HINWEIS: Einige Aspekte dieses Produkts befinden sich in der Betaphase. Die hybriden Installationsoptionen sind allgemein verfügbar. Wenn Sie am Beta-Programm teilnehmen möchten, wenden Sie sich an Ihren Apigee-Vertreter.

create-service-account

Erstellt GCP (Google Cloud Platform)-Dienstkonten mit Rollen, die es einzelnen Apigee Hybridkomponenten ermöglichen, autorisierte API-Aufrufe durchzuführen und die zugehörigen Dienstkonto-Schlüsseldateien herunterzuladen. Sie können die von diesem Befehl generierten Dienstkonto-Schlüsseldateien in Ihrer Konfigurationsdatei verwenden.

Das create-service-account-Tool befindet sich im Verzeichnis HYBRID_ROOT_DIR/tools.

Vorbereitung

Für das create-service-account-Tool muss die gcloud-Befehlszeile installiert sein. Nutzer, die das Dienstprogramm aufrufen, sollten die Rolle Service Account Admin haben.

Achten Sie zuerst darauf, dass für die Projektkonfiguration gcloud das Projekt festgelegt ist, das Sie in Schritt 2: Google Cloud-Projekt erstellen erstellt haben:

gcloud config list project

Wenn Sie die aktuelle Projekt-ID ändern müssen, verwenden Sie den folgenden Befehl:

gcloud config set project GC_PROJECT_ID

Dabei ist GC_PROJECT_ID das Projekt, das in Schritt 2: Google Cloud-Projekt erstellen erstellt wurde.

create-service-account-Syntax

Das create-service-account-Tool verwendet die folgende Syntax:

create-service-account HYBRID_SERVICE OUTPUT_DIR [GC_PROJECT_ID]

Wobei:

  • HYBRID_SERVICE: Gibt den Hybriddienst an, der das Dienstkonto verwendet. Gültige Werte sind:
    • apigee-cassandra
    • apigee-distributed-trace
    • apigee-logger
    • apigee-mart
    • apigee-metrics
    • apigee-synchronizer
    • apigee-udca
    • apigee-watcher
    • apigee-demo nur für Demo- oder Testumgebungen

    Beachten Sie, dass das create-service-account-Tool nicht das Dienstkonto apigee-org-admin erstellen kann. Sie müssen dies mit gcloud APIs erstellen, wie unter Dienstkonten erstellen beschrieben.

  • OUTPUT_DIR: Das Ausgabeverzeichnis, in dem der heruntergeladene Dienstkontoschlüssel gespeichert werden soll.
  • GCP_PROJECT_ID: (Optional) Gibt die Google Cloud-Projekt-ID des Projekts an, das an Ihre Hybrid-fähige Organisation gebunden ist. Wenn die Google Cloud-Projekt-ID nicht angegeben ist, versucht das Tool, sie aus der aktuellen gcloud-Konfiguration abzurufen.

Detaillierte Beschreibung

Das create-service-account-Tool:

  • Erstellt Google Cloud-Dienstkonten, die von Hybridkomponenten verwendet werden. Dem erstellten Dienstkonto wird die Rolle zugewiesen, die die jeweilige Komponente benötigt.
  • Lädt den Dienstkontoschlüssel auf Ihr System herunter. Sie legen die Dienstkontoschlüssel in Ihrer Hybridkonfiguration fest. Dies wird in der Hybridinstallationsanleitung erläutert.

Das Tool erstellt Dienstkonten für die folgenden Komponenten:

Komponente* Rolle Erforderlich für die einfache Installation? Beschreibung
apigee-cassandra Storage-Objekt-Administrator Ermöglicht Cassandra-Sicherungen in Cloud Storage (CS), wie unter Sicherung und Wiederherstellung beschrieben.
apigee-distributed-trace Cloud Trace-Agent Erlaubt der Hybrid-Laufzeitebene, verteiltes Anfrage-Tracing in einem Format zu verwenden, das mit Systemen wie Google Cloud Trace und Jaeger kompatibel ist.
apigee-logger Log-Autor Ermöglicht die Erfassung von Logging-Daten, wie in Logging beschrieben. Nur für Nicht-GKE-Clusterinstallationen erforderlich.
apigee-mart Apigee Connect Agent Ermöglicht die Authentifizierung des MART-Dienstes. Die Rolle "Apigee Connect-Agent" erlaubt ihm die sichere Kommunikation mit dem Apigee Connect-Prozess, wie unter Apigee Connect verwenden beschrieben.
apigee-metrics Monitoring-Messwert-Autor Erlaubt die Erfassung von Messwertdaten, wie in der Übersicht zur Messwerterfassung beschrieben.
apigee-org-admin Apigee-Organisationsadministrator Hiermit können Sie die getSyncAuthorization API und die setSyncAuthorization API aufrufen. Sie können dieses Dienstkonto nicht mit dem create-service-account-Tool erstellen.
apigee-synchronizer Apigee Synchronizer Manager Ermöglicht dem Syncer, Proxy-Bundles und Konfigurationsdaten der Umgebung herunterzuladen. Außerdem wird der Vorgang der Trace-Funktion aktiviert.
apigee-udca Apigee Analytics-Agent Ermöglicht die Übertragung von Trace-, Analyse- und Bereitstellungsstatusdaten auf die Verwaltungsebene.
apigee-watcher Apigee-Laufzeit-Agent Apigee Watcher ruft virtuelle Hosts für Änderungen an virtuellen Hosts aus dem Synchronizer ab und nimmt die erforderlichen Änderungen zur Konfiguration des Istio-Ingress vor.
* Dieser Name wird im Dateinamen des heruntergeladenen Dienstkontoschlüssels verwendet.

Als Alternative, für Test- und Demoumgebungen kann create-service-account ein einzelnes Dienstkonto erstellen, dem alle Rollen zugewiesen sind. Dies wird für Produktionsumgebungen nicht empfohlen.

Komponente* Rolle Erforderlich für die einfache Installation? Beschreibung
apigee-demo Apigee Analytics-Agent, Apigee Connect-Agent, Apigee-Organisationsadministrator, Apigee Laufzeit Agent, Apigee Synchronizer Manager, Cloud Trace Agent, Log-Autor, Monitoring-Messwert-Autor, Storage-Objekt-Administrator Oder alle erforderlichen SAs oben Einzelnes Dienstkonto für Demo- oder Testumgebungen. Weitere Informationen finden Sie unter Installieren, Teil 2, Schritt 5: Dienstkonten erstellen.

Sie können Dienstkonten auch in der Google Cloud Console erstellen. Weitere Informationen finden Sie unter Dienstkonten erstellen und verwalten.

Beispiel

Im folgenden Beispiel wird ein neues Dienstkonto für den Dienst apigee-logger erstellt und der heruntergeladene Schlüssel im Verzeichnis ./service-accounts abgelegt.

./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts