Cria contas de serviço do Google Cloud Platform (GCP) com papéis que permitem que componentes individuais da Apigee híbrida façam chamadas de API autorizadas e façam o download dos arquivos de chave da conta de serviço associados. É possível usar os arquivos de chave da conta de serviço gerados por esse comando no arquivo de modificação da configuração.
A ferramenta create-service-account está localizada no
diretório hybrid_root_dir/tools.
Pré-requisitos
A ferramenta create-service-account requer que a CLI do gcloud esteja
instalada. Os usuários que invocam o utilitário precisam ter o papel Service Account Admin.
Para começar, verifique se a configuração do projeto
gcloud está definida como o projeto que você criou na Etapa 2: criar um projeto do Google Cloud:
gcloud config list project
Se você precisar alterar o ID do projeto atual, use este comando:
gcloud config set project gcp_project_id
Em que gcp_project_id é o projeto criado na Etapa 2: criar um projeto do Google Cloud.
Sintaxe create-service-account
A ferramenta create-service-account usa a seguinte sintaxe:
create-service-account component_name output_dir [gcp_project_id]
Em que:
- component_name: especifica o serviço híbrido que usa a conta de serviço. Os valores
válidos são:
apigee-cassandraapigee-distributed-traceapigee-loggerapigee-martapigee-metricsapigee-synchronizerapigee-udcaapigee-watcher
Observe que a ferramenta
create-service-accountnão pode criar a conta de serviçoapigee-org-admin. Crie essas informações com as APIs do GCP ou da gcloud, conforme descrito em Criar contas de serviço. - output_dir: o diretório de saída no qual armazenar a chave da conta de serviço salva.
- gcp_project_id: (opcional) especifica o ID do projeto do GCP que está vinculado à sua organização habilitada para o ambiente híbrido. Se o ID do projeto do GCP não for fornecido, a ferramenta tentará recuperá-lo a partir da configuração atual da gcloud.
Descrição detalhada
A ferramenta create-service-account:
- Cria contas de serviço do GCP usadas por componentes híbridos. A conta de serviço criada recebe o papel necessário para que o componente específico opere.
- Faz o download da chave da conta de serviço no seu sistema. Coloque as chaves da conta de serviço no arquivo de modificação de configuração híbrida, conforme explicado nas instruções de instalação híbridas.
A ferramenta cria contas de serviço para os seguintes componentes:
| Componente* | Papel | Necessário para instalação básica? | Descrição |
|---|---|---|---|
apigee-cassandra |
Administrador de objetos do Storage | Permite backups do Cassandra para o Cloud Storage, conforme descrito em Backup e recuperação. | |
apigee-logger |
Gravador de registros | Permite a coleta de dados de geração de registros, conforme descrito em Geração de registros. Necessário apenas para instalações de clusters que não sejam do GKE. | |
apigee-mart |
Agente do Apigee Connect | Permite a autenticação do serviço MART. O papel de Apigee Connect Agent ajuda a se comunicar com segurança com o processo do Apigee Connect, conforme descrito em Como usar o Apigee Connect. | |
apigee-metrics |
Gravador de métricas do Monitoring | Permite a coleta de dados de métricas, conforme descrito na Visão geral da coleta de métricas. | |
apigee-synchronizer |
Gerenciador de sincronização da Apigee | Permite que o sincronizador faça o download de pacotes de proxy e dados de configuração do ambiente. Ativa também a operação do recurso de rastreamento. | |
apigee-udca |
Agente de análise da Apigee | Permite a transferência de dados de status de rastreamento, análise e implantação para o plano de gerenciamento. | |
apigee-watcher |
Agente do ambiente de execução da Apigee | O Apigee Watcher extrai alterações virtuais dos hosts relacionados a uma organização no sincronizador e faz as alterações necessárias para configurar a entrada istio. | |
| * Esse nome é usado no nome de arquivo da chave da conta de serviço salva. | |||
Também é possível criar contas de serviço no Console do GCP. Consulte também Como criar e gerenciar contas de serviço.
Exemplo
No exemplo a seguir, criamos uma nova conta de serviço para
o serviço apigee-logger e colocamos a chave salva no diretório ./service-accounts.
./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts