Passaggio 5: creazione di account di servizio e credenziali

Questo passaggio spiega come creare gli account di servizio Google Cloud e le credenziali TLS necessarie per il funzionamento di Apigee Hybrid.

Crea gli account di servizio

Apigee Hybrid utilizza gli account di servizio Google Cloud per consentire ai componenti ibride di comunicare effettuando chiamate API autorizzate.

In questo passaggio, utilizzi uno strumento a riga di comando Apigee hybrid per creare un insieme di account di servizio e scaricare i file delle chiavi private degli account di servizio.

Per scoprire di più sugli account di servizio e leggere l'elenco completo degli account di servizio consigliati per gli ambienti di produzione, consulta quanto segue:

Apigee fornisce uno strumento, create-service-account, che crea gli account di servizio, assegna i ruoli agli account di servizio e crea e scarica i file delle chiavi per l'account di servizio con un unico comando. Per informazioni sui concetti di Google Cloud correlati, consulta Creare e gestire gli account di servizio e Creare e gestire le chiavi degli account di servizio.

  1. Assicurati di trovarti nella directory base_directory/hybrid-files configurata in Configurare la struttura della directory del progetto.
  2. Esegui il seguente comando dalla directory hybrid-files. Questo comando crea un account di servizio per il componente apigee-metrics e posiziona la chiave scaricata nella directory ./service-accounts.
    ./tools/create-service-account apigee-metrics ./service-accounts

    Quando viene visualizzato il seguente prompt, inserisci y:

    [INFO]: gcloud configured project ID is project_id.
     Press: y to proceed with creating service account in project: project_id
     Press: n to abort.

    Se è la prima volta che viene creato un SA con il nome esatto assegnato dallo strumento, lo strumento lo crea e non devi fare altro.

    Se, invece, visualizzi il seguente messaggio e prompt, inserisci y per generare nuove chiavi:

    [INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists.
    ...
     [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
     Press: y to generate new keys.(this does not de-activate existing keys)
     Press: n to skip generating new keys.
    
  3. Ora crea il resto degli account di servizio utilizzando i seguenti comandi. Il comando create-service-account è interattivo e richiede una risposta per ogni account.
    ./tools/create-service-account apigee-synchronizer ./service-accounts
    ./tools/create-service-account apigee-udca ./service-accounts
    ./tools/create-service-account apigee-mart ./service-accounts
    ./tools/create-service-account apigee-cassandra ./service-accounts
    ./tools/create-service-account apigee-logger ./service-accounts
    ./tools/create-service-account apigee-watcher ./service-accounts
    ./tools/create-service-account apigee-distributed-trace ./service-accounts
  4. Verifica che le chiavi dell'account di servizio siano state create utilizzando il seguente comando. Sei responsabile di conservare queste chiavi private in modo sicuro. I nomi file delle chiavi sono preceduti dal nome del progetto Google Cloud.
    ls ./service-accounts

    Il risultato dovrebbe essere simile al seguente:

    gcp-project-id-apigee-cassandra.json
    gcp-project-id-apigee-distributed-trace.json
    gcp-project-id-apigee-logger.json
    gcp-project-id-apigee-mart.json
    gcp-project-id-apigee-metrics.json
    gcp-project-id-apigee-synchronizer.json
    gcp-project-id-apigee-udca.json
    gcp-project-id-apigee-watcher.json

Crea certificati TLS

Devi fornire i certificati TLS per il gateway di ingresso di runtime nella configurazione ibrida di Apigee. Ai fini di questa guida rapida (un'installazione di prova non di produzione), il gateway di runtime può accettare credenziali autofirmate. Nei passaggi successivi, viene utilizzato openssl per generare le credenziali autofirmate.

In questo passaggio, creerai i file delle credenziali TLS e li aggiungerai alla directory base_directory/hybrid-files/certs. Nel passaggio 6: configura il cluster, aggiungerai i percorsi dei file al file di configurazione del cluster.

  1. Assicurati di trovarti nella directory base_directory/hybrid-files configurata in Configurare la struttura della directory del progetto.
  2. Assicurati di salvare un nome di dominio nella variabile di ambiente DOMAIN utilizzando il seguente comando:
    echo $DOMAIN
  3. Esegui il seguente comando dalla directory hybrid-files:
    openssl req  -nodes -new -x509 -keyout ./certs/keystore.key -out \
        ./certs/keystore.pem -subj '/CN='$DOMAIN'' -days 3650

    dove DOMAIN è lo stesso utilizzato per l'ambiente in Parte 1, Passaggio 5: creazione di un gruppo di ambienti.

    Questo comando crea una coppia di chiavi/certificati autofirmati che puoi utilizzare per l'installazione guidata.

  4. Verifica che i file siano nella directory ./certs utilizzando il seguente comando:
    ls ./certs
      keystore.pem
      keystore.key

    dove keystore.pem è il file del certificato TLS autofirmato e keystore.key è il file della chiave.

Ora disponi degli account di servizio e delle credenziali necessari per gestire Apigee Hybrid nel tuo cluster Kubernetes. Successivamente, creerai un file utilizzato da Kubernetes per eseguire il deployment dei componenti di runtime ibrida nel cluster.

1 2 3 4 5 (AVANTI) Passaggio 6: configura il runtime ibrido 7