Diese Seite wurde von der Cloud Translation API übersetzt.

Schritt 11: Apigee Hybrid über Helm-Diagramme installieren

Apigee Hybrid-Laufzeitkomponenten installieren

In diesem Schritt verwenden Sie Helm, um folgende Apigee Hybrid-Komponenten zu installieren:

Apigee-Operator
Apigee-Datenspeicher
Apigee-Telemetrie
Apigee Redis
Apigee-Ingress-Manager
Apigee-Organisation
Ihre Apigee-Umgebung(en)

Sie installieren die Diagramme für die einzelnen Umgebungen nacheinander. Die Reihenfolge, in der Sie die Komponenten installieren, spielt eine wichtige Rolle.

Hinweise vor der Installation

Wenn Sie Helm v3.14.2+ noch nicht installiert haben, folgen Sie der Anleitung unter Helm installieren.
Apigee Hybrid verwendet Helm-Schutzmaßnahmen, um die Konfiguration zu prüfen, bevor ein Diagramm installiert oder aktualisiert wird. In der Ausgabe der einzelnen Befehle in diesem Abschnitt werden möglicherweise Informationen zu den Schutzmaßnahmen angezeigt, z. B.:
```
# Source: apigee-operator/templates/apigee-operators-guardrails.yaml
apiVersion: v1
kind: Pod
metadata:
  name: apigee-hybrid-helm-guardrail-operator
  namespace:  APIGEE_NAMESPACE
  annotations:
    helm.sh/hook: pre-install,pre-upgrade
    helm.sh/hook-delete-policy: before-hook-creation,hook-succeeded
  labels:
    app: apigee-hybrid-helm-guardrail
```
Wenn einer der helm upgrade-Befehle fehlschlägt, können Sie anhand der Ausgabe der Schutzmaßnahmen die Ursache ermitteln. Weitere Informationen finden Sie unter Probleme mit Schutzmaßnahmen diagnostizieren.
Verwenden Sie vor dem Ausführen eines der Helm-Upgrade-/-Installationsbefehle das Helm-Probelauf-Feature, indem Sie --dry-run=server am Ende des Befehl hinzufügen. Mit helm install --h können Sie unterstützte Befehle, Optionen und die Nutzung auflisten.

Installationsschritte

Wählen Sie die Installationsanleitung für den Dienstkonto-Authentifizierungstyp in Ihrer Hybridinstallation aus:

Kubernetes-Secrets

Wenn Sie dies nicht getan haben, rufen Sie das APIGEE_HELM_CHARTS_HOME-Verzeichnis auf. Führen Sie die folgenden Befehle in diesem Verzeichnis aus.

Installieren Sie Apigee Operator/Controller:

Hinweis: Für diesen Schritt sind höhere Clusterberechtigungen erforderlich. Führen Sie helm -h oder helm install -h aus, um Details zu erfahren.

Probelauf:

helm upgrade operator apigee-operator/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade operator apigee-operator/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie die Installation des Apigee-Operators:

helm ls -n APIGEE_NAMESPACE

NAME       NAMESPACE       REVISION   UPDATED                                STATUS     CHART                                       APP VERSION
operator   apigee   3          2025-06-26 00:42:44.492009 -0800 PST   deployed   apigee-operator-1.15.1   1.15.1

Prüfen Sie, ob er aktiv ist, indem Sie die Verfügbarkeit prüfen:

kubectl -n APIGEE_NAMESPACE get deploy apigee-controller-manager

NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
apigee-controller-manager   1/1     1            1           34s

Installieren Sie den Apigee-Datenspeicher:

Probelauf:

helm upgrade datastore apigee-datastore/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade datastore apigee-datastore/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie, ob apigeedatastore ausgeführt wird. Prüfen Sie dazu dessen Status, bevor Sie mit dem nächsten Schritt fortfahren:
```
kubectl -n APIGEE_NAMESPACE get apigeedatastore default
```
```
NAME      STATE       AGE
default   running    51s
```

Installieren Sie die Apigee-Telemetrie:

Probelauf:

helm upgrade telemetry apigee-telemetry/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade telemetry apigee-telemetry/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status, um sicherzustellen, dass dieses Element aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeetelemetry apigee-telemetry

NAME               STATE     AGE
apigee-telemetry   running   55s

Installieren Sie Apigee Redis:

Probelauf:

helm upgrade redis apigee-redis/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade redis apigee-redis/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status, um sicherzustellen, dass dieses Element aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeeredis default

NAME      STATE     AGE
default   running   79s

Installieren Sie den Apigee-Ingress-Manager:

Probelauf:

helm upgrade ingress-manager apigee-ingress-manager/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade ingress-manager apigee-ingress-manager/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie, ob er aktiv ist, indem Sie die Verfügbarkeit prüfen:

kubectl -n APIGEE_NAMESPACE get deployment apigee-ingressgateway-manager

NAME                            READY   UP-TO-DATE   AVAILABLE   AGE
apigee-ingressgateway-manager   2/2     2            2           16s

Installieren Sie die Apigee-Organisation: Wenn Sie die Umgebungsvariable $ORG_NAME in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden:

Probelauf:

helm upgrade $ORG_NAME apigee-org/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade $ORG_NAME apigee-org/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status der entsprechenden Organisation, um sicherzustellen, dass sie aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeeorg

NAME                      STATE     AGE
my-project-123abcd        running   4m18s

Installieren Sie die Umgebung:

Sie dürfen jeweils nur eine Umgebung installieren. Geben Sie die Umgebung mit --set env=ENV_NAME an: Wenn Sie die Umgebungsvariable $ENV_NAME in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden:
1. Probelauf:
```
helm upgrade ENV_RELEASE_NAME apigee-env/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set env=$ENV_NAME \
  -f overrides.yaml \
  --dry-run=server
```
2. Installation des Diagramms:
```
helm upgrade ENV_RELEASE_NAME apigee-env/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set env=$ENV_NAME \
  -f overrides.yaml
```
3. Prüfen Sie, ob sie aktiv ist, indem Sie den Status der entsprechenden Umgebung prüfen:
```
kubectl -n APIGEE_NAMESPACE get apigeeenv
```
```
NAME                       STATE     AGE   GATEWAYTYPE
apigee-my-project-my-env   running   3m1s
```
Installieren Sie die Umgebungsgruppen (virtualhosts).
1. Sie dürfen jeweils nur eine Umgebungsgruppe (virtualhost) installieren. Geben Sie die Umgebungsgruppe mit --set envgroup=ENV_GROUP an: Wenn Sie die Umgebungsvariable $ENV_GROUP in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden. Wiederholen Sie folgende Befehle für alle Umgebungsgruppen, die in der Datei overrides.yaml erwähnt werden:
  Probelauf:
```
helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set envgroup=$ENV_GROUP \
  -f overrides.yaml \
  --dry-run=server
```
2. Installation des Diagramms:
```
helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set envgroup=$ENV_GROUP \
  -f overrides.yaml
```
  Hinweis: ENV_GROUP darf im Namespace apigee nur einmal vorkommen. Wenn Sie beispielsweise eine prod-Umgebung und -Umgebungsgruppe haben, sollten Sie diesen Namen auf prod-envgroup setzen. Der spätere Umgebungsgruppenname sollte weiterhin prod sein.
3. Prüfen Sie den Status der ApigeeRoute (AR).
  Durch die Installation von virtualhosts wird ApigeeRouteConfig (ARC) erstellt. Dieses Element erstellt intern ApigeeRoute (ARC), nachdem der Apigee-Watcher die Umgebungsgruppendetails aus der Steuerungsebene abgerufen hat. Prüfen Sie daher, ob die entsprechende AR ausgeführt wird:
```
kubectl -n APIGEE_NAMESPACE get arc
```
```
NAME                                STATE   AGE
apigee-org1-dev-egroup                       2m
```
```
kubectl -n APIGEE_NAMESPACE get ar
```
```
NAME                                                        STATE     AGE
apigee-ingressgateway-internal-chaining-my-project-123abcd   running   19m
my-project-myenvgroup-000-321dcba                            running   2m30s
```

JSON-Dateien

Wenn Sie dies nicht getan haben, rufen Sie das APIGEE_HELM_CHARTS_HOME-Verzeichnis auf. Führen Sie die folgenden Befehle in diesem Verzeichnis aus.

Installieren Sie Apigee Operator/Controller:

Hinweis: Für diesen Schritt sind höhere Clusterberechtigungen erforderlich. Führen Sie helm -h oder helm install -h aus, um Details zu erfahren.

Probelauf:

helm upgrade operator apigee-operator/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade operator apigee-operator/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie die Installation des Apigee-Operators:

helm ls -n APIGEE_NAMESPACE

NAME       NAMESPACE       REVISION   UPDATED                                STATUS     CHART                                       APP VERSION
operator   apigee   3          2025-06-26 00:42:44.492009 -0800 PST   deployed   apigee-operator-1.15.1   1.15.1

Prüfen Sie, ob er aktiv ist, indem Sie die Verfügbarkeit prüfen:

kubectl -n APIGEE_NAMESPACE get deploy apigee-controller-manager

NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
apigee-controller-manager   1/1     1            1           34s

Installieren Sie den Apigee-Datenspeicher:

Probelauf:

helm upgrade datastore apigee-datastore/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade datastore apigee-datastore/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie, ob apigeedatastore ausgeführt wird. Prüfen Sie dazu dessen Status, bevor Sie mit dem nächsten Schritt fortfahren:
```
kubectl -n APIGEE_NAMESPACE get apigeedatastore default
```
```
NAME      STATE       AGE
default   running    51s
```

Installieren Sie die Apigee-Telemetrie:

Probelauf:

helm upgrade telemetry apigee-telemetry/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade telemetry apigee-telemetry/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status, um sicherzustellen, dass dieses Element aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeetelemetry apigee-telemetry

NAME               STATE     AGE
apigee-telemetry   running   55s

Installieren Sie Apigee Redis:

Probelauf:

helm upgrade redis apigee-redis/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade redis apigee-redis/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status, um sicherzustellen, dass dieses Element aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeeredis default

NAME      STATE     AGE
default   running   79s

Installieren Sie den Apigee-Ingress-Manager:

Probelauf:

helm upgrade ingress-manager apigee-ingress-manager/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade ingress-manager apigee-ingress-manager/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie, ob er aktiv ist, indem Sie die Verfügbarkeit prüfen:

kubectl -n APIGEE_NAMESPACE get deployment apigee-ingressgateway-manager

NAME                            READY   UP-TO-DATE   AVAILABLE   AGE
apigee-ingressgateway-manager   2/2     2            2           16s

Installieren Sie die Apigee-Organisation: Wenn Sie die Umgebungsvariable $ORG_NAME in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden:

Probelauf:

helm upgrade $ORG_NAME apigee-org/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade $ORG_NAME apigee-org/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status der entsprechenden Organisation, um sicherzustellen, dass sie aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeeorg

NAME                      STATE     AGE
my-project-123abcd        running   4m18s

Installieren Sie die Umgebung:

Sie dürfen jeweils nur eine Umgebung installieren. Geben Sie die Umgebung mit --set env=ENV_NAME an: Wenn Sie die Umgebungsvariable $ENV_NAME in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden:
1. Probelauf:
```
helm upgrade ENV_RELEASE_NAME apigee-env/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set env=$ENV_NAME \
  -f overrides.yaml \
  --dry-run=server
```
2. Installation des Diagramms:
```
helm upgrade ENV_RELEASE_NAME apigee-env/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set env=$ENV_NAME \
  -f overrides.yaml
```
3. Prüfen Sie, ob sie aktiv ist, indem Sie den Status der entsprechenden Umgebung prüfen:
```
kubectl -n APIGEE_NAMESPACE get apigeeenv
```
```
NAME                       STATE     AGE   GATEWAYTYPE
apigee-my-project-my-env   running   3m1s
```
Installieren Sie die Umgebungsgruppen (virtualhosts).
1. Sie dürfen jeweils nur eine Umgebungsgruppe (virtualhost) installieren. Geben Sie die Umgebungsgruppe mit --set envgroup=ENV_GROUP an: Wenn Sie die Umgebungsvariable $ENV_GROUP in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden. Wiederholen Sie folgende Befehle für alle Umgebungsgruppen, die in der Datei overrides.yaml erwähnt werden:
  Probelauf:
```
helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set envgroup=$ENV_GROUP \
  -f overrides.yaml \
  --dry-run=server
```
2. Installation des Diagramms:
```
helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set envgroup=$ENV_GROUP \
  -f overrides.yaml
```
  Hinweis: ENV_GROUP darf im Namespace apigee nur einmal vorkommen. Wenn Sie beispielsweise eine prod-Umgebung und -Umgebungsgruppe haben, sollten Sie diesen Namen auf prod-envgroup setzen. Der spätere Umgebungsgruppenname sollte weiterhin prod sein.
3. Prüfen Sie den Status der ApigeeRoute (AR).
  Durch die Installation von virtualhosts wird ApigeeRouteConfig (ARC) erstellt. Dieses Element erstellt intern ApigeeRoute (ARC), nachdem der Apigee-Watcher die Umgebungsgruppendetails aus der Steuerungsebene abgerufen hat. Prüfen Sie daher, ob die entsprechende AR ausgeführt wird:
```
kubectl -n APIGEE_NAMESPACE get arc
```
```
NAME                                STATE   AGE
apigee-org1-dev-egroup                       2m
```
```
kubectl -n APIGEE_NAMESPACE get ar
```
```
NAME                                                        STATE     AGE
apigee-ingressgateway-internal-chaining-my-project-123abcd   running   19m
my-project-myenvgroup-000-321dcba                            running   2m30s
```

Vault

Wenn Sie dies nicht getan haben, rufen Sie das APIGEE_HELM_CHARTS_HOME-Verzeichnis auf. Führen Sie die folgenden Befehle in diesem Verzeichnis aus.

Installieren Sie Apigee Operator/Controller:

Hinweis: Für diesen Schritt sind höhere Clusterberechtigungen erforderlich. Führen Sie helm -h oder helm install -h aus, um Details zu erfahren.

Probelauf:

helm upgrade operator apigee-operator/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade operator apigee-operator/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie die Installation des Apigee-Operators:

helm ls -n APIGEE_NAMESPACE

NAME       NAMESPACE       REVISION   UPDATED                                STATUS     CHART                                       APP VERSION
operator   apigee   3          2025-06-26 00:42:44.492009 -0800 PST   deployed   apigee-operator-1.15.1   1.15.1

Prüfen Sie, ob er aktiv ist, indem Sie die Verfügbarkeit prüfen:

kubectl -n APIGEE_NAMESPACE get deploy apigee-controller-manager

NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
apigee-controller-manager   1/1     1            1           34s

Installieren Sie den Apigee-Datenspeicher:

Probelauf:

helm upgrade datastore apigee-datastore/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade datastore apigee-datastore/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie, ob apigeedatastore ausgeführt wird. Prüfen Sie dazu dessen Status, bevor Sie mit dem nächsten Schritt fortfahren:
```
kubectl -n APIGEE_NAMESPACE get apigeedatastore default
```
```
NAME      STATE       AGE
default   running    51s
```

Installieren Sie die Apigee-Telemetrie:

Probelauf:

helm upgrade telemetry apigee-telemetry/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade telemetry apigee-telemetry/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status, um sicherzustellen, dass dieses Element aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeetelemetry apigee-telemetry

NAME               STATE     AGE
apigee-telemetry   running   55s

Installieren Sie Apigee Redis:

Probelauf:

helm upgrade redis apigee-redis/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade redis apigee-redis/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status, um sicherzustellen, dass dieses Element aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeeredis default

NAME      STATE     AGE
default   running   79s

Installieren Sie den Apigee-Ingress-Manager:

Probelauf:

helm upgrade ingress-manager apigee-ingress-manager/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade ingress-manager apigee-ingress-manager/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie, ob er aktiv ist, indem Sie die Verfügbarkeit prüfen:

kubectl -n APIGEE_NAMESPACE get deployment apigee-ingressgateway-manager

NAME                            READY   UP-TO-DATE   AVAILABLE   AGE
apigee-ingressgateway-manager   2/2     2            2           16s

Installieren Sie die Apigee-Organisation: Wenn Sie die Umgebungsvariable $ORG_NAME in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden:

Probelauf:

helm upgrade $ORG_NAME apigee-org/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade $ORG_NAME apigee-org/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status der entsprechenden Organisation, um sicherzustellen, dass sie aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeeorg

NAME                      STATE     AGE
my-project-123abcd        running   4m18s

Installieren Sie die Umgebung:

Sie dürfen jeweils nur eine Umgebung installieren. Geben Sie die Umgebung mit --set env=ENV_NAME an: Wenn Sie die Umgebungsvariable $ENV_NAME in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden:
1. Probelauf:
```
helm upgrade ENV_RELEASE_NAME apigee-env/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set env=$ENV_NAME \
  -f overrides.yaml \
  --dry-run=server
```
2. Installation des Diagramms:
```
helm upgrade ENV_RELEASE_NAME apigee-env/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set env=$ENV_NAME \
  -f overrides.yaml
```
3. Prüfen Sie, ob sie aktiv ist, indem Sie den Status der entsprechenden Umgebung prüfen:
```
kubectl -n APIGEE_NAMESPACE get apigeeenv
```
```
NAME                       STATE     AGE   GATEWAYTYPE
apigee-my-project-my-env   running   3m1s
```
Installieren Sie die Umgebungsgruppen (virtualhosts).
1. Sie dürfen jeweils nur eine Umgebungsgruppe (virtualhost) installieren. Geben Sie die Umgebungsgruppe mit --set envgroup=ENV_GROUP an: Wenn Sie die Umgebungsvariable $ENV_GROUP in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden. Wiederholen Sie folgende Befehle für alle Umgebungsgruppen, die in der Datei overrides.yaml erwähnt werden:
  Probelauf:
```
helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set envgroup=$ENV_GROUP \
  -f overrides.yaml \
  --dry-run=server
```
2. Installation des Diagramms:
```
helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set envgroup=$ENV_GROUP \
  -f overrides.yaml
```
  Hinweis: ENV_GROUP darf im Namespace apigee nur einmal vorkommen. Wenn Sie beispielsweise eine prod-Umgebung und -Umgebungsgruppe haben, sollten Sie diesen Namen auf prod-envgroup setzen. Der spätere Umgebungsgruppenname sollte weiterhin prod sein.
3. Prüfen Sie den Status der ApigeeRoute (AR).
  Durch die Installation von virtualhosts wird ApigeeRouteConfig (ARC) erstellt. Dieses Element erstellt intern ApigeeRoute (ARC), nachdem der Apigee-Watcher die Umgebungsgruppendetails aus der Steuerungsebene abgerufen hat. Prüfen Sie daher, ob die entsprechende AR ausgeführt wird:
```
kubectl -n APIGEE_NAMESPACE get arc
```
```
NAME                                STATE   AGE
apigee-org1-dev-egroup                       2m
```
```
kubectl -n APIGEE_NAMESPACE get ar
```
```
NAME                                                        STATE     AGE
apigee-ingressgateway-internal-chaining-my-project-123abcd   running   19m
my-project-myenvgroup-000-321dcba                            running   2m30s
```

WIF für GKE

Wenn Sie dies nicht getan haben, rufen Sie das APIGEE_HELM_CHARTS_HOME-Verzeichnis auf. Führen Sie die folgenden Befehle in diesem Verzeichnis aus.

Installieren Sie Apigee Operator/Controller:

Hinweis: Für diesen Schritt sind höhere Clusterberechtigungen erforderlich. Führen Sie helm -h oder helm install -h aus, um Details zu erfahren.

Probelauf:

helm upgrade operator apigee-operator/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade operator apigee-operator/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie die Installation des Apigee-Operators:

helm ls -n APIGEE_NAMESPACE

NAME       NAMESPACE       REVISION   UPDATED                                STATUS     CHART                                       APP VERSION
operator   apigee   3          2025-06-26 00:42:44.492009 -0800 PST   deployed   apigee-operator-1.15.1   1.15.1

Prüfen Sie, ob er aktiv ist, indem Sie die Verfügbarkeit prüfen:

kubectl -n APIGEE_NAMESPACE get deploy apigee-controller-manager

NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
apigee-controller-manager   1/1     1            1           34s

Installieren Sie den Apigee-Datenspeicher:

Probelauf:

helm upgrade datastore apigee-datastore/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Richten Sie die Dienstkontobindungen für Cassandra für die Workload Identity Federation for GKE ein:

Die Ausgabe des Befehls helm upgrade sollte Befehle im Abschnitt NOTES enthalten. Folgen Sie diesen Befehlen, um die Dienstkontobindungen einzurichten. Es sollten zwei Befehle in folgender Form vorhanden sein:

Produktion

gcloud iam service-accounts add-iam-policy-binding CASSANDRA_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-cassandra-default]" \
  --project PROJECT_ID

Non-prod

gcloud iam service-accounts add-iam-policy-binding NON_PROD_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-cassandra-default]" \
  --project PROJECT_ID

Und:

Produktion

kubectl annotate serviceaccount apigee-cassandra-default \
  iam.gke.io/gcp-service-account=CASSANDRA_SERVICE_ACCOUNT_EMAIL \
  --namespace APIGEE_NAMESPACE

Non-prod

kubectl annotate serviceaccount apigee-cassandra-default \
  iam.gke.io/gcp-service-account=NON_PROD_SERVICE_ACCOUNT_EMAIL \
  --namespace APIGEE_NAMESPACE

Beispiel:

Produktion

NOTES:
For Cassandra backup GKE Workload Identity, please make sure to add the following membership to the IAM policy binding using the respective kubernetes SA (KSA).
  gcloud iam service-accounts add-iam-policy-binding apigee-cassandra@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-cassandra-default]" \
        --project my-project

  kubectl annotate serviceaccount apigee-cassandra-default \
        iam.gke.io/gcp-service-account=apigee-cassandra@my-project.iam.gserviceaccount.com \
        --namespace apigee

Non-prod

NOTES:
For Cassandra backup GKE Workload Identity, please make sure to add the following membership to the IAM policy binding using the respective kubernetes SA (KSA).
  gcloud iam service-accounts add-iam-policy-binding apigee-non-prod@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-cassandra-default]" \
        --project my-project

  kubectl annotate serviceaccount apigee-cassandra-default \
        iam.gke.io/gcp-service-account=apigee-non-prod@my-project.iam.gserviceaccount.com \
        --namespace apigee

Optional:Wenn Sie die Cassandra-Sicherung jetzt nicht einrichten möchten, bearbeiten Sie die Datei mit Überschreibungen, um den cassandra.backup-Abschnitt zu entfernen oder auszukommentieren, bevor Sie den Befehl helm upgrade ohne das Flag --dry-run ausführen. Weitere Informationen zum Konfigurieren der Cassandra-Sicherung finden Sie unter Cassandra-Sicherung und ‑Wiederherstellung.

Installation des Diagramms:

helm upgrade datastore apigee-datastore/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie, ob apigeedatastore ausgeführt wird. Prüfen Sie dazu dessen Status, bevor Sie mit dem nächsten Schritt fortfahren:
```
kubectl -n APIGEE_NAMESPACE get apigeedatastore default
```
```
NAME      STATE       AGE
default   running    51s
```

Installieren Sie die Apigee-Telemetrie:

Probelauf:

helm upgrade telemetry apigee-telemetry/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Richten Sie die Dienstkontobindungen für Loggeer und Metrics für die Workload Identity-Föderation für GKE ein:

Logger KSA: apigee-logger-apigee-telemetry

gcloud iam service-accounts add-iam-policy-binding LOGGER_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-logger-apigee-telemetry]" \
  --project PROJECT_ID

Messwerte für KSA:apigee-metrics-sa

Produktion

gcloud iam service-accounts add-iam-policy-binding METRICS_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-metrics-sa]" \
  --project PROJECT_ID

Non-prod

gcloud iam service-accounts add-iam-policy-binding NON_PROD_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-metrics-sa]" \
  --project PROJECT_ID

Beispiel:

Produktion

NOTES:
For GKE Workload Identity, please make sure to add the following membership to the IAM policy binding using the respective kubernetes SA (KSA).
  Logger KSA: apigee-logger-apigee-telemetry
  gcloud iam service-accounts add-iam-policy-binding apigee-logger@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-logger-apigee-telemetry]" \
        --project my-project

  Metrics KSA: apigee-metrics-sa
  gcloud iam service-accounts add-iam-policy-binding apigee-metrics@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-metrics-sa]" \
        --project my-project

Non-prod

NOTES:
For GKE Workload Identity, please make sure to add the following membership to the IAM policy binding using the respective kubernetes SA (KSA).
  Logger KSA: apigee-logger-apigee-telemetry
  gcloud iam service-accounts add-iam-policy-binding apigee-non-prod@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-logger-apigee-telemetry]" \
        --project my-project

  Metrics KSA: apigee-metrics-sa
  gcloud iam service-accounts add-iam-policy-binding apigee-non-prod@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-metrics-sa]" \
        --project my-project

Installation des Diagramms:

helm upgrade telemetry apigee-telemetry/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status, um sicherzustellen, dass dieses Element aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeetelemetry apigee-telemetry

NAME               STATE     AGE
apigee-telemetry   running   55s

Installieren Sie Apigee Redis:

Probelauf:

helm upgrade redis apigee-redis/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade redis apigee-redis/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status, um sicherzustellen, dass dieses Element aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeeredis default

NAME      STATE     AGE
default   running   79s

Installieren Sie den Apigee-Ingress-Manager:

Probelauf:

helm upgrade ingress-manager apigee-ingress-manager/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade ingress-manager apigee-ingress-manager/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie, ob er aktiv ist, indem Sie die Verfügbarkeit prüfen:

kubectl -n APIGEE_NAMESPACE get deployment apigee-ingressgateway-manager

NAME                            READY   UP-TO-DATE   AVAILABLE   AGE
apigee-ingressgateway-manager   2/2     2            2           16s

Installieren Sie die Apigee-Organisation: Wenn Sie die Umgebungsvariable $ORG_NAME in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden:

Probelauf:

helm upgrade $ORG_NAME apigee-org/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Richten Sie die Dienstkontobindungen für Komponenten mit Organisationsbereich für die Workload Identity Federation for GKE, MART, Apigee Connect, UDCA und Watcher ein.

Die Ausgabe des Befehls helm upgrade sollte Befehle im Abschnitt NOTES enthalten. Folgen Sie diesen Befehlen, um die Dienstkontobindungen einzurichten. Es sollten vier Befehle sein.

Hinweis:Die KSA-Namen enthalten eine eindeutige Hash-ID für Ihre Organisation, z. B. apigee-mart-my-project-123abcd-sa.

MART KSA: apigee-mart-PROJECT_ID-ORG_HASH_ID-sa

Produktion

gcloud iam service-accounts add-iam-policy-binding MART_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-mart-PROJECT_ID-ORG_HASH_ID-sa]" \
  --project PROJECT_ID

Non-prod

gcloud iam service-accounts add-iam-policy-binding NON_PROD_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-mart-PROJECT_ID-ORG_HASH_ID-sa]" \
  --project PROJECT_ID

Connect Agent KSA:apigee-connect-agent-PROJECT_ID-ORG_HASH_ID-sa

Produktion

gcloud iam service-accounts add-iam-policy-binding MART_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-connect-agent-PROJECT_ID-ORG_HASH_ID-sa]" \
  --project PROJECT_ID

Non-prod

gcloud iam service-accounts add-iam-policy-binding NON_PROD_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-connect-agent-PROJECT_ID-ORG_HASH_ID-sa]" \
  --project PROJECT_ID

Mint Task Scheduler KSA: (Wenn Sie Monetization for Apigee Hybrid verwenden) apigee-mint-task-scheduler-PROJECT_ID-ORG_HASH_ID-sa

Produktion

gcloud iam service-accounts add-iam-policy-binding MINT_TASK_SCHEDULER_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-mint-task-scheduler-PROJECT_ID-ORG_HASH_ID-sa]" \
  --project PROJECT_ID

Non-prod

gcloud iam service-accounts add-iam-policy-binding NON_PROD_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-mint-task-scheduler-PROJECT_ID-ORG_HASH_ID-sa]" \
  --project PROJECT_ID

UDCA KSA: apigee-udca-PROJECT_ID-ORG_HASH_ID-sa

Produktion

gcloud iam service-accounts add-iam-policy-binding UDCA_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-udca-PROJECT_ID-ORG_HASH_ID-sa]" \
  --project PROJECT_ID

Non-prod

gcloud iam service-accounts add-iam-policy-binding NON_PROD_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-udca-PROJECT_ID-ORG_HASH_ID-sa]" \
  --project PROJECT_ID

Watcher KSA: apigee-watcher-PROJECT_ID-ORG_HASH_ID-sa

Produktion

gcloud iam service-accounts add-iam-policy-binding WATCHER_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-watcher-PROJECT_ID-ORG_HASH_ID-sa]" \
  --project PROJECT_ID

Non-prod

gcloud iam service-accounts add-iam-policy-binding NON_PROD_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-watcher-PROJECT_ID-ORG_HASH_ID-sa]" \
  --project PROJECT_ID

Beispiel:

Produktion

NOTES:
For Apigee Organization GKE Workload Identity, my-project, please make sure to add the following membership to the IAM policy binding using the respective kubernetes SA (KSA).


  MART KSA: apigee-mart-my-project-1a2b3c4-sa
  gcloud iam service-accounts add-iam-policy-binding apigee-mart@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-mart-my-project-1a2b3c4-sa]" \
        --project my-project


  Connect Agent KSA: apigee-connect-agent-my-project-1a2b3c4-sa
  gcloud iam service-accounts add-iam-policy-binding apigee-mart@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-connect-agent-my-project-1a2b3c4-sa]" \
        --project my-project


  Mint task scheduler KSA: apigee-mint-task-scheduler-my-project-1a2b3c4-sa
  gcloud iam service-accounts add-iam-policy-binding apigee-mint-task-scheduler@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-mint-task-scheduler-my-project-1a2b3c4-sa]" \
        --project my-project


  UDCA KSA: apigee-udca-my-project-1a2b3c4-sa
  gcloud iam service-accounts add-iam-policy-binding apigee-udca@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-udca-my-project-1a2b3c4-sa]" \
        --project my-project


  Watcher KSA: apigee-watcher-my-project-1a2b3c4-sa
  gcloud iam service-accounts add-iam-policy-binding apigee-watcher@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-watcher-my-project-1a2b3c4-sa]" \
        --project my-project

Non-prod

NOTES:
For Apigee Organization GKE Workload Identity, my-project, please make sure to add the following membership to the IAM policy binding using the respective kubernetes SA (KSA).

  MART KSA: apigee-mart-my-project-1a2b3c4-sa
  gcloud iam service-accounts add-iam-policy-binding apigee-non-prod@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-mart-my-project-1a2b3c4-sa]" \
        --project my-project


  Connect Agent KSA: apigee-connect-agent-my-project-1a2b3c4-sa
  gcloud iam service-accounts add-iam-policy-binding apigee-non-prod@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-connect-agent-my-project-1a2b3c4-sa]" \
        --project my-project


  UDCA KSA: apigee-udca-my-project-1a2b3c4-sa
  gcloud iam service-accounts add-iam-policy-binding apigee-non-prod@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-udca-my-project-1a2b3c4-sa]" \
        --project my-project


  Watcher KSA: apigee-watcher-my-project-1a2b3c4-sa
  gcloud iam service-accounts add-iam-policy-binding apigee-non-prod@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-watcher-my-project-1a2b3c4-sa]" \
        --project my-project

Installation des Diagramms:

helm upgrade $ORG_NAME apigee-org/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status der entsprechenden Organisation, um sicherzustellen, dass sie aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeeorg

NAME                      STATE     AGE
my-project-123abcd        running   4m18s

Installieren Sie die Umgebung:

Sie dürfen jeweils nur eine Umgebung installieren. Geben Sie die Umgebung mit --set env=ENV_NAME an: Wenn Sie die Umgebungsvariable $ENV_NAME in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden:

Probelauf:
```
helm upgrade ENV_RELEASE_NAME apigee-env/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set env=$ENV_NAME \
  -f overrides.yaml \
  --dry-run=server
```

Richten Sie die Dienstkontobindungen für Komponenten mit Umgebungsbereich für Workload Identity Federation for GKE, Runtime, Synchronizer und UDCA ein.

Die Ausgabe des Befehls helm upgrade sollte Befehle im Abschnitt NOTES enthalten. Folgen Sie diesen Befehlen, um die Dienstkontobindungen einzurichten. Es sollten vier Befehle sein.

Hinweis:Die KSA-Namen enthalten eine eindeutige Hash-ID für Ihre Umgebung, z. B. apigee-mart-my-project--myenv-abc1234-sa.

Laufzeit-KSA:apigee-runtime-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa

Produktion

gcloud iam service-accounts add-iam-policy-binding RUNTIME_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-runtime-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa]" \
  --project PROJECT_ID

Non-prod

gcloud iam service-accounts add-iam-policy-binding NON_PROD_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-runtime-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa]" \
  --project PROJECT_ID

Synchronizer KSA: apigee-synchronizer-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa

Produktion

gcloud iam service-accounts add-iam-policy-binding SYNCHRONIZER_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-synchronizer-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa]" \
  --project PROJECT_ID

Non-prod

gcloud iam service-accounts add-iam-policy-binding NON_PROD_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-synchronizer-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa]" \
  --project PROJECT_ID

UDCA KSA: apigee-udca-PROJECT_ID-ORG_HASH_ID-ENV_NAME-ENV_HASH_ID-sa

Produktion

gcloud iam service-accounts add-iam-policy-binding UDCA_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-udca-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa]" \
  --project PROJECT_ID

Non-prod

gcloud iam service-accounts add-iam-policy-binding NON_PROD_SERVICE_ACCOUNT_EMAIL \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[apigee/apigee-udca-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa]" \
  --project PROJECT_ID

Beispiel:

NOTES:
For Apigee Environment GKE Workload Identity, my-env, please make sure to add the following membership to the IAM policy binding using the respective kubernetes SA (KSA).


  Runtime KSA: apigee-runtime-my-project-my-env-b2c3d4e-sa
  gcloud iam service-accounts add-iam-policy-binding apigee-runtime@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-runtime-my-project-my-env-b2c3d4e-sa]" \
        --project my-project


  Synchronizer KSA: apigee-synchronizer-my-project-my-env-b2c3d4e-sa
  gcloud iam service-accounts add-iam-policy-binding apigee-synchronizer@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-synchronizer-my-project-my-env-b2c3d4e-sa]" \
        --project my-project


  UDCA KSA: apigee-udca-my-project-my-env-b2c3d4e-sa:
  gcloud iam service-accounts add-iam-policy-binding apigee-udca@my-project.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:my-project.svc.id.goog[apigee/apigee-udca-my-project-my-env-b2c3d4e-sa]" \
        --project my-project

Installation des Diagramms:

helm upgrade ENV_RELEASE_NAME apigee-env/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set env=$ENV_NAME \
  -f overrides.yaml

Prüfen Sie, ob sie aktiv ist, indem Sie den Status der entsprechenden Umgebung prüfen:

kubectl -n APIGEE_NAMESPACE get apigeeenv

NAME                       STATE     AGE   GATEWAYTYPE
apigee-my-project-my-env   running   3m1s

Installieren Sie die Umgebungsgruppen (virtualhosts).
1. Sie dürfen jeweils nur eine Umgebungsgruppe (virtualhost) installieren. Geben Sie die Umgebungsgruppe mit --set envgroup=ENV_GROUP an: Wenn Sie die Umgebungsvariable $ENV_GROUP in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden. Wiederholen Sie folgende Befehle für alle Umgebungsgruppen, die in der Datei overrides.yaml erwähnt werden:
  Probelauf:
```
helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set envgroup=$ENV_GROUP \
  -f overrides.yaml \
  --dry-run=server
```
2. Installation des Diagramms:
```
helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set envgroup=$ENV_GROUP \
  -f overrides.yaml
```
  Hinweis: ENV_GROUP darf im Namespace apigee nur einmal vorkommen. Wenn Sie beispielsweise eine prod-Umgebung und -Umgebungsgruppe haben, sollten Sie diesen Namen auf prod-envgroup setzen. Der spätere Umgebungsgruppenname sollte weiterhin prod sein.
3. Prüfen Sie den Status der ApigeeRoute (AR).
  Durch die Installation von virtualhosts wird ApigeeRouteConfig (ARC) erstellt. Dieses Element erstellt intern ApigeeRoute (ARC), nachdem der Apigee-Watcher die Umgebungsgruppendetails aus der Steuerungsebene abgerufen hat. Prüfen Sie daher, ob die entsprechende AR ausgeführt wird:
```
kubectl -n APIGEE_NAMESPACE get arc
```
```
NAME                                STATE   AGE
apigee-org1-dev-egroup                       2m
```
```
kubectl -n APIGEE_NAMESPACE get ar
```
```
NAME                                                        STATE     AGE
apigee-ingressgateway-internal-chaining-my-project-123abcd   running   19m
my-project-myenvgroup-000-321dcba                            running   2m30s
```
(Optional) Sie können den Status Ihrer Kubernetes-Dienstkonten auf der Seite Kubernetes: Arbeitslasten – Übersicht von Google Cloud consolesehen.
Zu Arbeitslasten

Hinweis:Für das Dienstkonto apigee-cassandra-backup wird möglicherweise ein Fehlerstatus angezeigt. Das liegt daran, dass Sie derzeit keine Sicherung oder Wiederherstellung ausführen und diese Prozesse noch nicht vollständig konfiguriert wurden. Weitere Informationen zum Sichern und Wiederherstellen in Cassandra finden Sie unter Cassandra-Sicherung – Übersicht.

WIF auf anderen Plattformen

Wenn Sie dies nicht getan haben, rufen Sie das APIGEE_HELM_CHARTS_HOME-Verzeichnis auf. Führen Sie die folgenden Befehle in diesem Verzeichnis aus.

Installieren Sie Apigee Operator/Controller:

Hinweis: Für diesen Schritt sind höhere Clusterberechtigungen erforderlich. Führen Sie helm -h oder helm install -h aus, um Details zu erfahren.

Probelauf:

helm upgrade operator apigee-operator/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade operator apigee-operator/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie die Installation des Apigee-Operators:

helm ls -n APIGEE_NAMESPACE

NAME       NAMESPACE       REVISION   UPDATED                                STATUS     CHART                                       APP VERSION
operator   apigee   3          2025-06-26 00:42:44.492009 -0800 PST   deployed   apigee-operator-1.15.1   1.15.1

Prüfen Sie, ob er aktiv ist, indem Sie die Verfügbarkeit prüfen:

kubectl -n APIGEE_NAMESPACE get deploy apigee-controller-manager

NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
apigee-controller-manager   1/1     1            1           34s

Installieren Sie den Apigee-Datenspeicher:

Probelauf:

helm upgrade datastore apigee-datastore/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade datastore apigee-datastore/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Wenn Sie Cassandra-Backups oder Cassandra-Wiederherstellung aktiviert haben, gewähren Sie den Cassandra-Kubernetes-Dienstkonten Zugriff, um die Identität des zugehörigen apigee-cassandraIAM-Dienstkontos zu übernehmen.

Listen Sie die E-Mail-Adressen des IAM-Dienstkontos für Cassandra auf:

Produktion

gcloud iam service-accounts list --project PROJECT_ID | grep "apigee-cassandra"

Non-prod

gcloud iam service-accounts list --project PROJECT_ID | grep "apigee-non-prod"

Die Ausgabe sollte in etwa so aussehen:

Produktion

apigee-cassandra      apigee-cassandra@my-project.iam.gserviceaccount.com      False

Non-prod

apigee-non-prod       apigee-non-prod@my-project.iam.gserviceaccount.com      False

Listen Sie die Cassandra-Kubernetes-Dienstkonten auf:

kubectl get serviceaccount -n APIGEE_NAMESPACE | grep "apigee-cassandra"

Die Ausgabe sollte in etwa so aussehen:

apigee-cassandra-backup-sa                       0   7m37s
apigee-cassandra-default                         0   7m12s
apigee-cassandra-guardrails-sa                   0   6m43s
apigee-cassandra-restore-sa                      0   7m37s
apigee-cassandra-schema-setup-my-project-1a2b2c4 0   7m30s
apigee-cassandra-schema-val-my-project-1a2b2c4   0   7m29s
apigee-cassandra-user-setup-my-project-1a2b2c4   0   7m22s

Wenn Sie die Kubernetes-Dienstkonten apigee-cassandra-backup-sa oder apigee-cassandra-restore-sa erstellt haben, gewähren Sie jedem von ihnen Zugriff, um die Identität des IAM-Dienstkontos apigee-cassandra zu übernehmen, indem Sie den folgenden Befehl ausführen:
Produktion
Vorlage

gcloud iam service-accounts add-iam-policy-binding \ CASSANDRA_IAM_SA_EMAIL \ --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \ --role=roles/iam.workloadIdentityUser
Beispiel

gcloud iam service-accounts add-iam-policy-binding \ apigee-cassandra@my-project.iam.gserviceaccount.com \ --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-cassandra-backup-sa" \ --role=roles/iam.workloadIdentityUser
Non-prod
Vorlage

gcloud iam service-accounts add-iam-policy-binding \ NON_PROD_IAM_SA_EMAIL \ --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \ --role=roles/iam.workloadIdentityUser
Beispiel

gcloud iam service-accounts add-iam-policy-binding \ apigee-non-prod@my-project.iam.gserviceaccount.com \ --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-cassandra-backup-sa" \ --role=roles/iam.workloadIdentityUser
Wobei:
- CASSANDRA_IAM_SA_EMAIL: die E‑Mail-Adresse des Cassandra-IAM-Dienstkontos.
- PROJECT_NUMBER ist die Projektnummer des Projekts, in dem Sie den Workload Identity-Pool erstellt haben.
  Hinweis:Sie müssen die Projektnummer in der Mitglieds-ID verwenden. Die Verwendung der Projekt-ID wird nicht unterstützt. Sie können die Projektnummer mit dem folgenden Befehl ermitteln:
```
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
```
- POOL_ID ist die ID des Workload Identity-Pools.
- MAPPED_SUBJECT: das Kubernetes-ServiceAccount aus der Anforderung in Ihrem ID-Token. In den meisten Hybrid-Installationen hat sie das Format system:serviceaccount:APIGEE_NAMESPACE:K8S_SA_NAME.
  - Für apigee-cassandra-backup-sa ist das etwas Ähnliches wie system:serviceaccount:apigee:apigee-cassandra-backup-sa.
  - Für apigee-cassandra-restore-sa ist das etwas Ähnliches wie system:serviceaccount:apigee:apigee-cassandra-restore-sa.
  Tipp:Im Schritt Cluster als Anbieter des Workload Identity-Pools hinzufügen> in Schritt 5: Dienstkonto-Authentifizierung einrichten haben Sie google.subject=assertions.sub zugeordnet. Der Wert von MAPPED_SUBJECT ist also der Wert im ID-Token nach "sub": . Sie können das zugeordnete Subjekt für ein Kubernetes-Dienstkonto finden, indem Sie im ID-Token nach sub gefolgt vom Namen des Dienstkontos suchen.
  Beispiel: Leiten Sie den Inhalt des ID-Tokens durch grep -E 'sub.*apigee-cassandra-backup-sa'.

Prüfen Sie, ob apigeedatastore ausgeführt wird. Prüfen Sie dazu dessen Status, bevor Sie mit dem nächsten Schritt fortfahren:
```
kubectl -n APIGEE_NAMESPACE get apigeedatastore default
```
```
NAME      STATE       AGE
default   running    51s
```

Installieren Sie die Apigee-Telemetrie:

Probelauf:

helm upgrade telemetry apigee-telemetry/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade telemetry apigee-telemetry/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status, um sicherzustellen, dass dieses Element aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeetelemetry apigee-telemetry

NAME               STATE     AGE
apigee-telemetry   running   55s

Gewähren Sie den Telemetrie-Kubernetes-Dienstkonten Zugriff, um die Identität des zugehörigen apigee-metricsIAM-Dienstkontos zu übernehmen.

Listen Sie die E-Mail-Adresse des IAM-Dienstkontos für Messwerte auf:

Produktion

gcloud iam service-accounts list --project PROJECT_ID | grep "apigee-metrics"

Die Ausgabe sollte in etwa so aussehen:

apigee-metrics   apigee-metrics@my-project.iam.gserviceaccount.com   False

Non-prod

gcloud iam service-accounts list --project PROJECT_ID | grep "apigee-non-prod"

Die Ausgabe sollte in etwa so aussehen:

apigee-non-prod   apigee-non-prod@my-project.iam.gserviceaccount.com   False

Listen Sie die Kubernetes-Dienstkonten für die Telemetrie auf:

kubectl get serviceaccount -n APIGEE_NAMESPACE | grep "telemetry"

Die Ausgabe sollte in etwa so aussehen:

apigee-metrics-apigee-telemetry                    0   42m
apigee-open-telemetry-collector-apigee-telemetry   0   37m

Gewähren Sie jedem der Telemetrie-Kubernetes-Dienstkonten Zugriff, um die Identität des apigee-metrics-IAM-Dienstkontos zu übernehmen, indem Sie den folgenden Befehl ausführen:

Produktion

Apigee-Messwerte – KSA:apigee-metrics-apigee-telemetry bis apigee-metrics Google IAM-Dienstkonto

Code

gcloud iam service-accounts add-iam-policy-binding \
  METRICS_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-metrics@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-metrics-apigee-telemetry" \
    --role=roles/iam.workloadIdentityUser

Apigee OpenTelemetry Collector KSA:apigee-open-telemetry-collector-apigee-telemetry bis apigee-metrics Google IAM-Dienstkonto

Code

gcloud iam service-accounts add-iam-policy-binding \
  METRICS_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-metrics@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-open-telemetry-collector-apigee-telemetry" \
    --role=roles/iam.workloadIdentityUser

Non-prod

Apigee-Messwerte – KSA:apigee-metrics-apigee-telemetry bis apigee-non-prod Google IAM-Dienstkonto

Code

gcloud iam service-accounts add-iam-policy-binding \
  NON_PROD_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-non-prod@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-metrics-apigee-telemetry" \
    --role=roles/iam.workloadIdentityUser

Apigee OpenTelemetry Collector KSA:apigee-open-telemetry-collector-apigee-telemetry bis apigee-non-prod Google IAM-Dienstkonto

Code

gcloud iam service-accounts add-iam-policy-binding \
  NON_PROD_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-non-prod@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-open-telemetry-collector-apigee-telemetry" \
    --role=roles/iam.workloadIdentityUser

Installieren Sie Apigee Redis:

Probelauf:

helm upgrade redis apigee-redis/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade redis apigee-redis/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status, um sicherzustellen, dass dieses Element aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeeredis default

NAME      STATE     AGE
default   running   79s

Installieren Sie den Apigee-Ingress-Manager:

Probelauf:

helm upgrade ingress-manager apigee-ingress-manager/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade ingress-manager apigee-ingress-manager/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie, ob er aktiv ist, indem Sie die Verfügbarkeit prüfen:

kubectl -n APIGEE_NAMESPACE get deployment apigee-ingressgateway-manager

NAME                            READY   UP-TO-DATE   AVAILABLE   AGE
apigee-ingressgateway-manager   2/2     2            2           16s

Installieren Sie die Apigee-Organisation: Wenn Sie die Umgebungsvariable $ORG_NAME in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden:

Probelauf:

helm upgrade $ORG_NAME apigee-org/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml \
  --dry-run=server

Installation des Diagramms:

helm upgrade $ORG_NAME apigee-org/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  -f overrides.yaml

Prüfen Sie den Status der entsprechenden Organisation, um sicherzustellen, dass sie aktiv ist:

kubectl -n APIGEE_NAMESPACE get apigeeorg

NAME                      STATE     AGE
my-project-123abcd        running   4m18s

Gewähren Sie den Kubernetes-Dienstkonten mit Organisationsbereich Zugriff, um die Identität der zugehörigen IAM-Dienstkonten zu übernehmen.

Listen Sie die E-Mail-Adressen der IAM-Dienstkonten auf, die von den Komponenten apigee-mart, apigee-udca und apigee-watcher verwendet werden:

Produktion

gcloud iam service-accounts list --project PROJECT_ID | grep "apigee-mart\|apigee-udca\|apigee-watcher"

Die Ausgabe sollte in etwa so aussehen:

apigee-mart      apigee-mart@my-project.iam.gserviceaccount.com      False
apigee-udca      apigee-udca@my-project.iam.gserviceaccount.com      False
apigee-watcher   apigee-watcher@my-project.iam.gserviceaccount.com   False

Wenn Sie Monetization for Apigee Hybrid verwenden, rufen Sie auch die E-Mail-Adresse des apigee-mint-task-scheduler-Dienstkontos ab.

gcloud iam service-accounts list --project PROJECT_ID | grep "apigee-mint-task-scheduler"

Die Ausgabe sollte in etwa so aussehen:

apigee-mint-task-scheduler   apigee-mint-task-scheduler@my-project.iam.gserviceaccount.com   False

Non-prod

gcloud iam service-accounts list --project PROJECT_ID | grep "apigee-non-prod"

Die Ausgabe sollte in etwa so aussehen:

apigee-non-prod     apigee-non-prod@my-project.iam.gserviceaccount.com         False

Listen Sie die Kubernetes-Dienstkonten mit Organisationsbereich auf:

kubectl get serviceaccount -n APIGEE_NAMESPACE | grep "apigee-connect-agent\|apigee-mart\|apigee-udca\|apigee-watcher"

Die Ausgabe sollte in etwa so aussehen:

apigee-connect-agent-my-project-123abcd         0   1h4m
apigee-mart-my-project-123abcd                  0   1h4m
apigee-mint-task-scheduler-my-project-123abcd   0   1h3m
apigee-udca-my-project-123abcd                  0   1h2m
apigee-watcher-my-project-123abcd               0   1h1m

Verwenden Sie die folgenden Befehle, um den Kubernetes-Dienstkonten mit Organisationsbereich Zugriff zu gewähren, damit sie die Identität der zugehörigen IAM-Dienstkonten übernehmen können:

Produktion

Connect-Agent-KSA:apigee-connect-agent-ORG_NAME-ORG_HASH_ID Kubernetes-Dienstkonto zu apigee-mart IAM-Dienstkonto.

Code

gcloud iam service-accounts add-iam-policy-binding \
  APIGEE_MART_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-mart@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-connect-agent-my-org-123abcd" \
    --role=roles/iam.workloadIdentityUser

MART-KSA:apigee-mart-ORG_NAME-ORG_HASH_ID Kubernetes-Dienstkonto für apigee-mart IAM-Dienstkonto. MART und der Connect-Agent verwenden dasselbe IAM-Dienstkonto.

Code

gcloud iam service-accounts add-iam-policy-binding \
  APIGEE_MART_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-mart@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-mart-my-org-123abcd" \
    --role=roles/iam.workloadIdentityUser

Mint-Aufgabenplaner KSA: (bei Verwendung von Monetization for Apigee Hybrid)

apigee-mint-task-scheduler-ORG_NAME-ORG_HASH_ID Kubernetes-Dienstkonto zum apigee-mint-task-scheduler IAM-Dienstkonto.

Code

gcloud iam service-accounts add-iam-policy-binding \
  APIGEE_MINT_TASK_SCHEDULER_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-mint-task-scheduler@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-mint-task-scheduler-my-org-123abcd" \
    --role=roles/iam.workloadIdentityUser

KSA für UDCA auf Organisationsebene:apigee-udca-ORG_NAME-ORG_HASH_ID Kubernetes-Dienstkonto für apigee-udca IAM-Dienstkonto.

Code

gcloud iam service-accounts add-iam-policy-binding \
  APIGEE_UDCA_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-udca-task-scheduler@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-udca-my-org-123abcd" \
    --role=roles/iam.workloadIdentityUser

Watcher-KSA:apigee-watcher-ORG_NAME-ORG_HASH_ID Kubernetes-Dienstkonto für das apigee-watcher-IAM-Dienstkonto.

Code

gcloud iam service-accounts add-iam-policy-binding \
  APIGEE_WATCHER_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-watcher@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-watcher-my-org-123abcd" \
    --role=roles/iam.workloadIdentityUser

Non-prod

Connect-Agent-KSA:apigee-connect-agent-ORG_NAME-ORG_HASH_ID Kubernetes-Dienstkonto zu apigee-non-prod IAM-Dienstkonto.

Code

gcloud iam service-accounts add-iam-policy-binding \
  NON_PROD_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-non-prod@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-connect-agent-my-org-123abcd" \
    --role=roles/iam.workloadIdentityUser

MART-KSA:apigee-mart-ORG_NAME-ORG_HASH_ID Kubernetes-Dienstkonto für apigee-non-prod IAM-Dienstkonto.

Code

gcloud iam service-accounts add-iam-policy-binding \
  NON_PROD_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-non-prod@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-mart-my-org-123abcd" \
    --role=roles/iam.workloadIdentityUser

Mint-Aufgabenplaner KSA: (bei Verwendung von Monetization for Apigee Hybrid)

apigee-mint-task-scheduler-ORG_NAME-UUIORG_HASH_IDD Kubernetes-Dienstkonto zum apigee-non-prod IAM-Dienstkonto.

Code

gcloud iam service-accounts add-iam-policy-binding \
  NON_PROD_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-non-prod@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-mint-task-scheduler-my-org-123abcd" \
    --role=roles/iam.workloadIdentityUser

KSA für UDCA auf Organisationsebene:apigee-udca-ORG_NAME-ORG_HASH_ID Kubernetes-Dienstkonto für apigee-non-prod IAM-Dienstkonto.

Code

gcloud iam service-accounts add-iam-policy-binding \
  NON_PROD_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-non-prod@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-udca-my-org-123abcd" \
    --role=roles/iam.workloadIdentityUser

Watcher-KSA:apigee-watcher-ORG_NAME-ORG_HASH_ID Kubernetes-Dienstkonto für das apigee-non-prod-IAM-Dienstkonto.

Code

gcloud iam service-accounts add-iam-policy-binding \
  NON_PROD_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-non-prod@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-watcher-my-org-123abcd" \
    --role=roles/iam.workloadIdentityUser

Installieren Sie die Umgebung:

Probelauf:
```
helm upgrade ENV_RELEASE_NAME apigee-env/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set env=$ENV_NAME \
  -f overrides.yaml \
  --dry-run=server
```

Installation des Diagramms:

helm upgrade ENV_RELEASE_NAME apigee-env/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set env=$ENV_NAME \
  -f overrides.yaml

Prüfen Sie, ob sie aktiv ist, indem Sie den Status der entsprechenden Umgebung prüfen:

kubectl -n APIGEE_NAMESPACE get apigeeenv

NAME                       STATE     AGE   GATEWAYTYPE
apigee-my-project-my-env   running   3m1s

Gewähren Sie den Kubernetes-Dienstkonten mit Umgebungsumfang Zugriff, um die Identität der zugehörigen IAM-Dienstkonten zu übernehmen.

Listen Sie die E-Mail-Adressen der IAM-Dienstkonten auf, die von den Komponenten apigee-runtime, apigee-synchronizer und apigee-udca verwendet werden:

Produktion

gcloud iam service-accounts list --project PROJECT_ID | grep "apigee-runtime\|apigee-synchronizer\|apigee-udca"

Non-prod

gcloud iam service-accounts list --project PROJECT_ID | grep "apigee-non-prod"

gcloud iam service-accounts list --project PROJECT_ID | grep "apigee-mart\|apigee-udca\|apigee-watcher"

Die Ausgabe sollte in etwa so aussehen:

Produktion

apigee-runtime         apigee-runtime@my-project.iam.gserviceaccount.com         False
apigee-synchronizer    apigee-synchronizer@my-project.iam.gserviceaccount.com      False
apigee-udca            apigee-udca@my-project.iam.gserviceaccount.com         False

Non-prod

apigee-non-prod     apigee-non-prod@my-project.iam.gserviceaccount.com         False

Listen Sie die Kubernetes-Dienstkonten mit Umgebungsumfang auf:

kubectl get serviceaccount -n APIGEE_NAMESPACE | grep "apigee-runtime\|apigee-synchronizer\|apigee-udca"

Die Ausgabe sollte in etwa so aussehen:

apigee-runtime-my-project--my-env-cdef123          0   19m
apigee-synchronizer-my-project-my-env-cdef123      0   17m
apigee-udca-my-project-123abcd                     0   1h29m
apigee-udca-my-project-my-env-cdef123              0   22m

Hinweis:Möglicherweise werden sowohl Kubernetes-Dienstkonten mit Organisations- als auch mit Umgebungsumfang angezeigt.apigee-udca In diesem Schritt gewähren Sie Zugriff auf das apigee-udca-Dienstkonto mit Umgebungsbereich.

Verwenden Sie den folgenden Befehl, um den Kubernetes-Dienstkonten mit Umgebungsbereich Zugriff zu gewähren, damit sie die Identität der zugehörigen IAM-Dienstkonten übernehmen können:

Produktion

Laufzeit-KSA:apigee-runtime-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa-KSA für apigee-runtime Google IAM SA

Code

gcloud iam service-accounts add-iam-policy-binding \
  RUNTIME_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-runtime@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-runtime-my-project-my-env-cdef123" \
    --role=roles/iam.workloadIdentityUser

Synchronizer-KSA:apigee-synchronizer-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa-KSA für apigee-synchronizer Google IAM-SA

Code

gcloud iam service-accounts add-iam-policy-binding \
  SYNCHRONIZER_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-synchronizer@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-synchronizer-my-project-my-env-cdef123" \
    --role=roles/iam.workloadIdentityUser

UDCA-KSA:apigee-udca-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa-KSA für apigee-udca Google IAM SA

Code

gcloud iam service-accounts add-iam-policy-binding \
  UDCA_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-udca@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-udca-my-project-my-env-cdef123" \
    --role=roles/iam.workloadIdentityUser

Non-prod

Laufzeit-KSA:apigee-runtime-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa-KSA für apigee-non-prod Google IAM SA

Code

gcloud iam service-accounts add-iam-policy-binding \
  NON_PROD_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-non-prod@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-runtime-my-project-my-env-cdef123" \
    --role=roles/iam.workloadIdentityUser

Non-prod

Synchronizer-KSA:apigee-synchronizer-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa-KSA für apigee-non-prod Google IAM-SA

Code

gcloud iam service-accounts add-iam-policy-binding \
  NON_PROD_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-non-prod@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-synchronizer-my-project-my-env-cdef123" \
    --role=roles/iam.workloadIdentityUser

Non-prod

UDCA-KSA:apigee-udca-PROJECT_ID-ENV_NAME-ENV_HASH_ID-sa-KSA für apigee-non-prod Google IAM SA

Code

gcloud iam service-accounts add-iam-policy-binding \
  NON_PROD_IAM_SA_EMAIL \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/MAPPED_SUBJECT" \
    --role=roles/iam.workloadIdentityUser

Beispiel

gcloud iam service-accounts add-iam-policy-binding \
  apigee-non-prod@my-project.iam.gserviceaccount.com \
    --member="principal://iam.googleapis.com/projects/1234567890/locations/global/workloadIdentityPools/my-pool/subject/system:serviceaccount:apigee:apigee-udca-my-project-my-env-cdef123" \
    --role=roles/iam.workloadIdentityUser

Installieren Sie die Umgebungsgruppen (virtualhosts).
1. Sie dürfen jeweils nur eine Umgebungsgruppe (virtualhost) installieren. Geben Sie die Umgebungsgruppe mit --set envgroup=ENV_GROUP an: Wenn Sie die Umgebungsvariable $ENV_GROUP in Ihrer Shell festgelegt haben, können Sie sie in den folgenden Befehlen verwenden. Wiederholen Sie folgende Befehle für alle Umgebungsgruppen, die in der Datei overrides.yaml erwähnt werden:
  Probelauf:
```
helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set envgroup=$ENV_GROUP \
  -f overrides.yaml \
  --dry-run=server
```
2. Installation des Diagramms:
```
helm upgrade ENV_GROUP_RELEASE_NAME apigee-virtualhost/ \
  --install \
  --namespace APIGEE_NAMESPACE \
  --atomic \
  --set envgroup=$ENV_GROUP \
  -f overrides.yaml
```
  Hinweis: ENV_GROUP darf im Namespace apigee nur einmal vorkommen. Wenn Sie beispielsweise eine prod-Umgebung und -Umgebungsgruppe haben, sollten Sie diesen Namen auf prod-envgroup setzen. Der spätere Umgebungsgruppenname sollte weiterhin prod sein.
3. Prüfen Sie den Status der ApigeeRoute (AR).
  Durch die Installation von virtualhosts wird ApigeeRouteConfig (ARC) erstellt. Dieses Element erstellt intern ApigeeRoute (ARC), nachdem der Apigee-Watcher die Umgebungsgruppendetails aus der Steuerungsebene abgerufen hat. Prüfen Sie daher, ob die entsprechende AR ausgeführt wird:
```
kubectl -n APIGEE_NAMESPACE get arc
```
```
NAME                                STATE   AGE
apigee-org1-dev-egroup                       2m
```
```
kubectl -n APIGEE_NAMESPACE get ar
```
```
NAME                                                        STATE     AGE
apigee-ingressgateway-internal-chaining-my-project-123abcd   running   19m
my-project-myenvgroup-000-321dcba                            running   2m30s
```

Nächster Schritt

Im nächsten Schritt konfigurieren Sie das Apigee Ingress-Gateway und stellen einen Proxy zum Testen der Installation bereit.

(WEITER) Schritt 1: Apigee-Ingress verfügbar machen 2

Schritt 11: Apigee Hybrid über Helm-Diagramme installieren Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Apigee Hybrid-Laufzeitkomponenten installieren

Hinweise vor der Installation

Installationsschritte

Kubernetes-Secrets

JSON-Dateien

Vault

WIF für GKE

Produktion

Non-prod

Produktion

Non-prod

Produktion

Non-prod

Produktion

Non-prod

Produktion

Non-prod

Produktion

Non-prod

Produktion

Non-prod

Produktion

Non-prod

Produktion

Non-prod

Produktion

Non-prod

Produktion

Non-prod

Produktion

Non-prod

Produktion

Non-prod

Produktion

Non-prod

WIF auf anderen Plattformen

Produktion

Non-prod

Produktion

Non-prod

Produktion

Vorlage

Beispiel

Non-prod

Vorlage

Beispiel

Produktion

Non-prod

Produktion

Code

Beispiel

Code

Beispiel

Non-prod

Code

Beispiel

Code

Beispiel

Produktion

Non-prod

Produktion

Code

Beispiel

Code

Beispiel

Code

Beispiel

Code

Beispiel

Code

Beispiel

Non-prod

Code

Beispiel

Code

Beispiel

Code

Beispiel

Code

Schritt 11: Apigee Hybrid über Helm-Diagramme installieren