create-service-account

Crée des comptes de service Google Cloud Platform (GCP) avec des rôles permettant à des composants hybrides Apigee individuels d'effectuer des appels d'API autorisés et de télécharger les fichiers de clé de compte de service associés. Vous pouvez utiliser les fichiers de clé de compte de service générés par cette commande dans votre fichier de remplacement de configuration.

L'outil create-service-account se trouve dans le répertoire hybrid_root_dir/tools.

Prérequis

L'outil create-service-account nécessite que la CLI gcloud soit installée. Les utilisateurs appelant l'utilitaire doivent disposer du rôle Service Account Admin.

Pour commencer, assurez-vous que la configuration de votre projet gcloud est définie sur le projet que vous avez créé à l'étape 2 : Créer un projet Google Cloud :

gcloud config list project

Si vous devez modifier l'ID de projet actuel, exécutez la commande suivante :

gcloud config set project gcp_project_id

gcp_project_id correspond au projet créé à l'étape 2 : Créer un projet Google Cloud.

Syntaxe create-service-account

L'outil create-service-account utilise la syntaxe suivante :

create-service-account component_name output_dir [gcp_project_id]

Où :

  • component_name : Spécifie le service hybride qui utilise le compte de service. Les valeurs possibles sont les suivantes :
    • apigee-cassandra
    • apigee-distributed-trace
    • apigee-logger
    • apigee-mart
    • apigee-metrics
    • apigee-synchronizer
    • apigee-udca
    • apigee-watcher

    Notez que l'outil create-service-account ne peut pas créer le compte de service apigee-org-admin. Vous devez le créer avec les API GCP ou gCloud, comme décrit dans la section Créer des comptes de service.

  • output_dir : Répertoire de sortie dans lequel stocker la clé de compte de service téléchargée.
  • gcp_project_id (facultatif) : Spécifie l'ID du projet GCP associé à votre organisation compatible hybride. Si l'ID du projet GCP n'est pas fourni, l'outil tente de le récupérer à partir de la configuration gcloud actuelle.

Description détaillée

L'outil create-service-account :

  • Crée des comptes de service GCP utilisés par les composants hybrides. Le compte de service créé se voit attribuer le rôle requis par le composant spécifique pour fonctionner.
  • Télécharge la clé du compte de service sur votre système. Vous placez les clés de compte de service dans votre fichier de remplacement de configuration hybride, comme expliqué dans les instructions d'installation hybride.

L'outil crée des comptes de service pour les composants suivants :

Composant* Rôle Requis pour l'installation de base ? Description
apigee-cassandra Administrateur des objets de l'espace de stockage Autorise les sauvegardes Cassandra sur Google Cloud Storage, comme décrit sur la page Sauvegarde et récupération.
apigee-logger Rédacteur de journaux Permet de collecter des données de journalisation, comme décrit dans la section Journalisation. Obligatoire uniquement pour les installations de cluster autres que GKE.
apigee-mart Agent Apigee Connect Permet l'authentification du service MART. Le rôle Agent Apigee Connect lui permet de communiquer de manière sécurisée avec le processus Apigee Connect, comme décrit dans Utiliser Apigee Connect.
apigee-metrics Rédacteur de métriques Monitoring Permet de collecter des données de métriques, comme décrit dans la section Présentation de la collecte de métriques.
apigee-synchronizer Gestionnaire de synchronisateur Apigee Permet au synchronisateur de télécharger des groupes de proxys et des données de configuration d'environnement. Active également la fonctionnalité de trace.
apigee-udca Agent d'analyses Apigee Permet le transfert des données des traces, des analyses et d'état de déploiement vers le plan de gestion.
apigee-watcher Agent d'exécution Apigee Apigee Watcher extrait les changements virtuels des hôtes pour une organisation à partir du synchronisateur et effectue les modifications nécessaires pour configurer l'entrée Istio.
* Ce nom est utilisé dans le nom de fichier de la clé du compte de service téléchargée.

Vous pouvez également créer des comptes de service dans la console GCP. Consultez aussi la section Créer et gérer des comptes de service.

Exemple

L'exemple suivant crée un nouveau compte de service pour le service apigee-logger et place la clé téléchargée dans le répertoire ./service-accounts.

./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts