Étape 5 : Créer des comptes de service et des identifiants

Cette page explique comment créer les comptes de service Google Cloud et les identifiants TLS requis pour le fonctionnement d'Apigee hybrid.

Créer les comptes de service

Apigee hybrid utilise des comptes de service Google Cloud pour permettre aux composants hybrides de communiquer en effectuant des appels d'API autorisés.

Au cours de cette étape, vous allez créer un ensemble de comptes de service et télécharger la clé privée du compte de service à l'aide d'un outil de ligne de commande Apigee hybrid.

Pour en savoir plus sur les comptes de service et obtenir la liste complète des comptes de service recommandés pour les environnements de production, consultez les pages suivantes :

Apigee fournit l'outil create-service-account, qui permet, en une seule commande, de créer des comptes de service, de leur attribuer les rôles nécessaires, puis de créer et de télécharger les fichiers de clé de ces comptes. Pour en savoir plus sur les concepts Google Cloud associés, consultez les pages Créer et gérer des comptes de service et Créer et gérer les clés de comptes de service.

  1. Assurez-vous que vous vous trouvez bien dans le répertoire base_directory/hybrid-files que vous avez configuré à la section Configurer la structure de répertoire du projet.
  2. Exécutez la commande suivante à partir du répertoire hybrid-files. Cette commande crée un compte de service pour le composant apigee-metrics et place la clé téléchargée dans le répertoire ./service-accounts. 
    ./tools/create-service-account apigee-metrics ./service-accounts

    Lorsque l'invite suivante s'affiche, saisissez y :

    [INFO]: gcloud configured project ID is project_id.
 Press: y to proceed with creating service account in project: project_id
 Press: n to abort.

    Si c'est la première fois qu'un compte de service portant le nom exact attribué par l'outil a été créé, l'outil le crée et vous n'avez rien à faire.

    Toutefois, si le message et l'invite suivants s'affichent, saisissez y pour générer de nouvelles clés :

    [INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists.
...
 [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
 Press: y to generate new keys.(this does not de-activate existing keys)
 Press: n to skip generating new keys.
  3. Créez maintenant les autres comptes de service à l'aide des commandes suivantes : La commande create-service-account est interactive et exige une réponse de votre part pour chaque compte : 
    ./tools/create-service-account apigee-synchronizer ./service-accounts
    ./tools/create-service-account apigee-udca ./service-accounts
    ./tools/create-service-account apigee-mart ./service-accounts
    ./tools/create-service-account apigee-cassandra ./service-accounts
    ./tools/create-service-account apigee-logger ./service-accounts
    ./tools/create-service-account apigee-watcher ./service-accounts
    ./tools/create-service-account apigee-distributed-trace ./service-accounts
  4. À l'aide de la commande suivante, vérifiez que les clés des comptes de service ont été créées : Vous avez la responsabilité de stocker ces clés privées en lieu sûr. Les noms de fichiers de clés commencent par le nom de votre projet Google Cloud. 
    ls ./service-accounts

    Le résultat doit se présenter sous la forme suivante : 

    gcp-project-id-apigee-cassandra.json
gcp-project-id-apigee-distributed-trace.json
gcp-project-id-apigee-logger.json
gcp-project-id-apigee-mart.json
gcp-project-id-apigee-metrics.json
gcp-project-id-apigee-synchronizer.json
gcp-project-id-apigee-udca.json
gcp-project-id-apigee-watcher.json

Créer des certificats TLS

Vous devez fournir des certificats TLS pour la passerelle d'entrée d'exécution dans votre configuration Apigee hybrid. Pour les besoins de ce guide de démarrage rapide (une installation d'essai hors production), la passerelle d'exécution peut accepter des identifiants autosignés. Dans les étapes suivantes, openssl est utilisé pour générer les identifiants autosignés.

Lors de cette étape, vous allez créer les fichiers d'identifiants TLS et les ajouter au répertoire base_directory/hybrid-files/certs. À l'Étape 6 : Configurer le cluster, vous allez ajouter les chemins d'accès des fichiers au fichier de configuration du cluster.

  1. Assurez-vous que vous vous trouvez dans le répertoire base_directory/hybrid-files que vous avez configuré à la section Configurer la structure de répertoire du projet.
  2. Veillez à enregistrer un nom de domaine dans la variable d'environnement DOMAIN à l'aide de la commande suivante : 
    echo $DOMAIN
  3. Exécutez la commande suivante à partir du répertoire hybrid-files : 
    openssl req  -nodes -new -x509 -keyout ./certs/keystore.key -out \
    ./certs/keystore.pem -subj '/CN='$DOMAIN'' -days 3650

    DOMAIN correspond à celui utilisé pour votre environnement dans la Partie 1, Étape 5 : Créer un groupe d'environnements.

    Cette commande crée une paire certificat autosigné/clé que vous pouvez utiliser pour l'installation rapide.

  4. Vérifiez que les fichiers se trouvent dans le répertoire ./certs à l'aide de la commande suivante : 
    ls ./certs
  keystore.pem
  keystore.key

    keystore.pem correspond au fichier de certificat TLS autosigné et keystore.key au fichier de clé.

Vous disposez maintenant des comptes de service et des identifiants nécessaires pour gérer Apigee Hybrid dans votre cluster Kubernetes. Vous allez ensuite créer un fichier que Kubernetes utilisera pour déployer les composants d'exécution Apigee hybrid sur le cluster.

1 2 3 4 5 (SUITE) Étape 6 : Configurer l'environnement d'exécution hybride 7