Ottenere un token di autorizzazione
Per effettuare le chiamate API Apigee descritte più avanti in questo argomento, devi ottenere un token di autorizzazione con il ruolo Amministratore organizzazione Apigee.
- Se non sei il proprietario del progetto Google Cloud associato alla tua organizzazione Apigee ibrida, assicurati che il tuo account utente Google Cloud abbia il ruolo roles/apigee.admin (Amministratore dell'organizzazione Apigee). Puoi controllare i ruoli assegnati a te con questo comando:
gcloud projects get-iam-policy ${PROJECT_ID} \ --flatten="bindings[].members" \ --format='table(bindings.role)' \ --filter="bindings.members:your_account_email"Ad esempio:
gcloud projects get-iam-policy my-project \ --flatten="bindings[].members" \ --format='table(bindings.role)' \ --filter="bindings.members:myusername@example.com"
L'output dovrebbe essere simile al seguente:
ROLE roles/apigee.admin roles/compute.admin roles/container.admin roles/gkehub.admin roles/iam.serviceAccountAdmin roles/iam.serviceAccountKeyAdmin roles/meshconfig.admin roles/owner roles/resourcemanager.projectIamAdmin roles/servicemanagement.admin roles/serviceusage.serviceUsageAdmin
- Se non hai
roles/apigee.admintra i tuoi ruoli, aggiungi il ruolo Amministratore dell'organizzazione Apigee al tuo account utente. Utilizza il seguente comando per aggiungere il ruolo al tuo account utente:gcloud projects add-iam-policy-binding ${PROJECT_ID} \ --member user:your_account_email \ --role roles/apigee.adminAd esempio:
gcloud projects add-iam-policy-binding my-project \ --member user:myusername@example.com \ --role roles/apigee.admin
-
Nella riga di comando, recupera le credenziali di autenticazione
gcloudutilizzando il seguente comando:Linux / MacOS
export TOKEN=$(gcloud auth print-access-token)
Per verificare che il token sia stato compilato, utilizza
echo, come illustrato nell'esempio seguente:echo $TOKEN
Il token dovrebbe essere visualizzato come stringa codificata.
Windows
for /f "tokens=*" %a in ('gcloud auth print-access-token') do set TOKEN=%aPer verificare che il token sia stato compilato, utilizza
echo, come illustrato nell'esempio seguente:echo %TOKEN%
Il token dovrebbe essere visualizzato come stringa codificata.
Attivare l'accesso al sincronizzatore
Per attivare l'accesso al sincronizzatore:
- Recupera l'indirizzo email dell'account di servizio a cui stai concedendo l'accesso al sincronizzatore.
Per gli ambienti non di produzione (come suggerito in questo tutorial), deve essere
apigee-non-prod. Per gli ambienti di produzione, deve essereapigee-synchronizer. Utilizza il seguente comando:Non prod
gcloud iam service-accounts list --project ${PROJECT_ID} --filter "apigee-non-prod"Se corrisponde allo schema
apigee-non-prod@${ORG_NAME}.iam.gserviceaccount.com, puoi utilizzarlo nel passaggio successivo.Produzione
gcloud iam service-accounts list --project ${PROJECT_ID} --filter "apigee-synchronizer"Se corrisponde allo schema
apigee-synchronizer@${ORG_NAME}.iam.gserviceaccount.com, puoi utilizzarlo nel passaggio successivo. - Chiama l'API
setSyncAuthorization
per abilitare le autorizzazioni richieste per Synchronizer utilizzando il seguente comando:
Non prod
curl -X POST -H "Authorization: Bearer ${TOKEN}" \ -H "Content-Type:application/json" \ "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:setSyncAuthorization" \ -d '{"identities":["'"serviceAccount:apigee-non-prod@${ORG_NAME}.iam.gserviceaccount.com"'"]}'Produzione
curl -X POST -H "Authorization: Bearer ${TOKEN}" \ -H "Content-Type:application/json" \ "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:setSyncAuthorization" \ -d '{"identities":["'"serviceAccount:apigee-synchronizer@${ORG_NAME}.iam.gserviceaccount.com"'"]}'Dove:
${ORG_NAME}: il nome dell'organizzazione ibrida.apigee-non-prod${ORG_NAME}.iam.gserviceaccount.como
apigee-synchronizer${ORG_NAME}.iam.gserviceaccount.com: l'indirizzo email dell'account di servizio.
- Per verificare che l'account di servizio sia stato impostato, utilizza il seguente comando per chiamare l'API e ottenere un elenco di account di servizio:
curl -X GET -H "Authorization: Bearer $TOKEN" \ -H "Content-Type:application/json" \ "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:getSyncAuthorization"L'output è simile al seguente:
Non prod
{ "identities":[ "serviceAccount:apigee-non-prod@my_project_id.iam.gserviceaccount.com" ], "etag":"BwWJgyS8I4w=" }
Produzione
{ "identities":[ "serviceAccount:apigee-synchronizer@my_project_id.iam.gserviceaccount.com" ], "etag":"BwWJgyS8I4w=" }
Ora hai consentito ai piani di gestione e di runtime di Apigee hybrid di comunicare. A questo punto, applichiamo la configurazione al runtime ibrido e completiamo l'installazione di Apigee hybrid.
1 2 3 4 5 6 7 (AVANTI) Passaggio 8: verifica l'idoneità del cluster 9 10 11