Erstellt GCP (Google Cloud Platform)-Dienstkonten mit Rollen, die es einzelnen Apigee Hybridkomponenten ermöglichen, autorisierte API-Aufrufe durchzuführen und die zugehörigen Dienstkonto-Schlüsseldateien herunterzuladen. Sie können die von diesem Befehl generierten Dienstkonto-Schlüsseldateien in Ihrer Konfigurationsdatei verwenden.
Das create-service-account-Tool befindet sich im Verzeichnis hybrid_root_dir/tools.
Vorbereitung
Für das create-service-account-Tool muss die gcloud-Befehlszeile installiert sein. Nutzer, die das Dienstprogramm aufrufen, sollten die Rolle Service Account Admin haben.
Achten Sie zuerst darauf, dass für die Projektkonfiguration gcloud das Projekt festgelegt ist, das Sie in Schritt 2: Google Cloud-Projekt erstellen erstellt haben:
gcloud config list project
Wenn Sie die aktuelle Projekt-ID ändern müssen, verwenden Sie den folgenden Befehl:
gcloud config set project gcp_project_id
Dabei ist gcp_project_id das Projekt, das in Schritt 2: Google Cloud-Projekt erstellen erstellt wurde.
create-service-account-Syntax
Das create-service-account-Tool verwendet die folgende Syntax:
create-service-account component_name output_dir [gcp_project_id]
Wobei:
- component_name: Gibt den Hybriddienst an, der das Dienstkonto verwendet. Gültige Werte sind:
apigee-cassandraapigee-loggerapigee-martapigee-metricsapigee-synchronizerapigee-udca
Beachten Sie, dass das
create-service-account-Tool nicht das Dienstkontoapigee-org-adminerstellen kann. Sie müssen dieses entweder mit der GCP API oder mit der gCloud API erstellen, wie unter Dienstkonten erstellen beschrieben. - output_dir: Das Ausgabeverzeichnis, in dem der heruntergeladene Dienstkontoschlüssel gespeichert werden soll.
- gcp_project_id (optional): Gibt die GCP-Projekt-ID des Projekts an, das an Ihre hybride Organisation gebunden ist. Wenn die GCP-Projekt-ID nicht angegeben wird, versucht das Tool, sie aus der aktuellen gcloud-Konfiguration abzurufen.
Detaillierte Beschreibung
Das create-service-account-Tool:
- Erstellt GCP-Dienstkonten, die von Hybridkomponenten verwendet werden. Dem erstellten Dienstkonto wird die Rolle zugewiesen, die die jeweilige Komponente benötigt.
- Lädt den Dienstkontoschlüssel auf Ihr System herunter. Sie legen die Dienstkontoschlüssel in Ihrer Hybridkonfiguration fest. Dies wird in der Hybridinstallationsanleitung erläutert.
Das Tool erstellt Dienstkonten für die folgenden Komponenten:
| Komponente* | Rolle | Erforderlich für die einfache Installation? | Beschreibung |
|---|---|---|---|
apigee-cassandra |
Storage-Objekt-Administrator | Ermöglicht Cassandra-Sicherungen in Google Cloud Storage, wie unter Sicherung und Wiederherstellung beschrieben. | |
apigee-logger |
Log-Autor | Ermöglicht die Erfassung von Logging-Daten, wie in Logging beschrieben. Nur für Nicht-GKE-Clusterinstallationen erforderlich. | |
apigee-mart |
Keine Rolle | Ermöglicht die Authentifizierung des MART-Dienstes. Mit diesem Dienstkonto sollte keine Rolle verknüpft sein. Wenn Sie dieses Dienstkonto erstellen, weisen Sie ihm daher keine Rolle zu. | |
apigee-metrics |
Monitoring-Messwert-Autor | Erlaubt die Erhebung von Messwertdaten, wie unter Messwerterfassung beschrieben. | |
apigee-org-admin |
Apigee-Organisationsadministrator | Hiermit können Sie die getSyncAuthorization API und die setSyncAuthorization API aufrufen. Sie können dieses Dienstkonto nicht mit dem create-service-account-Tool erstellen. |
|
apigee-synchronizer |
Apigee Synchronizer Manager | Ermöglicht dem Syncer, Proxy-Bundles und Konfigurationsdaten der Umgebung herunterzuladen. Außerdem wird der Vorgang der Trace-Funktion aktiviert. | |
apigee-udca |
Apigee Analytics-Agent | Ermöglicht die Übertragung von Trace-, Analyse- und Bereitstellungsstatusdaten auf die Verwaltungsebene. | |
| * Dieser Name wird im Dateinamen des heruntergeladenen Dienstkontoschlüssels verwendet. | |||
Sie können Dienstkonten auch in der GCP Console erstellen. Weitere Informationen finden Sie unter Dienstkonten erstellen und verwalten.
Beispiel
Im folgenden Beispiel wird ein neues Dienstkonto für den Dienst apigee-logger erstellt und der heruntergeladene Schlüssel im Verzeichnis ./service-accounts abgelegt.
./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts