此页面由 Cloud Translation API 翻译。

将 Apigee Adapter for Envoy 与 Apigee Edge 搭配使用

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档。信息

此示例演示了如何将 Apigee Adapter for Envoy 与 Apigee Edge 搭配使用。

前提条件

准备工作：
按照使用入门中的说明，下载并安装 Apigee Adapter for Envoy 远程服务和 CLI。

概览

此示例说明了如何将适用于 Envoy 的 Apigee Adapter 与适用于公有云的 Apigee Edge 搭配使用。API 代理调用流经作为原生应用运行的 Envoy，而 Edge 通过 Apigee Remote Service for Envoy 提供 API 管理服务。

下图显示了 Apigee Edge 集成的基本架构：

以原生方式运行以与 Apigee Edge Cloud 通信的 Envoy Adapter 简要视图，包括管理平面、运行时平面和 GCP 服务

Envoy 代理和远程服务在本地运行。Envoy 会处理进出目标服务的 API 流量，并与远程服务通信。远程服务还会与 Apigee Edge Cloud 通信，以检索 API 产品和代理信息。

预配 Apigee Edge

在此步骤中，您将使用 Remote Service CLI 将 Apigee Adapter for Envoy 资产预配到 Apigee Edge。预配命令会将 API 代理部署到 Apigee Edge，还会在 Apigee 上设置证书，并生成远程服务将用于从系统安全地连接到 Apigee 的凭据。

转到 $CLI_HOME 目录：
```
cd $CLI_HOME
```

创建以下环境变量：这些变量将用作预配脚本的参数：

export ORG=organization_name
export ENV=environment_name
export USER=your_apigee_username
export PASSWORD=your_apigee_password

其中：

变量	说明
`organization_name`	您的 Apigee 组织的名称。
`environment_name`	您的组织中环境的名称。
`your_apigee_username`	您的 Apigee 帐号用户名。通常，用户名是电子邮件地址。
`your_apigee_password`	您的 Apigee 密码。

执行以下命令，在 Apigee Edge 上预配远程服务代理：
注意：命令输出会重定向到您在后续步骤中使用的配置文件。
```
./apigee-remote-service-cli provision --legacy --mfa $MFA --username $USER --password $PASSWORD \
    --organization $ORG --environment $ENV > config.yaml
```
其中，$MFA 是 Apigee 多重授权令牌。

查看 config.yaml 文件的内容。显示的内容应如下所示：

# Configuration for apigee-remote-service-envoy (platform: SaaS)
# generated by apigee-remote-service-cli provision on 2020-08-26 09:43:41
apiVersion: v1
kind: ConfigMap
metadata:
  name: apigee-remote-service-envoy
  namespace: apigee
data:
  config.yaml: |
    tenant:
      internal_api: https://istioservices.apigee.net/edgemicro
      remote_service_api: https://my-username-test.apigee.net/remote-service
      org_name: my-org
      env_name: my-env
      key: f7e09c32f827cab87b8ce43842ed8467ffd2c58e6f795241e38fe7b1aec7664
      secret: 1cb5cca00dfb433cb80b32837451fce4bf694633cddbb73d704517e12b35e75

密钥值和密钥值用于验证从远程服务代理发送到 Apigee Edge 的请求。

运行 Apigee Remote Service for Envoy 服务

您可以将远程服务作为原生二进制文件或在 Docker 上运行。

以原生方式运行服务

使用预配命令输出的配置文件执行服务二进制文件：

$REMOTE_SERVICE_HOME/apigee-remote-service-envoy -c config_file_path/config.yaml

在 Docker 上运行服务

Docker 映像与版本标记一起发布。对于此安装，请使用最新版本。有三种映像变体可供选择：

变体	映像
Google distroless	`gcr.io/distroless/base`
Ubuntu	`google/apigee-envoy-adapter:v1.1.0-ubuntu`
包含 Boring Crypto 的 Ubuntu	`google/apigee-envoy-adapter:v1.1.0-boring`

例如，如需通过卷装载将暂存映像与 /config.yaml 形式提供的本地 config.yaml 一起运行，请使用以下命令：

docker run -v ./config.yaml:/config.yaml google/apigee-envoy-adapter:v1.1.0

注意：Docker 映像以非根用户身份运行。请确保已向其授予 config.yaml 文件的读取权限。

创建示例配置文件

使用 apigee-remote-service-cli samples create 命令生成示例配置文件。

在此示例中，您需要以下生成的文件：

envoy-config.yaml - HTTP 服务的部署配置。

如需生成示例，请执行以下操作：

转到 $CLI_HOME 目录。
执行以下命令以生成文件：
```
./apigee-remote-service-cli samples create --template native -c ./config.yaml
```
注意：默认情况下，该命令使用 Istio 1.6 模板生成文件。对于 Istio 1.7，请指定 --template istio-1.7 标志
。
以下文件是 ./samples 目录的输出：
```
ls samples
envoy-config.yaml
```

如需了解详情，请参阅示例命令。

安装并运行 Envoy 代理

请按照以下步骤安装并运行 Envoy 代理：

下载 Envoy 二进制文件或进行构建，或使用 Docker。
使用您之前为 httpbin.org 服务生成的示例配置文件运行 Envoy：
```
envoy -c $CLI_HOME/samples/envoy-config.yaml
```
注意：如需针对其他服务进行配置，请使用 Samples 命令并在 CLI 中替换您的服务的值。

测试安装

调用 httpbin 服务：

curl -i http://localhost:8080/httpbin/headers

该服务现在由 Apigee 管理，由于您未提供 API 密钥，调用将返回以下错误。

curl -i http://localhost:8080/httpbin/headers
HTTP/1.1 403 Forbidden
date: Tue, 12 May 2020 17:51:36 GMT
server: envoy
content-length: 0
x-envoy-upstream-service-time: 11

配置 API 产品并按照如何获取 API 密钥所述获取 API 密钥。

使用以下密钥进行 API 调用：

export APIKEY=YOUR_API_KEY
curl -i http://localhost:8080/httpbin/headers -H "x-api-key: $APIKEY"

调用成功时应显示状态为 200，并在响应中返回标头列表。例如：

curl -i httpbin.default.svc.cluster.local/headers -H "x-api-key: kyOTalNNLMPfOSy6rnVeclmVSL6pA2zS"
HTTP/1.1 200 OK
server: envoy
date: Tue, 12 May 2020 17:55:34 GMT
content-type: application/json
content-length: 828
access-control-allow-origin: *
access-control-allow-credentials: true
x-envoy-upstream-service-time: 301

{
  "headers": {
    "Accept": "*/*",
    "Content-Length": "0",
    "Host": "httpbin.default.svc.cluster.local",
    "User-Agent": "curl/7.70.0-DEV",
    "X-Api-Key": "kyOTalNNLMPfOSy6rneclmVSL6pA2zS",
    "X-Apigee-Accesstoken": "",
    "X-Apigee-Api": "httpbin.default.svc.cluster.local",
    "X-Apigee-Apiproducts": "httpbin",
    "X-Apigee-Application": "httpbin",
    "X-Apigee-Authorized": "true",
    "X-Apigee-Clientid": "kyOTalNNLMPfOSy6rVeclmVSL6pA2zS",
    "X-Apigee-Developeremail": "user@example.com",
    "X-Apigee-Environment": "test",
    "X-Apigee-Organization": "my-org",
    "X-Apigee-Scope": "",
    "X-B3-Parentspanid": "1476f9a2329bbdfa",
    "X-B3-Sampled": "0",
    "X-B3-Spanid": "1ad5c19bfb4bc96f",
    "X-B3-Traceid": "6f329a34e8ca07811476f9a2329bbdfa"
  }
}

后续步骤

通往 httpbin 服务的 API 流量现在由 Apigee 管理。下面是您可以探索和试用的一些功能：

如果您按照如何获取 API 密钥中的说明配置了 API 产品，则配额限制设置为每分钟 5 个请求。请尝试再调用几次 httpbin 服务以触发该配额。配额用尽后，将返回 HTTP 状态 403 错误。
在 Edge 界面中访问 Apigee Analytics。转到分析 > API 指标 > API 代理性能。
生成并使用 JWT 令牌以对 API 调用进行身份验证。
使用 CLI 可以进行管理、创建令牌和控制绑定。如需了解 CLI 详情，请参阅参考文档。