Apigee hybrid fornisce una convalida che garantisce la località chiavi siano corretti e che gli account dispongano delle autorizzazioni appropriate nel progetto Google Cloud. Questo tipo di convalida è abilitata per impostazione predefinita.
Questa sezione descrive come abilitare o disabilitare la convalida dell'account di servizio. Inoltre, questo verifica di aver abilitato le API appropriate per il tuo progetto Google Cloud, in modo che funziona.
Attivare la convalida delle autorizzazioni dell'account di servizio
Per abilitare la convalida delle autorizzazioni:
- Assicurati che l'
API Cloud Resource Manager sia abilitata per il tuo progetto Google Cloud:
- Apri la console Google Cloud e accedi con l'account che hai creato nel Passaggio 1: crea un account Google Cloud.
- Seleziona il progetto che hai creato nel Passaggio 2: crea un progetto Google Cloud.
- Seleziona API e servizi > Libreria.
- Cerca "Cloud Resource Manager".
- Individua il servizio API Cloud Resource Manager e fai clic su di esso.
- Se non è abilitata, fai clic su Attiva.
Puoi anche abilitare l'API utilizzando gcloud:
gcloud services enable cloudresourcemanager.googleapis.com --project GCP_PROJECT_ID
- Nel file delle sostituzioni, aggiungi la proprietà
validateServiceAccounts
e impostala sutrue
. Ad esempio:... # Enables strict validation of service account permissions. validateServiceAccounts: true ...
Quando la convalida è abilitata, ogni volta che applichi modifiche alla configurazione
i componenti di runtime ibridi di Apigee per il tuo cluster, il grafico Helm o apigeectl
convalida le chiavi dell'account di servizio incluse nel tuo
esegue l'override del file.
Risolvere i problemi relativi agli errori di convalida
Se la convalida non va a buon fine, il deployment in fase di runtime si interrompe e helm upgrade
/
helm install
o apigeectl init
/ apigeectl apply
esce. Per risolvere i problemi relativi all'account di servizio, è utile sapere che la convalida controlla le autorizzazioni in questo ordine:
- Autorizzazione per l'ID progetto.
- (Solo per UDCA e Sincronizzatore) Se il controllo delle autorizzazioni nel progetto non va a buon fine,
verifica le autorizzazioni in base alle credenziali dell'ambiente Apigee
Criterio IAM. Questi amministratori sono basati sull'ambiente e gli ambienti supportano autorizzazioni più granulari.
Per aggiornare il criterio IAM per un ambiente specifico, vai all'interfaccia utente ibrida. Vai a Amministrazione > Ambienti > Accesso
Ad esempio, di seguito è riportato un messaggio di errore relativo a un controllo delle autorizzazioni non riuscito:
Invalid Metrics Service Account. Service Account "apigee-metrics@hybrid-project.iam.gserviceaccount.com" is missing 1 or more required permissions [monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create]. Visit Service accounts and roles used by hybrid components for more details on setting up Apigee hybrid service account permissions.
Per risolvere questo errore, aggiungi i ruoli richiesti all'account di servizio. Per informazioni sulla creazione e sulla modifica degli account di servizio, consulta Crea gli account di servizio. Per controllare le autorizzazioni richieste per ogni componente ibrido Apigee, consulta Account di servizio e ruoli utilizzati dai componenti ibridi.
Disattivare la convalida delle autorizzazioni
Per disabilitare la convalida delle autorizzazioni per l'account di servizio, imposta validationServiceAccounts
del file di override in false
, come illustrato nell'esempio seguente:
... # Enables strict validation of service account permissions. validateServiceAccounts: false ...