Le procedure per installare e gestire Apigee hybrid richiedono le autorizzazioni e i ruoli seguenti. Le singole attività possono essere eseguite da diversi membri dell'organizzazione che dispongono dei requisiti autorizzazioni e ruoli.
Autorizzazioni cluster
Ogni piattaforma supportata ha i propri requisiti di autorizzazione per la creazione di un cluster. In qualità di proprietario del cluster, puoi procedere con l'installazione dei componenti specifici di Apigee (inclusi cert-manager e il runtime Apigee) nel cluster. Tuttavia, se vuoi delegare a un altro utente l'installazione dei componenti di runtime nel cluster, puoi gestire le autorizzazioni necessarie tramite authn-authz di Kubernetes.
Per installare i componenti di runtime ibrida nel cluster, un utente diverso dal proprietario del cluster deve disporre dell'autorizzazione CRUD per queste risorse:
- ClusterRole
- ClusterRoleBinding
- Webhook (ValidatingWebhookConfiguration e MutatingWebhookConfiguration)
- PriorityClass
- ClusterIssuer
- CustomerResourceDefinitions
- StorageClass (facoltativo, se non viene utilizzata la classe di archiviazione predefinita. Per informazioni su come cambiare la classe predefinita e creare una classe di archiviazione personalizzata, consulta la sezione Configurazione della classe di archiviazione.
Ruoli IAM
Per eseguire questi passaggi, devi disporre dei seguenti ruoli IAM assegnati al tuo account utente. Se il tuo account non dispone di questi ruoli, chiedi a un utente con i ruoli di eseguire i passaggi. Per ulteriori informazioni sui ruoli IAM, consulta Documentazione di riferimento sui ruoli IAM di base e predefiniti.
Per creare account di servizio e concederli l'accesso al tuo progetto:
- Crea account di servizio (
roles/iam.serviceAccountCreator) - Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin)
Per concedere all'agente di sincronizzazione l'accesso al tuo progetto:
- Amministratore organizzazione Apigee (
roles/apigee.admin)
Per configurare l'identità del carico di lavoro per le installazioni su GKE (facoltativo):
- Kubernetes Engine Admin (
roles/container.admin) - Amministratore account di servizio (
roles/iam.serviceAccountAdmin)