Ringkasan
Langkah ini menjelaskan cara membuat akun layanan Google Cloud yang diperlukan agar Apigee Hybrid dapat beroperasi, dan menetapkan peran IAM yang sesuai ke akun tersebut.
Prosedur ini menggunakan dua variabel lingkungan berikut yang ditentukan di Langkah 2: Download diagram Helm Apigee. Variabel ini bersifat opsional. Jika Anda tidak menentukannya, ganti jalur direktori yang sesuai untuk setiap variabel dalam contoh kode.
$APIGEE_HELM_CHARTS_HOME
: Direktori tempat Anda mendownload chart Helm Apigee, yang ditentukan di Langkah 2: Download diagram Helm Apigee.$PROJECT_ID
: ID project Google Cloud Anda, yang ditentukan di Bagian 1: Penyiapan Project dan Org--Langkah 1: Mengaktifkan API.
Lingkungan produksi vs. non-produksi
Panduan ini merujuk pada penginstalan Produksi ("Prod") dan Non-produksi ("Non-prod"). Penginstalan produksi disesuaikan untuk kapasitas penggunaan, penyimpanan, dan skalabilitas yang lebih besar. Penginstalan non-produksi menggunakan lebih sedikit sumber daya dan utamanya untuk tujuan pembelajaran dan demonstrasi.
Saat membuat dan mengonfigurasi akun layanan untuk Apigee Hybrid, Anda perlu mengetahui jenis penginstalan yang Anda targetkan.
Untuk penginstalan produksi, sebaiknya buat akun layanan terpisah untuk setiap komponen hybrid Apigee. Misalnya, runtime, mart, metrik, udca, dan sebagainya masing-masing mendapatkan akun layanannya sendiri.
Untuk penginstalan non-prod, Anda dapat membuat satu akun layanan yang berlaku untuk semua komponen.
Untuk mempelajari lebih lanjut akun layanan yang digunakan oleh Apigee dan peran yang ditetapkan untuknya, lihat Akun layanan dan peran yang digunakan komponen hybrid.
Workload Identity di GKE
Untuk penginstalan hybrid Apigee di GKE, Google Cloud menawarkan opsi yang disebut identitas workload untuk mengautentikasi komponen runtime hybrid. Opsi ini tidak menggunakan file sertifikat yang didownload untuk mengautentikasi akun layanan. Namun, opsi ini mengaitkan akun layanan Google Cloud yang Anda buat di langkah ini dengan akun layanan Kubernetes di cluster Kubernetes.
Workload Identity hanya tersedia di penginstalan GKE.
Membuat akun layanan
Apigee Hybrid menggunakan akun layanan berikut:
Prod
Akun layanan | Peran IAM | Diagram Helm Apigee |
---|---|---|
apigee-cassandra |
Storage Object Admin | apigee-datastore |
apigee-logger |
Logs Writer | apigee-telemetry |
apigee-mart |
Apigee Connect Agent | apigee-org |
apigee-metrics |
Monitoring Metric Writer | apigee-telemetry |
apigee-runtime |
Peran tidak diperlukan | apigee-env |
apigee-synchronizer |
Apigee Synchronizer Manager | apigee-env |
apigee-udca |
Apigee Analytics Agent | apigee-org |
apigee-watcher |
Apigee Runtime Agent | apigee-org |
Non-produk
Akun layanan | Peran IAM | Diagram Helm Apigee |
---|---|---|
apigee-non-prod |
Storage Object Admin Logs Writer Agen Apigee Connect Monitoring Metric Writer Apigee Synchronizer Manager Apigee Analytics Agent Apigee Runtime Agent |
apigee-datastore apigee-telemetry apigee-org apigee-env |
Alat create-service-account
Apigee menyediakan alat,
create-service-account
, di direktori apigee-operator/etc/tools
:
$APIGEE_HELM_CHARTS_HOME/ └── apigee-operator/ └── etc/ └── tools/ └── create-service-account
Alat ini membuat akun layanan, menetapkan peran IAM ke setiap akun, dan mendownload file sertifikat dalam format JSON untuk setiap akun.
Pastikan Anda dapat menjalankan create-service-account
. Jika Anda baru saja mendownload diagram, file create-service-account
mungkin tidak berada dalam mode yang dapat dieksekusi. Dalam direktori
APIGEE_HELM_CHARTS_HOME, jalankan perintah berikut:
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account --help
Jika output Anda menyatakan permission denied
, Anda harus membuat file tersebut dapat dieksekusi, misalnya dengan chmod
di Linux, MacOS, atau UNIX, atau di Windows Explorer atau dengan perintah icacls
di Windows. Contoh:
chmod +x $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account
Membuat akun layanan
Karena Helm tidak mendukung referensi file di luar direktori chart, Anda harus membuat setiap file sertifikat akun layanan dalam direktori chart untuk komponen hybrid yang sesuai.
Untuk langkah selanjutnya, pilih apakah Anda mengonfigurasi penginstalan Produksi atau Non-produksi.
Prod
- Pastikan variabel lingkungan
PROJECT_ID
ditentukan.echo $PROJECT_ID
create-service-account tool uses the value of the
. Jika tidak ditentukan, tentukan dengan ID Project ID Google Cloud Anda atau tambahkan flagPROJECT_ID
environment variable--project-id my_project_id
ke perintahcreate-service-account
. -
Buat akun layanan dengan perintah berikut, dengan
$APIGEE_HELM_CHARTS_HOME
adalah jalur tempat Anda mendownload diagram Helm Apigee. Anda mungkin akan diminta untuk membuat setiap akun layanan. Respons dengany
.$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-cassandra \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-datastore
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-logger \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-telemetry
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-mart \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-org
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-metrics \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-telemetry
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-runtime \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-env
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-synchronizer \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-env
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-udca \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-org
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-watcher \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-org
- Pastikan file akun layanan telah dibuat di direktori yang benar dengan memeriksa
isi direktori setiap diagram. Output Anda akan terlihat seperti:
ls ./apigee-datastore
Chart.yaml my_project_id-apigee-cassandra.json templates values.yamlls ./apigee-telemetry
Chart.yaml my_project_id-apigee-logger.json my_project_id-apigee-metrics.json templates values.yamlls ./apigee-org
Chart.yaml my_project_id-apigee-udca.json templates my_project_id-apigee-mart.json my_project_id-apigee-watcher.json values.yamlls ./apigee-env
Chart.yaml my_project_id-apigee-runtime.json my_project_id-apigee-synchronizer.json templates values.yaml
Non-produk
- Pastikan variabel lingkungan
PROJECT_ID
ditentukan.echo $PROJECT_ID
create-service-account tool uses the value of the
. Jika tidak ditentukan, tentukan dengan ID Project ID Google Cloud Anda atau tambahkan flagPROJECT_ID
environment variable--project-id my_project_id
ke perintahcreate-service-account
. -
Buat akun layanan dengan perintah berikut, dengan
$APIGEE_HELM_CHARTS_HOME
adalah jalur tempat Anda mendownload diagram Helm Apigee. Anda mungkin akan diminta untuk membuat setiap akun layanan. Respons dengany
.$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --env non-prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-datastore
- Verifikasi nama file akun layanan yang dibuat di direktori
apigee-datastore
:ls $APIGEE_HELM_CHARTS_HOME/apigee-datastore
Chart.yaml my_project_id-apigee-non-prod.json templates values.yaml
- Salin file akun layanan ke direktori diagram lain yang akan memerlukan rujukan ke:
cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME.json $APIGEE_HELM_CHARTS_HOME/apigee-telemetry/
cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME.json $APIGEE_HELM_CHARTS_HOME/apigee-org/
cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME.json $APIGEE_HELM_CHARTS_HOME/apigee-env/
Untuk mengetahui informasi selengkapnya tentang akun layanan dan alat create-service-account
, lihat:
Anda kini telah membuat akun layanan dan menetapkan peran yang diperlukan oleh komponen hybrid Apigee. Selanjutnya, buat sertifikat TLS yang diperlukan oleh gateway masuk hybrid.
1 2 3 4 (BERIKUTNYA)