנדרשות למשימה הזו

---

אפשר להקצות ל-Apigee provisioner תפקיד מוגדר מראש שכולל את ההרשאות שנדרשות להשלמת המשימה הזו, או להקצות הרשאות מפורטות יותר כדי לספק את ההרשאות המינימליות הנדרשות. מידע נוסף זמין במאמרים תפקידים מוגדרים מראש ו הרשאות של מופעים בזמן ריצה.

---

כדי לראות את השלבים בתהליך הספציפי שעובר המשתמש, בוחרים אחד מהתהליכים הבאים שעוברים המשתמשים. הן מפורטות לפי רמת המורכבות, כשהפשוטה ביותר היא תהליך המשתמש א'.

צפייה בתרשים זרימה של התהליך שעובר המשתמש

---

בתרשים הבא מוצגים תהליכי המשתמש האפשריים להגדרת אירוח והצפנה בארגון עם תשלום לפי שימוש באמצעות מסוף Cloud.

מסלולי המשתמשים מסומנים באותיות A עד F, והם מסודרים מהקל למורכב, כאשר A הוא הקל ביותר ו-F הוא המורכב ביותר.

---

	התהליך שעובר המשתמש	תיאור
	תרחיש שימוש א': הצפנה בניהול Google, ללא דרישות לגבי מיקום הנתונים	בוחרים באפשרות הזו אם: רוצים ש-Google תנהל את מפתחות ההצפנה לא נדרשים לאחסן תוכן ליבה ועיבוד באותו אזור גיאוגרפי
	תרחיש שימוש ב'ב': הצפנה בניהול Google, עם מיקום נתונים	בוחרים באפשרות הזו אם: רוצים ש-Google תנהל את מפתחות ההצפנה רוצים לאחסן תוכן ועיבוד ליבה באותו אזור גיאוגרפי
	תרחיש שימוש ג': הצפנה בניהול הלקוח, ללא דרישות לגבי מיקום הנתונים	בוחרים באפשרות הזו אם: רוצים לנהל את מפתחות ההצפנה שלכם לא נדרשים לאחסן את התוכן העיקרי ואת העיבוד באותו אזור גיאוגרפי
	מסלול המשתמש D: הצפנה בניהול הלקוח, עם שליטה על מיקום הנתונים	בוחרים באפשרות הזו אם: רוצים לנהל את מפתחות ההצפנה שלכם רוצים לאחסן את התוכן העיקרי ואת העיבוד באותו אזור גיאוגרפי

תרחיש שימוש א': הצפנה בניהול Google, ללא דרישות לגבי מיקום הנתונים

בשלב 3, במסוף מוצגת רשימה של אפשרויות הגדרה של אירוח והצפנה, וערכי ברירת המחדל שלהן. אפשר לאשר את הגדרות ברירת המחדל או ללחוץ על create עריכה כדי לפתוח את החלונית מפתחות אירוח והצפנה.

1. בקטע Encryption type, בוחרים באפשרות Google-managed encryption key. זהו מפתח הצפנה בצד השרת בניהול Google שמשמש להצפנת המופעים והנתונים של Apigee לפני שהם נכתבים לדיסק.
2. לוחצים על הבא.
3. בקטע Control Plane (מישור הבקרה):
   1. מבטלים את הסימון בתיבה הפעלת שמירת נתונים במדינה.

   2. בתפריט הנפתח Analytics region, בוחרים את המיקום הפיזי שבו רוצים לאחסן את נתוני Analytics. רשימה של האזורים שבהם זמין Apigee API Analytics, כולל אזורים שתומכים ב-API Hub, מופיעה במאמר מיקומים של Apigee. אם בוחרים אזור שלא תומך ב-API Hub, לא נוצר מופע של API Hub. מידע נוסף על API hub זמין במאמר מהו API hub?

   3. לוחצים על אישור.
4. בקטע Runtime:
   1. ברשימה הנפתחת Runtime hosting region, בוחרים את האזור שבו רוצים לארח את המופע.
   2. בקטע Runtime database encryption key (מפתח הצפנה של מסד נתונים בזמן ריצה), מופיע Google-managed (בניהול Google) כסוג ההצפנה.
   3. בקטע Runtime disk encryption key (מפתח הצפנה של הדיסק בזמן הריצה), האפשרות Google-managed (בניהול Google) מופיעה כסוג ההצפנה.
   4. לוחצים על אישור.
   5. לוחצים על סיום.
5. לוחצים על הבא.

עוברים לשלב הבא, שלב 4: התאמה אישית של ניתוב הגישה.

תרחיש שימוש ב': הצפנה בניהול Google, עם שמירת נתונים באזור מסוים

בשלב 3, במסוף מוצגת רשימה של אפשרויות הגדרה של אירוח והצפנה, וערכי ברירת המחדל שלהן. אפשר לאשר את הגדרות ברירת המחדל או ללחוץ על create עריכה כדי לפתוח את החלונית מפתחות אירוח והצפנה.

1. בקטע Encryption type, בוחרים באפשרות Google-managed encryption key. זהו מפתח הצפנה בצד השרת בניהול Google שמשמש להצפנת המופעים והנתונים של Apigee לפני שהם נכתבים לדיסק.
2. לוחצים על הבא.
3. בקטע Control Plane (מישור הבקרה):
   1. מסמנים את התיבה הפעלת שמירת נתונים.
   2. בתפריט הנפתח Control plane hosting jurisdiction שמופיע, בוחרים את המיקום הפיזי שבו רוצים לאחסן את הנתונים.

   3. מהתפריט הנפתח מפתח הצפנה של מישור הבקרה, בוחרים או יוצרים מפתח לנתונים שמאוחסנים ומשוכפלים במיקומי זמן ריצה.
   4. אם מופיעה הנחייה, לוחצים על Grant.
4. בקטע API consumer data region (אזור גיאוגרפי לאחסון נתונים של צרכן ה-API):
   1. בתפריט הנפתח API consumer data region, בוחרים את המיקום הפיזי שבו רוצים לאחסן את הנתונים. רשימת האזורים שבהם אפשר לאחסן נתונים של צרכנים זמינה במאמר בנושא מיקומי Apigee.
   2. בקטע מפתח להצפנת נתונים (DEK) של צרכני API, סוג ההצפנה שמופיע הוא בניהול Google.
   3. לוחצים על אישור.
5. בקטע Runtime:
   1. מהרשימה הנפתחת Runtime hosting region, בוחרים את האזור שבו רוצים לארח את המופע. רשימת האזורים הזמינים של זמן הריצה מופיעה במאמר מיקומי Apigee. כשמשתמשים במיקום של הנתונים, המיקום של זמן הריצה חייב להיות באזור של מישור הבקרה.
   2. בקטע Runtime database encryption key (מפתח הצפנה של מסד נתונים בזמן ריצה), האפשרות Google-managed (בניהול Google) מופיעה כסוג ההצפנה.
   3. בקטע Runtime disk encryption key (מפתח הצפנה של הדיסק בזמן הריצה), האפשרות Google-managed (בניהול Google) מופיעה כסוג ההצפנה.
   4. לוחצים על אישור.
   5. לוחצים על סיום.
6. לוחצים על הבא.

עוברים לשלב הבא, שלב 4: התאמה אישית של ניתוב הגישה.

תרחיש שימוש ג': הצפנה בניהול הלקוח, ללא דרישות לגבי מיקום הנתונים

בשלב 3, במסוף מוצגת רשימה של אפשרויות הגדרה של אירוח והצפנה, וערכי ברירת המחדל שלהן. אפשר לאשר את הגדרות ברירת המחדל או ללחוץ על create עריכה כדי לפתוח את החלונית מפתחות אירוח והצפנה.

1. בקטע Encryption type, בוחרים באפשרות Customer-managed encryption key (CMEK). זהו מפתח הצפנה בצד השרת שמנוהל על ידי המשתמש, ומשמש להצפנת המופעים והנתונים של Apigee לפני שהם נכתבים לדיסק.
2. לוחצים על הבא.
3. בקטע Control Plane (מישור הבקרה):
   1. מבטלים את הסימון בתיבה הפעלת שמירת נתונים במדינה.

   2. בתפריט הנפתח Analytics region, בוחרים את המיקום הפיזי שבו רוצים לאחסן את נתוני Analytics. רשימת האזורים שבהם אפשר להשתמש ב-Apigee API Analytics זמינה במאמר מיקומי Apigee.

   3. לוחצים על אישור.
4. בקטע Runtime:
   1. ברשימה הנפתחת Runtime hosting region, בוחרים את האזור שבו רוצים לארח את המופע.
   2. מהתפריט הנפתח Runtime database encryption key, בוחרים או יוצרים מפתח לנתונים שמאוחסנים ומשוכפלים במיקומי זמן ריצה.
   3. אם מופיעה הנחייה, לוחצים על Grant (אישור).
   4. מהרשימה הנפתחת מפתח הצפנה של דיסק בזמן ריצה, בוחרים או יוצרים מפתח לנתוני מופע בזמן ריצה לפני שהם נכתבים בדיסק. לכל מופע יש מפתח הצפנה משלו לדיסק.
   5. אם מופיעה הנחייה, לוחצים על Grant.
   6. לוחצים על אישור.
   7. לוחצים על סיום.
5. לוחצים על הבא.

עוברים לשלב הבא, שלב 4: התאמה אישית של ניתוב הגישה.

תרחיש שימוש ד': הצפנה בניהול הלקוח, עם מיקום נתונים

בשלב 3, במסוף מוצגת רשימה של אפשרויות הגדרה של אירוח והצפנה, וערכי ברירת המחדל שלהן. אפשר לאשר את הגדרות ברירת המחדל או ללחוץ על create עריכה כדי לפתוח את החלונית מפתחות אירוח והצפנה.

1. בקטע Encryption type, בוחרים באפשרות Customer-managed encryption key (CMEK). זהו מפתח הצפנה בצד השרת שמנוהל על ידי המשתמש, ומשמש להצפנת המופעים והנתונים של Apigee לפני שהם נכתבים לדיסק.
2. לוחצים על הבא.
3. בקטע Control Plane (מישור הבקרה):
   1. מסמנים את התיבה הפעלת שמירת נתונים.
   2. בתפריט הנפתח Control plane hosting jurisdiction שמופיע, בוחרים את המיקום הפיזי שבו רוצים שהנתונים יישמרו.

   3. מהתפריט הנפתח מפתח הצפנה של מישור הבקרה, בוחרים או יוצרים מפתח לנתונים שמאוחסנים ומשוכפלים במיקומי זמן ריצה.
   4. אם מופיעה הנחייה, לוחצים על Grant (אישור).
4. בקטע API consumer data region:
   1. בתפריט הנפתח API consumer data region, בוחרים את המיקום הפיזי שבו רוצים לאחסן את הנתונים. רשימת האזורים שבהם אפשר לאחסן נתונים של צרכנים מופיעה במאמר בנושא מיקומי Apigee.
   2. בתפריט הנפתח API consumer data encryption key (מפתח להצפנת נתונים של צרכן API), בוחרים או יוצרים מפתח לנתונים שמאוחסנים במישור הבקרה.
   3. אם מופיעה הנחייה, לוחצים על Grant (אישור).
   4. לוחצים על אישור.
5. בקטע Runtime:
   1. ברשימה הנפתחת Runtime hosting region, בוחרים את האזור שבו רוצים לארח את המופע. כשמשתמשים במיקום של הנתונים, המיקום של זמן הריצה חייב להיות באזור של מישור הבקרה.
   2. מהתפריט הנפתח Runtime database encryption key, בוחרים או יוצרים מפתח לנתונים שמאוחסנים ומשוכפלים במיקומי זמן ריצה.
   3. אם מופיעה הנחייה, לוחצים על Grant.
   4. מהרשימה הנפתחת מפתח הצפנה של דיסק בזמן ריצה, בוחרים או יוצרים מפתח לנתוני מופע בזמן ריצה לפני שהם נכתבים בדיסק. לכל מופע יש מפתח הצפנה משלו לדיסק.
   5. אם מופיעה הנחייה, לוחצים על Grant.
   6. לוחצים על אישור.
   7. לוחצים על סיום.
6. לוחצים על הבא.

עוברים לשלב הבא, שלב 4: התאמה אישית של ניתוב הגישה.

איך יוצרים מפתח

כדי ליצור מפתח:

1. לוחצים על Create key.
2. בוחרים אוסף מפתחות, או שאם הוא לא קיים, מפעילים את האפשרות יצירת אוסף מפתחות, מזינים שם לאוסף המפתחות ובוחרים את המיקום שלו. שמות של אוספי מפתחות יכולים להכיל אותיות, מספרים, קווים תחתונים (‎_‎) ומקפים (‎-‎). אי אפשר לשנות את השם של אוסף מפתחות או למחוק אותו.
3. לוחצים על Continue.
4. יוצרים מפתח. מזינים שם ורמת הגנה. שימו לב ששמות של מפתחות יכולים להכיל אותיות, מספרים, קווים תחתונים (‎_) ומקפים (‎-). אי אפשר לשנות את השם של מפתחות או למחוק אותם. רמת ההגנה תוכנה היא בחירה טובה. זו ברירת המחדל שמשמשת את Cloud KMS, אבל אפשר לשנות אותה אם רוצים.
5. לוחצים על המשך ובודקים את הבחירות.
6. לוחצים על יצירה.