개별 Apigee Hybrid 구성요소가 승인된 API 호출을 수행하고 연결된 서비스 계정 키 파일을 다운로드할 수 있는 역할이 할당된 Google Cloud Platform 서비스 계정을 만듭니다. 구성 재정의 파일에서 이 명령어로 생성된 서비스 계정 키 파일을 사용할 수 있습니다.
create-service-account 도구는 HYBRID_ROOT_DIR/tools 디렉터리에 있습니다.
자격 요건
create-service-account 도구를 사용하려면 gcloud CLI가 설치되어 있어야 합니다. 유틸리티를 호출하는 사용자에게는 Service Account Admin 역할이 부여되어야 합니다.
시작하려면 gcloud 프로젝트 구성이 2단계: Google Cloud 프로젝트 만들기에서 만든 프로젝트로 설정되어 있는지 확인합니다.
gcloud config list project
현재 프로젝트 ID를 변경해야 하는 경우 다음 명령어를 사용합니다.
gcloud config set project GC_PROJECT_ID
여기서 GC_PROJECT_ID는 2단계: Google Cloud 프로젝트 만들기에서 만든 프로젝트입니다.
create-service-account 구문
create-service-account 도구는 다음 구문을 사용합니다.
create-service-account HYBRID_SERVICE OUTPUT_DIR [GC_PROJECT_ID]
각 항목의 의미는 다음과 같습니다.
- HYBRID_SERVICE: 서비스 계정을 사용하는 하이브리드 서비스를 지정합니다. 유효한 값은 다음과 같습니다.
apigee-cassandraapigee-distributed-traceapigee-loggerapigee-martapigee-metricsapigee-synchronizerapigee-udcaapigee-watcher
create-service-account도구는apigee-org-admin서비스 계정을 만들 수 없습니다. 서비스 계정 만들기에 설명된 대로gcloudAPI를 사용하여 만들어야 합니다. - OUTPUT_DIR: 다운로드한 서비스 계정 키를 저장할 출력 디렉터리입니다.
- GCP_PROJECT_ID: (선택사항) 하이브리드 지원 조직에 결합된 프로젝트의 Google Cloud 프로젝트 ID를 지정합니다. Google Cloud 프로젝트 ID를 제공하지 않으면 도구는 현재
gcloud구성에서 ID를 검색하려고 시도합니다.
상세 설명
create-service-account 도구는 다음과 같습니다.
- 하이브리드 구성요소에서 사용되는 Google Cloud 서비스 계정을 만듭니다. 생성된 서비스 계정에는 특정 구성요소가 작동하는 데 필요한 역할이 부여됩니다.
- 서비스 계정 키를 시스템에 다운로드합니다. 하이브리드 설치 안내에 설명된 대로 하이브리드 구성 재정의 파일에 서비스 계정 키를 배치합니다.
이 도구는 다음 구성요소의 서비스 계정을 만듭니다.
| 구성요소* | 역할 | 기본 설치 시 필요 여부 | 설명 |
|---|---|---|---|
apigee-cassandra |
스토리지 객체 관리자roles/storage.objectAdmin |
백업 및 복구에 설명된 대로 Cloud Storage로 Cassandra 백업을 허용합니다. | |
apigee-distributed-trace |
Cloud Trace 에이전트roles/cloudtrace.agent |
하이브리드 런타임 영역이 Google Cloud Trace 및 Jaeger와 같은 시스템과 호환되는 형식으로 분산 요청 추적에 참여하도록 허용합니다. | |
apigee-logger |
로그 작성자roles/logging.logWriter |
Logging에 설명된 대로 로깅 데이터 수집을 허용합니다. 비GKE 클러스터 설치에만 필요합니다. | |
apigee-mart |
Apigee Connect 에이전트roles/apigeeconnect.Agent |
MART 서비스 인증을 허용합니다. Apigee Connect 에이전트 역할은 Apigee Connect 사용에 설명된 대로 Apigee Connect 프로세스와 안전하게 통신할 수 있도록 합니다. | |
apigee-metrics |
모니터링 측정항목 작성자roles/monitoring.metricWriter |
측정항목 수집 개요에 설명된 대로 측정항목 데이터 수집을 허용합니다. | |
apigee-synchronizer |
Apigee 동기화 담당자 관리자roles/apigee.synchronizerManager |
동기화 담당자가 프록시 번들 및 환경 구성 데이터를 다운로드하도록 허용합니다. 또한 trace 기능의 작업을 사용 설정합니다. | |
apigee-udca |
Apigee 애널리틱스 에이전트roles/apigee.analyticsAgent |
추적, 분석, 배포 상태 데이터를 관리 영역에 전송할 수 있습니다. | |
apigee-watcher |
Apigee 런타임 에이전트roles/apigee.runtimeAgent |
Apigee Watcher는 조직에 대한 가상 호스트 관련 변경사항을 동기화 담당자로부터 가져오고 istio 인그레스를 구성하는 데 필요한 변경사항을 적용합니다. | |
| * 이 이름은 다운로드한 서비스 계정 키의 파일 이름에 사용됩니다. | |||
Google Cloud Console에서 서비스 계정을 만들 수도 있습니다. 서비스 계정 만들기 및 관리도 참조하세요.
예시
다음 예시에서는 apigee-logger 서비스의 새 서비스 계정을 만들고 다운로드한 키를 ./service-accounts 디렉터리에 배치합니다.
./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts