Questo argomento spiega come abilitare Workload Identity per Apigee hybrid.
Panoramica
Workload Identity è un modo per consentire alle applicazioni in esecuzione all'interno di GKE (Google Kubernetes Engine) di per accedere ai servizi Google Cloud. Per una panoramica di Workload Identity, vedi:
- Ti presentiamo Workload Identity: una migliore autenticazione per le tue applicazioni GKE
- Utilizzo di Workload Identity
Un account di servizio Google Cloud IAM è un'identità che un'applicazione può utilizzare per effettuare richieste API di Google. Questi account di servizio sono chiamati "GSA" (servizio Google Account) nel documento. Per ulteriori informazioni sulle sessioni di autenticazione, consulta Account di servizio.
Separatamente, Kubernetes ha anche il concetto di account di servizio. Un account di servizio fornisce per i processi eseguiti in un pod. Gli account di servizio Kubernetes sono risorse Kubernetes, mentre gli account di servizio Google sono specifici di Google Cloud. Per informazioni sul servizio Kubernetes gli account, vedi Configura gli account di servizio per i pod nella documentazione di Kubernetes.
Con Apigee hybrid 1.4 e versioni successive, Apigee crea e utilizza un account di servizio Kubernetes per ogni tipo di strumento di authoring. L'abilitazione di Workload Identity consente ai componenti ibridi di interagire con Kubernetes account di servizio.
Account di servizio Google in Apigee hybrid senza Workload Identity
Se non utilizzi Workload Identity, devi collegare gli account di servizio Google a ogni componente in il file override.yaml con un riferimento a un file di certificazione o a un secret Kubernetes. Ad esempio:
- File certificati:
watcher: serviceAccountPath: ./apigee-org/my-hybrid-project-apigee-watcher.json
Vedi:
- Secret Kubernetes:
watcher: serviceAccountRef: my-watcher-k8s-secret
Vedi:
Variabili di ambiente utilizzate in queste procedure
Queste procedure utilizzano le seguenti variabili di ambiente. Imposta queste opzioni nella shell dei comandi, oppure sostituiscili negli esempi di codice con i valori effettivi:
PROJECT_ID: l'ID del tuo progetto Google Cloud.ORG_NAME: il nome della tua organizzazione Apigee.ENV_NAME: il nome dell'ambiente Apigee.NAMESPACE: il nome dello spazio dei nomi Apigee. Di solitoapigee.CLUSTER_NAME: il nome del cluster.CLUSTER_LOCATION: la regione o la zona del cluster, ad esempio:us-west1.APIGEECTL_HOME: la directory in cui hai installatoapigeectl.HYBRID_FILES: la directory dei file ibridi, ad esempiohybrid-base-directory/hybrid-files.
Verifica le variabili di ambiente:
echo $PROJECT_IDecho $ORG_NAMEecho $ENV_NAMEecho $NAMESPACEecho $CLUSTER_NAMEecho $CLUSTER_LOCATIONecho $APIGEECTL_HOMEecho $HYBRID_FILES
Inizializza le variabili necessarie:
export PROJECT_ID=my-project-idexport ORG_NAME=$PROJECT_IDexport ENV_NAME=my-environment-nameexport NAMESPACE=apigeeexport CLUSTER_NAME=my-cluster-nameexport CLUSTER_LOCATION=my-cluster-locationexport APIGEECTL_HOME=hybrid-base-directory/apigeectlexport HYBRID_FILES=hybrid-base-directory/hybrid-files
File delle chiavi di Workload Identity e degli account di servizio
Quando si esegue Apigee hybrid su GKE, la prassi standard è creare e scaricare
(.json file) per ciascuno degli account di servizio. Quando utilizzi Workload Identity,
non è necessario scaricare le chiavi private degli account di servizio e aggiungerle ai cluster GKE.
Se hai scaricato i file delle chiavi degli account di servizio nell'ambito dell'installazione ibrida di Apigee,
puoi eliminarli dopo aver abilitato Workload Identity. Nella maggior parte delle installazioni, risiedono nel
Directory hybrid-base-directory/hybrid-files/service-accounts/.
Abilita Workload Identity per Apigee ibrido
Per iniziare, segui le istruzioni in Preparati ad abilitare Workload Identity per aggiornare i pool di nodi e inizializzare le variabili prima di abilitare Workload Identity.
Poi, segui le istruzioni in Impostare
workloadIdentityEnabled: true e crea account di servizio per abilitare il carico di lavoro
Identità sulla tua installazione ibrida Apigee.
Preparati ad abilitare Workload Identity
Prima di avviare il processo di installazione, segui i passaggi descritti in questa sezione.
- Imposta il progetto sul progetto che stai modificando:
gcloud config set project $PROJECT_ID
-
Ottieni le credenziali di
gclouddel cluster su cui stai abilitando il carico di lavoro Identità con il comando seguente:gcloud container clusters get-credentials ${CLUSTER_NAME} \ --region ${CLUSTER_LOCATION} \ --project ${PROJECT_ID} - Verifica che Workload Identity sia abilitato per il cluster GKE che esegue Apigee con quanto segue
:
gcloud container clusters describe $CLUSTER_NAME --region $CLUSTER_LOCATION --project $PROJECT_ID
L'output dovrebbe includere qualcosa di simile al seguente:
… … status: RUNNING subnetwork: default workloadIdentityConfig: workloadPool: my-project-id.svc.id.googSe necessario, abilita Workload Identity sul cluster. Questa operazione può richiedere Fino a 30 minuti:
gcloud container clusters update $CLUSTER_NAME \ --workload-pool=$PROJECT_ID.svc.id.goog \ --project $PROJECT_ID \ --region $CLUSTER_LOCATION
Per ulteriori informazioni, vedi Abilita Workload Identity.
- Assicurati che Workload Identity sia abilitato su ogni pool di nodi.
- Elenca i tuoi pool di nodi con il comando seguente:
gcloud container node-pools list \ --cluster $CLUSTER_NAME \ --region $CLUSTER_LOCATION \ --project $PROJECT_ID
L'output dovrebbe essere simile al seguente:
NAME MACHINE_TYPE DISK_SIZE_GB NODE_VERSION apigee-runtime e2-standard-4 100 1.23.12-gke.100 apigee-data e2-standard-4 100 1.23.12-gke.100
- Assicurati che Workload Identity sia abilitato per pool di nodi utilizzando il comando seguente per ogni
pool di nodi:
gcloud container node-pools update NODE_POOL_NAME \ --cluster=$CLUSTER_NAME \ --region $CLUSTER_LOCATION \ --project $PROJECT_ID \ --workload-metadata=GKE_METADATA
Dove NODE_POOL_NAME è il nome di ogni pool di nodi.
- Elenca i tuoi pool di nodi con il comando seguente:
Verificare o creare account di servizio Google
Durante l'installazione vengono creati account di servizio Google per molti componenti ibridi di Apigee. Utilizza questa procedura per verificare gli account di servizio Google e creare quelli necessari.
- Controlla i nomi degli account di servizio Google per il tuo progetto con il seguente comando:
gcloud iam service-accounts list --project $PROJECT_ID
L'output dovrebbe essere simile al seguente:
Produzione
Per gli ambienti non di produzione:
DISPLAY NAME EMAIL DISABLED apigee-cassandra apigee-cassandra@my_project_id.iam.gserviceaccount.com False apigee-logger apigee-logger@my_project_id.iam.gserviceaccount.com False apigee-mart apigee-mart@my_project_id.iam.gserviceaccount.com False apigee-metrics apigee-metrics@my_project_id.iam.gserviceaccount.com False apigee-runtime apigee-runtime@my_project_id.iam.gserviceaccount.com False apigee-synchronizer apigee-synchronizer@my_project_id.iam.gserviceaccount.com False apigee-udca apigee-udca@my_project_id.iam.gserviceaccount.com False apigee-watcher apigee-watcher@my_project_id.iam.gserviceaccount.com False
Non di produzione
Per gli ambienti non di produzione:
DISPLAY NAME EMAIL DISABLED apigee-non-prod apigee-non-prod@my_project_id.iam.gserviceaccount.com False
Se devi creare gli account di servizio Google per il tuo progetto, puoi possono utilizzare:
- Utilizza la
create-service-accountstrumento incluso con apigee nella directoryapigeectl/tools/. Questo strumento può puoi creare tutti gli account di servizio con un solo comando oppure puoi crearli singolarmente. - Utilizza il comando
gcloud iam service-accounts createper creare il servizio gli account uno alla volta e il comandogcloud projects add-iam-policy-bindingper assegnare i ruoli appropriati a ciascun account di servizio. Questo metodo richiede la creazione ogni account di servizio singolarmente, ma consente di evitare di scaricare i file delle chiavi.
Utilizza il seguente comando per creare un account di servizio Google per ogni componente:create-service-accountProduzione
Per gli ambienti non di produzione:
$APIGEECTL_HOME/tools/create-service-account --env prod --dir $APIGEECTL_HOME/../service-accounts
Questo comando creerà i seguenti account di servizio:
apigee-cassandraapigee-loggerapigee-martapigee-metricsapigee-runtimeapigee-synchronizerapigee-udcaapigee-watcher
Non di produzione
Per gli ambienti non di produzione:
$APIGEECTL_HOME/tools/create-service-account --env non-prod --dir $APIGEECTL_HOME/../service-accounts
Questo comando creerà un solo account di servizio,
apigee-non-prod, con tutti i ruoli assegnati necessari per gestire i componenti Apigee.gcloudCrea i seguenti account di servizio e assegna loro dei ruoli.
- Account di servizio:
apigee-cassandra, ruolo:roles/storage.objectAdminCrea l'account:
gcloud iam service-accounts create apigee-cassandra \ --display-name="apigee-cassandra" \ --project $PROJECT_IDAssegna il ruolo:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-cassandra@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/storage.objectAdmin" - Account di servizio:
apigee-logger, ruolo:roles/logging.logWriterCrea l'account:
gcloud iam service-accounts create apigee-logger \ --display-name="apigee-logger" \ --project $PROJECT_IDAssegna il ruolo:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-logger@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/logging.logWriter" - Account di servizio:
apigee-mart, ruolo:roles/apigeeconnect.AgentCrea l'account:
gcloud iam service-accounts create apigee-mart \ --display-name="apigee-mart" \ --project $PROJECT_IDAssegna il ruolo:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-mart@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/apigeeconnect.Agent" - Account di servizio:
apigee-metrics, ruolo:roles/monitoring.metricWriterCrea l'account:
gcloud iam service-accounts create apigee-metrics \ --display-name="apigee-metrics" \ --project $PROJECT_IDAssegna il ruolo:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-metrics@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/monitoring.metricWriter" - Account di servizio:
apigee-runtime, ruolo: nessun ruolo assegnato.Crea l'account:
gcloud iam service-accounts create apigee-runtime \ --display-name="apigee-runtime" \ --project $PROJECT_ID - Account di servizio:
apigee-synchronizer, ruolo:roles/apigee.synchronizerManagerCrea l'account:
gcloud iam service-accounts create apigee-synchronizer \ --display-name="apigee-synchronizer" \ --project $PROJECT_IDAssegna il ruolo:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-synchronizer@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/apigee.synchronizerManager" - Account di servizio:
apigee-udca, ruolo:roles/apigee.analyticsAgentCrea l'account:
gcloud iam service-accounts create apigee-udca \ --display-name="apigee-udca" \ --project $PROJECT_IDAssegna il ruolo:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-udca@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/apigee.analyticsAgent" - Account di servizio:
apigee-watcher, ruolo:roles/apigee.runtimeAgentCrea l'account:
gcloud iam service-accounts create apigee-watcher \ --display-name="apigee-watcher" \ --project $PROJECT_IDAssegna il ruolo:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-watcher@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/apigee.runtimeAgent"
- Utilizza la
Imposta workloadIdentityEnabled: true e crea account di servizio
apigeectl crea account di servizio Kubernetes per ogni componente ibrido Apigee
quando imposti workloadIdentityEnabled: true nel file degli override e applichi il metodo
modifiche.
- Aggiungi la riga in grassetto sottostante al tuo file
overrides.yamlsotto lagcpstanza. Questa operazione abilita Workload Identity per l'installazione e attivaapigeectlper creare gli account di servizio Kubernetes quando applichi configurazione:gcp: projectID: "my-project-id" name: "my-project-id" region: "analytics-region" workloadIdentityEnabled: true
- Aggiungi le righe in grassetto sottostanti al tuo file
overrides.yamlsotto lacassandrastanza. Questo attiva la creazioneapigee-cassandra-backupAccount di servizio Kubernetes:cassandra: ... backup: enabled: true - Applica le modifiche con
apigeectlcon il flag--restore:$APIGEECTL_HOME/apigeectl apply -f overrides/overrides.yaml --restore
- Verifica gli account di servizio con il comando seguente:
kubectl get sa -n $NAMESPACE
L'output dovrebbe essere simile al seguente. Gli account di servizio Kubernetes grassetto è quello che dovrai aggiungere ai tuoi account di servizio Google:
NAME SECRETS AGE apigee-cassandra-backup 1 11m apigee-cassandra-restore 1 11m apigee-cassandra-schema-setup-my-project-id-123abcd-sa 1 11m apigee-cassandra-schema-val-my-project-id-123abcd 1 11m apigee-cassandra-user-setup-my-project-id-123abcd-sa 1 11m apigee-connect-agent-my-project-id-123abcd-sa 1 11m apigee-datastore-default-sa 1 11m apigee-ingressgateway 1 11m apigee-ingressgateway-my-project-id-123abcd 1 11m apigee-ingressgateway-manager 1 11m apigee-init 1 11m apigee-mart-my-project-id-123abcd-sa 1 11m apigee-metrics-sa 1 11m apigee-mint-task-scheduler-my-project-id-123abcd-sa 1 11m apigee-redis-default-sa 1 11m apigee-redis-envoy-default-sa 1 11m apigee-runtime-my-project-id-env-name-234bcde-sa 1 11m apigee-synchronizer-my-project-id-env-name-234bcde-sa 1 11m apigee-udca-my-project-id-123abcd-sa 1 11m apigee-udca-my-project-id-env-name-234bcde-sa 1 11m apigee-watcher-my-project-id-123abcd-sa 1 11m default 1 11m
Annota gli account di servizio Kubernetes con gli account di servizio Google
Per ogni componente Apigee, annota gli account di servizio Kubernetes corrispondenti con Account di servizio Google per il componente.
Componenti a livello di organizzazione
Avrai una sola istanza di ogni account di servizio Kubernetes per la tua organizzazione Apigee.
| Componente | Account di servizio Kubernetes | Account di servizio Google |
|---|---|---|
| Cassandra | apigee-cassandra-backup |
apigee-cassandra |
apigee-cassandra-restore |
apigee-cassandra |
|
apigee-cassandra-schema-setup-my-project-id-num-id1-sa |
apigee-cassandra |
|
apigee-cassandra-schema-val-my-project-id-num-id1 |
apigee-cassandra |
|
apigee-cassandra-user-setup-my-project-id-num-id1-sa |
apigee-cassandra |
|
apigee-datastore-default-sa |
apigee-cassandra |
|
| Apigee Connect | apigee-connect-agent-my-project-id-num-id1-sa |
apigee-mart |
| MART | apigee-mart-my-project-id-num-id1-sa |
apigee-mart |
| Metriche | apigee-metrics-sa |
apigee-metrics |
| UDCA (a livello di organizzazione) | apigee-udca-my-project-id-num-id1-sa |
apigee-udca |
| Guardatore | apigee-watcher-my-project-id-num-id1-sa |
apigee-watcher |
Componenti a livello di ambiente
Avrai un'istanza per ogni account di servizio Kubernetes per ogni ambiente Apigee.
| Componente | Account di servizio Kubernetes | Account di servizio Google |
|---|---|---|
| Tempo di esecuzione Apigee | apigee-runtime-my-project-id-env-name-num-id2-sa |
apigee-runtime |
| Sincronizzatore | apigee-synchronizer-my-project-id-env-name-num-id2-sa |
apigee-synchronizer |
| UDCA (a livello di ambiente) | apigee-udca-my-project-id-env-name-num-id2-sa |
apigee-udca |
Nei comandi seguenti, utilizza i nomi degli account di servizio Kubernetes restituiti dal
kubectl get sa -n $NAMESPACE, ad esempio:
apigee-cassandra-schema-val-hybrid-example-project-123abcd.
In questa procedura, per ogni account di servizio Kubernetes:
-
Associa l'account di servizio Kubernetes e l'account di servizio Google dell'entità al
Ruolo IAM
roles/iam.workloadIdentityUser. - Annota l'account di servizio Kubernetes con l'account di servizio Google.
- Associa i ruoli e annota gli account di servizio.
Componenti a livello di organizzazione
Annota gli account di servizio Kubernetes per i componenti a livello di organizzazione. Dovrai eseguire questa operazione una volta per ogni componente della tua organizzazione Apigee.
- Cassandra
Il componente Cassandra ha sei account di servizio Kubernetes associati:
apigee-cassandra-backupapigee-cassandra-restoreapigee-cassandra-schema-setupapigee-cassandra-schema-val(val= convalida)apigee-cassandra-user-setupapigee-datastore-default
Produzione
apigee-cassandra-backup- Definisci le variabili di ambiente
KSA_NAMEeGSA_NAME:GSA_NAME="apigee-cassandra"
KSA_NAME="apigee-cassandra-backup" - Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-restore- Ridefinisci la variabile di ambiente
KSA_NAME:KSA_NAME="apigee-cassandra-restore"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-schema-setup-service-account-name- Ridefinisci la
KSA_NAMEvariabile di ambiente:KSA_NAME="apigee-cassandra-schema-setup-service-account-name"
Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-schema-val-service-account-name- Ridefinisci la
KSA_NAMEvariabile di ambiente:KSA_NAME="apigee-cassandra-schema-val-service-account-name"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-user-setup-service-account-name- Ridefinisci la
KSA_NAMEvariabile di ambiente:KSA_NAME="apigee-cassandra-user-setup-service-account-name"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
apigee-datastore-default-sa- Ridefinisci la
KSA_NAMEvariabile di ambiente:KSA_NAME="apigee-datastore-default-sa"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
Non di produzione
apigee-cassandra-backup- Definisci le variabili di ambiente
KSA_NAMEeGSA_NAME:GSA_NAME="apigee-non-prod"
KSA_NAME="apigee-connect-agent-service-account-name" - Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-restore- Ridefinisci la
KSA_NAMEvariabile di ambiente:KSA_NAME="apigee-cassandra-restore"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-schema-setup-service-account-name- Ridefinisci la
KSA_NAMEvariabile di ambiente:KSA_NAME="apigee-cassandra-schema-setup-service-account-name"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-schema-val-service-account-name- Ridefinisci la
KSA_NAMEvariabile di ambiente:KSA_NAME="apigee-cassandra-schema-val-service-account-name"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-user-setup-service-account-name- Ridefinisci la
KSA_NAMEvariabile di ambiente:KSA_NAME="apigee-cassandra-user-setup-service-account-name"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
apigee-datastore-default-sa- Ridefinisci la
KSA_NAMEvariabile di ambiente:KSA_NAME="apigee-datastore-default-sa"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- Apigee Connect
. Produzione
- Definisci le variabili di ambiente
KSA_NAMEeGSA_NAME:GSA_NAME="apigee-mart"
KSA_NAME="apigee-connect-agent-service-account-name" - Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
Non di produzione
- Definisci la variabile di ambiente
KSA_NAME:KSA_NAME="apigee-connect-agent-service-account-name"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- Definisci le variabili di ambiente
- MART
. Produzione
- Definisci le variabili di ambiente
KSA_NAMEeGSA_NAME:GSA_NAME="apigee-mart"
KSA_NAME="apigee-mart-service-account-name" - Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
Non di produzione
- Definisci la variabile di ambiente
KSA_NAME:KSA_NAME="apigee-mart-service-account-name"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- Definisci le variabili di ambiente
- Metriche Apigee
. Produzione
- Definisci le variabili di ambiente
KSA_NAMEeGSA_NAME:GSA_NAME="apigee-metrics"
KSA_NAME="apigee-metrics-sa" - Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
Non di produzione
- Definisci la variabile di ambiente
KSA_NAME:KSA_NAME="apigee-metrics-sa"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- Definisci le variabili di ambiente
- UDCA (a livello di organizzazione)
. Produzione
- Definisci le variabili di ambiente
KSA_NAMEeGSA_NAME:GSA_NAME="apigee-udca"
KSA_NAME="apigee-udca-org-level-service-account-name" - Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
Non di produzione
- Definisci le
KSA_NAMEvariabili di ambiente:KSA_NAME="apigee-udca-org-level-service-account-name"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com - Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- Definisci le variabili di ambiente
- Watcher Apigee
. Produzione
- Definisci le variabili di ambiente
KSA_NAMEeGSA_NAME:GSA_NAME="apigee-watcher"
KSA_NAME="apigee-watcher-service-account-name" - Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
Non di produzione
- Definisci la variabile di ambiente
KSA_NAME:KSA_NAME="apigee-watcher-service-account-name"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- Definisci le variabili di ambiente
Per ogni ambiente:
- Runtime
. Produzione
- Definisci le variabili di ambiente
KSA_NAMEeGSA_NAME:GSA_NAME="apigee-runtime"
KSA_NAME="apigee-runtime-service-account-name" - Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
Non di produzione
- Definisci la variabile di ambiente
KSA_NAME:KSA_NAME="apigee-runtime-service-account-name"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- Definisci le variabili di ambiente
- Sincronizzatore
. Produzione
- Definisci le variabili di ambiente
KSA_NAMEeGSA_NAME:GSA_NAME="apigee-synchronizer"
KSA_NAME="apigee-synchronizer-service-account-name" - Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
Non di produzione
- Definisci la variabile di ambiente
KSA_NAME:KSA_NAME="apigee-synchronizer-service-account-name"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- Definisci le variabili di ambiente
- UDCA (a livello di ambiente)
. Produzione
- Definisci le variabili di ambiente
KSA_NAMEeGSA_NAME:GSA_NAME="apigee-udca"
KSA_NAME="apigee-udca-env-level-service-account-name" - Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
Non di produzione
- Definisci la variabile di ambiente
KSA_NAME:KSA_NAME="apigee-udca-env-level-service-account-name"
- Associa il ruolo IAM:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- Annota l'account di servizio:
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- Definisci le variabili di ambiente
- Cassandra
- Verifica che i passaggi abbiano funzionato:
gcloud config set project $PROJECT_ID
Seleziona un account di servizio Kubernetes da testare, ad esempio:
apigee-cassandra-backup.KSA_NAME="kubernetes-service-account-name"
kubectl run --rm -it --image google/cloud-sdk:slim \ --namespace $NAMESPACE workload-identity-test\ -- gcloud auth list
Se non vedi un prompt dei comandi, prova a premere Invio.
Se i passaggi sono stati eseguiti correttamente, dovresti vedere una risposta simile alla seguente:
Credentialed Accounts ACTIVE ACCOUNT * GSA@PROJECT_ID.iam.gserviceaccount.com - Se esegui l'upgrade da un'installazione precedente, pulisci i secret che contenevano chiavi private dell'account di servizio:
kubectl delete secrets -n $NAMESPACE $(k get secrets -n $NAMESPACE | grep svc-account | awk '{print $1}') - Controlla i log:
kubectl logs -n $NAMESPACE -l app=apigee=synchronizer,env=$ENV_NAME,org=$ORG_NAME apigee-synchronizer
Esegui l'upgrade di un'installazione per utilizzare Workload Identity
Segui queste istruzioni per aggiungere Workload Identity a un'installazione ibrida esistente.
Ecco un esempio che mostra gli account di servizio Google (GSA) creati per Apigee:
gcloud iam service-accounts list --filter "apigee"
DISPLAY NAME EMAIL DISABLED apigee-cassandra apigee-cassandra@PROJECT_ID.iam.gserviceaccount.com False apigee-connect apigee-connect@PROJECT_ID.iam.gserviceaccount.com False apigee-runtime apigee-runtime@PROJECT_ID.iam.gserviceaccount.com False apigee-metrics apigee-metrics@PROJECT_ID.iam.gserviceaccount.com False apigee-mart apigee-mart@PROJECT_ID.iam.gserviceaccount.com False apigee-watcher apigee-watcher@PROJECT_ID.iam.gserviceaccount.com False apigee-sync apigee-sync@PROJECT_ID.iam.gserviceaccount.com False apigee-udca apigee-udca@$PROJECT_ID.iam.gserviceaccount.com False
Ecco un esempio di account di servizio Kubernetes (KSA) creati per Apigee:
kubectl get sa -n $NAMESPACE
apigee-cassandra-schema-setup-ORG_NAME-cb84b88-sa 1 xxd apigee-cassandra-user-setup-ORG_NAME-cb84b88-sa 1 xxd apigee-connect-agent-ORG_NAME-cb84b88-sa 1 xxd apigee-init 1 xxd apigee-mart-ORG_NAME-cb84b88-sa 1 xxd apigee-metrics-apigee-telemetry 1 xxd apigee-runtime-ORG_NAME-ENV_NAME-1d0dc5e-sa 1 xxd apigee-synchronizer-ORG_NAME-ENV_NAME-1d0dc5e-sa 1 xxd apigee-udca-ORG_NAME-ENV_NAME-1d0dc5e-sa 1 xxd apigee-watcher-ORG_NAME-cb84b88 1 xxd
- Aggiungi il ruolo Workload Identity a ogni account di servizio:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
Ad esempio, se imposti le autorizzazioni per Apigee Sincronizzar, eseguirai:
export KSA_NAME=$(kubectl get sa -n apigee -l app=apigee-synchronizer,env=$ENV_NAME,org=$ORG_NAME --output=jsonpath={.items..metadata.name})gcloud iam service-accounts add-iam-policy-binding --role roles/iam.workloadIdentityUser --member "serviceAccount:$PROJECT_ID.svc.id.goog[apigee/$KSA_NAME]" apigee-sync@$PROJECT_ID.iam.gserviceaccount.com
- Annota ogni Arabia Saudita con i dettagli di Gboard:
kubectl annotate serviceaccount \ --namespace $NAMESPACE \ $KSA_NAME \ iam.gke.io/gcp-service-account=GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
Ad esempio, se imposti le autorizzazioni per Apigee Sincronizzar, eseguirai:
export KSA_NAME=$(kubectl get sa -n apigee -l app=apigee-synchronizer,env=$ENV_NAME,org=$ORG_NAME --output=jsonpath={.items..metadata.name})kubectl annotate serviceaccount --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-sync@$PROJECT_ID.iam.gserviceaccount.com
- Verifica che i passaggi abbiano funzionato:
gcloud config set project $PROJECT_ID
kubectl run --rm -it --image google/cloud-sdk:slim \ --namespace $NAMESPACE workload-identity-test\ -- gcloud auth listSe non vedi un prompt dei comandi, prova a premere Invio.
Se i passaggi sono stati eseguiti correttamente, dovresti vedere una risposta simile alla seguente:
Credentialed Accounts ACTIVE ACCOUNT * GSA@PROJECT_ID.iam.gserviceaccount.com - Se esegui l'upgrade da un'installazione precedente, pulisci i secret che contenevano chiavi private dell'account di servizio:
kubectl delete secrets -n $NAMESPACE $(k get secrets -n $NAMESPACE | grep svc-account | awk '{print $1}') - Controlla i log:
kubectl logs -n $NAMESPACE -l app=apigee=synchronizer,env=$ENV_NAME,org=$ORG_NAME apigee-synchronizer