חומרי עזר

מוצג המסמך של Apigee Edge.
עוברים אל מסמכי תיעוד של Apigee X.
מידע

apigee-remote-service-cli ממשק שורת הפקודה (CLI) עוזר לך הקצאה וניהול של Apigee Adapter ל-Envoy.

פקודות קישור

קישור משייך שירות שנפרס לרשת Istio עם מוצר של Apigee API. ב-CLI אפשר להציג רשימה של קישורים ולאמת אותם.

קישורי רשימה

רשימה של כל מוצרי ה-API המשויכים לשירות המרוחק.

שימוש

בענן ציבורי של Edge:

apigee-remote-service-cli bindings list -o [organization] -e [environment] -u [username] -p [password]

בענן פרטי של Edge:

apigee-remote-service-cli bindings list -o [organization] -e [environment] -u [username] -p [password] -r [runtime] 

פרמטרים

פרמטרים סוג תיאור
-c, --config מחרוזת (חובה) הנתיב לקובץ התצורה של שירות מרוחק של Apigee.
טיפ: הדגל הזה מאפשר להשמיט את רוב הפרמטרים האחרים של פקודות, כי ה-CLI יכול לשלוף אותן ישירות מקובץ התצורה. ראו באמצעות האפשרות --config..
-e, --env מחרוזת (חובה) סביבה בארגון.
-h, --help הצגת עזרה לגבי הפרמטרים של הפקודה.
--insecure אפשר חיבורי שרת לא מאובטחים בעת שימוש ב-SSL
--legacy מגדירים את הדגל הזה אם משתמשים בענן של Apigee Edge. הוא מגדיר את כתובות ה-URL לניהול ולזמן הריצה ב-Edge Cloud.
--mfa אסימון הרשאה רב-שלבי של Apigee (בשימוש עם --legacy בלבד)
--opdk מגדירים את הדגל הזה אם משתמשים ב-Apigee Edge לענן פרטי.
-o, --org מחרוזת (חובה) ארגון ב-Apigee. אתם צריכים להיות מנהלי חשבון ארגוני.
-p, --password מחרוזת (חובה לאימות בסיסי בלבד) הסיסמה שלכם ב-Apigee. אפשר לציין הסיסמה בקובץ .netrc. אם תעשו זאת, לא תידרשו לספק את הסיסמה שלכם בשורת הפקודה. עוד באותו הקשר שימוש ב- .netrc לפרטי כניסה
-r, --runtime מחרוזת (Private Cloud בלבד) מציין את כתובת ה-URL של סביבת זמן הריצה של המכונה של Private Cloud.
-t, --token מחרוזת (נדרש לאימות של אסימון OAuth בלבד) אסימון OAuth או SAML שיוצרים מפרטי חשבון Apigee שלכם. מידע נוסף על יצירת אסימונים זמין במאמר שימוש ב-get_token וב גישה לממשק ה-API לניהול באמצעות SAML.
-u, --username מחרוזת (חובה לאימות בסיסי בלבד) שם המשתמש שלכם ב-Apigee (בדרך כלל כתובת אימייל). אפשר לציין את שם המשתמש בקובץ .netrc. אם תעשו זאת, אתה לא נדרש לספק את שם המשתמש שלך בשורת הפקודה. צפייה וגם שימוש ב- .netrc לפרטי כניסה.
-v, --verbose (אופציונלי) יוצר פלט מפורט.

דוגמה

apigee-remote-service-cli bindings list -o myorg -e test -u user@example.com -c config.yaml -p abc123
PI Products
============
Bound
-----
envoy-test:
  Quota: 5 requests every 1 minute
  Target bindings:
    httpbin.org
  Paths:
httpbin:
  Quota: 5 requests every 1 minute
  Target bindings:
    httpbin.org
  Paths:
    /httpbin
    /

Unbound
-------
product-1:
  Quota: 100 requests every 1 hour
product-2:
  Quota: 1000 requests every 1 month
product-3:
product-4:

אימות הקישור

הפקודה הזו הוצאה משימוש. בגרסה 1.4, אין יותר צורך באפליקציות למפתחים שיוך למוצרי API שנעשה בהם שימוש ביעדי שירות מרחוק.

פקודת עזרה

ניתן עזרה אונליין לכל פקודות apigee-remote-service-cli. פשוט מקלידים:

apigee-remote-service-cli help

לקבלת עזרה בנוגע לפקודה כלשהי, מקלידים:

apigee-remote-service-cli [command] help

לדוגמה:

apigee-remote-service-cli provision help

הפקודה 'הקצאה'

הפקודה apigee-remote-service-cli provision מתקינה שרת proxy ב-Apigee ארגון קצה, הגדרת אישור ויצירת פרטי כניסה שצריך כדי להגדיר את מתאם Apigee ל-Envoy.

שימוש

אם אתם משתמשים בענן ציבורי של Edge:

apigee-remote-service-cli provision -o $ORG -e $ENV -u $USERNAME -p $PASSWORD

אם אתם משתמשים בענן פרטי של Edge:

apigee-remote-service-cli provision --opdk -o $ORG -e $ENV -u $USERNAME --management $MGMT_SERVER_URL --runtime $RUNTIME_URL -p $PASSWORD

פרמטרים

פרמטרים סוג תיאור
--analytics-sa מחרוזת הסימון הזה הוא רק זמין ל-Apigee hybrid ו-Apigee בהתקנות של Google Cloud.

השתמשו בדגל הזה כדי לציין את הנתיב לקובץ מפתח של חשבון שירות ב-Google Cloud, כאשר לחשבון השירות יש את התפקיד Apigee Analytics Agent. SA נמצא בשימוש על ידי המתאם כדי להעלות ניתוח נתונים ישירות ל-Apigee. אם משתמשים ב-Apigee היברידי, היא מאפשרת להתקין את זמן הריצה ההיברידי באשכול אחד ובמתאם באשכול אחר.

-c, --config מחרוזת נתיב לקובץ התצורה של שירות מרוחק של Apigee. ראו גם באמצעות האפשרות --config.
-e, --environment מחרוזת (חובה) סביבה בארגון.
-f, --force-proxy-install (אופציונלי) אילוץ התקנה מחדש של שרת ה-proxy של remote-service אם הוא שכבר מותקנים בארגון שלך.
-h, --help הצגת עזרה לגבי הפרמטרים של הפקודה.
-k, --key מחרוזת מציינת את המפתח שמוחזר מ: הפקודה apigee-remote-service-cli provision.
--legacy מגדירים את הדגל הזה אם משתמשים בענן של Apigee Edge. הוא מגדיר את כתובות ה-URL לניהול ולזמן הריצה ב-Edge Cloud.
--mfa אסימון הרשאה רב-שלבי של Apigee (בשימוש עם --legacy בלבד)
-m, --management מחרוזת (חובה אם משתמשים בענן פרטי של Apigee) כתובת ה-URL של בסיס הניהול של Apigee. ברירת מחדל: https://api.enterprise.apigee.com
-n, --namespace מחרוזת פלט תצורה כ-Envoy ConfigMap במרחב השמות שצוין. ברירת מחדל: apigee
--opdk מחרוזת Apigee OPDK.
-o, --organization מחרוזת (חובה) ארגון Apigee שלכם. אתם צריכים להיות מנהלי חשבון ארגוני.
-p, --password מחרוזת (חובה לאימות בסיסי בלבד) הסיסמה שלכם ב-Apigee. אפשר לציין הסיסמה בקובץ .netrc. אם תעשו זאת, לא תידרשו לספק את הסיסמה שלכם בשורת הפקודה. עוד באותו הקשר שימוש ב- .netrc לפרטי כניסה
--rotate-int int אם n > 0, יצירת מפתח פרטי חדש ושמירת n מפתחות ציבוריים (היברידי בלבד)
-r, --runtime מחרוזת (Private Cloud בלבד) מציין את כתובת ה-URL של סביבת זמן הריצה של המכונה של Private Cloud.
-s, --secret מחרוזת זהו הסוד שהוחזר מ-apigee-remote-service-cli provision הפקודה.
--strength int (אופציונלי) מציין את חוזק ההצפנה של אישורי SSL המשמשים להקצאת עם מתאם בלבד. ברירת מחדל 2048
-t, --token מחרוזת (היברידי בלבד) אסימון OAuth או SAML של Apigee.
-u, --username מחרוזת (חובה לאימות בסיסי בלבד) שם המשתמש שלכם ב-Apigee (בדרך כלל כתובת אימייל). אפשר לציין את שם המשתמש בקובץ .netrc. כדאי לעיין גם בשימוש ב- .netrc לפרטי כניסה.
-v, --verbose (אופציונלי) יוצר פלט מפורט.
--virtual-hosts מחרוזת המדיניות הזו מבטלת את המארחים הווירטואליים שמוגדרים כברירת מחדל, default,secure. כדאי להשתמש באפשרות הזו אם לציין מארחים וירטואליים עבור סביבת הארגון וה-Edge שלך, חוץ מברירות המחדל האלה. כדי לקבל מידע נוסף, אפשר לעיין במסמכי התיעוד של הקצה. על מארחים וירטואליים.
--years int (אופציונלי) מספר השנים שקדמו לאישור ה-SSL ששימש להקצאת ההרשאות בתוקף עד. ברירת מחדל: 1

דוגמה

חשוב לתעד את הפלט של הפקודה provision בקובץ, שבו נעשה שימוש כקלט עבור פעולות אחרות של Apigee Adapter לפעולות Envoy.

דוגמה לענן ציבורי של Edge:

apigee-remote-service-cli provision --legacy --mfa $MFA --username $USER --password $PASSWORD --organization $ORG --environment $ENV > config.yaml

הפקודה 'טעימות'

יצירת קובצי תצורה לדוגמה לפריסות מקוריות של Envoy או Istio.

שימוש

apigee-remote-service-cli samples create [flags]

תיאור

הפקודה דורשת קובץ config.yaml חוקי שנוצר באמצעות הקצאת הרשאות ידנית. כברירת מחדל, הפלט של הקבצים לדוגמה מועבר לספרייה בשם ./samples. הפקודה יוצר את הספרייה הזו בשבילך.

אם משתמשים בגרסה המקורית של Envoy, הפקודה מקבלת את מארח שירות היעד ואת השם הרצוי עבור האשכול שלו. הוא גם מגדיר חיבור SSL בהתאמה אישית משרת proxy של Envoy לשירות המרוחק אשכול אם תיקייה שמכילה את tls.key ו-tls.crt סופקה דרך --tls.

אם משתמשים ב-Istio, שבו שרת ה-proxy של Envoy משמש כרכב צדדי, אם היעד לא צוין, המערכת תיצור את הדוגמה httpbin. אם לא, אתם אחראים להכין קובצי תצורה שקשורים לפריסה של שירותי היעד שלכם.

פרמטרים

פרמטרים סוג תיאור
-c, --config מחרוזת (חובה) נתיב לקובץ התצורה של שירות מרוחק של Apigee.
טיפ: הדגל הזה מאפשר להשמיט את רוב הפרמטרים האחרים של פקודות, כי ה-CLI יכול לשלוף אותן ישירות מקובץ התצורה. ראו באמצעות האפשרות --config.
-f, --force מאלצים את החלפת הספרייה הקיימת.
-h, --help הצגת עזרה לגבי הפרמטרים של הפקודה.
--host המארח של שירות היעד (ברירת המחדל היא httpbin.org)
-n, --name השם של שירות היעד (ברירת המחדל היא httpbin)
--out הספרייה שבה יש ליצור את קובצי התצורה לדוגמה. ברירת מחדל: ./samples
-t, --template

שם התבנית. אם מבצעים פריסה של Istio (היברידי בלבד), צריך לבחור באחת מהאפשרויות האפשרויות הזמינות של Istio. שימוש באפשרות המקורית לפריסות נייטיב של Envoy. האפשרויות הזמינות הן:

  • istio-1.6 (ברירת המחדל)
  • istio-1.7
  • native
--tls הספרייה שבה יאוחסנו מפתח ה-TLS וקובצי crt.

דוגמה

apigee-remote-service-cli samples create -c ./config.yaml

הצגת רשימת האפשרויות של התבניות הזמינות

כאן מפורטות האפשרויות הזמינות לשימוש עם הפרמטר --templates.

שימוש

apigee-remote-service-cli samples templates

פרמטרים

ללא.

דוגמה

apigee-remote-service-cli samples templates
Supported templates (native is deprecated):
  envoy-1.14
  envoy-1.15
  envoy-1.16
  istio-1.5
  istio-1.6
  istio-1.7
  istio-1.8
  native

פקודות של אסימונים

במקום להשתמש במפתח API, אפשר להשתמש באסימון JWT כדי לבצע קריאות מאומתות ל-proxy ל-API. פקודות האסימון מאפשרות ליצור, לבדוק ולסובב אסימוני JWT למטרה הזו.

יצירת אסימון JWT

אפשר להשתמש באסימון JWT כדי לבצע קריאות מאומתות של שרת proxy ל-API ליעד שירות מרוחק. צפייה גם באמצעות אימות מבוסס JWT.

שימוש

בענן ציבורי של Edge:
apigee-remote-service-cli token create -c [config_file] --id [consumer_key] --secret [consumer_secret] -o [org] -e [env]
בענן פרטי של Edge:
apigee-remote-service-cli token create -c [config_file] --id [consumer_key] --secret [consumer_secret] -r [runtime] -o [org] -e [env]

פרמטרים

פרמטרים סוג תיאור
-c, --config מחרוזת (חובה) הנתיב לקובץ התצורה של שירות מרוחק של Apigee.
טיפ: הדגל הזה מאפשר להשמיט את רוב הפרמטרים האחרים של פקודות, כי ה-CLI יכול לשלוף אותן ישירות מקובץ התצורה. ראו באמצעות האפשרות --config.
-e, --env מחרוזת (חובה) סביבה בארגון.
-h, --help הצגת עזרה לגבי הפרמטרים של הפקודה.
--insecure אפשר חיבורי שרת לא מאובטחים בעת שימוש ב-SSL.
-o, --org מחרוזת (חובה) ארגון ב-Apigee. אתם צריכים להיות מנהלי חשבון ארגוני.
-r, --runtime מחרוזת (Private Cloud בלבד) מציין את כתובת ה-URL של סביבת זמן הריצה של המכונה של Private Cloud.
-v, --verbose (אופציונלי) יוצר פלט מפורט.

דוגמה

apigee-remote-service-cli token create -o myorg -e test -i YUmlZAcBKNsTAelJqPZFl3sh58ObATX9 -s icTARgaKHqvUH1dq -c config.yaml

פלט

עם ההצלחה, תראו פלט של אסימון JST שדומה לזה:
eyJraWQiOiIxIiwidHlwIjoiSldUIiwiYWxnIjoiUlMyNTYifQ.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.AL7pKSTmond-NSPRNNHVbIzTdAnZjOXcjQ-BbOJ_8lsQvF7PuiOUrGIhY5XTcJusisKgbCdtIxBl8Wq1EiQ_fKnUc3JYYOqzpTB5bGoFy0Yqbfu96dneuWyzgZnoQBkqwZkbQTIg7WNTGx1TJX-UTePvBPxAefiAbaEUcigX9tTsXPoRJZOTrm7IOeKpxpB_gQYkxQtV1_NbERxjTPyMbHdMWal9_xRVzSt7mpTGudMN9OR-VtQ1uXA67GOqhZWcOzq57qImOiCMbaoKnKUADevyWjX_VscN5ZZUtzQUQhTrmv8aR69-uVhMIPKp9juMyYKaYn2IsYZEeCWfhfV45Q

בדיקת אסימון JWT

אפשר לבדוק אסימון JWT באמצעות הפקודה הזו. מידע נוסף על בדיקת אסימון

שימוש

בענן ציבורי של Edge:
apigee-remote-service-cli token inspect -o [organization] -e [environment] -f [token_file]
בענן פרטי של Edge:
apigee-remote-service-cli token inspect -o [organization] -e [environment] -f [token_file] --runtime [host_alias]

פרמטרים

פרמטרים סוג תיאור
-c, --config מחרוזת (חובה) הנתיב לקובץ התצורה של שירות מרוחק של Apigee.
טיפ: הדגל הזה מאפשר להשמיט את רוב הפרמטרים האחרים של פקודות, כי ה-CLI יכול לשלוף אותן ישירות מקובץ התצורה. ראו באמצעות האפשרות --config.
-e, --env מחרוזת (חובה) סביבה בארגון.
-h, --help הצגת עזרה לגבי הפרמטרים של הפקודה.
--insecure אפשר חיבורי שרת לא מאובטחים בעת שימוש ב-SSL.
-o, --org מחרוזת (חובה) ארגון ב-Apigee. אתם צריכים להיות מנהלי חשבון ארגוני.
-r, --runtime מחרוזת (Private Cloud בלבד) מציין את כתובת ה-URL של סביבת זמן הריצה של המכונה של Private Cloud.
-v, --verbose (אופציונלי) יוצר פלט מפורט.

דוגמה

apigee-remote-service-cli token inspect -c config.yaml <<< $TOKEN

פלט

עם הצלחה, תראו פלט דומה לזה:
{
	"aud": [
		"remote-service-client"
	],
	"exp": 1591741549,
	"iat": 1591740649,
	"iss": "https://apigee-docs-test.apigee.net/remote-service/token",
	"jti": "99325d2e-6440-4278-9f7f-b252a1a79e53",
	"nbf": 1591740649,
	"access_token": "VfzpXzBGAQ07po0bPMKY4JgQjus",
	"api_product_list": [
		"httpbin"
	],
	"application_name": "httpbin",
	"client_id": "GYDGHy5TRpV8AejXCOlreP7dPVepA8H",
	"developer_email": "user@example.com",
	"scope": ""
}
verifying...
token ok.

סיבוב אסימון JWT

יכול להיות שתצטרכו לשנות את המפתח הציבורי/פרטי במשך זמן מה אחרי היצירה הראשונית של מפתח JWT. מאוחסנים על ידי Apigee Edge במפת המפתח-ערך המוצפנת (KVM). התהליך הזה של זוג מפתחות חדש נקרא רוטציית מפתחות. כשמבצעים רוטציה למפתחות, זוג מפתחות פרטי/ציבורי חדש נוצרת ונשמרת ב-"istio" KVM בארגון/בסביבה של Apigee Edge. בנוסף, המפתח הציבורי הישן נשמר יחד עם הערך המקורי של מזהה המפתח.

שימוש

אם אתם משתמשים בענן ציבורי של Edge:
apigee-remote-service-cli token rotate-cert -c [config_file] -o [organization] -e [environment] -k [provision_key] -s [provision_secret] --kid [new_key_id]
אם אתם משתמשים בענן פרטי של Edge:
apigee-remote-service-cli token rotate-cert -o [organization] -e [environment] -u [username] -p [password] -k [provision_key] -s [provision_secret] --kid [new_key_id]

פרמטרים

פרמטרים סוג תיאור
-c, --config מחרוזת (חובה) הנתיב לקובץ התצורה של שירות מרוחק של Apigee.
טיפ: הדגל הזה מאפשר להשמיט את רוב הפרמטרים האחרים של פקודות, כי ה-CLI יכול לשלוף אותן ישירות מקובץ התצורה. ראו באמצעות האפשרות --config.
-e, --env מחרוזת (חובה) סביבה בארגון.
-h, --help הצגת עזרה לגבי הפרמטרים של הפקודה.
--insecure אפשר חיבורי שרת לא מאובטחים בעת שימוש ב-SSL
--truncate int מספר האישורים לשמירה ב-jwks (ברירת מחדל 2)
-o, --org מחרוזת (חובה) ארגון ב-Apigee. אתם צריכים להיות מנהלי חשבון ארגוני.
-r, --runtime מחרוזת (Private Cloud בלבד) מציין את כתובת ה-URL של סביבת זמן הריצה של המכונה של Private Cloud.
-v, --verbose (אופציונלי) יוצר פלט מפורט.

דוגמה

apigee-remote-service-cli token rotate-cert -c config.yaml -o myorg -e test -k 2e238ffa15dc5ab6a1e97868e7581f6c60ddb8575478582c256d8b7e5b2677a8 -s 51058077223fa7b683c3bea845c5cca138340d1d5583922b6d465f9f918a4b08

פלט

certificate successfully rotated

שימוש ב- .netrc לפרטי כניסה

apigee-remote-service-cli אוסף באופן אוטומטי את username ואת password (לאימות בסיסי, כשנדרש) מ-.netrc בספריית הבית שלכם אם אתם משתמשים ב-Edge Public Cloud ויש לכם רשומה במחשב api.enterprise.apigee.com. אם אתם משתמשים בענן פרטי של Apigee, ערך המכונה זהה לכתובת ה-URL של management (לדוגמה: http://192.162.55.100). לדוגמה, ב-Edge Public Cloud:
machine api.enterprise.apigee.com
login jdoe@google.com
password abc123
לדוגמה, ב-Edge Private Cloud:
machine http://192.162.55.100
login jdoe@google.com
password abc123

פקודת הגרסה

מדפיסים את גרסת ה-CLI.

apigee-remote-service-cli version

שימוש באפשרות הפקודה --config

האפשרות --config מציינת את המיקום של קובץ התצורה שנוצר על ידי הפקודה provision. יתרון שימושי באפשרות הזו הוא מאפשרות לדלג על רוב הפרמטרים האחרים של פקודות, שה-CLI שולף אותן מקובץ התצורה. האפשרויות האלה כוללות:
  • ארגון
  • environment
  • זמן ריצה
  • סרטונים
  • לא מאובטח
  • מרחב שמות
  • מדור קודם
  • opdk

לדוגמה, אפשר להריץ את הפקודה provision כך:

apigee-remote-service-cli provision --config='old-config.yaml' > new-config.yaml

קובץ התצורה

בקטע הזה מוצג קובץ תצורה לדוגמה עם כל האפשרויות הזמינות.

global:
  temp_dir: /tmp/apigee-istio
  keep_alive_max_connection_age: 1m
  api_address: :5000
  metrics_address: :5001
  tls:
    cert_file: tls.crt
    key_file: tls.key
tenant:
  internal_api: https://istioservices.apigee.net/edgemicro
  remote_service_api: https://org-test.apigee.net/remote-service
  org_name: org
  env_name: env
  key: mykey
  secret: mysecret
  client_timeout: 30s
  allow_unverified_ssl_cert: false
products:
  refresh_rate: 2m
analytics:
  legacy_endpoint: false
  file_limit: 1024
  send_channel_size: 10
  collection_interval: 10s
  fluentd_endpoint: apigee-udca-myorg-test.apigee.svc.cluster.local:20001
  tls:
    ca_file: /opt/apigee/tls/ca.crt
    cert_file: /opt/apigee/tls/tls.crt
    key_file: /opt/apigee/tls/tls.key
    allow_unverified_ssl_cert: false
auth:
  api_key_claim: claim
  api_key_cache_duration: 30m
  api_key_header: x-api-key
  api_target_header: :authority
  reject_unauthorized: true
  jwks_poll_interval: 0s
  jwt_provider_key: https://org-test.apigee.net/remote-service/token