Crea account di servizio Google Cloud con ruoli che consentono ai singoli componenti ibride Apigee di effettuare chiamate API autorizzate e scaricare i file delle chiavi dell'account di servizio associati. Puoi utilizzare la modalità i file delle chiavi dell'account di servizio generati da questo comando nel file di override della configurazione.
Lo strumento create-service-account si trova nella directory HYBRID_ROOT_DIR/tools.
Prerequisiti
Lo strumento create-service-account richiede l'installazione dell'interfaccia a riga di comando gcloud. Gli utenti che richiamano l'utilità devono avere il ruolo Service Account Admin.
Per iniziare, assicurati che il tuo progetto gcloud
è impostata sul progetto che hai creato nel Passaggio 2: crea un progetto Google Cloud:
gcloud config list project
Se devi modificare l'ID progetto attuale, usa il comando seguente:
gcloud config set project GC_PROJECT_ID
dove GC_PROJECT_ID è il progetto creato nel passaggio 2: crea un progetto Google Cloud.
Sintassi di create-service-account
Lo strumento create-service-account utilizza la seguente sintassi:
create-service-account HYBRID_SERVICE OUTPUT_DIR [GC_PROJECT_ID]
Dove:
- HYBRID_SERVICE: specifica il servizio ibrido che utilizza l'account di servizio. Valido
sono:
apigee-cassandraapigee-distributed-traceapigee-loggerapigee-martapigee-metricsapigee-synchronizerapigee-udcaapigee-watcher
Tieni presente che lo strumento
create-service-accountnon può creare l'account di servizioapigee-org-admin. Devi crearlo con le APIgcloud, come descritto in Creare account di servizio. - OUTPUT_DIR: la directory di output in cui archiviare l'account di servizio scaricato chiave.
- GCP_PROJECT_ID: (Facoltativo) specifica l'ID progetto Google Cloud del progetto associato alla tua organizzazione abilitata all'ibrido. Se l'ID progetto Google Cloud non viene fornito, lo strumento tenta di recuperarlo dalla configurazione
gcloudcorrente.
Descrizione dettagliata
Lo strumento create-service-account:
- Crea account di servizio Google Cloud utilizzata dai componenti ibridi, All'account di servizio creato viene concesso il ruolo richiesto il componente specifico da usare.
- Scarica la chiave dell'account di servizio nel sistema. Inserisci le chiavi dell'account di servizio nel file delle sostituzioni di configurazione ibrida, come spiegato nelle istruzioni di installazione ibride.
Lo strumento crea account di servizio per i seguenti componenti:
| Componente* | Ruolo | Necessaria per l'installazione di base? | Descrizione |
|---|---|---|---|
apigee-cassandra |
Amministratore oggetti Storageroles/storage.objectAdmin |
Consente i backup di Cassandra in Cloud Storage, come описано в Backup e ripristino. | |
apigee-distributed-trace |
Agente Cloud Traceroles/cloudtrace.agent |
Consente al piano di runtime ibrido di partecipare al monitoraggio delle richieste distribuite in un formato compatibile con sistemi come Google Cloud Trace e Jaeger. | |
apigee-logger |
Logs Writerroles/logging.logWriter |
Consente la raccolta dei dati di logging, come descritto in Logging. Obbligatorio solo per le installazioni di cluster non GKE. | |
apigee-mart |
Agente Apigee Connectroles/apigeeconnect.Agent |
Consente l'autenticazione del servizio MART. Il ruolo Agente Apigee Connect consente di comunicare in modo sicuro con il processo Apigee Connect, come descritto in Utilizzo Apigee Connect. | |
apigee-metrics |
Writer metriche Monitoringroles/monitoring.metricWriter |
Consente la raccolta dei dati delle metriche, come descritto in Metriche panoramica della raccolta. | |
apigee-synchronizer |
Gestore sincronizzatore Apigeeroles/apigee.synchronizerManager |
Consente al sincronizzatore di scaricare i bundle di proxy e i dati di configurazione dell'ambiente. Consente inoltre il funzionamento della funzionalità di traccia. | |
apigee-udca |
Agente Apigee Analyticsroles/apigee.analyticsAgent |
Consente il trasferimento di dati di analisi, traccia e stato di implementazione al piano di gestione. | |
apigee-watcher |
Agente di runtime Apigeeroles/apigee.runtimeAgent |
Apigee Watcher estrae le modifiche relative agli host virtuali per un'organizzazione dal sincronizzatore e apporta le modifiche necessarie per configurare l'ingresso Istio. | |
| * Questo nome viene utilizzato nel nome del file della chiave dell'account di servizio scaricata. | |||
Puoi anche creare account di servizio nella console Google Cloud. Vedi anche Creazione in corso e la gestione degli account di servizio.
Esempio
L'esempio seguente crea un nuovo account di servizio per il servizio apigee-logger
e inserisce la chiave scaricata nella directory ./service-accounts.
./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts