概要
このステップでは、Apigee ハイブリッドの運用に必要な Google Cloud サービス アカウントを作成し、適切な IAM ロールを割り当てる方法について説明します。
この手順では、ステップ 2: Apigee Helm チャートをダウンロードするで定義した次の 2 つの環境変数を使用します。これらの変数は省略可能です。これらを定義していない場合は、コードサンプルの各変数を適切なディレクトリ パスで置き換えてください。
$APIGEE_HELM_CHARTS_HOME: ステップ 2: Apigee Helm チャートをダウンロードするで定義した、Apigee Helm チャートをダウンロードしたディレクトリ。$PROJECT_ID: パート 1: プロジェクトと組織の設定 - ステップ 1: API を有効にするで定義した Google Cloud プロジェクト ID。
本番環境と非本番環境
このガイドでは、本番環境と非本番環境のインストールについて説明します。本番環境のインストールは、使用容量、ストレージ、スケーラビリティが向上するように調整されています。非本番環境のインストールは、使用するリソースが少なく、主に学習とデモ用に使用されます。
Apigee ハイブリッドのサービス アカウントを作成して構成する場合は、ターゲットとするインストールの種類を認識することが重要です。
本番環境のインストールでは、Apigee ハイブリッド コンポーネントごとに個別のサービス アカウントを作成することをおすすめします。たとえば、runtime、mart、metrics、udca などがそれぞれ独自のサービス アカウントを取得します。
非本番環境のインストールでは、すべてのコンポーネントに適用される単一のサービス アカウントを作成できます。
Apigee で使用されるサービス アカウントと、割り当てられているロールの詳細については、ハイブリッド コンポーネントで使用されるサービス アカウントとロールをご覧ください。
GKE 上の Workload Identity
GKE 上の Apigee ハイブリッド インストールの場合、Google Cloud にはハイブリッド ランタイム コンポーネントを認証するための Workload Identity と呼ばれるオプションが用意されています。このオプションでは、サービス アカウントの認証に、ダウンロードした証明書ファイルを使用しません。代わりに、この手順で作成した Google Cloud サービス アカウントを Kubernetes クラスタ内の Kubernetes サービス アカウントに関連付けます。
Workload Identity は GKE インストールでのみ使用できます。
サービス アカウントを作成する
Apigee ハイブリッドでは、次のサービス アカウントが使用されます。
本番環境
| サービス アカウント | IAM ロール | Apigee Helm チャート |
|---|---|---|
apigee-cassandra |
Storage オブジェクト管理者 | apigee-datastore |
apigee-logger |
ログ書き込み | apigee-telemetry |
apigee-mart |
Apigee Connect エージェント | apigee-org |
apigee-metrics |
モニタリング指標の書き込み | apigee-telemetry |
apigee-runtime |
ロールは不要 | apigee-env |
apigee-synchronizer |
Apigee Synchronizer 管理者 | apigee-env |
apigee-udca |
Apigee アナリティクス エージェント | apigee-org |
apigee-watcher |
Apigee ランタイム エージェント | apigee-org |
非本番環境
| サービス アカウント | IAM ロール | Apigee Helm チャート |
|---|---|---|
apigee-non-prod |
Storage オブジェクト管理者 ログ書き込み Apigee Connect エージェント モニタリング指標の書き込み Apigee Synchronizer 管理者 Apigee アナリティクス エージェント Apigee ランタイム エージェント |
apigee-datastoreapigee-telemetryapigee-orgapigee-env |
Apigee には、apigee-operator/etc/tools ディレクトリ内に create-service-account ツールが用意されています。
$APIGEE_HELM_CHARTS_HOME/
└── apigee-operator/
└── etc/
└── tools/
└── create-service-account
このツールは、サービス アカウントを作成し、各アカウントに IAM ロールを割り当て、アカウントごとに JSON 形式の証明書ファイルをダウンロードします。
Helm では、チャート ディレクトリ外のファイルへの参照はサポートされません。したがって、対応するハイブリッド コンポーネントのチャート ディレクトリ内に、各サービス アカウント証明書ファイルを作成します。
以降の手順で、本番環境と非本番環境のどちらのインストールを構成するかを選択します。
本番環境
PROJECT_ID環境変数が定義されていることを確認します。echo $PROJECT_ID
create-service-account tool uses the value of the。この変数を定義していない場合は、Google Cloud プロジェクト ID の ID を使用して定義するか、PROJECT_IDenvironment variablecreate-service-accountコマンドに--project-id my_project_idフラグを追加します。-
次のコマンドを使用してサービス アカウントを作成します。
$APIGEE_HELM_CHARTS_HOMEは、Apigee Helm チャートをダウンロードしたパスです。各サービス アカウントの作成を求められる場合があります。この場合は、回答にyを選択します。$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-cassandra \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-datastore
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-logger \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-telemetry$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-mart \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-org$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-metrics \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-telemetry$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-runtime \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-env$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-synchronizer \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-env$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-udca \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-org$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-watcher \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-org - 各チャートのディレクトリの内容を確認して、サービス アカウント ファイルが正しいディレクトリに作成されていることを確認します。出力は次のようになります。
ls ./apigee-datastoreChart.yaml my_project_id-apigee-cassandra.json templates values.yamlls ./apigee-telemetryChart.yaml my_project_id-apigee-logger.json my_project_id-apigee-metrics.json templates values.yamlls ./apigee-orgChart.yaml my_project_id-apigee-udca.json templates my_project_id-apigee-mart.json my_project_id-apigee-watcher.json values.yamlls ./apigee-envChart.yaml my_project_id-apigee-runtime.json my_project_id-apigee-synchronizer.json templates values.yaml
非本番環境
PROJECT_ID環境変数が定義されていることを確認します。echo $PROJECT_ID
create-service-account tool uses the value of the。この変数を定義していない場合は、Google Cloud プロジェクト ID の ID を使用して定義するか、PROJECT_IDenvironment variablecreate-service-accountコマンドに--project-id my_project_idフラグを追加します。-
次のコマンドを使用してサービス アカウントを作成します。ここで、
$APIGEE_HELM_CHARTS_HOMEは Apigee Helm チャートをダウンロードしたパスです。各サービス アカウントの作成を求められる場合があります。この場合は、回答にyを選択します。$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --env non-prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-datastore
apigee-datastoreディレクトリ内に作成されたサービス アカウント ファイルの名前を確認します。ls $APIGEE_HELM_CHARTS_HOME/apigee-datastore
Chart.yaml my_project_id-apigee-non-prod.json templates values.yaml
- サービス アカウント ファイルを、参照する必要のある他のチャート ディレクトリにコピーします。
cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME.json $APIGEE_HELM_CHARTS_HOME/apigee-telemetry/
cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME.json $APIGEE_HELM_CHARTS_HOME/apigee-org/
cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME.json $APIGEE_HELM_CHARTS_HOME/apigee-env/
サービス アカウントと create-service-account ツールの詳細については、以下をご覧ください。
これで、サービス アカウントが作成され、Apigee ハイブリッド コンポーネントに必要なロールが割り当てられました。次は、ハイブリッド Ingress ゲートウェイに必要な TLS 証明書を作成します。
次のステップ
1 2 3 4 (次)ステップ 5: TLS 証明書を作成する 6 7 8 9 10 11 12