In diesem Abschnitt werden die Konfigurationsschritte für den Apigee API Hub for Private Cloud-Connector beschrieben, einschließlich Netzwerk-, Authentifizierungs- und organisationsspezifischer Einstellungen.
Netzwerk- und Authentifizierungseinrichtung
- Ports auf die Zulassungsliste setzen: Der Apigee API Hub for Private Cloud-Connector muss eine Verbindung zum Verwaltungsserver herstellen, um die erforderlichen API-Metadaten abzurufen. Daher müssen die Verwaltungsserverports 8080 und 443 für den Connector erreichbar sein.
- Schlüsselbasierte Authentifizierung für Google Cloud-Dienste: Der Apigee API Hub for Private Cloud-Connector kommuniziert mit Google Cloud-Diensten und erfordert Tokens für die Authentifizierung. Dazu wird mit einem Dienstkontoschlüssel ein Token für die Identitätsübernahme erstellt.
- Dienstkonto für die Tokenerstellung: Erstellen Sie ein neues Dienstkonto, das ausschließlich zum Generieren von Tokens verwendet wird. Dieses Dienstkonto muss die Rolle
Token Creatorhaben. - Dienstkontoschlüssel generieren und herunterladen:
- Folgen Sie der Anleitung unter Dienstkontoschlüssel erstellen, um einen JSON-Schlüssel für das Dienstkonto zu generieren, mit dem das Token generiert wird.
- Laden Sie diese Schlüsseldatei herunter (z. B. nach
/opt/apigee/keys/uapim.keyauf der VM des Apigee API Hub for Private Cloud-Connectors).
GOOGLE_APPLICATION_CREDENTIALSfestlegen: Beim Starten des Apigee API Hub for Private Cloud-Connectors müssen Sie den Pfad zu dieser Datei über die Umgebungsvariable angeben:export $GOOGLE_APPLICATION_CREDENTIALS=/opt/apigee/keys/uapim.key
- Dienstkonto für die Tokenerstellung: Erstellen Sie ein neues Dienstkonto, das ausschließlich zum Generieren von Tokens verwendet wird. Dieses Dienstkonto muss die Rolle
- Management API-Authentifizierung (UAPIM_MGMT_AUTH): Für den Apigee API-Hub für Private Cloud-Connector sind Anmeldedaten erforderlich, um die Apigee Management API aufzurufen. Aus Sicherheits- und Automatisierungsgründen sollten Sie in Apigee einen maschinellen Nutzer und keinen menschlichen Nutzer verwenden.
Maschinennutzer in Apigee erstellen:
- Nutzer erstellen:
- Erstellen Sie in der Apigee-Konsole einen Maschinen- oder Systemnutzer. Weitere Informationen zu Nutzern und Rollen
- Weisen Sie eine E-Mail-Adresse (zur Identifizierung) und einen aussagekräftigen Namen zu (z.B.
uapim-connector-user).
- Rollen zuweisen: Weisen Sie dem Maschinenkonto die folgende Rolle zu:
- Apigee API Admin: Diese Rolle bietet Zugriff auf die Management API, sodass der Apigee API Hub for Private Cloud-Connector mit dem Apigee-Managementsystem interagieren kann (z. B. zum Abrufen von Metadaten oder zum Verwalten von API-Konfigurationen).
- Nutzer erstellen:
Base64-codierte Anmeldedaten generieren:
- Generieren Sie das Nutzername:Passwort-Paar für den Maschinen-Nutzer.
- Codieren Sie die Anmeldedaten mit Base64:
echo -n 'username:password' | base64 - Legen Sie die Umgebungsvariable $UAPIM_MGMT_AUTH mit dem base64-codierten Wert fest:
export UAPIM_MGMT_AUTH=USERNAME_PASSWORD
Dabei ist USERNAME_PASSWORD der base64-codierte Wert des Nutzername-Passwort-Paars.
Achten Sie darauf, dass diese Umgebungsvariable festgelegt ist, bevor Sie den Apigee API Hub for Private Cloud-Connector starten.
Apigee API Hub for Private Cloud-Connector konfigurieren
Öffnen Sie die Konfigurationsdatei /opt/apigee/customer/application/uapim-connector.properties, um die Apigee-Organisationen anzugeben, für die Daten in den API-Hub hochgeladen werden müssen. Möglicherweise haben Sie mehrere Plugin-Instanzen oder mehrere API-Hub-Instanzen.
conf_uapim.settings.json={\
"connectorConfig" : { \
"org1" : { \
"runtimeDataPubsub" : "", \
"metadataPubsub":"", \
"serviceAccount": "mysa1@in.myfirstProject",\
"pluginInstanceId":"aaaa" \
},\
"org2" : { \
"runtimeDataPubsub" : "", \
"metadataPubsub":"",\
"serviceAccount": "mysa2@in.mySecondProject",\
"pluginInstanceId":"bbbbb", \
}
},
"runtimeDataPath":"/the/nfs/mounted/path", \
"managementServer": "hostname"
} Erläuterung der JSON-Datei für Einstellungen
- connectorConfig-Abschnitt:
- Dies ist eine Zuordnung, in der jeder Schlüssel ein Apigee-Organisationsname ist (z.B. org1, org2).
- Jeder Organisationseintrag enthält die folgenden Felder, die Sie während der Erstellung des Plugins erhalten haben:
- runtimeDataPubsub: Das Pub/Sub-Thema für Laufzeitdaten (Analysen) für diese Organisation.
- metadataPubsub: Das Pub/Sub-Thema für API-Metadaten für diese Organisation.
- serviceAccount: Das Dienstkonto (z.B. mysa1@in.myfirstProject.iam.gserviceaccount.com), das zur Authentifizierung für das Schreiben von Daten in Pub/Sub für diese Organisation verwendet wird.
- pluginInstanceId: Die eindeutige Instanz-ID des Plug-ins, das mit dieser Organisation verknüpft ist.
- runtimeDataPath-Abschnitt: Geben Sie den Pfad zur NFS-Bereitstellung an, in die die Analytics-Daten (AX) von den Message-Prozessoren geschrieben werden. Dies muss derselbe Pfad sein, der für die Nachrichtenprozessoren konfiguriert ist.
- managementServer-Abschnitt: Der Hostname oder die IP-Adresse der URL Ihres Apigee-Verwaltungsservers.
- Umgebungsvariable UAPIM_MGMT_AUTH: Diese extern festgelegte Umgebungsvariable enthält die base64-codierte username:password für den Zugriff auf den Verwaltungsserver.
Weiterleitungs-Proxykonfigurationen hinzufügen
Fügen Sie Weiterleitungs-Proxykonfigurationen in derselben Datei /opt/apigee/customer/application/uapim-connector.properties hinzu.
conf_http_client_service_jetty.proxy.enabled=true
conf_http_client_service_jetty.proxy.host=conf_http_client_service_jetty.proxy.port=conf_http_client_service_jetty.proxy.user=conf_http_client_service_jetty.proxy.password=
Damit der Connector ordnungsgemäß funktioniert, muss er eine Verbindung zu den folgenden externen Quellen herstellen:
pubsub.googleapis.com:443oauth2.googleapis.com:443iamcredentials.googleapis.com:443
Wenn der Connector nicht direkt, sondern über einen Forward-Proxy eine Verbindung zu den externen Quellen herstellen darf, muss der Nutzer die Forward-Proxy-Konfigurationen über die folgenden Konfigurationen angeben und dafür sorgen, dass die oben genannten externen Quellen auf der Zulassungsliste stehen.
Apigee API Hub for Private Cloud Connector starten
Wenn alle Konfigurationen festgelegt sind, starten Sie den Apigee API Hub for Private Cloud-Connector mit dem Apigee-Dienstbefehl:
apigee-service edge-uapim-connector start