הקצאת ארגון בתשלום ללא קישור בין רשתות VPC שכנות (peering)

הדף הזה מתייחס ל-Apigee, אבל לא ל-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

במאמר הזה מוסבר איך להתקין ולהגדיר את Apigee משורת הפקודה בלי שימוש ב-VPC peering. השלבים האלה רלוונטיים גם למודלים של מינוי וגם למודלים של תשלום לפי שימוש בארגונים בתשלום, עם או בלי שמירת נתונים.

מגבלות

לאפשרות ההתקנה של שיוך לא-VPC שמתוארת במסמך הזה יש כמה מגבלות:

• אין תמיכה ב- VPC Service Controls.

רשימה מלאה של התכונות וגישות הרשת שנתמכות ושלא נתמכות בחיבור VPC ללא קישור בין רשתות שכנות (peering) מופיעה במאמר איך בוחרים אפשרות רשת.

סיכום השלבים

אלה השלבים להקצאת הרשאות:

• שלב 1: הגדרת משתני סביבה: מגדירים את gcloud ומגדירים משתני סביבה. הכלי Google Cloud CLI מנהל את האימות, ההגדרה המקומית, תהליך העבודה של המפתחים והאינטראקציות עם ממשקי Google Cloud APIs.
• שלב 2: הפעלת ממשקי API: כדי להשתמש ב-Apigee, צריך להפעיל כמה ממשקי Google Cloud API.
• שלב 3: יוצרים את זהות השירות של Apigee: חשבון השירות הזה משמש את ספריות הלקוח של Google Cloud לאימות מול ממשקי ה-API של Google Cloud.
• שלב 4: יצירת ארגון: ארגון Apigee (שנקרא לפעמים org) הוא המאגר ברמה העליונה ב-Apigee. הוא כולל את כל הסביבות וקבוצות הסביבות, המשתמשים, ה-API proxy והמשאבים הקשורים.
• שלב 5: יצירת מופע של זמן ריצה: מופע, או זמן ריצה, הוא המקום שבו הפרויקט והשירותים שקשורים אליו מאוחסנים. הוא מספק את נקודת הקצה שפונה למשתמשים של השירותים שלכם.
• שלב 6: יצירת סביבה: צריך לפרוס proxy ל-API בסביבה ולהוסיף אותו לקבוצת סביבות כדי שה-API שהוא חושף יהיה נגיש ברשת.
• שלב 7: הגדרת ניתוב: מאפשרים גישה חיצונית או גישה פנימית בלבד ל-API.
• שלב 8: פריסת proxy לדוגמה: כדי לבדוק את הקצאת ההרשאות, פורסים proxy ל-API ומבצעים קריאה ל-API.

שלב 1: הגדרת משתני סביבה

מגדירים את gcloud ומגדירים משתני סביבה לשימוש בשלבים הבאים:

1. חשוב לוודא שביצעתם את דרישות ההגדרה שמפורטות בקטע לפני שמתחילים.
2. צריך לוודא ש-Cloud SDK מותקן. אם אתם צריכים להתקין אותו, תוכלו לעיין במאמר בנושא התקנת Cloud SDK.
3. מאתחלים את Cloud SDK, כמו שמתואר במאמר אתחול ה-CLI של gcloud, או מוודאים שפרויקט בענן שיצרתם בשלב דרישות מוקדמות הוא פרויקט ברירת המחדל עבור gcloud.
4. מגדירים את משתני הסביבה הבאים במסוף הפקודות: בוחרים את הכרטיסייה שמתאימה לסוג הארגון שצריך: ללא מיקום נתונים או עם מיקום נתונים:

   אין מיקום נתונים

   AUTH="$(gcloud auth print-access-token)"
   PROJECT_ID="YOUR_PROJECT_ID"
   PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format="value(projectNumber)")
   RUNTIME_LOCATION="YOUR_RUNTIME_LOCATION"
   ANALYTICS_REGION="YOUR_ANALYTICS_REGION"
   BILLING_TYPE="YOUR_BILLING_TYPE"

   כאשר:

   • ‫ AUTH מגדיר את הכותרת Authentication עם טוקן bearer. תשתמשו בכותרת הזו כשתיגשו לממשקי Apigee API. שימו לב שהטוקן יפוג אחרי פרק זמן מסוים, ואז תוכלו פשוט ליצור אותו מחדש באמצעות אותה פקודה. מידע נוסף זמין בדף העיון בנושא הפקודה print-access-token.
   • ‫PROJECT_ID הוא מזהה פרויקט הענן שיצרתם כחלק מהדרישות המוקדמות.
   • PROJECT_NUMBER הוא מספר פרויקט בענן שיצרתם כחלק מהדרישות המוקדמות.

   • ‫RUNTIME_LOCATION הוא המיקום הפיזי שבו נמצא מופע Apigee שתיצרו בהמשך. רשימת המיקומים הזמינים של סביבות זמן ריצה מופיעה במאמר בנושא מיקומי Apigee.

   • ‫ANALYTICS_REGION הוא המיקום הפיזי שבו יאוחסנו נתוני הניתוח של Apigee. רשימת האזורים שבהם אפשר להשתמש ב-Apigee API Analytics זמינה במאמר מיקומי Apigee.

     הערכים של RUNTIME_LOCATION ו-ANALYTICS_REGION יכולים להיות זהים, אבל הם לא חייבים להיות זהים.

   • ‫BILLING_TYPE הוא סוג החיוב של הארגון שאתם יוצרים. הערכים החוקיים הם:

     • PAYG לארגונים עם Pay-as-you-go.
     • ‫SUBSCRIPTION עבור ארגונים עם מינוי.

   המיקום של נתונים

   AUTH="$(gcloud auth print-access-token)"
   PROJECT_ID="YOUR_PROJECT_ID"
   PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format="value(projectNumber)")
   RUNTIME_LOCATION="YOUR_RUNTIME_LOCATION"
   CONTROL_PLANE_LOCATION="YOUR_CONTROL_PLANE_LOCATION"
   CONSUMER_DATA_REGION="YOUR_CONSUMER_DATA_REGION"
   BILLING_TYPE="YOUR_BILLING_TYPE"

   כאשר:

   • ‫ AUTH מגדיר את הכותרת Authentication עם טוקן bearer. תשתמשו בכותרת הזו כשתיגשו לממשקי Apigee API. שימו לב שהטוקן יפוג אחרי פרק זמן מסוים, ואז תוכלו פשוט ליצור אותו מחדש באמצעות אותה פקודה. מידע נוסף זמין בדף העיון בנושא הפקודה print-access-token.
   • ‫PROJECT_ID הוא מזהה פרויקט הענן שיצרתם כחלק מהדרישות המוקדמות.
   • PROJECT_NUMBER הוא מספר פרויקט בענן שיצרתם כחלק מהדרישות המוקדמות.

   • ‫RUNTIME_LOCATION הוא המיקום הפיזי שבו נמצא מופע Apigee שתיצרו בהמשך. רשימת המיקומים הזמינים של סביבות זמן ריצה מופיעה במאמר בנושא מיקומי Apigee.

     המיקום של זמן הריצה חייב להיות בתוך המיקום של מישור הבקרה.
   • ‫CONTROL_PLANE_LOCATION הוא המיקום הפיזי שבו יאוחסנו נתוני מישור הבקרה של Apigee. רשימת המיקומים הזמינים של מישור הבקרה מופיעה במאמר מיקומי Apigee.
   • ‫CONSUMER_DATA_REGION הוא אזור משנה של אזור מישור הבקרה. חובה לציין גם את CONTROL_PLANE_LOCATION וגם את CONSUMER_DATA_REGION. רשימת האזורים שבהם אפשר לאחסן נתונים של צרכנים זמינה במאמר בנושא מיקומי Apigee.

   • ‫BILLING_TYPE הוא סוג החיוב של הארגון שאתם יוצרים. הערכים החוקיים הם:

     • PAYG לארגונים עם Pay-as-you-go.
     • ‫SUBSCRIPTION עבור ארגונים עם מינוי.

5. (אופציונלי) כדי לבדוק את העבודה, אפשר להציג את הערכים שהגדרתם. שימו לב: כשרוצים להשתמש במשתנה בפקודות, צריך להוסיף לפני שם המשתנה סימן דולר ($).

   אין מיקום נתונים

   echo $AUTH
   echo $PROJECT_ID
   echo $PROJECT_NUMBER
   echo $RUNTIME_LOCATION
   echo $ANALYTICS_REGION
   echo $BILLING_TYPE
   

   התגובות לפקודות echo אמורות להיראות כך:

   YOUR_TOKEN
   my-cloud-project
   1234567890
   us-west1
   us-west1
   SUBSCRIPTION
   

   המיקום של נתונים

   echo $AUTH
   echo $PROJECT_ID
   echo $PROJECT_NUMBER
   echo $RUNTIME_LOCATION
   echo $CONTROL_PLANE_LOCATION
   echo $CONSUMER_DATA_REGION
   echo $BILLING_TYPE
   

   התגובות לפקודות echo אמורות להיראות כך:

   YOUR_TOKEN
   my-cloud-project
   1234567890
   us-west1
   us
   us-west1
   SUBSCRIPTION
   

שלב 2: הפעלת ממשקי API

1. כדי להשתמש ב-Apigee, צריך להפעיל כמה ממשקי Google Cloud API. מפעילים אותם על ידי הפעלת הפקודה services enable הבאה:

   gcloud services enable apigee.googleapis.com \
       apihub.googleapis.com \
       compute.googleapis.com \
       cloudkms.googleapis.com --project=$PROJECT_ID

2. (אופציונלי) כדי לבדוק את העבודה, משתמשים בפקודה services list כדי להציג את כל ממשקי ה-API המופעלים:

   gcloud services list

   בתשובה מוצגים כל השירותים המופעלים, כולל ממשקי ה-API שהפעלתם.

שלב 3: יצירת הזהות בשירות Apigee

1. יוצרים את הזהות בשירות של Apigee:

   gcloud beta services identity create --service=apigee.googleapis.com \
     --project=$PROJECT_ID

2. מוודאים שהסוכן נוצר בהצלחה. התשובה צריכה להציג את שם הסוכן בפורמט הבא: service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com. לדוגמה:

   Service identity created: service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com

שלב 4: יצירת ארגון

לפני שיוצרים ארגון, צריך ליצור מחזיק מפתחות ומפתח להצפנת מסד נתונים בזמן ריצה (ראו שלב 1). אם משתמשים ב שמירת נתונים באזור מסוים, צריך ליצור מחזיקי מפתחות ומפתחות להצפנת מישור הבקרה (ראו שלב 2). המפתחות האלה של Cloud KMS מצפינים נתונים שמאוחסנים ומשוכפלים במיקומים של זמן ריצה ושל מישור בקרה. ‫Apigee משתמש בישויות האלה כדי להצפין נתוני אפליקציות כמו KVM, מטמון וסודות לקוח, ואז מאחסן אותם במסד הנתונים. מידע נוסף זמין במאמר בנושא מפתחות ההצפנה של Apigee.

1. יצירה של אוסף מפתחות ומפתח להצפנת מסד נתונים בזמן ריצה.

   1. מגדירים משתנה סביבה למיקום של טבעת ההצפנה והמפתח של מסד הנתונים של זמן הריצה. כך תוכלו לשמור על עקביות כשאתם יוצרים אותם, ויהיה לכם קל יותר לעקוב אחרי ההוראות במסמכים.

      הערך הוא המיקום הפיזי שבו מאוחסנים מחזיק המפתחות והמפתח של הצפנת מסד הנתונים בזמן הריצה.

      אזור יחיד

      הגדרות של אזור יחיד (שבהן יש לכם רק מופע אחד באזור אחד): בוחרים מתוך המיקומים האזוריים הנתמכים של KMS.

      לדוגמה:

      RUNTIMEDBKEY_LOCATION=YOUR_RUNTIMEDBKEY_LOCATION

      הערך יכול להיות זהה לערך של $RUNTIME_LOCATION (גם הוא אזור), אבל הוא לא חייב להיות זהה. עם זאת, יכול להיות שיהיה שיפור בביצועים אם הם יהיו זהים.

      במספר אזורים

      תצורות של מספר אזורים: אפשר לבחור מבין המיקומים הנתמכים במספר אזורים (למשל us או europe) או המיקומים הנתמכים בשני אזורים.

      לדוגמה:

      RUNTIMEDBKEY_LOCATION=YOUR_RUNTIMEDBKEY_LOCATION

      אם יש לכם הגדרה של מספר אזורים בארה"ב, מומלץ להשתמש ב-us למיקום שלכם, אם אפשר. אחרת, השתמשו ב-nam4.

   2. מגדירים משתני סביבה לאוספי מפתחות ולשמות של מפתחות במסד הנתונים.

      השם של מחזיק המפתחות צריך להיות ייחודי בארגון. אם יוצרים אזור שני או אזורים נוספים, השם לא יכול להיות זהה לשמות של מחזיקי מפתחות אחרים.

      RUNTIMEDB_KEY_RING_NAME=YOUR_DB_KEY_RING_NAME
      RUNTIMEDB_KEY_NAME=YOUR_DB_KEY_NAME

   3. (אופציונלי) כדי לבדוק את העבודה, אפשר להציג את הערכים שהגדרתם. חשוב לזכור: כשרוצים להשתמש במשתנה בפקודות, צריך להוסיף לפני שם המשתנה סימן דולר ($).

      echo $RUNTIMEDBKEY_LOCATION
      echo $RUNTIMEDB_KEY_RING_NAME
      echo $RUNTIMEDB_KEY_NAME

   4. יצירת אוסף מפתחות חדש:

      gcloud kms keyrings create $RUNTIMEDB_KEY_RING_NAME \
        --location $RUNTIMEDBKEY_LOCATION --project $PROJECT_ID

      המיקום של מפתח ההצפנה של מסד הנתונים של זמן הריצה של Apigee תומך בכל המיקומים של Cloud KMS שתומכים ב-Cloud HSM וב-Cloud EKM.

   5. יוצרים מפתח:

      gcloud kms keys create $RUNTIMEDB_KEY_NAME \
        --keyring $RUNTIMEDB_KEY_RING_NAME \
        --location $RUNTIMEDBKEY_LOCATION \
        --purpose "encryption" \
        --project $PROJECT_ID

      הפקודה הזו יוצרת את המפתח ומוסיפה אותו לאוסף המפתחות.

      מאתרים את מזהה המפתח:

      gcloud kms keys list \
        --location=$RUNTIMEDBKEY_LOCATION \
        --keyring=$RUNTIMEDB_KEY_RING_NAME \
        --project=$PROJECT_ID

      תחביר מזהה המפתח (דומה לנתיב קובץ):

      projects/PROJECT_ID/locations/RUNTIMEDBKEY_LOCATION/keyRings/RUNTIMEDB_KEY_RING_NAME/cryptoKeys/RUNTIMEDB_KEY_NAME

   6. מציבים את מזהה המפתח במשתנה סביבה. תשתמשו במשתנה הזה בפקודה מאוחרת יותר:

      RUNTIMEDB_KEY_ID=YOUR_RUNTIMEDB_KEY_ID

   7. נותנים לסוכן השירות של Apigee גישה לשימוש במפתח החדש:

      gcloud kms keys add-iam-policy-binding $RUNTIMEDB_KEY_NAME \
        --location $RUNTIMEDBKEY_LOCATION \
        --keyring $RUNTIMEDB_KEY_RING_NAME \
        --member serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
        --project $PROJECT_ID

      הפקודה הזו מקשרת את המפתח לסוכן השירות של Apigee.

      אם הבקשה הזו תושלם בהצלחה, gcloud ישיב עם תגובה שדומה לזו:

      Updated IAM policy for key [runtime].
      bindings:
      - members:
        - serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
        role: roles/cloudkms.cryptoKeyEncrypterDecrypter
      etag: BwWqgEuCuwk=
      version: 1

      אם מופיעה שגיאה כמו זו:

      INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.

      חשוב לוודא שהשתמשתם במספר הפרויקט ולא בשם הפרויקט בכתובת האימייל בחשבון השירות.

2. אם אתם משתמשים ב שמירת נתונים במדינה מסוימת, צריך ליצור מחזיק מפתחות ומפתח להצפנת מישור הבקרה. אם אתם לא משתמשים בשמירת נתונים במדינה מסוימת, אפשר לדלג אל שלב 3.

כדי ליצור אוסף מפתחות ומפתח להצפנת מישור הבקרה, פועלים לפי השלבים הבאים.

1. מגדירים משתנה סביבה למיקום של טבעת ההצפנה ומפתח ההצפנה של מסד הנתונים במישור הבקרה:

   CONTROL_PLANE_LOCATION=YOUR_CONTROL_PLANE_LOCATION
   CONSUMER_DATA_REGION=YOUR_CONSUMER_DATA_REGION

   כאשר:

   • ‫CONTROL_PLANE_LOCATION הוא המיקום הפיזי שבו יאוחסנו נתוני מישור הבקרה של Apigee. רשימת המיקומים הזמינים של מישור הבקרה מופיעה במאמר מיקומי Apigee.
   • ‫CONSUMER_DATA_REGION הוא אזור משנה של אזור מישור הבקרה. חובה לציין גם את CONTROL_PLANE_LOCATION וגם את CONSUMER_DATA_REGION. רשימת האזורים שבהם אפשר לאחסן נתונים של צרכנים זמינה במאמר בנושא מיקומי Apigee.

2. מגדירים משתני סביבה עבור מחזיקי מפתחות ושמות מפתחות של מסד הנתונים של מישור הבקרה.

   השם של מחזיק המפתחות צריך להיות ייחודי בארגון.

   CONTROL_PLANE_KEY_RING_NAME=YOUR_CONTROL_PLANE_KEY_RING_NAME
   CONTROL_PLANE_KEY_NAME=YOUR_CONTROL_PLANE_KEY_NAME
   CONSUMER_DATA_KEY_RING_NAME=YOUR_CONSUMER_DATA_KEY_RING_NAME
   CONSUMER_DATA_KEY_NAME=YOUR_CONSUMER_DATA_REGION_KEY_NAME

   כאשר:

   • ‫CONTROL_PLANE_KEY_RING_NAME הוא השם של אוסף המפתחות שבו תשתמשו כדי לזהות את אוסף המפתחות להצפנת מישור הבקרה.
   • ‫CONTROL_PLANE_KEY_NAME הוא השם של המפתח שבו תשתמשו כדי לזהות את מפתח ההצפנה של מישור הבקרה.
   • ‫CONSUMER_DATA_KEY_RING_NAME הוא השם של אוסף המפתחות שבו תשתמשו כדי לזהות את אזור גיאוגרפי לאחסון נתוני הצרכנים המוצפנים.
   • ‫CONSUMER_DATA_KEY_NAME הוא השם של המפתח שבו תשתמשו כדי לזהות את מפתח ההצפנה של אזור גיאוגרפי לאחסון נתונים של הצרכנים.
3. יצירת אוסף מפתחות חדש:

   gcloud kms keyrings create $CONTROL_PLANE_KEY_RING_NAME \
     --location $CONTROL_PLANE_LOCATION \
     --project $PROJECT_ID

   gcloud kms keyrings create $CONSUMER_DATA_KEY_RING_NAME \
     --location $CONSUMER_DATA_REGION \
     --project $PROJECT_ID

4. יוצרים מפתח:

   gcloud kms keys create $CONTROL_PLANE_KEY_NAME \
     --keyring $CONTROL_PLANE_KEY_RING_NAME \
     --location $CONTROL_PLANE_LOCATION \
     --purpose "encryption" \
     --project $PROJECT_ID

   gcloud kms keys create $CONSUMER_DATA_KEY_NAME \
     --keyring $CONSUMER_DATA_KEY_RING_NAME \
     --location $CONSUMER_DATA_REGION \
     --purpose "encryption" \
     --project $PROJECT_ID

   הפקודה הזו יוצרת את המפתח ומוסיפה אותו לאוסף המפתחות.

   מאתרים את מזהה המפתח:

   gcloud kms keys list \
   --location=$CONTROL_PLANE_LOCATION \
   --keyring=$CONTROL_PLANE_KEY_RING_NAME \
   --project=$PROJECT_ID

   gcloud kms keys list \
   --location=$CONSUMER_DATA_REGION \
   --keyring=$CONSUMER_DATA_KEY_RING_NAME \
   --project=$PROJECT_ID

   תחביר מזהה המפתח (דומה לנתיב קובץ):

   projects/PROJECT_ID/locations/CONTROL_PLANE_LOCATION/keyRings/CONTROL_PLANE_KEY_RING_NAME/cryptoKeys/CONTROL_PLANE_KEY_NAME

   projects/PROJECT_ID/locations/CONSUMER_DATA_REGION/keyRings/CONSUMER_DATA_KEY_RING_NAME/cryptoKeys/CONSUMER_DATA_KEY_NAME

5. מציבים את מזהה המפתח במשתנה סביבה. תשתמשו במשתנה הזה בפקודה מאוחרת יותר:

   CONTROL_PLANE_KEY_ID=YOUR_CONTROL_PLANE_KEY_ID
   

   CONSUMER_DATA_KEY_ID=YOUR_CONSUMER_DATA_KEY_ID

6. נותנים לסוכן השירות של Apigee גישה לשימוש במפתח החדש:

   gcloud kms keys add-iam-policy-binding $CONTROL_PLANE_KEY_NAME \
     --location $CONTROL_PLANE_LOCATION \
     --keyring $CONTROL_PLANE_KEY_RING_NAME \
     --member "serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com" \
     --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
     --project $PROJECT_ID
   

   gcloud kms keys add-iam-policy-binding $CONSUMER_DATA_KEY_NAME \
    --location $CONSUMER_DATA_REGION \
    --keyring $CONSUMER_DATA_KEY_RING_NAME \
    --member "serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com" \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --project $PROJECT_ID
   

   הפקודה הזו מקשרת את המפתח לסוכן השירות של Apigee. אם הבקשה הזו תושלם בהצלחה, gcloud ישיב בתגובה שדומה לתגובה הבאה:

   Updated IAM policy for key [runtime].
   bindings:
   - members:
     - serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
     role: roles/cloudkms.cryptoKeyEncrypterDecrypter
   etag: BwWqgEuCuwk=
   version: 1

   אם מופיעה שגיאה כמו זו:

   INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.

   חשוב לוודא שהשתמשתם במספר הפרויקט ולא בשם הפרויקט בכתובת האימייל בחשבון השירות.

אפשר לעיין גם במאמר בנושא פתרון בעיות ב-CMEK.

3. כדי ליצור את הארגון, שולחים את הבקשה הבאה אל organizations API של Apigee:

   אין מיקום נתונים

   curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID"  \
     -H "Authorization: Bearer $AUTH" \
     -X POST \
     -H "Content-Type:application/json" \
     -d '{
       "name":"'"$PROJECT_ID"'",
       "analyticsRegion":"'"$ANALYTICS_REGION"'",
       "runtimeType":"CLOUD",
       "billingType":"'"$BILLING_TYPE"'",
       "disableVpcPeering":"true",
       "runtimeDatabaseEncryptionKeyName":"'"$RUNTIMEDB_KEY_ID"'"
     }'

   כאשר:

   • ‫-d מגדיר את מטען הנתונים של הבקשה. ה-payload צריך לכלול את הפרטים הבאים:

     • ‫name: מזהה את הארגון החדש. השם צריך להיות זהה למזהה הפרויקט.

     • ‫analyticsRegion: מציין את המיקום הפיזי שבו יישמרו נתוני הניתוח.

     • runtimeType: מגדירים את הערך הזה ל-CLOUD.
     • ‫billingType: מציין את סוג החיוב של הארגון שנוצר.
     • ‫disableVpcPeering: מגדירים ל-true אם לא רוצים להשתמש ב-VPC peering. ברירת מחדל: false
     • ‫runtimeDatabaseEncryptionKeyName: המזהה של מפתח ההצפנה של האפליקציה שיצרתם בשלב הקודם. כדאי לזכור שהמזהה בנוי כמו נתיב של קובץ. לדוגמה:
       projects/PROJECT_ID/locations/YOUR_RUNTIMEDBKEY_LOCATION/keyRings/YOUR_DB_KEY_RING_NAME/cryptoKeys/YOUR_DB_KEY_NAME

   המיקום של נתונים

   יצירת ארגון באמצעות ה-API:

   curl "https://REGIONAL_ENDPOINT/v1/organizations?parent=projects/$PROJECT_ID"  \
     -H "Authorization: Bearer $AUTH" \
     -X POST \
     -H "Content-Type:application/json" \
     -d '{
       "name":"'"$PROJECT_ID"'",
       "runtimeType":"CLOUD",
       "billingType":"'"$BILLING_TYPE"'",
       "controlPlaneEncryptionKeyName":"'"$CONTROL_PLANE_KEY_ID"'",
       "apiConsumerDataLocation":"'"$CONSUMER_DATA_REGION"'",
       "apiConsumerDataEncryptionKeyName":"'"$CONSUMER_DATA_KEY_ID"'",
       "disableVpcPeering":"true",
       "runtimeDatabaseEncryptionKeyName":"'"$RUNTIMEDB_KEY_ID"'"
     }'

   כאשר:

   • ‫REGIONAL_ENDPOINT היא נקודת הקצה האזורית שנדרשת לתמיכה במיקום הנתונים.
   • ‫-d מגדיר את מטען הנתונים של הבקשה. ה-payload צריך לכלול את הפרטים הבאים:
     • ‫name: מזהה את הארגון החדש. השם צריך להיות זהה למזהה הפרויקט.
     • runtimeType: מגדירים את הערך הזה ל-CLOUD.
     • ‫billingType: מציין את סוג החיוב של הארגון שנוצר.
     • ‫controlPlaneEncryptionKeyName: מזהה המפתח של מישור הבקרה.
     • ‫apiConsumerDataLocation: צריך לציין גם אזור משנה לשימוש של משאבים פנימיים. במאמר אזורים גיאוגרפיים לאחסון נתונים מפורטים הערכים הנתמכים.
     • ‫apiConsumerDataEncryptionKeyName: המזהה של המפתח לאזור הנתונים של הצרכן.
     • ‫disableVpcPeering: מגדירים ל-true אם לא רוצים להשתמש ב-VPC peering. ברירת מחדל: false
     • ‫runtimeDatabaseEncryptionKeyName: המזהה של מפתח ההצפנה של האפליקציה שיצרתם בשלב הקודם. כדאי לזכור שהמזהה בנוי כמו נתיב קובץ. לדוגמה:
       projects/your-project/locations/your_runtime_db_key_location/keyRings/your-key-ring/cryptoKeys/your-key

   אחרי שמריצים את הפקודה הזו, Apigee מתחיל פעולה ארוכת טווח, שיכולה להימשך כמה דקות.

   אם מוצגת שגיאה, צריך לבדוק את השימוש במרכאות סביב ערכי המשתנים במטען הנתונים. חשוב לוודא שמשתנה $PROJECT_ID מוקף במירכאות כפולות, מירכאות בודדות ומירכאות כפולות, כמו בדוגמה הבאה:

   "'"$PROJECT_ID"'"

   אם משתמשים במחרוזות פשוטות (לא במשתני סביבה) לערכי הבקשה, אפשר להוסיף מירכאות כפולות למחרוזת המטען הייעודי (payload) עם המירכאות הבודדות, כמו בדוגמה הבאה:

   '{ "name":"my-gcp-project", ... }'

4. מחכים כמה דקות.
5. כדי לבדוק את הסטטוס של בקשת היצירה, אפשר לשלוח בקשת GET אל List organizations API של Apigee, כמו בדוגמה הבאה:

   אין מיקום נתונים

   curl -H "Authorization: Bearer $AUTH" "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID"

   המיקום של נתונים

   curl -H "Authorization: Bearer $AUTH" "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID"

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

   אם אתם רואים את התשובה הזו, סימן שיצירת הארגון עדיין לא הושלמה:

   {
     "error": {
       "code": 403,
       "message": "Permission denied on resource \"organizations/apigee-docs-m\" (or it may not exist)",
       "status": "PERMISSION_DENIED"
     }
   }

   אם הפעולה בוצעה ללא שגיאות, אובייקט התגובה יציין "state": "ACTIVE", ואפשר יהיה לעבור לשלב הבא.

   אם Apigee מחזיר תגובת שגיאת HTTP, כדאי לעיין במאמר בנושא יצירת ארגון Apigee.

שלב 5: יצירת מופע של זמן ריצה

בסביבת ריצה מאוחסנים פרויקט Apigee והשירותים שקשורים אליו. היא מספקת את נקודת הקצה שפונה למשתמשים של השירותים שלכם. כדי ליצור מופע חדש של זמן ריצה:

1. צריך לוודא ש-Apigee סיים ליצור את הארגון. שלחת בקשה ליצירת ארגון חדש במאמר יצירת ארגון Apigee, אבל צריך לוודא שהפעולה הסתיימה לפני שממשיכים.

   כדי לעשות את זה, שולחים את הבקשה הבאה אל organizations API:

   אין מיקום נתונים

   curl -i -H "Authorization: Bearer $AUTH" \
       "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID"

   המיקום של נתונים

   curl -i -H "Authorization: Bearer $AUTH" \
       "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID"

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

   אם הארגון קיים (ויש לכם את ההרשאות המתאימות לצפייה בו), Apigee משיב עם פרטים לגביו. אם Apigee משיב עם שגיאה, צריך לחכות כמה דקות ולשלוח את הבקשה שוב.

2. בדומה למשימה הקודמת שבה יצרתם מפתח הצפנה למסד הנתונים, עכשיו אתם צריכים ליצור מפתח Cloud KMS שמשמש להצפנת נתונים בצד השרת. כדי להתחיל, מגדירים את משתני הסביבה הבאים:

   INSTANCE_NAME=YOUR_INSTANCE_NAME
   RUNTIME_LOCATION=YOUR_RUNTIME_LOCATION
   DISK_KEY_RING_NAME=YOUR_DISK_KEY_RING_NAME
   DISK_KEY_NAME=YOUR_DISK_KEY_NAME

כאשר:

• ‫INSTANCE_NAME: השם של המכונה החדשה. לדוגמה, my-runtime-instance. השם צריך להתחיל באות קטנה, יכול להיות באורך של עד 32 תווים, ויכול לכלול רק אותיות קטנות, מספרים ומקפים. הוא לא יכול להתחיל או להסתיים במקף, והוא חייב להיות באורך של שני תווים לפחות.
• ‫RUNTIME_LOCATION הוא המיקום הפיזי שבו מתארח האשכול. הערכים התקינים הם כל מיקום שמותר ב-Compute Engine. (ראו אזורים ותחומים זמינים). בדוגמה הזו נשתמש ב-us-west1.
• ‫DISK_KEY_RING_NAME הוא השם של אוסף המפתחות להצפנת הדיסק.
• ‫DISK_KEY_NAME הוא השם של מפתח ההצפנה של הדיסק.
3. יוצרים מפתח להצפנת הדיסק:
   1. יוצרים אוסף מפתחות חדש לדיסק:

      gcloud kms keyrings create $DISK_KEY_RING_NAME \
        --location $RUNTIME_LOCATION \
        --project $PROJECT_ID

      אוסף מפתחות הדיסק צריך להיות מוגדר לאותו מיקום כמו המכונה. לכל מופע ולכל מחזיק מפתחות צריך להיות מיקום משלו.

   2. יוצרים מפתח דיסק חדש:

      gcloud kms keys create $DISK_KEY_NAME \
        --keyring $DISK_KEY_RING_NAME \
        --location $RUNTIME_LOCATION \
        --purpose "encryption" \
        --project $PROJECT_ID

      אפשר להפנות למפתח באמצעות נתיב המפתח. אפשר לקבל את נתיב המפתח באמצעות הפקודה הבאה:

      gcloud kms keys list \
        --location=$RUNTIME_LOCATION \
        --keyring=$DISK_KEY_RING_NAME \
        --project=$PROJECT_ID

      נתיב המרות נראה בערך כך:

      projects/PROJECT_ID/locations/RUNTIME_LOCATION/keyRings/my-disk-key-ring/cryptoKeys/my-disk-key

   3. מציבים את נתיב המפתח במשתנה סביבה. תשתמשו במשתנה הזה בפקודה מאוחרת יותר:

      DISK_KEY_ID=YOUR_DISK_KEY_ID

      לדוגמה: DISK_KEY_ID=projects/my-project/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-key

   4. נותנים לסוכן השירות של Apigee גישה לשימוש במפתח החדש:

      gcloud kms keys add-iam-policy-binding $DISK_KEY_NAME \
        --location $RUNTIME_LOCATION \
        --keyring $DISK_KEY_RING_NAME \
        --member serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
        --project $PROJECT_ID

      הפקודה הזו מקשרת את המפתח לסוכן השירות של Apigee.

   מידע נוסף זמין במאמר בנושא מפתחות ההצפנה של Apigee.

4. כדי ליצור מופע חדש של זמן ריצה לפרויקט, שולחים בקשת POST אל Instances API של Apigee:

   אין מיקום נתונים

   curl "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances" \
     -X POST -H "Authorization: Bearer $AUTH" \
     -H "Content-Type:application/json" \
     -d '{
       "name":"'"$INSTANCE_NAME"'",
       "location":"'"$RUNTIME_LOCATION"'",
       "diskEncryptionKeyName":"'"$DISK_KEY_ID"'",
       "consumerAcceptList":["'"$PROJECT_ID"'"]
     }'

   המיקום של נתונים

   curl "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/instances" \
     -X POST -H "Authorization: Bearer $AUTH" \
     -H "Content-Type:application/json" \
     -d '{
       "name":"'"$INSTANCE_NAME"'",
       "location":"'"$RUNTIME_LOCATION"'",
       "diskEncryptionKeyName":"'"$DISK_KEY_ID"'",
       "consumerAcceptList":["'"$PROJECT_ID"'"]
     }'

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

   כאשר:

   • ‫consumerAcceptList (אופציונלי) מציין רשימה של מזהי פרויקטים בענן של Google שיכולים להתחבר באופן פרטי ל שירות המצורף של ה-VPC של Apigee. קובץ מצורף של שירות הוא ישות שמשמשת עם Private Service Connect של Google Cloud כדי לאפשר לספקי שירותים (במקרה הזה, Apigee) לחשוף שירותים לצרכנים (במקרה הזה, פרויקט אחד או יותר ב-Cloud שבבעלותכם). כברירת מחדל, אנחנו משתמשים בפרויקט בענן שכבר משויך לארגון שלכם ב-Apigee. לדוגמה: "consumerAcceptList": ["project1", "project2", "project3"]

     שימו לב שאפשר גם להגדיר ולשנות את רשימת הפרויקטים המקובלים בממשק המשתמש של המופע. פרטים נוספים זמינים במאמר בנושא ניהול מופעים.

   הבקשה הזו יכולה להימשך עד 20 דקות כי Apigee צריך ליצור ולהפעיל אשכול Kubernetes חדש, להתקין את משאבי Apigee באשכול הזה ולהגדיר איזון עומסים.

   אם Apigee מחזיר שגיאה, אפשר לעיין במאמר בנושא יצירת מופע חדש.

5. כדי לבדוק את הסטטוס של הבקשה ליצירת מופע של זמן ריצה, מריצים את הפקודה הבאה. כשהסטטוס הוא פעיל, אפשר לעבור לשלב הבא.

   אין מיקום נתונים

   curl -i -X GET -H "Authorization: Bearer $AUTH" \
       "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances/$INSTANCE_NAME"

   המיקום של נתונים

   curl -i -X GET -H "Authorization: Bearer $AUTH" \
       "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/instances/$INSTANCE_NAME"

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

שלב 6: יצירת סביבה

כדי ליצור סביבה ולצרף אותה לסביבת זמן הריצה בשורת הפקודה:

1. מגדירים משתני סביבה לשימוש בקטע הזה.

   בסביבת מינוי, יוצרים את המשתנים הבאים:

   ENVIRONMENT_NAME="YOUR_ENV_NAME"
   ENV_GROUP_NAME="YOUR_ENV_GROUP_NAME"
   ENV_GROUP_HOSTNAME="YOUR_ENV_GROUP_HOSTNAME"

   כאשר:

   • ‫ENVIRONMENT_NAME הוא שם של מחרוזת. לדוגמה: test
   • ‫ENV_GROUP_NAME הוא שם של מחרוזת. לדוגמה: test-group
   • ‫ENV_GROUP_HOSTNAME הוא שם מארח דומיין תקין. לדוגמה: foo.example.com
2. יוצרים סביבה חדשה באמצעות Environments API.

   בסביבת מינוי חדשה, משתמשים בפקודה הבאה:

   אין מיקום נתונים

   curl "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/environments" \
       -H "Authorization: Bearer $AUTH" \
       -X POST \
       -H "Content-Type:application/json" \
       -d '{
         "name":"'"$ENVIRONMENT_NAME"'"
     }'

   המיקום של נתונים

   curl "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/environments" \
       -H "Authorization: Bearer $AUTH" \
       -X POST \
       -H "Content-Type:application/json" \
       -d '{
         "name":"'"$ENVIRONMENT_NAME"'"
     }'

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

   מערכת Apigee יוצרת סביבה חדשה.

3. לפני שממשיכים, צריך לוודא ש-Apigee סיים ליצור את הסביבה החדשה. לשם כך, קוראים ל-Environments API:

   אין מיקום נתונים

   curl -i -H "Authorization: Bearer $AUTH" \
       "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/environments"

   המיקום של נתונים

   curl -i -H "Authorization: Bearer $AUTH" \
       "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/environments"

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

   ‫Apigee מגיב עם רשימה של סביבות זמינות. לדוגמה, אם שם הסביבה הוא test, התגובה של Apigee תהיה:

   [
     "test"
   ]

4. מצרפים את הסביבה החדשה למופע של זמן הריצה:

   אין מיקום נתונים

   curl "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances/$INSTANCE_NAME/attachments" \
       -X POST -H "Authorization: Bearer $AUTH" \
       -H "content-type:application/json" \
       -d '{
         "environment":"'"$ENVIRONMENT_NAME"'"
       }'

   המיקום של נתונים

   curl "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/instances/$INSTANCE_NAME/attachments" \
       -X POST -H "Authorization: Bearer $AUTH" \
       -H "content-type:application/json" \
       -d '{
         "environment":"'"$ENVIRONMENT_NAME"'"
       }'

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

   השלמת הפעולה הזו עשויה להימשך כמה דקות. כדי לבדוק אם ההעברה של הקובץ המצורף הסתיימה, מריצים את הפקודה הבאה:

   אין מיקום נתונים

   curl -i -H "Authorization: Bearer $AUTH" \
     "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances/$INSTANCE_NAME/attachments"

   המיקום של נתונים

   curl -i -H "Authorization: Bearer $AUTH" \
     "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/instances/$INSTANCE_NAME/attachments"

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

   אם הפלט נראה כמו בדוגמה הבאה, אפשר לעבור לשלב הבא:

   {
     "attachments": [
       {
         "name": "ed628782-c893-4095-b71c-f4731805290a",
         "environment": "test",
         "createdAt": "1641604447542"
       }
     ]
   }

5. כדי ליצור קבוצת סביבות חדשה, משתמשים בפקודה הבאה. מידע נוסף זמין במאמר בנושא סביבות וקבוצות סביבות:

   אין מיקום נתונים

   curl "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/envgroups" \
       -H "Authorization: Bearer $AUTH" \
       -X POST \
       -H "Content-Type:application/json" \
       -d '{
         "name": "'"$ENV_GROUP_NAME"'",
         "hostnames":["'"$ENV_GROUP_HOSTNAME"'"]
     }'

   המיקום של נתונים

   curl "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/envgroups" \
       -H "Authorization: Bearer $AUTH" \
       -X POST \
       -H "Content-Type:application/json" \
       -d '{
         "name": "'"$ENV_GROUP_NAME"'",
         "hostnames":["'"$ENV_GROUP_HOSTNAME"'"]
     }'

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

6. ממתינים לסיום הפעולה. אפשר לבדוק את הסטטוס של הקבוצה החדשה באמצעות בקשה כמו הבקשה הבאה:

   אין מיקום נתונים

   curl -i -H "Authorization: Bearer $AUTH" \
       "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/envgroups/$ENV_GROUP_NAME"

   המיקום של נתונים

   curl -i -H "Authorization: Bearer $AUTH" \
       "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/envgroups/$ENV_GROUP_NAME"

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

7. מצרפים את הסביבה החדשה לקבוצת הסביבות החדשה באמצעות הפקודה הבאה:

   אין מיקום נתונים

   curl "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/envgroups/$ENV_GROUP_NAME/attachments" \
       -X POST \
       -H "Authorization: Bearer $AUTH" \
       -H "content-type:application/json" \
       -d '{
         "environment":"'"$ENVIRONMENT_NAME"'"
     }'

   המיקום של נתונים

   curl "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/envgroups/$ENV_GROUP_NAME/attachments" \
       -X POST \
       -H "Authorization: Bearer $AUTH" \
       -H "content-type:application/json" \
       -d '{
         "environment":"'"$ENVIRONMENT_NAME"'"
     }'

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

8. כדי לבדוק את סטטוס הפעולה, שולחים קריאה ל-API הזה:

   אין מיקום נתונים

   curl -H "Authorization: Bearer $AUTH" \
       "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/envgroups/$ENV_GROUP_NAME/attachments"

   המיקום של נתונים

   curl -H "Authorization: Bearer $AUTH" \
       "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/envgroups/$ENV_GROUP_NAME/attachments"

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

שלב 7: הגדרת הניתוב

בשלב הזה מגדירים איך אפליקציות לקוח מתקשרות עם Apigee. תנועת נתונים מלקוח אל Apigee נקראת גם תנועת נתונים 'צפונה'. אפשרויות ההגדרה של Northbound כוללות את האפשרויות הבאות. עוברים לאפשרות ההגדרה שרוצים להשתמש בה ומבצעים את השלבים שמתאימים לאפשרות הזו:

ההוראות שלמטה מתייחסות לכל אחת מהגישות האלה לניתוב.

NEG_NAME=YOUR_NEG_NAME
NETWORK_NAME=YOUR_NETWORK_NAME
SUBNET_NAME=YOUR_SUBNET_NAME
TARGET_SERVICE=TARGET_SERVICE_ATTACHMENT

gcloud compute networks subnets create testproxyonlysubnet \
--purpose=REGIONAL_MANAGED_PROXY --role=ACTIVE --region=$RUNTIME_REGION --network=$NETWORK_NAME \
--range=100.0.0.0/24 --project=$PROJECT_ID

הקצאת הרשאות ל-Apigee הושלמה. עוברים אל פריסת שרת proxy לדוגמה.

שלב 8: פריסת שרת proxy לדוגמה

1. מורידים את הפרוקסי לדוגמה מ-GitHub. יעד הפרוקסי הוא השירות httpbin.org, שהוא שירות ציבורי נפוץ לבקשות ותגובות.
2. מעלים את חבילת ה-proxy ל-API לסביבת זמן הריצה באמצעות Apigee apis API:

   אין מיקום נתונים

   curl -i -X POST -H "Authorization: Bearer $AUTH" \
       -H "Content-Type:multipart/form-data" \
       "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/apis?name=httpbin&action=import" \
       -F 'file=@PATH_TO_ZIP_FILE/httpbin_rev1_2020_02_02.zip'

   המיקום של נתונים

   curl -i -X POST -H "Authorization: Bearer $AUTH" \
       -H "Content-Type:multipart/form-data" \
       "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/apis?name=httpbin&action=import" \
       -F 'file=@PATH_TO_ZIP_FILE/httpbin_rev1_2020_02_02.zip'

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

   ‫PATH_TO_ZIP_FILE הוא הנתיב לספרייה שמכילה את קובץ ה-ZIP שהורד.

3. פריסת שרת ה-Proxy של ה-API בסביבה שיצרתם קודם:

   אין מיקום נתונים

   curl -i -H "Authorization: Bearer $AUTH" -X POST \
       "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/environments/$ENVIRONMENT_NAME/apis/httpbin/revisions/1/deployments"

   המיקום של נתונים

   curl -i -H "Authorization: Bearer $AUTH" -X POST \
       "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/environments/$ENVIRONMENT_NAME/apis/httpbin/revisions/1/deployments"

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

4. מאשרים שהפריסה הסתיימה בהצלחה באמצעות קריאת ה-API הבאה:

   אין מיקום נתונים

   curl -i -H "Authorization: Bearer $AUTH" \
       "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/environments/$ENVIRONMENT_NAME/apis/httpbin/revisions/1/deployments"

   המיקום של נתונים

   curl -i -H "Authorization: Bearer $AUTH" \
       "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/environments/$ENVIRONMENT_NAME/apis/httpbin/revisions/1/deployments"

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

5. קוראים ל-proxy ל-API:

   שולחים בקשה ל-proxy ל-API מכל מכונה שמחוברת לרשת על ידי הרצת הפקודה הבאה:

   curl -i -H "Host: ENV_GROUP_HOSTNAME" \
       "https://ENV_GROUP_HOSTNAME/httpbin/headers"

   במקרה הצורך, אפשר להשתמש ב-API הזה כדי לקבל את הערך ENV_GROUP_HOSTNAME:

   אין מיקום נתונים

   curl -i -H "Authorization: Bearer $AUTH" \
       "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/envgroups"

   המיקום של נתונים

   curl -i -H "Authorization: Bearer $AUTH" \
       "https://REGIONAL_ENDPOINT/v1/organizations/$PROJECT_ID/envgroups"

   ‫REGIONAL_ENDPOINT הוא נקודת הקצה האזורית שנדרשת כדי לתמוך במיקום הנתונים.

   אם מופיעה שגיאה כמו: CONNECT_CR_SRVR_HELLO:sslv3 alert handshake failure, צריך לוודא שאישור ה-SSL שיצרתם קודם הוקצה. משתמשים בפקודה הזו כדי לבדוק את סטטוס ההקצאה. כשהאישור מוקצה, הסטטוס שלו הוא ACTIVE.

   gcloud compute ssl-certificates describe CERTIFICATE \
       --global \
       --format="get(name,managed.status, managed.Status)"

   אם הפעולה מצליחה, ה-proxy ל-API לדוגמה מחזיר תגובה שדומה לזו:

   {
       "headers": {
         "Accept": "*/*",
         "Grpc-Trace-Bin": "AAD/8WC/I4AUSrMEch0E9yj+AYck1x9afwckAgA",
         "Host": "httpbin.org",
         "Traceparent": "00-fff160bf2380144ab304721d04f728fe-8724d71f5a7f0724-00",
         "User-Agent": "curl/7.77.0",
         "X-Amzn-Trace-Id": "Root=1-61d785ef-7613aa8a7fde7a910441fab9",
         "X-B3-Sampled": "0",
         "X-B3-Spanid": "8724d71f5a7f0724",
         "X-B3-Traceid": "fff160bf2380144ab304721d04f728fe",
         "X-Cloud-Trace-Context": "fff160bf2380144ab304721d04f728fe/9738144823944087332;o=0",
         "X-Envoy-Attempt-Count": "1"
       }
   }

מידע נוסף על פריסת שרתי proxy, כולל מידע נוסף על פתרון בעיות, זמין במאמר פריסת proxy ל-API.