create-service-account

Crea cuentas de servicio de Google Cloud Platform (GCP) con funciones que permiten que los componentes híbridos individuales de Apigee realicen llamadas a la API autorizadas y descarguen los archivos de claves de cuenta de servicio asociados. Puedes usar los archivos de claves de la cuenta de servicio que genera este comando en el archivo de configuración de anulaciones.

La herramienta create-service-account se encuentra en el directorio HYBRID_ROOT_DIR/tools.

Requisitos previos

La herramienta de create-service-account requiere que la gcloud CLI esté instalada. Los usuarios que invoquen la utilidad deben tener la función Service Account Admin.

Para comenzar, asegúrate de que la configuración de tu proyecto de gcloud esté establecida en el proyecto que creaste en el Paso 2: Crea un proyecto de Google Cloud:

gcloud config list project

Si necesitas cambiar el ID del proyecto actual, usa el siguiente comando:

gcloud config set project GC_PROJECT_ID

En el ejemplo anterior, GC_PROJECT_ID es el proyecto creado en el Paso 2: Crea un proyecto de Google Cloud.

Sintaxis de create-service-account

La herramienta create-service-account usa la siguiente sintaxis:

create-service-account HYBRID_SERVICE OUTPUT_DIR [GC_PROJECT_ID]

Donde:

  • HYBRID_SERVICE: Especifica el servicio híbrido que usa la cuenta de servicio. Estos son los valores válidos:
    • apigee-cassandra
    • apigee-distributed-trace
    • apigee-logger
    • apigee-mart
    • apigee-metrics
    • apigee-synchronizer
    • apigee-udca
    • apigee-watcher

    Ten en cuenta que la herramienta de create-service-account no puede crear la cuenta de servicio apigee-org-admin. Debes crearla con las API de gcloud, como se describe en Crea cuentas de servicio.

  • OUTPUT_DIR: Es el directorio de salida en el que se almacena la clave de cuenta de servicio descargada.
  • GCP_PROJECT_ID: (opcional) Especifica el ID del proyecto de Google Cloud del proyecto que está vinculado a tu organización habilitada de forma híbirida. Si no se proporciona el ID del proyecto de Google Cloud, la herramienta intenta recuperarlo de la configuración actual de gcloud.

Descripción detallada

La herramienta create-service-account, puede realizar lo siguiente:

  • Crea cuentas de servicio de Google Cloud que usan componentes híbridos. A la cuenta de servicio creada se le otorga la función requerida para el componente específico a fin de operar.
  • Descarga la clave de la cuenta de servicio a tu sistema. Coloca las claves de la cuenta de servicio en tu archivo de anulaciones de configuración híbrida, como se explica en las instrucciones de instalación híbridas.

La herramienta crea cuentas de servicio para los siguientes componentes:

Componente* Rol ¿Es necesario para la instalación básica? Descripción
apigee-cassandra Administrador de objetos de almacenamiento
roles/storage.objectAdmin
Permite copias de seguridad de Cassandra en Cloud Storage, como se describe en Copia de seguridad y recuperación.
apigee-distributed-trace Agente de Cloud Trace
roles/cloudtrace.agent
Permite que el plano del entorno de ejecución híbrido participe en el seguimiento de solicitudes distribuidas en un formato compatible con sistemas como Google Cloud Trace y Jaeger.
apigee-logger Escritor de registros
roles/logging.logWriter
Permite la recopilación de datos de registro, como se describe en Logging. Solo se necesita para las instalaciones de clústeres que no sean de GKE.
apigee-mart Agente de Apigee Connect
roles/apigeeconnect.Agent
Permite la autenticación del servicio de MART. La función de agente de Apigee Connect se basa en que se comunica con el proceso de Apigee Connect de forma segura, como se describe en Usa Apigee Connect.
apigee-metrics Escritor de métricas de Monitoring
roles/monitoring.metricWriter
Permite la recopilación de datos de métricas, como se describe en la Descripción general de la recopilación de métricas.
apigee-synchronizer Administrador de Synchronizer de Apigee
roles/apigee.synchronizerManager
Permite que el sincronizador descargue paquetes de proxy y datos de configuración del entorno. También permite el funcionamiento de la función de seguimiento.
apigee-udca Agente de estadísticas de Apigee
roles/apigee.analyticsAgent
Permite la transferencia de datos de estado de implementación, estadísticas y seguimiento al plano de administración.
apigee-watcher Agente del entorno de ejecución de Apigee
roles/apigee.runtimeAgent
Apigee Watcher extrae cambios relacionados con los hosts virtuales de una organización desde el sincronizador y realiza los cambios necesarios para configurar la entrada de Istio.
* Este nombre se usa en el nombre de archivo de la clave de la cuenta de servicio que se descargó.

También puedes crear cuentas de servicio en la consola de Google Cloud. Consulta también Crea y administra cuentas de servicio.

Ejemplo

En el siguiente ejemplo, se crea una cuenta de servicio nueva para el servicio apigee-logger y se coloca la clave que se descarga en el directorio ./service-accounts.

./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts