Esta página foi traduzida pela API Cloud Translation.

Passo 2: instale e configure para o GKE

Este passo explica como transferir e instalar o apigeectl, configurar os diretórios de instalação e criar contas de serviço do Google Cloud e credenciais TLS necessárias para o funcionamento do Apigee hybrid.

Transfira e instale a app `apigeectl`

apigeectl é a interface de linhas de comando (CLI) para instalar e gerir o Apigee Hybrid num cluster do Kubernetes.

Os passos seguintes descrevem como obter apigeectl:

Transfira o pacote de lançamento para o seu sistema operativo através do seguinte comando:

Mac 64 bits:

curl -LO https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.1.1/apigeectl_mac_64.tar.gz

Linux de 64 bits:

curl -LO https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.1.1/apigeectl_linux_64.tar.gz

Mac de 32 bits:

curl -LO https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.1.1/apigeectl_mac_32.tar.gz

Linux de 32 bits:

curl -LO https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.1.1/apigeectl_linux_32.tar.gz

Crie um diretório no seu sistema para servir como o diretório base para a instalação do Apigee hybrid.
Extraia o conteúdo do ficheiro gzip transferido para o diretório base que acabou de criar. Por exemplo:
```
tar xvzf filename.tar.gz -C path-to-base-directory
```
Altere o diretório para o diretório base.
Por predefinição, o conteúdo do TAR é expandido para um diretório com a versão e a plataforma no respetivo nome. Por exemplo: ./apigeectl_1.0.0-f7b96a8_linux_64. Mude o nome desse diretório para apigeectl através do seguinte comando:
```
mv apigeectl_1.0.0-f7b96a8_linux_64 apigeectl
```
Altere o diretório para o diretório. Por exemplo:
```
cd ./apigeectl
```
Este diretório é o apigeectldiretório inicial. É onde se encontra o comando executável apigeectl.
Crie uma variável de ambiente para conter este caminho do diretório base através do seguinte comando:
```
export APIGEECTL_HOME=$PWD
```
Verifique se a variável contém o caminho correto através do seguinte comando:
```
echo $APIGEECTL_HOME
```

Configure a estrutura de diretórios do projeto

A estrutura de diretórios descrita abaixo é uma abordagem sugerida. Separa o software de lançamento do Apigee Hybrid dos ficheiros de configuração que tem de criar. Através da utilização da variável $APIGEECTL_HOME e das associações simbólicas que criar, pode mudar facilmente para uma nova versão do software, se quiser. Consulte também o artigo Atualizar o Apigee Hybrid.

Certifique-se de que está no diretório base (o diretório onde se encontra o diretório apigeectl).
Cria uma nova pasta denominada hybrid-files. Pode dar ao diretório qualquer nome que quiser, mas na documentação, o nome hybrid-files é usado de forma consistente. Posteriormente, vai armazenar ficheiros de configuração, chaves de contas de serviço e certificados TLS nesta pasta. Esta pasta permite-lhe manter os ficheiros de configuração separados da instalação do software apigeectl:
```
mkdir hybrid-files
```

A estrutura de diretórios atual tem agora o seguinte aspeto:

pwd && ls
/hybrid-base-directory
  apigeectl
  hybrid-files

Altere o diretório para a hybrid-filespasta através do seguinte comando:
```
cd hybrid-files
```
No diretório hybrid-files, crie as seguintes subdiretórios para organizar os ficheiros que vai criar mais tarde com os seguintes comandos:
```
mkdir overrides
mkdir service-accounts
mkdir certs
```
No diretório hybrid-files, crie os seguintes links simbólicos para $APIGEECTL_HOME. Estes links permitem-lhe executar o comando apigeectl a partir do diretório hybrid-files.
Nota: se não for a primeira vez que usa este processo, os seguintes links simbólicos podem já existir. Verifique se os links já existem através do seguinte comando: Se os diretórios existirem, ignore este passo.
```
ls -l | grep ^l
```
```
ln -s $APIGEECTL_HOME/tools tools
ln -s $APIGEECTL_HOME/config config
ln -s $APIGEECTL_HOME/templates templates
ln -s $APIGEECTL_HOME/plugins plugins
```
Para verificar se os links simbólicos foram criados corretamente, execute o seguinte comando e certifique-se de que os caminhos dos links apontam para as localizações corretas:
```
ls -l | grep ^l
```

Crie contas de serviço

O Apigee hybrid usa contas de serviço do Google Cloud para permitir que os componentes híbridos comuniquem através da realização de chamadas de API autorizadas. Neste passo, usa uma ferramenta de linha de comandos do Apigee hybrid para criar um conjunto de contas de serviço. A ferramenta também transfere as chaves privadas da conta de serviço. Em seguida, tem de adicionar estas chaves ao ficheiro de configuração do cluster híbrido do Apigee.

Clique para saber mais

A tabela seguinte descreve as contas de serviço necessárias pelos componentes híbridos para realizar a comunicação autorizada. Consulte também o artigo Acerca das contas de serviço.

Componente^*	Função	Descrição
`apigee-cassandra`	Administrador de objetos de armazenamento	Permite que as cópias de segurança do Cassandra sejam feitas no Google Cloud Storage, conforme descrito em Cópia de segurança e recuperação.
`apigee-logger`	Escritor de registos	Permite a recolha de dados de registo, conforme descrito em Registo. Apenas necessário para instalações de clusters que não sejam do GKE.
`apigee-mart`	Nenhuma função	Permite a autenticação do serviço MART. Esta conta de serviço não deve ter uma função associada. Como resultado, quando criar esta conta de serviço, não lhe atribua uma função.
`apigee-metrics`	Escritor de métricas de monitorização	Permite a recolha de dados de métricas, conforme descrito na recolha de métricas
`apigee-org-admin`	Administrador da organização do Apigee	Permite-lhe chamar a API getSyncAuthorization e a API setSyncAuthorization. Não pode criar esta conta de serviço com a ferramenta `create-service-account`.
`apigee-synchronizer`	Apigee Synchronizer Manager	Permite que o sincronizador transfira pacotes de proxy e dados de configuração do ambiente. Também permite o funcionamento da funcionalidade de rastreio.
`apigee-udca`	Agente do Apigee Analytics	Permite a transferência de dados de rastreio, estatísticas e estado de implementação para o plano de gestão.
^* Este nome é usado no nome do ficheiro da chave da conta de serviço transferida.

Crie as chaves:

Certifique-se de que está no diretório base_directory/hybrid-files.

Execute o seguinte comando a partir do diretório hybrid-files. Este comando cria uma conta de serviço para o componente apigee-metrics e coloca a chave transferida no diretório ./service-accounts.

./tools/create-service-account apigee-metrics ./service-accounts

Quando vir a seguinte mensagem, introduza y:

[INFO]: gcloud configured project ID is project_id.
 Press: y to proceed with creating service account in project: project_id
 Press: n to abort.

Se for a primeira vez que é criado um SA com o nome exato atribuído pela ferramenta, então a ferramenta apenas o cria e não tem de fazer mais nada.

No entanto, se vir a seguinte mensagem e comando, introduza y para gerar novas chaves:

[INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists.
...
 [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
 Press: y to generate new keys.(this does not de-activate existing keys)
 Press: n to skip generating new keys.

Agora, crie as restantes contas de serviço com os seguintes comandos:

./tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts

Verifique se as chaves da conta de serviço foram criadas. É responsável por armazenar estas chaves privadas em segurança. Os nomes dos ficheiros das chaves têm como prefixo o nome do seu projeto do Google Cloud. Por exemplo:

ls ./service-accounts
gcp-project-id-apigee-cassandra.json
gcp-project-id-apigee-logger.json
gcp-project-id-apigee-mart.json
gcp-project-id-apigee-metrics.json
gcp-project-id-apigee-synchronizer.json
gcp-project-id-apigee-udca.json

Crie certificados TLS

Tem de fornecer certificados TLS para os gateways de entrada do MART e de tempo de execução na sua configuração híbrida do Apigee. As credenciais usadas para a gateway MART têm de ser autorizadas por uma autoridade de certificação (CA). Para efeitos deste início rápido (uma instalação de avaliação não de produção), o gateway de tempo de execução pode aceitar credenciais autoassinadas.

Neste passo, vai criar os ficheiros de credenciais TLS e adicioná-los ao diretório base_directory/hybrid-files/certs. No Passo 3: configure o cluster, vai adicionar os caminhos dos ficheiros ao ficheiro de configuração do cluster.

Crie credenciais TLS para o gateway de tempo de execução

O gateway de entrada do tempo de execução (o gateway que processa o tráfego do proxy de API) requer um par de chave/certificado TLS. Para esta instalação de início rápido, pode usar credenciais autossinadas. Nos passos seguintes, é usado o openssl para gerar as credenciais.

Certifique-se de que está no diretório base_directory/hybrid-files.
Execute o seguinte comando a partir do diretório hybrid-files com o seguinte comando:
```
openssl req  -nodes -new -x509 -keyout ./certs/keystore.key -out \
    ./certs/keystore.pem -subj '/CN=mydomain.net' -days 3650
```
Este comando cria um par de chaves/certificado autoassinado que pode usar para a instalação de início rápido. O CN mydomain.net pode ser qualquer valor que pretender para as credenciais autoassinadas.
Verifique se os ficheiros estão no diretório ./certs através do seguinte comando:
```
ls ./certs
  keystore.pem
  keystore.key
```
Em que keystore.pem é o ficheiro de certificado TLS autoassinado e keystore.key é o ficheiro de chave.

Crie credenciais TLS para o gateway MART

Conforme indicado em Antes de começar, tem de usar um par de chave/certificado TLS autorizado para a configuração da gateway MART. Se ainda não o fez, obtenha ou crie estas credenciais agora.

Obtenha ou crie um par de chaves/certificado TLS autorizado por uma autoridade de certificação. É fornecido um exemplo que mostra como obter estas credenciais através da AC Let's Encrypt. Tenha em atenção que o nome comum (CN) do certificado tem de ser um nome DNS válido. Para ver os passos de exemplo, consulte Obtenha credenciais TLS: um exemplo.
Copie as credenciais para o diretório base_directory/hybrid-files/certs.
Quando terminar, deve ter dois pares de ficheiros de credenciais no diretório ./certs. Por exemplo:
```
ls ./certs
  fullchain.pem
  privkey.key
  keystore.pem
  keystore.key
```
Em que fullchain.pem é o ficheiro de certificado TLS autorizado e privkey.key é o ficheiro de chave autorizado.

Resumo

Agora, tem uma base a partir da qual pode configurar, implementar e gerir o Apigee hybrid no seu cluster do Kubernetes. Em seguida, vai criar um ficheiro que vai ser usado pelo Kubernetes para implementar os componentes de tempo de execução híbrido no cluster.

1 2 (NEXT) Passo 3: configure o cluster 4