Passo 5: crie contas de serviço e credenciais

Este passo explica como criar as contas de serviço da Google Cloud e as credenciais TLS necessárias para o funcionamento do Apigee hybrid.

Crie as contas de serviço

O Apigee hybrid usa contas de serviço do Google Cloud para permitir que os componentes híbridos comuniquem fazendo chamadas de API autorizadas.

Neste passo, usa uma ferramenta de linha de comandos híbrida do Apigee para criar um conjunto de contas de serviço e transferir os ficheiros de chaves privadas das contas de serviço.

Para saber mais sobre as contas de serviço e ler a lista completa de contas de serviço recomendadas para ambientes de produção, consulte o seguinte:

O Apigee fornece uma ferramenta, create-service-account, que cria as contas de serviço, atribui as funções às contas de serviço e cria e transfere os ficheiros de chaves para a conta de serviço num único comando. Para saber mais acerca dos conceitos relacionados do Google Cloud, consulte os artigos Criar e gerir contas de serviço e Criar e gerir chaves de contas de serviço.

  1. Certifique-se de que está no diretório base_directory/hybrid-files que configurou em Configure a estrutura de diretórios do projeto.
  2. Execute o seguinte comando a partir do diretório hybrid-files. Este comando cria uma conta de serviço para o componente apigee-metrics e coloca a chave transferida no diretório ./service-accounts. 
    ./tools/create-service-account apigee-metrics ./service-accounts

    Quando vir a seguinte mensagem, introduza y: 

    [INFO]: gcloud configured project ID is project_id.
 Press: y to proceed with creating service account in project: project_id
 Press: n to abort.

    Se for a primeira vez que é criado um SA com o nome exato atribuído pela ferramenta, então a ferramenta apenas o cria e não tem de fazer mais nada.

    No entanto, se vir a seguinte mensagem e comando, introduza y para gerar novas chaves:

    [INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists.
...
 [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
 Press: y to generate new keys.(this does not de-activate existing keys)
 Press: n to skip generating new keys.
  3. Agora, crie as restantes contas de serviço através dos seguintes comandos. O comando create-service-account é interativo e requer uma resposta para cada conta. 
    ./tools/create-service-account apigee-synchronizer ./service-accounts
     
    ./tools/create-service-account apigee-udca ./service-accounts
     
    ./tools/create-service-account apigee-mart ./service-accounts
     
    ./tools/create-service-account apigee-cassandra ./service-accounts
     
    ./tools/create-service-account apigee-logger ./service-accounts
     
    ./tools/create-service-account apigee-watcher ./service-accounts
     
    ./tools/create-service-account apigee-distributed-trace ./service-accounts
  4. Verifique se as chaves da conta de serviço foram criadas através do seguinte comando. É responsável por armazenar estas chaves privadas em segurança. Os nomes dos ficheiros das chaves têm como prefixo o nome do seu projeto do Google Cloud. 
    ls ./service-accounts

    O resultado deve ter um aspeto semelhante ao seguinte: 

    gcp-project-id-apigee-cassandra.json
gcp-project-id-apigee-distributed-trace.json
gcp-project-id-apigee-logger.json
gcp-project-id-apigee-mart.json
gcp-project-id-apigee-metrics.json
gcp-project-id-apigee-synchronizer.json
gcp-project-id-apigee-udca.json
gcp-project-id-apigee-watcher.json

Crie certificados TLS

Tem de fornecer certificados TLS para o gateway de entrada de tempo de execução na sua configuração híbrida do Apigee. Para efeitos deste início rápido (uma instalação de avaliação não de produção), o gateway de tempo de execução pode aceitar credenciais autoassinadas. Nos passos seguintes, é usado o openssl para gerar as credenciais autoassinadas.

Neste passo, vai criar os ficheiros de credenciais TLS e adicioná-los ao diretório base_directory/hybrid-files/certs. No Passo 6: configure o cluster, vai adicionar os caminhos dos ficheiros ao ficheiro de configuração do cluster.

  1. Certifique-se de que está no diretório base_directory/hybrid-files que configurou em Configure a estrutura do diretório do projeto.
  2. Certifique-se de que guarda um nome de domínio na variável de ambiente DOMAIN usando o seguinte comando: 
    echo $DOMAIN
  3. Execute o seguinte comando a partir do diretório hybrid-files: 
    openssl req  -nodes -new -x509 -keyout ./certs/keystore.key -out \
    ./certs/keystore.pem -subj '/CN='$DOMAIN'' -days 3650

    Onde DOMAIN é o mesmo que usou para o seu ambiente na Parte 1, Passo 5: crie um grupo de ambientes.

    Este comando cria um par de chaves/certificado autoassinado que pode usar para a instalação de início rápido.

  4. Verifique se os ficheiros estão no diretório ./certs através do seguinte comando: 
    ls ./certs
  keystore.pem
  keystore.key

    Em que keystore.pem é o ficheiro de certificado TLS autoassinado e keystore.key é o ficheiro de chave.

Agora, tem as contas de serviço e as credenciais necessárias para gerir o Apigee hybrid no seu cluster do Kubernetes. Em seguida, vai criar um ficheiro usado pelo Kubernetes para implementar os componentes do tempo de execução híbrido no cluster.

1 2 3 4 5 (NEXT) Step 6: Configure the hybrid runtime 7