Crea account di servizio Google Cloud Platform (GCP) con ruoli che consentono a singoli componenti ibridi di Apigee di effettuare chiamate API autorizzate e scaricare i file delle chiavi degli account di servizio associati. Puoi utilizzare i file delle chiavi dell'account di servizio generati da questo comando nella configurazione delle sostituzioni di file.
Lo strumento create-service-account
si trova nella directory hybrid_root_dir/tools
.
Prerequisiti
Lo strumento create-service-account
richiede l'installazione dell'interfaccia a riga di comando gcloud. Gli utenti che richiamano l'utilità devono avere il ruolo Service Account Admin
.
Per iniziare, assicurati che la configurazione del progetto gcloud
sia impostata sul progetto creato nel Passaggio 2: crea un progetto Google Cloud:
gcloud config list project
Se devi modificare l'ID progetto attuale, utilizza questo comando:
gcloud config set project gcp_project_id
Dove gcp_project_id è il progetto creato nel Passaggio 2: crea un progetto Google Cloud.
sintassi per creare-account-servizio
Lo strumento create-service-account
utilizza la seguente sintassi:
create-service-account component-name output-dir [gcp_project_id]
Dove:
- hybrid_service: specifica il servizio ibrido che utilizza l'account di servizio. I valori validi sono:
apigee-cassandra
apigee-logger
apigee-mart
apigee-metrics
apigee-synchronizer
apigee-udca
Tieni presente che lo strumento
create-service-account
non può creare l'account di servizioapigee-org-admin
. Devi crearlo con le API GCP o gCloud, come descritto in Creare account di servizio. - output_dir: directory di output in cui archiviare la chiave dell'account di servizio scaricata.
- (Facoltativo) gcp_project_id: specifica l'ID progetto GCP del progetto associato all'organizzazione abilitata per il cloud ibrido. Se l'ID progetto GCP non viene fornito, lo strumento tenta di recuperarlo dalla configurazione gcloud corrente.
Descrizione dettagliata
Lo strumento create-service-account
:
- Crea account di servizio GCP utilizzati dai componenti ibridi. All'account di servizio creato viene concesso il ruolo richiesto dal componente specifico per funzionare.
- Scarica la chiave dell'account di servizio sul tuo sistema. Inserisci le chiavi dell'account di servizio nel file di override della configurazione ibrida, come spiegato nelle istruzioni di installazione ibride.
Lo strumento crea account di servizio per i seguenti componenti:
Componente* | Ruolo | Obbligatorio per l'installazione di base? | Descrizione |
---|---|---|---|
apigee-cassandra |
Amministratore oggetti Storage | Consente i backup di Cassandra in Google Cloud Storage, come descritto in Backup e ripristino. | |
apigee-logger |
Writer log | Consente la registrazione dei dati di logging, come descritto nella sezione Logging. Obbligatorio solo per le installazioni di cluster non GKE. | |
apigee-mart |
Nessun ruolo | Consente l'autenticazione del servizio MART. Questo account di servizio non deve essere associato a un ruolo; di conseguenza, quando crei questo account di servizio, non assegnargli un ruolo. | |
apigee-metrics |
Writer metriche Monitoring | Consente la raccolta dei dati delle metriche, come descritto nella sezione Raccolta di metriche | |
apigee-org-admin |
Amministratore organizzazione Apigee | Consente di chiamare l'API getSyncPERMISSION e
l'API setSyncPermission. Non puoi creare questo account di servizio con lo strumento create-service-account . |
|
apigee-synchronizer |
Gestore sincronizzazione Apigee | Consente al programma di sincronizzazione di scaricare pacchetti proxy e dati di configurazione dell'ambiente. Attiva anche il funzionamento della funzionalità di traccia. | |
apigee-udca |
Agente di analisi Apigee | Consente il trasferimento dei dati di traccia, analisi e stato del deployment al piano di gestione. | |
* Questo nome viene utilizzato nel nome file della chiave dell'account di servizio scaricato. |
Puoi creare account di servizio anche nella console di GCP. Consulta anche Creazione e gestione degli account di servizio.
Esempio
L'esempio seguente crea un nuovo account di servizio per il servizio apigee-logger
e inserisce la chiave scaricata nella directory ./service-accounts
.
./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts