Halaman ini diterjemahkan oleh Cloud Translation API.

Langkah 9: Instal runtime hybrid

Menerapkan konfigurasi ke cluster

Gunakan langkah-langkah berikut untuk menginstal Apigee Hybrid ke cluster Anda:

Pastikan Anda berada di direktori hybrid-base-directory/hybrid-files.
```
cd $HYBRID_FILES
```
Catatan: Karena file pengganti menentukan file akun layanan menggunakan jalur relatif ke direktori hybrid-base-directory/hybrid-files Anda, Anda harus menjalankan perintah dari dalam direktori tersebut.
Pastikan kubectl ditetapkan ke konteks yang benar menggunakan perintah berikut. Konteks saat ini harus ditetapkan ke cluster tempat Anda men-deploy Apigee Hybrid.
```
kubectl config current-context
```
Hasilnya harus menyertakan nama cluster tempat Anda men-deploy Apigee Hybrid. Sebagai Sebagai contoh, di GKE, nama konteks biasanya berupa gke_project-id_cluster-location_cluster-name, sebagai dalam:
```
gke_my-project_us-central1_my-cluster
```
Jika nama cluster nama dalam konteks tidak cocok, perintah berikut akan mendapatkan Kredensial gcloud untuk cluster dan setel konteks kubectl:
Cluster regional
```
gcloud container clusters get-credentials $CLUSTER_NAME \
--region $CLUSTER_LOCATION \
--project $PROJECT_ID
```
Cluster zona
```
gcloud container clusters get-credentials $CLUSTER_NAME \
--zone $CLUSTER_LOCATION \
--project $PROJECT_ID
```
Khusus untuk platform Anthos on bare metal, AWS di GKE, EKS, dan GKE lokal, Verifikasi yang KUBECONFIG variabel diatur menggunakan perintah berikut:
```
echo ${KUBECONFIG}
```
Lakukan inisialisasi dry run. Dengan melakukan uji coba, Anda dapat memeriksa error sebelum perubahan dilakukan pada cluster. Jalankan perintah init dengan flag --dry-run sebagai berikut:
```
${APIGEECTL_HOME}/apigeectl init -f overrides/overrides.yaml --dry-run=client
```
Jika tidak ada error, jalankan perintah init sebagai berikut:
```
${APIGEECTL_HOME}/apigeectl init -f overrides/overrides.yaml
```
Perintah init menginstal deployment Apigee layanan Pengontrol Deployment Apigee dan Webhook Penerimaan Apigee.
Untuk memeriksa status deployment, Anda dapat menggunakan perintah berikut:
```
${APIGEECTL_HOME}/apigeectl check-ready -f overrides/overrides.yaml
```
```
kubectl get pods -n apigee-system
```
```
kubectl get pods -n apigee
```
Jika pod sudah siap, lanjutkan ke langkah berikutnya.

Lakukan penginstalan dry run. Jalankan perintah apply dengan tanda --dry-run.

${APIGEECTL_HOME}/apigeectl apply -f overrides/overrides.yaml --dry-run=client

Jika tidak ada kesalahan, Anda dapat menerapkan Komponen runtime khusus Apigee ke cluster dengan perintah berikut:
```
${APIGEECTL_HOME}/apigeectl apply -f overrides/overrides.yaml
```
Untuk memeriksa status deployment, jalankan perintah berikut:
```
${APIGEECTL_HOME}/apigeectl check-ready -f overrides/overrides.yaml
```
Ulangi langkah ini sampai semua pod siap. Pod mungkin memerlukan waktu beberapa menit untuk dimulai.

Catatan: Jika Anda menyiapkan file pengganti untuk menggunakan Workload Identity di GKE, Anda mungkin melihat error bahwa apigeeenvironment tidak berjalan. Lanjutkan ke langkah-langkah di bagian berikutnya. check-ready akan menampilkan lingkungan Apigee Anda yang berjalan setelah Anda menyelesaikan langkah-langkah untuk mengaktifkan Workload Identity.

GKE dengan Workload Identity

Untuk penginstalan hybrid Apigee di GKE, Google Cloud menawarkan opsi yang disebut Workload identity untuk mengautentikasi komponen runtime hybrid.

Akun layanan Google Cloud dan akun layanan Kubernetes

Akun layanan Google Cloud adalah jenis akun khusus yang dapat digunakan untuk panggilan API dengan mengautentikasi sebagai akun layanan itu sendiri. Akun layanan Google Cloud dapat peran dan izin tertentu yang mirip dengan pengguna individu. Ketika sebuah aplikasi melakukan otentikasi sebagai akun layanan, akses ke semua resource yang dapat diakses oleh akun layanan. Jika Anda ingin mempelajari lebih lanjut akun layanan Google Cloud, lihat Ringkasan akun layanan.

Anda telah membuat akun layanan Google Cloud untuk penginstalan hybrid Apigee pada Langkah 4: Buat akun layanan. Apigee menggunakan layanan ini akun untuk mengotentikasi komponen hibrida.

Akun layanan Kubernetes mirip dengan akun layanan Google Cloud. Layanan Kubernetes memberikan identitas untuk proses yang berjalan di Pod, dan memungkinkannya melakukan autentikasi ke Server API serupa dengan pengguna. Jika Anda ingin mempelajari lebih lanjut akun layanan Kubernetes, lihat Konfigurasi Akun Layanan untuk Pod.

Alat apigeectl membuat sebagian besar akun layanan Kubernetes yang diperlukan oleh Apigee Hybrid saat Anda menjalankan apigeectl apply di prosedur sebelumnya.

Saat mengonfigurasi Workload Identity di GKE, Anda mengaitkan akun layanan Google Cloud dengan akun layanan Kubernetes di cluster Kubernetes. Dengan begitu, layanan Kubernetes dapat meniru akun layanan Google Cloud dan menggunakan peran yang ditetapkan serta izin akses untuk mengotentikasi dengan komponen hybrid.

Ikuti petunjuk ini untuk mengonfigurasi Workload identity untuk project Anda.

Bersiap untuk mengonfigurasi workload identity

Prosedur ini menggunakan variabel lingkungan berikut. Periksa apakah mereka telah ditetapkan dan mendefinisikan setiap peristiwa yang tidak:

echo $APIGEECTL_HOME
echo $CLUSTER_LOCATION
echo $ENV_NAME
echo $HYBRID_FILES
echo $NAMESPACE
echo $PROJECT_ID
echo $ORG_NAME

Pastikan konfigurasi gcloud saat ini disetel ke project ID Google Cloud Anda dengan perintah berikut:
```
gcloud config get project
```

Jika perlu, setel konfigurasi gcloud saat ini:

gcloud config set project $PROJECT_ID

Buat akun layanan Kubernetes apigee-cassandra-restore.
Ketika Anda menerapkan konfigurasi dengan menjalankan apigeectl apply, perintah membuat sebagian besar akun layanan Kubernetes yang diperlukan untuk workload identity.

Untuk membuat akun layanan Kubernetes apigee-cassandra-restore, jalankan apigeectl apply dengan flag --restore:
```
$APIGEECTL_HOME/apigeectl apply -f $HYBRID_FILES/overrides/overrides.yaml --restore
```

Pastikan Workload Identity sudah aktif untuk Cluster GKE Anda. Saat Anda membuat cluster di Langkah 1: Membuat cluster, langkah 11 adalah Mengaktifkannya Workload Identity. Anda dapat mengonfirmasi apakah Workload Identity diaktifkan dengan menjalankan perintah berikut berikut:

Cluster regional

gcloud container clusters describe $CLUSTER_NAME \
  --region $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten 'workloadIdentityConfig'

Cluster zona

gcloud container clusters describe $CLUSTER_NAME \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten 'workloadIdentityConfig'

Output Anda akan terlihat seperti berikut:

  ---
  workloadPool: PROJECT_ID.svc.id.goog

Jika Anda melihat null dalam hasil Anda, jalankan perintah berikut untuk mengaktifkan Workload identity untuk cluster Anda:

Cluster regional

gcloud container clusters update $CLUSTER_NAME \
  --workload-pool=$PROJECT_ID.svc.id.goog \
  --project $PROJECT_ID \
  --region $CLUSTER_LOCATION

Cluster zona

gcloud container clusters update  $CLUSTER_NAME \
  --workload-pool=$PROJECT_ID.svc.id.goog \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID

Aktifkan Workload identity untuk setiap node pool dengan perintah berikut. Operasi ini dapat memerlukan waktu hingga 30 menit untuk setiap node:
Cluster regional
```
gcloud container node-pools update NODE_POOL_NAME \
  --cluster=$CLUSTER_NAME \
  --region $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --workload-metadata=GKE_METADATA
```
Cluster zona
```
gcloud container node-pools update NODE_POOL_NAME \
  --cluster=$CLUSTER_NAME \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --workload-metadata=GKE_METADATA
```
Dengan NODE_POOL_NAME adalah nama setiap kumpulan node. Di sebagian besar Apigee Hybrid penginstalan, dua kumpulan node default bernama apigee-data dan apigee-runtime.

Pastikan Workload Identity diaktifkan pada kumpulan node Anda dengan perintah berikut:

Cluster regional

gcloud container node-pools describe apigee-data \
  --cluster $CLUSTER_NAME \
  --region $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten "config:"

gcloud container node-pools describe apigee-runtime \
  --cluster $CLUSTER_NAME \
  --region $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten "config:"

Cluster zona

gcloud container node-pools describe apigee-data \
  --cluster $CLUSTER_NAME \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten "config:"

gcloud container node-pools describe apigee-runtime \
  --cluster $CLUSTER_NAME \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten "config:"

Output Anda akan terlihat seperti:

---
diskSizeGb: 100
diskType: pd-standard
...
workloadMetadataConfig:
  mode: GKE_METADATA

Dapatkan daftar nama akun layanan Google Cloud untuk project Anda. Anda akan membutuhkannya nama klien untuk mengaitkan akun layanan Kubernetes untuk mengonfigurasi Workload identity. Sebagai penginstalan non-produksi, hanya boleh ada satu akun layanan Google. Untuk produksi instalasi harus ada delapan.

Gunakan perintah berikut untuk mendapatkan daftar nama:

gcloud iam service-accounts list --project $PROJECT_ID

Output Anda akan terlihat seperti:

Non-produk

Untuk lingkungan non-produksi:

DISPLAY NAME         EMAIL                                                      DISABLED
apigee-non-prod      apigee-non-prod@my_project_id.iam.gserviceaccount.com      False

Produksi

Untuk lingkungan non-produksi:

DISPLAY NAME         EMAIL                                                      DISABLED
apigee-cassandra     apigee-cassandra@my_project_id.iam.gserviceaccount.com     False
apigee-logger        apigee-logger@my_project_id.iam.gserviceaccount.com        False
apigee-mart          apigee-mart@my_project_id.iam.gserviceaccount.com          False
apigee-metrics       apigee-metrics@my_project_id.iam.gserviceaccount.com       False
apigee-runtime       apigee-runtime@my_project_id.iam.gserviceaccount.com       False
apigee-synchronizer  apigee-synchronizer@my_project_id.iam.gserviceaccount.com  False
apigee-udca          apigee-udca@my_project_id.iam.gserviceaccount.com          False
apigee-watcher       apigee-watcher@my_project_id.iam.gserviceaccount.com       False

Tips: Jika Anda memiliki nama khusus untuk akun layanan yang tidak sesuai dengan nama-nama komponen Apigee, Anda dapat menentukan peran masing-masing dengan memeriksa peran yang ditetapkan pada akun layanan tersebut dan membandingkan peran tersebut direkomendasikan di Tentang akun layanan.

Gunakan perintah berikut untuk memeriksa peran yang ditetapkan ke akun layanan:

gcloud projects get-iam-policy ${PROJECT_ID}  \
  --flatten="bindings[].members" \
  --format='table(bindings.role)' \
  --filter="SERVICE_ACCOUNT_NAME"

Mendapatkan daftar nama akun layanan Kubernetes. Anda akan membutuhkan daftar nama ini untuk dengan akun layanan Google Cloud Anda nanti dalam prosedur ini. Gunakan perintah berikut:

kubectl get sa -n $NAMESPACE

Output Anda akan terlihat seperti berikut. Akun layanan Kubernetes di bold adalah nama yang harus Anda kaitkan dengan akun layanan Google Cloud Anda:

NAME                                                         SECRETS   AGE
apigee-cassandra-backup                                      1         11m
apigee-cassandra-restore                                     1         11m
apigee-cassandra-schema-setup-my-project-id-123abcd-sa       1         11m
apigee-cassandra-schema-val-my-project-id-123abcd            1         11m
apigee-cassandra-user-setup-my-project-id-123abcd-sa         1         11m
apigee-connect-agent-my-project-id-123abcd-sa                1         11m
apigee-datastore-default-sa                                  1         11m
apigee-ingressgateway                                        1         11m
apigee-ingressgateway-my-project-id-123abcd                  1         11m
apigee-ingressgateway-manager                                1         11m
apigee-init                                                  1         11m
apigee-mart-my-project-id-123abcd-sa                         1         11m
apigee-metrics-sa                                            1         11m
apigee-mint-task-scheduler-my-project-id-123abcd-sa          1         11m
apigee-redis-default-sa                                      1         11m
apigee-redis-envoy-default-sa                                1         11m
apigee-runtime-my-project-id-env-name-234bcde-sa             1         11m
apigee-synchronizer-my-project-id-env-name-234bcde-sa        1         11m
apigee-udca-my-project-id-123abcd-sa                         1         11m
apigee-udca-my-project-id-env-name-234bcde-sa                1         11m
apigee-watcher-my-project-id-123abcd-sa                      1         11m
default                                                      1         11m

Mengonfigurasi workload identity

Gunakan prosedur berikut guna mengaktifkan workload identity untuk penginstalan Hybrid Anda:

Untuk setiap komponen Apigee, anotasikan akun layanan Kubernetes yang sesuai dengan tag Akun layanan Google untuk komponen tersebut.
PENTING: Jika nama akun layanan Anda tidak cocok dengan nama default nama yang dibuat oleh create-service-account, ganti nama akun layanan berwarna merah dengan nama akun layanan yang benar untuk komponen dalam perintah berikut. Misalnya, jika akun layanan Cassandra Anda bernama my-cassandra-accnt-1, ganti apigee-cassandra dengan nama tersebut dalam perintah.

Langkah-langkah berikut menggunakan dua variabel lingkungan. Anda akan mereset nilai variabel sebelum setiap set perintah:
- GSA_NAME: Nama akun layanan Google. Berikut adalah akun layanan yang Anda buat dengan alat create-service-account di Langkah 4: Buat akun layanan.
- KSA_NAME: Nama akun layanan Kubernetes. Berikut adalah akun yang tercantum di atas dengan kubectl get sa -n $NAMESPACE , misalnya: apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa.
Tips: Jika Anda menemukan error yang menyatakan akun layanan "TIDAK DITEMUKAN", coba jalankan gcloud init untuk menyetel konfigurasi saat ini ke Google Cloud yang benar project ID dan lokasi cluster.

Cassandra

Mengonfigurasi Workload Identity untuk komponen Cassandra.

Komponen Cassandra memiliki enam akun layanan Kubernetes terkait:

apigee-cassandra-backup
apigee-cassandra-restore
apigee-cassandra-schema-setup
apigee-cassandra-schema-val (val = validasi)
apigee-cassandra-user-setup
apigee-datastore-default

Non-produk

Mengonfigurasi akun layanan Kubernetes apigee-cassandra-backup

Tentukan variabel lingkungan KSA_NAME dan GSA_NAME:

GSA_NAME="apigee-non-prod"
KSA_NAME="apigee-cassandra-backup"

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Output Anda harus memiliki baris yang menjelaskan anotasi, mirip dengan:

Annotations:         iam.gke.io/gcp-service-account: apigee-non-prod@my-project-id.iam.gserviceaccount.com

Mengonfigurasi akun layanan Kubernetes apigee-cassandra-restore

Tentukan ulang variabel lingkungan KSA_NAME:
```
KSA_NAME="apigee-cassandra-restore"
```

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Mengonfigurasi akun layanan Kubernetes apigee-cassandra-schema-setup

Tentukan ulang variabel lingkungan KSA_NAME:
```
KSA_NAME="apigee-cassandra-schema-setup-service-account-name-sa"
```
misalnya: apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Mengonfigurasi akun layanan Kubernetes apigee-cassandra-schema-val

Tentukan ulang variabel lingkungan KSA_NAME:
```
KSA_NAME="apigee-cassandra-schema-val-service-account-name"
```
misalnya: apigee-cassandra-schema-val-hybrid-example-project-123abcd.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Mengonfigurasi akun layanan Kubernetes apigee-cassandra-user-setup

Tentukan ulang variabel lingkungan KSA_NAME:
```
KSA_NAME="apigee-cassandra-user-setup-service-account-name-sa"
```
misalnya: apigee-cassandra-user-setup-hybrid-example-project-123abcd-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Mengonfigurasi akun layanan Kubernetes apigee-datastore-default-sa

Tentukan ulang variabel lingkungan KSA_NAME:
```
KSA_NAME="apigee-datastore-default-sa"
```

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Produksi

Mengonfigurasi akun layanan Kubernetes apigee-cassandra-backup

Tentukan variabel lingkungan KSA_NAME dan GSA_NAME:

GSA_NAME="apigee-cassandra"
KSA_NAME="apigee-cassandra-backup"

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Output Anda harus memiliki baris yang menjelaskan anotasi, mirip dengan:

Annotations:         iam.gke.io/gcp-service-account: apigee-cassandra@my-project-id.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Mengonfigurasi akun layanan Kubernetes apigee-cassandra-restore

Tentukan ulang variabel lingkungan KSA_NAME:
```
KSA_NAME="apigee-cassandra-restore"
```

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Mengonfigurasi akun layanan Kubernetes apigee-cassandra-schema-setup

Tentukan ulang variabel lingkungan KSA_NAME:
```
KSA_NAME="apigee-cassandra-schema-setup-service-account-name-sa"
```
misalnya: apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Mengonfigurasi akun layanan Kubernetes apigee-cassandra-schema-val

Tentukan ulang variabel lingkungan KSA_NAME:
```
KSA_NAME="apigee-cassandra-schema-val-service-account-name"
```
misalnya: apigee-cassandra-schema-val-hybrid-example-project-123abcd.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Mengonfigurasi akun layanan Kubernetes apigee-cassandra-user-setup

Tentukan ulang variabel lingkungan KSA_NAME:
```
KSA_NAME="apigee-cassandra-user-setup-service-account-name-sa"
```
misalnya: apigee-cassandra-user-setup-hybrid-example-project-123abcd-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Mengonfigurasi akun layanan Kubernetes apigee-datastore-default-sa

Tentukan ulang variabel lingkungan KSA_NAME:
```
KSA_NAME="apigee-datastore-default-sa"
```

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Apigee Connect

Mengonfigurasi Workload Identity untuk komponen Apigee Connect.

Non-produk

Tentukan variabel lingkungan KSA_NAME:
```
KSA_NAME="apigee-connect-agent-service-account-name-sa"
```
misalnya: apigee-connect-agent-hybrid-example-project-123abcd-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Produksi

Tentukan variabel lingkungan KSA_NAME dan GSA_NAME:
```
GSA_NAME="apigee-mart"
KSA_NAME="apigee-connect-agent-service-account-name-sa"
```
misalnya: apigee-connect-agent-hybrid-example-project-123abcd-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

MART

Mengonfigurasi Workload identity untuk komponen MART.

Non-produk

Tentukan variabel lingkungan KSA_NAME:
```
KSA_NAME="apigee-mart-service-account-name-sa"
```
misalnya: apigee-mart-hybrid-example-project-123abcd-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Produksi

Tentukan variabel lingkungan KSA_NAME dan GSA_NAME:
```
GSA_NAME="apigee-mart"
KSA_NAME="apigee-mart-service-account-name-sa"
```
misalnya: apigee-mart-hybrid-example-project-123abcd-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Metrik Apigee

Mengonfigurasi Workload Identity untuk komponen metrik Apigee.

Non-produk

Tentukan KSA_NAMEvariabel lingkungan:
```
KSA_NAME="apigee-metrics-sa"
```

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Produksi

Tentukan variabel lingkungan KSA_NAME dan GSA_NAME:

GSA_NAME="apigee-metrics"
KSA_NAME="apigee-metrics-sa"

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
--role roles/iam.workloadIdentityUser \
--member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
--project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
--namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

UDCA (tingkat organisasi)

Mengonfigurasi Workload Identity untuk komponen UDCA tingkat organisasi.

UDCA diterapkan baik dalam cakupan tingkat organisasi maupun tingkat lingkungan. Oleh karena itu, ada dua akun layanan Kubernetes terpisah untuk UDCA, satu untuk setiap cakupan. Anda dapat membedakannya berdasarkan nama akun. Akun {i>env-scope<i} mencakup lingkungan dalam nama akun layanan. Contoh:

Tingkat organisasi: apigee-udca-my-project-id-123abcd-sa tempat my-project-id adalah nama project ID.
Tingkat Env: apigee-udca-my-project-id-my-env-234bcde-sa dengan my-env adalah nama lingkungannya.

Non-produk

Tentukan KSA_NAMEvariabel lingkungan:
```
KSA_NAME="apigee-udca-service-account-name-sa"
```
misalnya: apigee-udca-hybrid-example-project-123abcd-sa.

Ikat peran IAM:

  gcloud iam service-accounts add-iam-policy-binding \
    --role roles/iam.workloadIdentityUser \
    --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
    $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
    --project $PROJECT_ID

Anotasikan akun layanan:

  kubectl annotate serviceaccount \
    --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Produksi

Tentukan variabel lingkungan KSA_NAME dan GSA_NAME:
```
GSA_NAME="apigee-udca"
KSA_NAME="apigee-udca-service-account-name-sa"
```
misalnya: apigee-udca-hybrid-example-project-123abcd-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Apigee Watcher

Mengonfigurasi Workload identity untuk komponen Apigee Watcher.

Non-produk

Tentukan KSA_NAMEvariabel lingkungan:
```
KSA_NAME="apigee-watcher-service-account-name-sa"
```
misalnya: apigee-watcher-hybrid-example-project-123abcd-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Produksi

Tentukan variabel lingkungan KSA_NAME dan GSA_NAME:
```
GSA_NAME="apigee-watcher"
KSA_NAME="apigee-watcher-service-account-name-sa"
```
misalnya: apigee-watcher-hybrid-example-project-123abcd-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Runtime

Mengonfigurasi Workload identity untuk komponen Runtime Apigee.

Non-produk

Tentukan KSA_NAMEvariabel lingkungan:
```
KSA_NAME="apigee-runtime-env-level-service-account-name-sa"
```
misalnya: apigee-runtime-hybrid-example-project-example-env-234bcde-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Produksi

Tentukan variabel lingkungan KSA_NAME dan GSA_NAME:
```
GSA_NAME="apigee-runtime"
KSA_NAME="apigee-runtime-env-level-service-account-name-sa"
```
misalnya: apigee-runtime-hybrid-example-project-example-env-234bcde-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Sinkronisasi

Mengonfigurasi Workload Identity untuk komponen Synchronizer.

Non-produk

Tentukan KSA_NAMEvariabel lingkungan:
```
KSA_NAME="apigee-synchronizer-env-level-service-account-name-sa"
```
misalnya: apigee-synchronizer-hybrid-example-project-example-env-234bcde-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Produksi

Tentukan variabel lingkungan KSA_NAME dan GSA_NAME:
```
GSA_NAME="apigee-synchronizer"
KSA_NAME="apigee-synchronizer-env-level-service-account-name-sa"
```
misalnya: apigee-synchronizer-hybrid-example-project-example-env-234bcde-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

UDCA (tingkat env)

Mengonfigurasi Workload Identity untuk komponen UDCA tingkat lingkungan.

Non-produk

Tentukan KSA_NAMEvariabel lingkungan:
```
KSA_NAME="apigee-udca-env-level-service-account-name-sa"
```
misalnya: apigee-udca-hybrid-example-project-example-env-234bcde-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Produksi

Tentukan variabel lingkungan KSA_NAME dan GSA_NAME:
```
GSA_NAME="apigee-udca"
KSA_NAME="apigee-udca-env-level-service-account-name-sa"
```
misalnya: apigee-udca-hybrid-example-project-example-env-234bcde-sa.

Ikat peran IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotasikan akun layanan:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifikasi anotasi:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Opsional: Hapus semua file kunci akun layanan yang didownload.
Jika Anda membuat akun layanan Google dengan alat create-service-account, perangkat tersebut mungkin telah membuat kunci akun layanan dan mendownload file kunci .json. Kapan menggunakan Workload Identity di GKE, Anda tidak memerlukan file kunci ini.

Anda dapat menghapus file kunci dengan perintah berikut:
```
rm $HYBRID_FILES/service-accounts/*.json
```

Memverifikasi workload identity

(Opsional) Anda dapat melihat status akun layanan Kubernetes di Kubernetes: Workloads Overview di Google Cloud Console.
Buka Workloads

Catatan: Anda mungkin melihat status error untuk Akun layanan apigee-cassandra-backup dan apigee-cassandra-restore. Ini karena Anda saat ini tidak menjalankan pencadangan atau pemulihan, dan proses ini belum telah dikonfigurasi sepenuhnya. Untuk informasi selengkapnya tentang pencadangan dan pemulihan Cassandra, lihat feedbackRingkasan pencadangan Cassandra.

Untuk memeriksa kembali status deployment dengan apigeectl check-ready:

${APIGEECTL_HOME}/apigeectl check-ready -f ${HYBRID_FILES}/overrides/overrides.yaml

1 2 3 4 5 6 7 8 9 (BERIKUTNYA) Langkah 10: Ekspos traffic masuk Apigee 11