Halaman ini diterjemahkan oleh Cloud Translation API.

Langkah 4: Buat akun layanan

Ringkasan

Langkah ini menjelaskan cara membuat akun layanan Google Cloud yang diperlukan untuk Apigee Hybrid untuk beroperasi, dan menetapkan peran IAM yang sesuai kepadanya.

Prosedur ini menggunakan dua variabel lingkungan berikut yang didefinisikan dalam Langkah 2: Download diagram Helm Apigee. Variabel-variabel ini bersifat opsional. Jika Anda tidak menentukannya, ganti jalur direktori yang sesuai untuk setiap variabel dalam contoh kode.

$APIGEE_HELM_CHARTS_HOME: Direktori tempat Anda mendownload Chart Helm Apigee, ditentukan di Langkah 2: Download diagram Helm Apigee.
$PROJECT_ID: ID project Google Cloud Anda, yang ditentukan di Bagian 1: Penyiapan Project dan Org--Langkah 1: Aktifkan API.

Lingkungan produksi vs. non-produksi

Panduan ini merujuk pada Produksi ("Prod") dan Non-produksi ("Non-prod") penginstalan. Instalasi produksi disesuaikan untuk kapasitas penggunaan, penyimpanan, dan skalabilitas. Instalasi non-produksi menggunakan lebih sedikit sumber daya dan utamanya untuk pembelajaran dan tujuan demonstrasi.

Saat membuat dan mengonfigurasi akun layanan untuk Apigee Hybrid, Anda harus mengetahui jenis penginstalan yang Anda targetkan.

Untuk penginstalan produksi, sebaiknya buat akun layanan terpisah untuk masing-masing penginstalan Komponen hybrid Apigee. Misalnya, runtime, mart, metrik, udca, dan sebagainya masing-masing memiliki akun layanan Anda.

Untuk penginstalan non-produk, Anda dapat membuat satu akun layanan yang berlaku untuk semua komponen.

Untuk mempelajari lebih lanjut akun layanan yang digunakan oleh Apigee dan peran yang ditetapkan untuknya, lihat Akun layanan dan peran yang digunakan oleh komponen hybrid.

Mengautentikasi akun layanan

Apigee Hybrid mendukung tiga metode untuk mengautentikasi akun layanan Google:

Workload Identity di AKS, EKS, atau GKE

Untuk penginstalan hybrid Apigee di GKE, Google Cloud menawarkan opsi yang disebut Workload Identity untuk mengautentikasi runtime hybrid komponen. Opsi ini tidak menggunakan file sertifikat yang didownload untuk mengautentikasi layanan Google Cloud, Sebagai gantinya, akan mengaitkan akun layanan Google Cloud yang Anda buat di langkah ini dengan akun layanan Kubernetes di cluster Kubernetes. Lihat Mengaktifkan Workload Identity di GKE atau Mengaktifkan Workload Identity Federation di AKS dan EKS

Membuat akun layanan

Apigee Hybrid menggunakan akun layanan berikut:

Prod

Akun layanan	Peran IAM	Diagram Helm Apigee
`apigee-cassandra`	Storage Object Admin	`apigee-datastore`
`apigee-logger`	Penulis Log	`apigee-telemetry`
`apigee-mart`	Apigee Connect Agent	`apigee-org`
`apigee-metrics`	Penulis Metrik Pemantauan	`apigee-telemetry`
`apigee-runtime`	Peran tidak diperlukan	`apigee-env`
`apigee-synchronizer`	Apigee Synchronizer Manager	`apigee-env`
`apigee-udca`	Apigee Analytics Agent	`apigee-org` `apigee-env`
`apigee-watcher`	Apigee Runtime Agent	`apigee-org`

Non-produk

Akun layanan	Peran IAM	Diagram Helm Apigee
`apigee-non-prod`	Admin Objek Penyimpanan Penulis Log Agen Apigee Connect Penulis Metrik Pemantauan Pengelola Sinkronisasi Apigee Agen Analisis Apigee Agen Runtime Apigee	`apigee-datastore` `apigee-telemetry` `apigee-org` `apigee-env`

Alat `create-service-account`

Apigee menyediakan suatu alat, create-service-account, di Direktori apigee-operator/etc/tools:

$APIGEE_HELM_CHARTS_HOME/
    └── apigee-operator/
        └── etc/
            └── tools/
                └── create-service-account

Alat ini membuat akun layanan, menetapkan peran IAM ke setiap akun, dan mengunduh file sertifikat dalam format JSON untuk setiap akun.

Pastikan Anda dapat menjalankan create-service-account. Jika Anda baru saja mendownload diagram file create-service-account mungkin tidak dalam mode yang dapat dieksekusi. Di Direktori APIGEE_HELM_CHARTS_HOME menjalankan perintah berikut:

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account --help

Jika output Anda mengatakan permission denied, Anda harus membuat file tersebut dapat dieksekusi, karena misalnya dengan chmod di Linux, MacOS, atau UNIX atau di Windows Explorer atau Perintah icacls di Windows. Contoh:

chmod +x $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account

Membuat akun layanan

Karena Helm tidak mendukung referensi file di luar diagram Anda akan membuat setiap file sertifikat akun layanan di direktori bagan untuk komponen hibrida yang sesuai.

Untuk langkah selanjutnya, pilih apakah Anda mengonfigurasi penginstalan Produksi atau Non-produksi.

Prod

Pastikan variabel lingkungan PROJECT_ID ditentukan.
```
echo $PROJECT_ID
```
create-service-account tool uses the value of thePROJECT_ID environment variable. Jika tidak didefinisikan, tentukan dengan ID Anda ID Project Google Cloud atau tambahkan flag --project-id PROJECT_ID ke perintah create-service-account.

Buat akun layanan dengan perintah berikut, dengan $APIGEE_HELM_CHARTS_HOME adalah jalur tempat Anda mendownload diagram Helm Apigee. Anda mungkin diminta untuk membuat setiap akun layanan. Respons dengan y.

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-cassandra \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-datastore

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-logger \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-telemetry

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-mart \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-org

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-metrics \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-telemetry

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-runtime \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-env

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-synchronizer \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-env

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-udca \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-env

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-udca \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-org

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-watcher \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-org

Salin file JSON apigee-udca ke direktori diagram apigee-env. ID ini diperlukan untuk operasi dengan cakupan organisasi dan cakupan env.
```
cp $APIGEE_HELM_CHARTS_HOME/apigee-org/$PROJECT_ID-apigee-udca.json $APIGEE_HELM_CHARTS_HOME/apigee-env/
```

Pastikan file akun layanan telah dibuat di direktori yang benar dengan memeriksa isi dari setiap direktori diagram. Output Anda akan terlihat seperti:

ls ./apigee-datastore
Chart.yaml  PROJECT_ID-apigee-cassandra.json  templates  values.yaml

ls ./apigee-telemetry
Chart.yaml  PROJECT_ID-apigee-logger.json  PROJECT_ID-apigee-metrics.json  templates  values.yaml

ls ./apigee-org
Chart.yaml                      PROJECT_ID-apigee-udca.json     templates
PROJECT_ID-apigee-mart.json  PROJECT_ID-apigee-watcher.json  values.yaml

ls ./apigee-env
Chart.yaml  PROJECT_ID-apigee-runtime.json  PROJECT_ID-apigee-synchronizer.json  templates  values.yaml

Tips: Anda juga dapat memverifikasi lokasi akun layanan dengan perintah tree berikut:

tree -P *.json

Non-produk

Pastikan variabel lingkungan PROJECT_ID ditentukan.
```
echo $PROJECT_ID
```
create-service-account tool uses the value of thePROJECT_ID environment variable. Jika tidak didefinisikan, tentukan dengan ID Anda ID Project Google Cloud atau tambahkan flag --project-id PROJECT_ID ke perintah create-service-account.
Buat akun layanan dengan perintah berikut, dengan $APIGEE_HELM_CHARTS_HOME adalah jalur tempat Anda mendownload diagram Helm Apigee. Anda mungkin diminta untuk membuat setiap akun layanan. Respons dengan y.
```
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --env non-prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-datastore
```

Verifikasi nama file akun layanan yang dibuat di apigee-datastore direktori:

ls $APIGEE_HELM_CHARTS_HOME/apigee-datastore

Chart.yaml  PROJECT_ID-apigee-non-prod.json  templates  values.yaml

Salin file akun layanan ke direktori diagram lain yang perlu dijadikan rujukan:

cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME.json $APIGEE_HELM_CHARTS_HOME/apigee-telemetry/

cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME.json $APIGEE_HELM_CHARTS_HOME/apigee-org/

cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME.json $APIGEE_HELM_CHARTS_HOME/apigee-env/

Untuk mengetahui informasi selengkapnya tentang akun layanan dan alat create-service-account, lihat:

Anda kini telah membuat akun layanan dan menetapkan peran yang diperlukan oleh Apigee Hybrid komponen. Selanjutnya, buat sertifikat TLS yang diperlukan oleh gateway masuk hybrid.

Langkah berikutnya

1 2 3 4 (BERIKUTNYA) Langkah 5: Buat sertifikat TLS 6 7 8 9 10 11

Langkah 4: Buat akun layanan

Ringkasan

Lingkungan produksi vs. non-produksi

Mengautentikasi akun layanan

Workload Identity di AKS, EKS, atau GKE

Membuat akun layanan

Prod

Non-produk

Alat create-service-account

Membuat akun layanan

Prod

Non-produk

Langkah berikutnya

Alat `create-service-account`