Questa pagina è stata tradotta dall'API Cloud Translation.

Passaggio 5: creazione di account di servizio e credenziali

Questo passaggio spiega come creare gli account di servizio Google Cloud e le credenziali TLS necessarie per il funzionamento di Apigee hybrid.

Crea gli account di servizio

Apigee hybrid utilizza gli account di servizio Google Cloud per consentire ai componenti ibridi di comunicare mediante chiamate API autorizzate.

In questo passaggio, utilizzerai uno strumento a riga di comando ibrido Apigee per creare un set di account di servizio e scaricare i file di chiave privata dell'account di servizio.

Per scoprire di più sugli account di servizio e leggere l'elenco completo degli account di servizio consigliati per gli ambienti di produzione, consulta quanto segue:

Apigee fornisce uno strumento, create-service-account, che crea gli account di servizio, assegna i ruoli agli account di servizio e crea e scarica i file delle chiavi per l'account di servizio con un unico comando. Per scoprire i concetti di base di Google Cloud correlati, consulta gli articoli Creazione e gestione degli account di servizio e Creazione e gestione delle chiavi degli account di servizio.

Assicurati di essere nella directory base_directory/hybrid-files che hai configurato in Configurare la struttura della directory del progetto.

Esegui questo comando dall'interno della directory hybrid-files. Questo comando crea un account di servizio per il componente apigee-metrics e inserisce la chiave scaricata nella directory ./service-accounts.

./tools/create-service-account apigee-metrics ./service-accounts

Quando viene visualizzato il seguente prompt, inserisci y:

[INFO]: gcloud configured project ID is project_id.
 Press: y to proceed with creating service account in project: project_id
 Press: n to abort.

Se è la prima volta che viene creata un'SA con il nome esatto assegnato dallo strumento, lo strumento lo crea solo e non devi fare altro.

Tuttavia, se viene visualizzato il messaggio e il prompt seguenti, inserisci y per generare nuove chiavi:

[INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists.
...
 [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
 Press: y to generate new keys.(this does not de-activate existing keys)
 Press: n to skip generating new keys.

Ora crea il resto degli account di servizio utilizzando i comandi seguenti. Il comando create-service-account è interattivo e richiede una risposta per ogni account.

./tools/create-service-account apigee-synchronizer ./service-accounts

./tools/create-service-account apigee-udca ./service-accounts

./tools/create-service-account apigee-mart ./service-accounts

./tools/create-service-account apigee-cassandra ./service-accounts

./tools/create-service-account apigee-logger ./service-accounts

./tools/create-service-account apigee-watcher ./service-accounts

./tools/create-service-account apigee-distributed-trace ./service-accounts

Verifica che le chiavi dell'account di servizio siano state create utilizzando il comando seguente. Sei responsabile della conservazione sicura di queste chiavi private. I nomi file della chiave sono preceduti dal nome del progetto Google Cloud.

ls ./service-accounts

Il risultato dovrebbe essere simile al seguente:

gcp-project-id-apigee-cassandra.json
gcp-project-id-apigee-distributed-trace.json
gcp-project-id-apigee-logger.json
gcp-project-id-apigee-mart.json
gcp-project-id-apigee-metrics.json
gcp-project-id-apigee-synchronizer.json
gcp-project-id-apigee-udca.json
gcp-project-id-apigee-watcher.json

Crea certificati TLS

Devi fornire certificati TLS per il gateway in entrata di runtime nella tua configurazione ibrida Apigee. Ai fini di questa guida rapida (un'installazione di prova non in produzione), il gateway di runtime può accettare credenziali autofirmate. Nei passaggi seguenti, viene utilizzato openssl per generare le credenziali autofirmate.

In questo passaggio, creerai i file delle credenziali TLS e li aggiungerai alla directory base_directory/hybrid-files/certs. Nel Passaggio 6: configura il cluster, aggiungerai i percorsi dei file al file di configurazione del cluster.

Assicurati di essere nella directory base_directory/hybrid-files configurata in Configurare la struttura della directory del progetto.
Assicurati di salvare un nome di dominio nella variabile di ambiente DOMAIN utilizzando il seguente comando:
```
echo $DOMAIN
```
Esegui questo comando dall'interno della directory hybrid-files:
```
openssl req  -nodes -new -x509 -keyout ./certs/keystore.key -out \
    ./certs/keystore.pem -subj '/CN='$DOMAIN'' -days 3650
```
Dove DOMAIN è lo stesso che hai utilizzato per il tuo ambiente nella Parte 1, Passaggio 5: crea un gruppo di ambienti.

Questo comando crea una coppia di certificato/chiavi autofirmata che puoi utilizzare per l'installazione rapida.
Assicurati che i file si trovino nella directory ./certs utilizzando il seguente comando:
```
ls ./certs
  keystore.pem
  keystore.key
```
Dove keystore.pem è il file del certificato TLS autofirmato e keystore.key è il file della chiave.

Ora hai gli account di servizio e le credenziali necessari per gestire Apigee hybrid nel tuo cluster Kubernetes. Quindi, creerai un file che viene utilizzato da Kubernetes per il deployment dei componenti di runtime ibridi nel cluster.

1 2 3 4 5 (A seguire) 1 Passaggio 6: