本頁面適用於 Apigee,但不適用於 Apigee Hybrid。
查看
Apigee Edge 說明文件。
您可以跨多個區域擴充 Apigee 組織。多地區擴充功能可改善以下各方面:
- 高可用性: 如果某個區域發生故障,其他區域仍可提供流量,進而提高 API 的整體可用性。
- 高容量:額外的區域可提供額外容量,用於處理 API 流量,並為任何意外的流量尖峰提供空間,而不會對單一環境造成太大壓力,進而提高 API 的整體容量。
- 低延遲:新增區域可在地理位置較近的區域中提供請求,進而降低客戶的整體交易延遲時間。
本文將說明如何將 Apigee 新增至新區域,以及如何從區域中移除 Apigee。
將 Apigee 加入新的區域
每個區域可有一個執行階段執行個體,因此如要新增區域,您必須在該區域中建立全新的執行個體。
新增區域的一般程序如下:
- 請確認對等互連網路中提供適當的 IP 位址範圍,如前置條件所述。此外,請確認您的帳戶可支援新區域,詳情請參閱「限制」一節。
- 定義環境變數
- 建立新的金鑰環和金鑰
- 保留新的地址範圍
- 建立新例項
- 將環境連結至新的執行個體
- 設定轉送
我們會在後續章節中說明每個步驟。
必要條件
請確認網路有 /22 和 /28 這兩個不重疊的 IP 位址範圍。這除了其他地區使用的範圍之外。
限制
根據預設,初始機構通常會使用單一區域建立。決定是否建立第二個 (或後續) 區域時,請注意,您只能在許可證授權允許的情況下新增區域。您也可以選擇購買機構包。
- 如果您採用訂閱制定價模式,可能需要購買額外的機構單位,才能擴展至多個區域。請參閱「訂閱授權」。
- 如果您採用「即付即用」定價模式,擴展至多個區域將產生額外費用,詳情請參閱「新增「即付即用」定價模式適用的區域」。
- 評估帳戶僅限於一個區域,無法擴展至第二個區域。
詳情請參閱按量付費總覽。
每個機構最多只能有 10 個區域 (混合型機構最多 11 個)。
定義環境變數
建議您定義下列環境變數,確保在本說明文件中使用到的所有指令一致。
export NEW_REGION_LOCATION="NEW_REGION_LOCATION"export NEW_INSTANCE_NAME="NEW_INSTANCE_NAME"export NETWORK_NAME"=NETWORK_NAME"export DISK_KEY_RING_NAME="YOUR_DISK_KEY_RING_NAME"export DISK_KEY_NAME="YOUR_DISK_KEY_NAME"export PROJECT_ID=YOUR_PROJECT_IDexport AUTH="Authorization: Bearer $(gcloud auth print-access-token)"export PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format="value(projectNumber)")
其中:
NEW_REGION_LOCATION是新執行個體的實體位置。 有效值為任何 Compute Engine 區域。詳情請參閱「地區和區域」一文。例如:us-west1。NEW_INSTANCE_NAME是新區域的名稱。這個值在貴機構中不得重複。例如:my-instance-2。NETWORK_NAME是貴機構對等網路的名稱。例如my-network。請參閱「設定服務網路」一節。DISK_KEY_RING_NAME是磁碟金鑰環的名稱。DISK_KEY_NAME是磁碟環的名稱。AUTH會使用不記名憑證定義Authentication標頭。您會在呼叫 Apigee API 時使用這個標頭。請注意,憑證會在一段時間後到期,屆時您只需使用相同的指令重新產生憑證即可。詳情請參閱 print-access-token 指令的參考頁面。PROJECT_ID是您的 Cloud 專案 ID。PROJECT_NUMBER是 Cloud 專案的 Cloud 專案編號。
建立新的金鑰環和金鑰
每個區域都需要專屬的磁碟加密金鑰。Google 建議您為新區域建立個別的金鑰環。您不需要建立新的資料庫加密金鑰,因為機構中的所有執行個體都會共用相同的資料庫加密金鑰。
如需更多詳細資訊,請參閱「關於 Apigee 加密金鑰」。
如要建立新的磁碟加密金鑰環和金鑰:
- 使用
gcloud指令建立新的磁碟金鑰環:gcloud kms keyrings create $DISK_KEY_RING_NAME \ --location $NEW_REGION_LOCATION \ --project $PROJECT_ID
確認磁碟金鑰環是否已設為與執行個體相同的位置。每個例項和鑰匙圈都應有各自的位置。
gcloud kms keyrings list \ --location $NEW_REGION_LOCATION \ --project $PROJECT_ID
gcloud kms keyrings describe $DISK_KEY_RING_NAME \ --location $NEW_REGION_LOCATION \ --project $PROJECT_ID
- 使用
kms keys create指令建立新的磁碟金鑰,例如:gcloud kms keys create $DISK_KEY_NAME --keyring $DISK_KEY_RING_NAME \ --location $NEW_REGION_LOCATION --purpose "encryption" --project $PROJECT_ID
您可以透過鍵路徑參照該鍵。您可以使用下列指令取得鍵路徑:
gcloud kms keys list \ --location=$NEW_REGION_LOCATION \ --keyring=$DISK_KEY_RING_NAME \ --project=$PROJECT_ID
鍵路徑如下所示:
projects/PROJECT_ID/locations/NEW_REGION_LOCATION/keyRings/my-disk-key-ring/cryptoKeys/my-disk-key
- 執行
gcloud kms keys add-iam-policy-binding指令,授予 Apigee 服務代理使用新金鑰的存取權,例如:gcloud kms keys add-iam-policy-binding $DISK_KEY_NAME \ --location $NEW_REGION_LOCATION \ --keyring $DISK_KEY_RING_NAME \ --member serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter \ --project $PROJECT_ID
確認金鑰已繫結至 Apigee Service Agent。
gcloud kms keys get-iam-policy $DISK_KEY_NAME \ --keyring $DISK_KEY_RING_NAME \ --location $NEW_REGION_LOCATION \ --project $PROJECT_ID
gcloud kms keys describe $DISK_KEY_NAME \ --keyring $DISK_KEY_RING_NAME \ --location $NEW_REGION_LOCATION \ --project $PROJECT_ID
保留新的位址範圍
為對等互連網路的位址範圍保留 IP 位址。如需更多資訊和重要考量事項,請參閱「瞭解連線範圍」。
- 建立下列環境變數:
export NEW_RANGE_NAME_22=YOUR_CIDR_22_RANGE_NAME
export NEW_RANGE_NAME_28=YOUR_CIDR_28_RANGE_NAMEexport NETWORK_NAME=YOUR_NETWORK_NAME其中:
NEW_RANGE_NAME_22是您要建立的 CIDR 長度 /22 IP 位址範圍名稱。您可以隨意命名範圍。例如:google-svcs-new_22NEW_RANGE_NAME_28是您要建立的 CIDR 長度 /28 IP 位址範圍名稱。您可以隨意命名範圍。例如:google-svcs-new_28NETWORK_NAME是應預留位址的網路資源名稱。Google 會為每個新專案建立預設網路 (名為
default),供您使用。不過,Google 不建議您將預設網路用於測試以外的用途。
- 建立 CIDR 長度為 /22 的網路 IP 範圍:
gcloud compute addresses create $NEW_RANGE_NAME_22 \ --global \ --prefix-length=22 \ --description="Peering range for Apigee services" \ --network=$NETWORK_NAME \ --purpose=VPC_PEERING \ --project=$PROJECT_ID
成功後,
gcloud會傳回以下回應:Created [https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/addresses/google-svcs-new].
驗證已建立的運算地址:
gcloud compute addresses list \ --global \ --project=$PROJECT_ID
gcloud compute addresses describe $NEW_RANGE_NAME_22 \ --global \ --project=$PROJECT_ID
建立 IP 位址範圍後,這些位址會與專案建立關聯,直到您釋出為止。
- 建立 CIDR 長度為 /28 的網路 IP 範圍。這個範圍為必填項目,Apigee 會用於排解問題,無法自訂或變更。
gcloud compute addresses create $NEW_RANGE_NAME_28 \ --global \ --prefix-length=28 \ --description="Peering range for supporting Apigee services" \ --network=$NETWORK_NAME \ --purpose=VPC_PEERING \ --project=$PROJECT_ID
- 取得對等互連範圍的名稱:
gcloud services vpc-peerings list \ --network=$NETWORK_NAME \ --project=$PROJECT_ID
- 使用下列指令,將新保留的範圍新增至對等網路,其中
$NEW_RANGE_NAME_22和$NEW_RANGE_NAME_28是新的範圍名稱,ORIGINAL_RANGE_NAME_1 和 ORIGINAL_RANGE_NAME_n 則是先前指令中傳回的保留對等範圍名稱:gcloud services vpc-peerings update --service=servicenetworking.googleapis.com \ --network=$NETWORK_NAME \ --ranges=$NEW_RANGE_NAME_22,$NEW_RANGE_NAME_28,ORIGINAL_RANGE_NAME_1,ORIGINAL_RANGE_NAME_n \ --project=$PROJECT_ID
驗證已建立的運算地址:
gcloud compute addresses list \ --global \ --project=$PROJECT_ID
gcloud compute addresses describe $NEW_RANGE_NAME_28 \ --global \ --project=$PROJECT_ID
驗證已更新的 VPC 對等連線變更:
gcloud services vpc-peerings list \ --network=$NETWORK_NAME \ --project=$PROJECT_ID
建立新執行個體
使用Instances API 為該地區建立新的執行個體。
使用虛擬私有雲對等互連
如果 Apigee 已設定為使用 VPC 對等互連,請使用這個 API 呼叫來建立執行個體:
curl -X POST -H "$AUTH" \ -H "Content-Type: application/json" \ "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances" \ -d '{ "name":"'"$NEW_INSTANCE_NAME"'", "location":"'"$NEW_REGION_LOCATION"'", "diskEncryptionKeyName":"KEY_PATH", "ipRange":"IP_ADDRESS_1/28, IP_ADDRESS_2/22" # OPTIONAL }'
其中:
- KEY_PATH 是您在建立新的金鑰環和金鑰中建立的磁碟加密金鑰金鑰路徑。
- IP_ADDRESS_* 是 /22 和 /28 CIDR 範圍的 CIDR IP 位址,用於建立 Apigee 例項。請注意,
ipRange為選用屬性,如果您未提供這個欄位,Apigee 會自動向 Service Networking 要求可用的 /22 和 /28 CIDR 區塊。另請參閱 Apigee 執行個體 API。
這項要求最多可能需要 20 分鐘才能完成,因為 Apigee 必須建立並啟動新的 Kubernetes 叢集、在該叢集中安裝 Apigee 資源,以及設定負載平衡。
未啟用虛擬私有雲對等互連
如果 Apigee 未設定為使用 VPC 對等連線,請使用這個 API 呼叫來建立執行個體:
curl -X POST -H "$AUTH" \ -H "Content-Type:application/json" \ "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances" \ -d '{ "name":"'"$INSTANCE_NAME"'", "location":"'"$RUNTIME_LOCATION"'", "diskEncryptionKeyName":"'"KEY_PATH"'", "consumerAcceptList":[ARRAY_OF_PROJECT_IDS] }'
其中:
- KEY_PATH 是您在建立新的金鑰環和金鑰中建立的磁碟加密金鑰路徑。另請參閱 Apigee 執行個體 API。
-
consumerAcceptList(選用) 指定可私下連線至 Apigee VPC 服務附件的 Google Cloud 專案 ID 清單。服務連結是與 Google Cloud Private Service Connect 搭配使用的實體,可讓服務供應商 (在此為 Apigee) 將服務公開給消費者 (在此為您擁有的一或多個 Cloud 專案)。根據預設,我們會使用已與 Apigee 機構相關聯的 Cloud 專案。例如: "consumerAcceptList": ["project1", "project2", "project3"]
這項要求最多可能需要 20 分鐘才能完成,因為 Apigee 必須建立並啟動新的 Kubernetes 叢集、在該叢集中安裝 Apigee 資源,以及設定負載平衡。
timer 建立執行個體的作業大約需要 30 分鐘才能完成。
如要查看執行階段執行個體建立要求的狀態,請執行下列指令。如果狀態為「有效」,即可繼續進行下一個步驟。
curl -i -X GET -H "$AUTH" \ "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances/$NEW_INSTANCE_NAME"
如要進一步瞭解如何建立執行階段執行個體,包括其他背景資訊和疑難排解資訊,請參閱「步驟 5:建立 Apigee 執行階段執行個體」。
將環境連結至新執行個體
建立執行個體後,您必須附加環境,否則無法回應 API 要求。
環境會在各個執行個體之間共用,因此您應將現有環境附加至新區域。您不會為新區域定義新的環境。如果您為新區域定義新環境,且該環境會為與原始環境相同的主機提供相同的 basepath,則執行階段呼叫可能會傳回 HTTP 503 錯誤。
當您為新區域填入環境時,不需要將環境連結至環境群組,因為環境已連結至各自的群組。您只需要將環境附加至新執行個體。
如要將環境附加至新區域,請使用Instances attachment API,如以下範例所示:
curl -X POST -H "$AUTH" \ -H "Content-Type: application/json" \ https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances/$NEW_INSTANCE_NAME/attachments \ -d '{ "environment":"ENVIRONMENT_NAME" }'
如要取得環境清單,請按照下列步驟操作:
curl -i -X GET -H "$AUTH" \ "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/environments"
您必須透過個別呼叫 Instances Attachment API 來附加每個環境。您無法在單一呼叫中附加多個環境。
設定轉送
您可以使用受管理的執行個體群組 (MIG) 或 Private Service Connect (PSC) 設定,在新的區域中設定網路路由。
設定 PSC 轉送
下列步驟說明如何使用 PSC 在新區域設定路由。
總覽
下圖顯示多區域 PSC 的高階往北式架構:
如圖 1 所示,您將在專案中建立網路端點群組 (NEG),與新 Apigee 例項所在地區的服務附件進行通訊。所有區域的 Apigee NEG 都會連結至 Apigee 實際全域外部負載平衡器的後端服務。
為新地區建立網路端點群組
請按照下列步驟,為新區域建立及設定負載平衡器,並使用網路端點群組 (NEG):
- 建立新的 NEG:
- 從先前建立的執行個體取得服務附件:
curl -i -X GET -H "$AUTH" \ "https://apigee.googleapis.com/v1/organizations/$PROJECT_ID/instances"
在以下輸出結果範例中,
serviceAttachment值以粗體顯示:{ "instances": [ { "name": "us-west1", "location": "us-west1", "host": "10.82.192.2", "port": "443", "createdAt": "1645731488019", "lastModifiedAt": "1646504754219", "diskEncryptionKeyName": "projects/my-project/locations/us-west1/keyRings/us-west1/cryptoKeys/dek", "state": "ACTIVE", "peeringCidrRange": "SLASH_22", "runtimeVersion": "1-7-0-20220228-190814", "ipRange": "10.82.192.0/22,10.82.196.0/28", "consumerAcceptList": [ "875609189304" ], "serviceAttachment": "projects/bfac7497a40c32a12p-tp/regions/us-west1/serviceAttachments/apigee-us-west1-crw7" } ] }
建立 NEG,指向您在上一個步驟中從執行個體回應主體取得的服務附件。
gcloud compute network-endpoint-groups create NEG_NAME \ --network-endpoint-type=private-service-connect \ --psc-target-service=TARGET_SERVICE \ --region=$NEW_REGION_LOCATION \ --network=NETWORK_NAME \ --subnet=SUBNET_NAME \ --project=PROJECT_ID
更改下列內容:
- NEG_NAME:網路端點群組的名稱。
- TARGET_SERVICE:您要連線的服務附件。例如:
projects/bfac7497a40c32a12p-tp/regions/us-west1/serviceAttachments/apigee-us-west1-crw7 - NETWORK_NAME:(選用) 建立 NEG 的網路名稱。如果省略這個參數,系統會使用
default專案網路。 - SUBNET_NAME:用於與內容供應者建立私人連線的子網路名稱。子網路大小可以很小:PSC NEG 只需要子網路中的一個 IP 位址。對於 Apigee,每個區域只需要一個 PSC NEG。子網路可供 VM 或其他實體共用和使用。如果未指定子網路,網路端點可能會屬於網路端點群組建立所在地區的任何子網路。
- PROJECT_ID 已與 Apigee 機構建立關聯的 Cloud 專案,或是在Apigee 執行階段執行個體建立時,
consumerAcceptlist中納入的 Cloud 專案。
- 從先前建立的執行個體取得服務附件:
- 取得正式版 Apigee 負載平衡器的後端服務名稱:
gcloud compute backend-services list --project=$PROJECT_ID
- 將 NEG 新增至後端服務,做為後端使用:
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=$NEW_REGION_LOCATION \ --global --project=$PROJECT_ID
更改下列內容:
- BACKEND_SERVICE_NAME:後端服務的名稱。
- NEG_NAME:網路端點群組的名稱。
- (選用) 您可以在後端服務上設定異常值偵測流量政策,自動處理容錯情況。詳情請參閱下列資源:
測試最終設定
呼叫 API Proxy。請參閱「部署範例 Proxy」一文。
設定 MIG 轉送
下列步驟說明如何使用代管執行個體群組 (MIG) 設定新區域的路由。
總覽
下圖顯示使用管理式執行個體群組 (MIG) 的多區域高階北向架構:
如圖 2 所示,您將在專案中建立 MIG,以便與部署在新 Apigee 執行個體所在地區的負載平衡器進行通訊。所有區域的 MIG Proxy 都會連線至 Apigee 正式版全域外部負載平衡器的後端。
為新區域建立代管執行個體群組 (MIG)
請按照下列步驟,為新區域建立及設定 MIG:
為 VPC 網路的子網路啟用私人 Google 存取權。
如要為 VPC 網路的子網路啟用 私人 Google 存取權,請按照「啟用私人 Google 存取權」一文中的步驟操作。
設定環境變數:
本節的操作說明會使用環境變數參照重複使用的字串。建議您先設定下列項目,再繼續操作:
MIG_NAME=YOUR_MIG_NAME
VPC_NAME=YOUR_VPC_NAME # If you are using a shared VPC, use the shared VPC nameVPC_SUBNET=YOUR_SUBNET_NAME # Private Google Access must be enabled for this subnetNEW_REGION_LOCATION=YOUR_NEW_REGION # The same region as your new Apigee runtime instanceAPIGEE_ENDPOINT=APIGEE_INSTANCE_IP# See the tip below for details on getting this IP address value- 建立代管執行個體群組。在這個步驟中,您將建立及設定代管執行個體群組 (MIG)。
- 執行下列指令,建立執行個體範本。
gcloud compute instance-templates create $MIG_NAME \ --project $PROJECT_ID \ --region $NEW_REGION_LOCATION \ --network $VPC_NAME \ --subnet $VPC_SUBNET \ --tags=https-server,apigee-mig-proxy,gke-apigee-proxy \ --machine-type e2-medium --image-family debian-12 \ --image-project debian-cloud --boot-disk-size 20GB \ --no-address \ --metadata ENDPOINT=$APIGEE_ENDPOINT,startup-script-url=gs://apigee-5g-saas/apigee-envoy-proxy-release/latest/conf/startup-script.sh
如您從這項指令中看到,機器的類型為
e2-medium。這些機器執行 Debian 12,並有 20 GB 的磁碟空間。startup-script.sh指令碼會設定 MIG,將負載平衡器的流量轉送至 Apigee 執行個體。 - 執行下列指令,建立代管執行個體群組:
gcloud compute instance-groups managed create $MIG_NAME \ --project $PROJECT_ID --base-instance-name apigee-mig \ --size 2 --template $MIG_NAME --region $NEW_REGION_LOCATION
- 執行下列指令,為群組設定自動調度資源:
gcloud compute instance-groups managed set-autoscaling $MIG_NAME \ --project $PROJECT_ID --region $NEW_REGION_LOCATION --max-num-replicas 3 \ --target-cpu-utilization 0.75 --cool-down-period 90
- 執行下列指令,定義命名通訊埠:
gcloud compute instance-groups managed set-named-ports $MIG_NAME \ --project $PROJECT_ID --region $NEW_REGION_LOCATION --named-ports https:443
- 執行下列指令,建立執行個體範本。
- 取得正式版 Apigee 負載平衡器的後端服務名稱:
gcloud compute backend-services list --project=$PROJECT_ID
- 使用以下指令將 MIG 新增至後端服務:
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --project $PROJECT_ID --instance-group $MIG_NAME \ --instance-group-region $NEW_REGION_LOCATION \ --balancing-mode UTILIZATION --max-utilization 0.8 --global
將 BACKEND_SERVICE_NAME 改為後端服務的名稱。
測試最終設定
呼叫 API Proxy。請參閱「部署範例 Proxy」。
新增區域
在 Apigee 環境中新增多個區域,可為 API 提供高可用性、更高的容量和更低的延遲時間。多區域部署作業可支援高可用性,因為 XLB 會對每個區域進行健康狀態檢查,因此不需要手動執行容錯。當多個區域同時提供相同的 API 時,可提供更高的容量。此外,如果您的 API 用戶端位於多個區域,從離用戶端較近的區域提供 API 服務,有助於降低延遲時間並改善效能。
範例:多地區部署可改善可用性、容量和延遲
在雙主動式多區域部署作業中,流量會同時從兩個區域提供。您可以將每個區域的 MIG 後端服務新增至同一個外部 HTTPS 負載平衡器 (XLB),如 步驟 8:設定路由 部分的「外部路由(MIG)」分頁中的步驟 8e (3) 所述。如需更多資訊,請參閱 為新區域建立代管執行個體群組 (MIG)。
對於每項要求,XLB 會選擇離用戶端最近的區域,除非要求數量超過為特定後端設定的上限。如要進一步瞭解外部負載平衡器如何將流量重新導向,請參閱「 利用全域負載平衡進行應用程式容量最佳化」。
新增即付即用區域
透過Pay-as-you-go定價模式,您可以設定環境的 Apigee 閘道節點數量下限。這樣一來,就能確保區域一律以額外容量運作,在區域發生故障時立即支援容錯移轉流量。
設定 Apigee 閘道節點數量下限
如果您可以透過 2 個有效區域 (每個區域有 4 個 Apigee 閘道節點) 提供所有正常的 API 流量,則每個區域至少應有 8 個節點。這麼做是為了立即支援失去一個區域的情況。如要進一步瞭解如何判斷處理 API 流量所需的節點數量,請參閱「 關於 Apigee 節點」。請注意,節點數量下限是針對每個環境設定,但會針對每個區域強制執行。舉例來說,如果您將最小值設為 8,則每個區域至少會有 8 個節點。
費用
在上述範例中,您至少需要執行 16 個 Apigee 閘道節點 (8 個節點 x 2 個區域),因此會產生相關費用。節點數量會自動增加,以便處理額外流量,因此費用可能會增加,但不會超過上限。
從區域中移除 Apigee
如要停用 Apigee 執行個體,停止提供 API 流量,請按照下列步驟操作,確保服務不中斷 (API 停機時間為零):
- 在後端服務中啟用連線排除功能。連線排除是一項程序,可確保從後端服務移除後端時,系統有充足的時間能夠完成處理中的現有要求。
- 如果 Cloud DNS 已設定為透過加權輪替轉送政策將流量轉送至這個 Apigee 區域,請按照「管理 DNS 轉送政策和健康狀態檢查」一節所述,移除該 DNS 設定。
- 將 MIG 後端從後端服務中分離。這項功能搭配連線排除功能,可確保 Apigee 執行個體不會收到任何新流量,但允許任何執行中的要求完成。
- 刪除 Apigee 執行個體及其對應的 MIG。請參閱刪除執行個體。