GSP904

Übersicht

In diesem Lab erfahren Sie, wie Sie eine Apigee X-Organisation erstellen. Sie verwenden den Apigee X-Bereitstellungsassistenten, um die Apigee X-Organisation zu erstellen. Nachdem Sie die Organisation installiert und konfiguriert haben, installieren Sie einen API-Proxy und führen API-Aufrufe aus, um zu prüfen, ob die Organisation betriebsbereit ist.

Eine Apigee-Evaluierungsorganisation, die in Ihrem eigenen Google Cloud-Projekt erstellt wurde, ist in der Regel 60 Tage lang verfügbar. Die Organisation, die Sie für dieses Lab bereitstellen, wird gelöscht, wenn das Lab endet, und Sie verlieren den Zugriff auf die Organisation.

Lesen Sie sich die Lab-Anleitung durch, bevor Sie auf Lab starten klicken. Nach dem Start des Labs haben Sie 90 Minuten Zeit, es zu bearbeiten. Wenn die für das Lab zulässige Zeit abgelaufen ist, wird das Lab beendet und die Apigee-Evaluierungsorganisation gelöscht.

Aufgaben in diesem Lab:

• Mit dem Bereitstellungsassistenten eine Apigee X-Evaluierungsorganisation erstellen
• Apigee X-Architektur und ihre Einbindung in ein Google Cloud-Projekt verstehen
• VM erstellen, um einen Apigee-Proxy über eine interne IP-Adresse aufzurufen
• Apigee-Proxy über eine externe IP-Adresse aufrufen

Einrichtung

Vor dem Klick auf „Start Lab“ (Lab starten)

Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange Google Cloud-Ressourcen für das Lab verfügbar sind.

In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.

Für dieses Lab benötigen Sie Folgendes:

• Einen Standardbrowser (empfohlen wird Chrome)

• Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.

Lab starten und bei der Google Cloud Console anmelden

1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Dialogfeld geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich „Details zum Lab“ mit diesen Informationen:

   • Schaltfläche „Google Cloud Console öffnen“
   • Restzeit
   • Temporäre Anmeldedaten für das Lab
   • Ggf. weitere Informationen für dieses Lab

2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

   Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite „Anmelden“ geöffnet.

   Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

   Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

   {{{user_0.username | "Username"}}}

   Sie finden den Nutzernamen auch im Bereich „Details zum Lab“.

4. Klicken Sie auf Weiter.

5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

   {{{user_0.password | "Password"}}}

   Sie finden das Passwort auch im Bereich „Details zum Lab“.

6. Klicken Sie auf Weiter.

   Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

7. Klicken Sie sich durch die nachfolgenden Seiten:

   • Akzeptieren Sie die Nutzungsbedingungen.
   • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
   • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie auf Google Cloud-Produkte und ‑Dienste zugreifen möchten, klicken Sie auf das Navigationsmenü oder geben Sie den Namen des Produkts oder Dienstes in das Feld Suchen ein.

Cloud Shell aktivieren

Cloud Shell ist eine virtuelle Maschine, auf der Entwicklertools installiert sind. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft auf Google Cloud. Mit Cloud Shell erhalten Sie Befehlszeilenzugriff auf Ihre Google Cloud-Ressourcen.

1. Klicken Sie oben in der Google Cloud Console auf Cloud Shell aktivieren .

2. Klicken Sie sich durch die folgenden Fenster:

   • Fahren Sie mit dem Informationsfenster zu Cloud Shell fort.
   • Autorisieren Sie Cloud Shell, Ihre Anmeldedaten für Google Cloud API-Aufrufe zu verwenden.

Wenn eine Verbindung besteht, sind Sie bereits authentifiziert und das Projekt ist auf Project_ID, eingestellt. Die Ausgabe enthält eine Zeile, in der die Project_ID für diese Sitzung angegeben ist:

gcloud ist das Befehlszeilentool für Google Cloud. Das Tool ist in Cloud Shell vorinstalliert und unterstützt die Tab-Vervollständigung.

3. (Optional) Sie können den aktiven Kontonamen mit diesem Befehl auflisten:

4. Klicken Sie auf Autorisieren.

Ausgabe:

5. (Optional) Sie können die Projekt-ID mit diesem Befehl auflisten:

Ausgabe:

Aufgabe 1: Apigee X-Organisation bereitstellen

In dieser Aufgabe stellen Sie mit dem Bereitstellungsassistenten eine Apigee X-Evaluierungsorganisation bereit.

Eine Apigee X-Organisation ist an ein kundenverwaltetes Google Cloud-Projekt angehängt.

Vorbereitung

Bevor Sie eine Apigee X-Evaluierungsorganisation erstellen können, müssen bestimmte Voraussetzungen erfüllt sein:

• Bei Apigee X entspricht der Name Ihrer Apigee-Organisation dem Namen des zugehörigen Google Cloud-Projekts. Der Projektname muss mit einem Kleinbuchstaben beginnen und darf nur Kleinbuchstaben (a–z), Ziffern (0–9) und Bindestriche enthalten.
• Ein für Apigee X verwendetes Projekt muss mit einem Google Cloud-Konto mit aktiver Abrechnung verknüpft sein. Diese Anforderung gilt unabhängig davon, ob Sie eine kostenpflichtige Organisation oder eine Apigee X-Evaluierungsorganisation erstellen. Durch eine Evaluierungsorganisation fallen keine Gebühren für Ihr Konto an, dafür aber durch einige APIs, die von der Organisation verwendet werden.
• Mit dem Cloud SDK können Sie Ihre Apigee-Organisation installieren und mit ihr interagieren.

Das Lab-Projekt erfüllt diese Voraussetzungen.

Bereitstellungsassistenten starten

1. Rufen Sie in der Cloud Console die Apigee-Konsole auf.

2. Klicken Sie auf Apigee kostenlos ausprobieren, um zur Evaluierungskonsole zu gelangen.

   

APIs aktivieren

Für Apigee X-Organisationen müssen im Google Cloud-Projekt die Apigee APIs, die Service Networking APIs und die Compute Engine APIs aktiviert sein. Der Assistent aktiviert die erforderlichen APIs.

1. Klicken Sie unter Apigee-Evaluierung einrichten neben APIs aktivieren auf Bearbeiten.

   Die Liste der zu aktivierenden APIs wird angezeigt:

   • Die Apigee-APIs werden verwendet, um Ihre Apigee-Organisation zu konfigurieren und mit ihr zu interagieren.
   • Die Compute Engine-APIs werden verwendet, um die verwaltete Instanzgruppe (Managed Instance Group, MIG) zu erstellen, die als Netzwerkbrücke dient, um eine Verbindung zur privaten IP-Adresse der Apigee-Instanz herzustellen.
   • Die Service Networking-APIs werden verwendet, um die Kommunikation zwischen Ihrem Google Cloud-Projekt und der von Google verwalteten Apigee-Evaluierungsorganisation zu ermöglichen.

2. Klicken Sie auf APIs aktivieren.

   Nach kurzer Zeit werden die APIs aktiviert und neben APIs aktivieren wird ein Häkchen angezeigt.

Netzwerk einrichten

Der Bereitstellungsassistent erstellt ein VPC-Netzwerk-Peering (Virtual Private Cloud) zwischen dem Google Cloud-Projekt des Kundenunternehmens und dem von Google verwalteten Projekt, das die Apigee-Laufzeit enthält. Der Assistent erstellt auch eine private Dienstverbindung für die Kommunikation mit der Apigee-Laufzeit.

1. Klicken Sie neben Netzwerk auf Bearbeiten.

   Im Bereich Netzwerk einrichten werden Sie aufgefordert, ein autorisiertes Netzwerk anzugeben. Das Standardnetzwerk ist bereits verfügbar und kann für eine Evaluierungsorganisation verwendet werden. Es wird jedoch in der Regel nicht empfohlen, das Standardnetzwerk zu verwenden.

2. Klicken Sie auf VPC-Netzwerke in Ihrem Projekt ansehen.

   Die Seite „VPC-Netzwerke“ in der Console wird in einem anderen Tab geöffnet.

3. Klicken Sie auf + VPC-Netzwerk erstellen.

4. Geben Sie dem Netzwerk den Namen apigeex-vpc.

5. Legen Sie im Bereich Neues Subnetz die folgenden Werte fest:

   Attribut	Wert
   Name	apigeex-vpc
   Region	auswählen
   IPv4-Bereich	10.0.0.0/20
   Privater Google-Zugriff	Aktiviert

   Der IP-Adressbereich wird im CIDR-Format angegeben. Die Dezimalzahl gibt die Größe des Bereichs an, von /32 (eine einzelne IP-Adresse) bis /8 (der größte private IP-Bereich, von 10.0.0.0 bis 10.255.255.255).

   Ihr Subnetz muss einen Bereich verwenden, der groß genug ist, um einen /22-Bereich aufzunehmen. Der hier verwendete /20-Bereich ist viermal größer als der /22-Bereich, der von Apigee verwendet wird.

6. Klicken Sie im Bereich Neues Subnetz auf Fertig.

7. Klicken Sie auf Erstellen.

   In Ihrem Projekt wird ein neues VPC-Netzwerk mit einem einzelnen Subnetz erstellt. Neben dem Netzwerk „apigeex-vpc“ wird ein Kreis angezeigt, bis der Vorgang abgeschlossen ist.

8. Warten Sie, bis das Netzwerk apigeex-vpc erstellt wurde, und kehren Sie dann zum Tab Einrichtung des Assistenten zurück.

9. Klicken Sie auf Autorisierte Netzwerke aktualisieren () und wählen Sie dann das autorisierte Netzwerk apigeex-vpc aus.

10. Wählen Sie IP-Bereich automatisch zuweisen aus.

Ein Peering-IP-Bereich mit dem Namen google-managed-services-apigeex-vpc und der Präfixlänge /22 wird erstellt.

11. Klicken Sie auf Zuordnen und verbinden.
12. Warten Sie, bis die Netzwerkkonfiguration abgeschlossen ist.

Neben Netzwerk wird ein Häkchen angezeigt, wenn die Netzwerkkonfiguration abgeschlossen ist.

13. Kehren Sie zum Tab VPC-Netzwerke zurück und klicken Sie auf Aktualisieren.
14. Klicken Sie auf apigeex-vpc.
15. Wenn der Tab Subnetze ausgewählt ist, scrollen Sie nach rechts und wählen Sie den Tab Zugriff auf private Dienste aus.

Der IP-Bereich google-managed-services-apigeex-vpc wurde mit einem internen IP-Bereich /22 erstellt.

Klicken Sie auf Fortschritt prüfen. APIs aktivieren und Netzwerk einrichten

Apigee-Evaluierungsorganisation erstellen

Der Bereitstellungsassistent erstellt eine Apigee-Evaluierungsorganisation.

1. Kehren Sie zum Tab Einrichtung des Assistenten zurück.

2. Klicken Sie neben Apigee-Evaluierungsorganisation auf Bearbeiten.

   Im Bereich Apigee-Evaluierungsorganisation erstellen können Sie die Google Cloud-Regionen auswählen, die für die Apigee-Laufzeit und das Analytics-Hosting verwendet werden.

3. Wählen Sie als Analytics-Hostingregion aus.

4. Wählen Sie als Laufzeitstandort aus.

Sie wählen eine Region für den Laufzeitstandort aus. Apigee wählt eine Zone in der Region aus, in der die Evaluierungsorganisation bereitgestellt werden soll.

5. Klicken Sie auf Bereitstellen.

   Sie kehren später zum Bereitstellungsassistenten zurück, um Zugriffsrouting zu konfigurieren.

Aufgabe 2: Warten, bis die Bereitstellung abgeschlossen ist

In dieser Aufgabe warten Sie, bis die Bereitstellung der Apigee-Evaluierungsorganisation abgeschlossen ist.

Die Bereitstellung der Apigee-Organisation dauert eine Weile. Sie können den Fortschritt mit der Apigee API verfolgen.

Monitoring-Script starten

1. Kehren Sie zum Tab Console zurück.

2. Klicken Sie in der Symbolleiste rechts oben auf den Button Cloud Shell aktivieren.

   

3. Wenn Sie dazu aufgefordert werden, klicken Sie auf Weiter.

   Die Bereitstellung und Verbindung mit der Cloud Shell dauert einen Moment. Wenn Sie verbunden sind, sind Sie auch bereits authentifiziert und das Projekt ist auf Ihre PROJECT_ID eingestellt.

4. Prüfen Sie in der Cloud Shell die Variable mit dem Namen Ihrer Apigee-Organisation:

   echo ${GOOGLE_CLOUD_PROJECT}

   Die Variable GOOGLE_CLOUD_PROJECT sollte den Namen Ihres Projekts enthalten, der mit dem Namen Ihrer Apigee-Organisation identisch ist.

5. Wenn die Variable GOOGLE_CLOUD_PROJECT nicht festgelegt ist, legen Sie sie manuell mit einem Befehl fest, der wie unten dargestellt aussieht. Ersetzen Sie durch den Namen Ihres Projekts:

   export GOOGLE_CLOUD_PROJECT=<project>

6. Kopieren Sie den folgenden Befehl in die Cloud Shell:

   export INSTANCE_NAME=eval-instance; export ENV_NAME=eval; if [ -z "${GOOGLE_CLOUD_PROJECT}" ]; then echo "Error: GOOGLE_CLOUD_PROJECT environment variable is not set. Please set it to your project ID."; else export PREV_INSTANCE_STATE=; echo "waiting for runtime instance ${INSTANCE_NAME} to be active"; while : ; do export INSTANCE_STATE=$(curl -s -H "Authorization: Bearer $(gcloud auth print-access-token)" -X GET "https://apigee.googleapis.com/v1/organizations/${GOOGLE_CLOUD_PROJECT}/instances/${INSTANCE_NAME}" | jq "select(.state != null) | .state" --raw-output); [[ "${INSTANCE_STATE}" == "${PREV_INSTANCE_STATE}" ]] || (echo; echo "INSTANCE_STATE=${INSTANCE_STATE}"); export PREV_INSTANCE_STATE=${INSTANCE_STATE}; [[ "${INSTANCE_STATE}" != "ACTIVE" ]] || break; echo -n "."; sleep 5; done; echo; echo "instance created, waiting for environment ${ENV_NAME} to be attached to instance"; while : ; do export ATTACHMENT_DONE=$(curl -s -H "Authorization: Bearer $(gcloud auth print-access-token)" -X GET "https://apigee.googleapis.com/v1/organizations/${GOOGLE_CLOUD_PROJECT}/instances/${INSTANCE_NAME}/attachments" | jq "select(.attachments != null) | .attachments[] | select(.environment == \"${ENV_NAME}\" or (.environment | endswith(\"/${ENV_NAME}\"))) | .environment" --raw-output); [[ -n "${ATTACHMENT_DONE}" ]] && break; echo -n "."; sleep 5; done; echo; echo "${ENV_NAME} environment attached"; echo "***ORG IS READY TO USE***"; fi

   Bei dieser Befehlsfolge wird die Apigee API verwendet, um festzustellen, wann die Laufzeitinstanz erstellt wurde, und es wird darauf gewartet, dass die Evaluierungsumgebung an die Instanz angehängt wird.

7. Warten Sie, bis die Bereitstellung abgeschlossen ist.

   Wenn der Text ***ORG IS READY TO USE*** ausgegeben wird, kann die Organisation getestet werden.

   Hinweis: Lesen Sie dieses Lab weiter, um mehr über die Apigee X-Architektur, den Lebenszyklus von API-Proxyaufrufen und die Apigee-Benutzeroberfläche zu erfahren, während Sie darauf warten, dass die Organisation vollständig erstellt wird.
   Dieser Vorgang kann bis zu 30 Minuten dauern. Achten Sie auf die verbleibende Zeit im Lab und prüfen Sie regelmäßig die Cloud Shell-Ausgabe, um zu sehen, wann die Organisation getestet werden kann.
   In anderen Labs dieser Aufgabenreihe wird die Apigee-Organisation automatisch für Sie erstellt.

Apigee-Architekturübersicht

Für eine Apigee X-Organisation sind zwei Google Cloud-Projekte erforderlich: eines, das vom Kundenunternehmen verwaltet wird, und eines, das von Google für die Apigee X-Laufzeit verwaltet wird. Jedes Projekt verwendet sein eigenes VPC-Netzwerk (Virtual Private Cloud). Standardmäßig können VPC-Netzwerke in zwei separaten Projekten nicht miteinander kommunizieren.

Um die Kommunikation zwischen diesen VPCs zu ermöglichen, verwendet Apigee VPC-Netzwerk-Peering. Netzwerk-Peering ermöglicht die Verbindung zwischen den beiden Netzwerken über interne IP-Adressen.

Die Apigee-Laufzeit führt Ihre API-Proxys aus und wird im von Google verwalteten Projekt bereitgestellt. Eingehende Anfragen an die Laufzeit werden an einen internen TCP-Load-Balancer gesendet, auf den über eine private IP-Adresse im Peering-Netzwerk zugegriffen werden kann.

Um Traffic von Clients im Internet an die Apigee-Laufzeitumgebung weiterzuleiten, können Sie einen globalen externen HTTPS-Load-Balancer (XLB) verwenden. Ein XLB kann jedoch nicht direkt mit einer internen IP-Adresse in einem anderen Projekt kommunizieren, selbst wenn die Netzwerke per Peering verbunden sind. Zur Lösung dieses Problems wird eine verwaltete Instanzgruppe (Managed Instance Group, MIG) von virtuellen Maschinen (VMs) als Netzwerkbrücke verwendet.

Die VMs in der MIG können bidirektional über die Peering-Netzwerke kommunizieren. Eine Anfrage aus dem Internet würde über den XLB an eine Brücken-VM in der MIG weitergeleitet werden. Die VM kann die private IP-Adresse des internen Load Balancers der Apigee-Laufzeit aufrufen.

Die Laufzeit kann auch direkt interne IP-Adressen im Peering-Netzwerk im Kundenprojekt aufrufen oder externe IP-Adressen über das von Google verwaltete Cloud NAT-Gateway (Network Address Translation) des Projekts aufrufen.

Lebenszyklus eines API-Proxyaufrufs

Die folgende Abbildung zeigt den Lebenszyklus eines API-Proxyaufrufs für eine kostenpflichtige Apigee X-Organisation.

1. Eine Clientanwendung ruft einen Apigee API-Proxy auf.
2. Die Anfrage wird an einen globalen externen L7-HTTPS-Load-Balancer (XLB) weitergeleitet. Der XLB ist mit einer externen öffentlichen IP-Adresse und einem TLS-Zertifikat konfiguriert.
3. Der XLB leitet die Anfrage an eine VM in der MIG weiter.
4. Die VM leitet die Anfrage an die private IP-Adresse des internen Load Balancers weiter, von wo zur Apigee-Laufzeit weitergeleitet wird.
5. Nach der Verarbeitung der Anfrage sendet die Apigee-Laufzeit die Anfrage an den Backend-Dienst. Die Antwort wird auf demselben Pfad zurückgegeben.

Apigee-Benutzeroberfläche

Die Apigee-Benutzeroberfläche wird zur Verwaltung Ihrer Organisation verwendet. Sie können Ihre Organisation in der Benutzeroberfläche unter apigee.google.com erkunden.

Klicken Sie auf Fortschritt prüfen. Apigee-Evaluierungsorganisation erstellen und warten, bis sie bereitgestellt wurde

Aufgabe 3: Zugriffsrouting einrichten

In dieser Aufgabe verwenden Sie den Bereitstellungsassistenten, um die Infrastruktur zu erstellen, die API-Aufrufe von außerhalb des VPC-Netzwerks ermöglicht.

1. Kehren Sie zum Tab Einrichtung des Assistenten zurück.

   Hinweis: Wenn der vorherige Fortschrittsprüfpunkt erfolgreich abgeschlossen wurde, sollte der Prozess für die Apigee-Evaluierungsorganisation (Schritt 3) als abgeschlossen markiert sein oder in Kürze als abgeschlossen markiert werden. Warten Sie, bis Schritt 3 abgeschlossen ist.

2. Klicken Sie neben Zugriffsrouting auf Bearbeiten.

3. Wählen Sie Internetzugriff aktivieren aus.

   Hinweis: Im Assistenten werden Kosten für den Google Cloud Load Balancer erwähnt. Für die Nutzung dieses Labs fallen keine Kosten an.

4. Wählen Sie Platzhalter-DNS-Dienst verwenden aus.

   Ein DNS-Dienst mit Platzhalter gibt automatisch einen DNS-Eintrag basierend auf einer im Hostnamen eingebetteten IP-Adresse zurück. Der Hostname eval-34.100.120.55.nip.io würde beispielsweise in die IP-Adresse 34.100.120.55 aufgelöst.

5. Wenn Sie den Standard-Platzhalter-DNS-Anbieter nip.io verwenden möchten, lassen Sie das Feld Domain unverändert.

6. Wählen Sie für Subnetzwerk die Option apigeex-vpc aus.

7. Klicken Sie auf Zugriff festlegen.

8. Warten Sie, bis die Konfiguration des Zugriffs-Routings abgeschlossen ist, und klicken Sie dann auf Weiter.

Klicken Sie auf Fortschritt prüfen. Zugriffsrouting einrichten.

Externer Zugriff für die Evaluierungsorganisation wird erstellt. Das Erstellen des Load-Balancer-Zertifikats apigee-ssl-cert kann einige Minuten dauern. Deshalb testen Sie zuerst den internen Zugriff.

Aufgabe 4: Apigee-Evaluierungsorganisation über internen Zugriff testen

In dieser Aufgabe testen Sie, ob ein Proxy in der Apigee-Evaluierungsorganisation von einer internen IP-Adresse aus aufgerufen werden kann.

Um einen API-Proxy auf einer Laufzeitinstanz über eine interne IP-Adresse aufzurufen, erstellen Sie im selben Netzwerk eine VM, die einen Aufruf an die Instanz senden kann.

Virtuelle Maschine erstellen, die Aufrufe an die Apigee-Laufzeitumgebung senden kann

Nach der Bereitstellung lässt eine Apigee-Evaluierungsorganisation nur interne IP-Adressen mit der Apigee-Laufzeitumgebung kommunizieren. Eine Compute Engine-VM in Ihrem Cluster kann Anfragen an den internen Load Balancer für die Apigee-Laufzeit senden.

1. Legen Sie in der Cloud Shell die folgenden Variablen fest:

   export ORG=${GOOGLE_CLOUD_PROJECT} export PROJECT_NUMBER=$(gcloud projects describe ${GOOGLE_CLOUD_PROJECT} --format="value(projectNumber)") export NETWORK=apigeex-vpc export SUBNET=apigeex-vpc export INSTANCE_NAME=eval-instance export VM_NAME=apigeex-test-vm export VM_ZONE={{{ project_0.default_zone | ZONE }}} export RUNTIME_IP=$(curl -s -H "Authorization: Bearer $(gcloud auth print-access-token)" -X GET "https://apigee.googleapis.com/v1/organizations/${ORG}/instances/${INSTANCE_NAME}" | jq ".host" --raw-output) echo "RUNTIME_IP=${RUNTIME_IP}"

   Die IP-Adresse der Laufzeit wird mit der Apigee API abgerufen, die die Details für eine Laufzeitinstanz abruft. Das Tool „jq“ wird verwendet, um die JSON-Antwort zu parsen und ein bestimmtes Feld abzurufen.

2. Erstellen Sie eine virtuelle Maschine:

   gcloud beta compute --project=${GOOGLE_CLOUD_PROJECT} \ instances create ${VM_NAME} \ --zone=${VM_ZONE} \ --machine-type=e2-micro \ --subnet=${SUBNET} \ --service-account=${PROJECT_NUMBER}-compute@developer.gserviceaccount.com \ --scopes=https://www.googleapis.com/auth/cloud-platform \ --tags=http-server,https-server \ --image-family=debian-11 \ --image-project=debian-cloud \ --boot-disk-size=10GB \ --boot-disk-device-name=${VM_NAME} \ --metadata=startup-script="sudo apt-get update -y && sudo apt-get install -y jq"

   Mit diesem gcloud-Befehl wird eine neue virtuelle Maschine mit den folgenden Parametern erstellt:

   • zone: Dies ist die Zone der VM-Instanz.
   • machine-type: e2-micro ist ein kostengünstiger Maschinentyp mit gemeinsam genutztem Kern.
   • subnet: Dies ist das Subnetz, das Sie im apigeex-vpc-Netzwerk erstellt haben.
   • service-account: Dies ist die an die Instanz angehängte Identität.
   • scope: Dies ist die Zugriffsebene, die dem Dienstkonto auf der VM gewährt wird.
   • tags: Dies ist eine Liste von Tags, die auf die Instanz angewendet werden. Sie werden verwendet, um standardmäßige Firewallregeln und Routen bereitzustellen.
   • image-family: Dies ist die Image-Familie, die für das Image verwendet werden soll. Es wird das neueste nicht verworfene Image in der Familie verwendet.
   • image-project: Dies ist das Google Cloud-Projekt, in dem die öffentliche Image-Familie gehostet wird.
   • boot-disk-size: Dies ist Größe des zu erstellenden VM-Bootlaufwerks.
   • boot-disk-device-name: Dies ist der Name des erstellten Bootlaufwerks.
   • metadata: Dies gibt das auszuführende Start-Script an. Dieses Script installiert jq, das bei den Tests verwendet wird.

   Weitere Informationen zu den Parametern erhalten Sie mit dem folgenden Befehl:

   gcloud compute instances create --help

3. Fügen Sie eine Firewallregel hinzu, um den SSH-Zugriff auf VMs im Netzwerk zu ermöglichen:

   gcloud compute --project=${GOOGLE_CLOUD_PROJECT} \ firewall-rules create ${NETWORK}-allow-ssh \ --direction=INGRESS \ --priority=65534 \ --network=${NETWORK} \ --action=ALLOW \ --rules=tcp:22 \ --source-ranges=0.0.0.0/0

   Dieser Befehl gibt an, dass eingehende SSH-Anfragen an den Computer von jeder Quelle aus zulässig sind. Für SSH-Sitzungen muss sich die Nutzerin oder der Nutzer weiterhin authentifizieren.

4. Öffnen Sie in der Cloud Shell eine SSH-Verbindung zur neuen VM:

   gcloud compute ssh ${VM_NAME} --zone=${VM_ZONE} --force-key-file-overwrite

5. Klicken Sie für jede gestellte Frage auf die Eingabetaste oder die Return-Taste, um die Standardeingabe zu übernehmen.

   Ihre angemeldete Identität ist der Inhaber des Projekts. Daher ist eine SSH-Verbindung zu diesem Computer zulässig.

   Ihre Cloud Shell-Sitzung wird jetzt in der VM ausgeführt.

Apigee-Evaluierungsorganisation testen

1. Legen Sie in der Shell der VM die erforderlichen Shell-Variablen fest:

   export PROJECT_NAME=$(gcloud config get-value project) export ORG=${PROJECT_NAME} export INSTANCE_NAME=eval-instance export INSTANCE_IP=$(curl -s -H "Authorization: Bearer $(gcloud auth print-access-token)" -X GET "https://apigee.googleapis.com/v1/organizations/${ORG}/instances/${INSTANCE_NAME}" | jq ".host" --raw-output) export ENV_GROUP_HOSTNAME=$(curl -s -H "Authorization: Bearer $(gcloud auth print-access-token)" -X GET "https://apigee.googleapis.com/v1/organizations/${ORG}/envgroups" | jq ".environmentGroups[0].hostnames[0]" --raw-output) echo "INSTANCE_IP=${INSTANCE_IP}" echo "ENV_GROUP_HOSTNAME=${ENV_GROUP_HOSTNAME}"

   Der Hostname der Umgebungsgruppe wird verwendet, um Aufrufe an API-Proxys weiterzuleiten, die in einer Umgebung in der Evaluierungsumgebungsgruppe bereitgestellt werden.

2. Rufen Sie den bereitgestellten API-Proxy hello-world über eine interne IP-Adresse auf:

   curl -i -k --resolve "${ENV_GROUP_HOSTNAME}:443:${INSTANCE_IP}" \ "https://${ENV_GROUP_HOSTNAME}/hello-world"

   Die Einstellung --resolve erzwingt, dass an den Hostnamen der Umgebungsgruppe gesendete Befehle in die IP-Adresse des Load Balancers der Instanz aufgelöst werden, da es keinen DNS-Eintrag für den Hostnamen der Umgebungsgruppe gibt. Die Option -k sorgt dafür, dass die Überprüfung des TLS-Zertifikats, das vom Load Balancer der Instanz präsentiert wird, übersprungen wird.

   Dieser curl-Befehl verwendet eine virtuelle Maschine, die mit dem Peering-Netzwerk verbunden ist, um die interne IP-Adresse des Load Balancers der Laufzeit aufzurufen. Der Befehl curl gibt die Ausgabe des hello-world-Proxys zurück: Hello, Guest!

Klicken Sie auf Fortschritt prüfen. Apigee-Evaluierungsorganisation über internen Zugriff testen

Aufgabe 5: Apigee-Evaluierungsorganisation über externen Zugriff testen

In dieser Aufgabe testen Sie, ob ein Proxy in der Apigee-Evaluierungsorganisation von einer externen IP-Adresse aus aufgerufen werden kann.

Im Schritt „Zugriffsrouting“ des Bereitstellungsprozesses wird die Infrastruktur erstellt, die erforderlich ist, um Ihre API-Proxys von externen IP-Adressen aus aufzurufen. Der Bereitstellungsassistent erstellt einen externen Load Balancer, der die Laufzeit über eine verwaltete Instanzgruppe aufruft.

Erstellte Infrastruktur ansehen

1. Rufen Sie in der Console Netzwerkdienste > Load Balancing auf.

   Ein Load Balancer mit dem Namen apigee-proxy-url-map wurde erstellt.

2. Klicken Sie auf apigee-proxy-url-map.

   Die Konfigurationsabschnitte des Load Balancers umfassen das Frontend, Host- und Pfadregeln und das Backend.

   Unter Frontend sind Details zum eingehenden Traffic angegeben. Dieser Load Balancer sollte HTTPS-Traffic an Port 443 einer externen IP-Adresse akzeptieren. Das Zertifikat heißt apigee-ssl-cert.

   Die Host- und Pfadregeln geben an, welche Hostnamen und URL-Pfade verwendet werden können, um ein bestimmtes Backend aufzurufen. In diesem Fall werden Anfragen mit einem beliebigen Hostnamen und Pfad an den Backend-Dienst apigee-proxy-backend weitergeleitet.

   Unter Backend ist der Dienst angegeben, der vom Load Balancer aufgerufen werden soll. Die Instanzgruppe apigee-proxy- enthält zwei virtuelle Maschinen, die Anfragen an die Laufzeitinstanz weiterleiten. Ein globaler Load Balancer kann Anfragen nicht an eine interne IP-Adresse weiterleiten, aber die VMs der Instanzgruppe können eine interne IP-Adresse aufrufen.

3. Klicken Sie in der Frontend-Konfiguration auf apigee-ssl-cert, um die Zertifikatsdetails aufzurufen.

   Das vom Load Balancer verwendete Zertifikat hat, wenn es aktiv ist, eine Zertifikatskette, die es curl ermöglicht, den Load Balancer aufzurufen, ohne die Zertifikatsvalidierung zu überspringen. Die Domain für das Zertifikat ist [IP_ADDRESS].nip.io, wobei die IP-Adresse die externe IP-Adresse des Frontends ist.

   Google Cloud muss das Zertifikat bereitstellen. Das kann eine Weile dauern.

   Die Konfiguration für ein aktives Zertifikat sieht so aus:

   

   Wenn der Status des Zertifikats WIRD BEREITGESTELLT lautet, hat Google Cloud das Zertifikat möglicherweise erstellt, arbeitet aber noch mit der Zertifizierungsstelle zusammen, um es zu signieren.

   Die Bereitstellung dauert in der Regel weniger als 10 Minuten, kann aber auch bis zu einer Stunde in Anspruch nehmen. Weitere Informationen finden Sie im Leitfaden zur Fehlerbehebung für den Status „Verwaltet“.

4. Öffnen Sie in der Cloud Shell einen neuen Tab, indem Sie auf Neuen Tab öffnen (+) klicken.

   Die Cloud Shell kann keine privaten IP-Adressen im Google Cloud-Projekt aufrufen.

5. Rufen Sie den bereitgestellten API-Proxy hello-world über eine externe IP-Adresse auf:

   export PROJECT_NAME=$(gcloud config get-value project) export SSL_HOSTNAME=$(curl -s -H "Authorization: Bearer $(gcloud auth print-access-token)" -X GET "https://compute.googleapis.com/compute/v1/projects/${PROJECT_NAME}/global/sslCertificates/apigee-ssl-cert" | jq ".managed.domains[0]" --raw-output) echo "SSL_HOSTNAME=${SSL_HOSTNAME}" curl -H "Cache-Control: no-cache" "https://${SSL_HOSTNAME}/hello-world"

   Mit der Methode sslCertificates.get der Compute Engine API wird der mit dem Zertifikat verknüpfte nip.io-Hostname abgerufen.

   Wenn das Zertifikat vollständig bereitgestellt wurde, gibt der curl-Befehl wieder die Ausgabe des hello-world-Proxys zurück: Hello, Guest!

   Wenn der curl-Befehl einen Handshake-Fehler zurückgibt, ist das SSL-Zertifikat noch nicht für den Load Balancer konfiguriert.

6. Kehren Sie zur Seite mit den Zertifikatsdetails zurück und prüfen Sie den Status des Zertifikats. Wenn der Status des Zertifikats immer noch nicht AKTIV ist, warten Sie, bis das Zertifikat aktiv wird, und versuchen Sie dann den curl-Befehl noch einmal.

Das wars! Sie haben das Lab erfolgreich abgeschlossen.

In diesem Lab haben Sie ein VPC-Netzwerk (Virtual Private Cloud) und eine Apigee X-Evaluierungsorganisation erstellt. Anschließend haben Sie eine virtuelle Maschine (VM) erstellt und damit die Laufzeit direkt aufgerufen, indem Sie einen API-Proxy aufgerufen haben, der in der Apigee X-Organisation ausgeführt wurde. Schließlich haben Sie den Internetzugriff aktiviert und den Proxy über einen globalen Load Balancer aufgerufen.

Weitere Informationen

• Apigee-Architekturübersicht
• Einführung in die Bereitstellung

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Anleitung zuletzt am 23. September 2025 aktualisiert

Lab zuletzt am 23. September 2025 getestet

© 2026 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.