create-service-account

개별 Apigee Hybrid 구성요소가 승인된 API 호출을 수행하고 연결된 서비스 계정 키 파일을 다운로드할 수 있는 역할이 할당된 Google Cloud Platform 서비스 계정을 만듭니다. 구성 재정의 파일에서 이 명령어로 생성된 서비스 계정 키 파일을 사용할 수 있습니다.

create-service-account 도구는 HYBRID_ROOT_DIR/tools 디렉터리에 있습니다.

기본 요건

create-service-account 도구를 사용하려면 gcloud CLI가 설치되어 있어야 합니다. 유틸리티를 호출하는 사용자에게는 Service Account Admin 역할이 부여되어야 합니다.

시작하려면 gcloud 프로젝트 구성이 2단계: Google Cloud 프로젝트 만들기에서 만든 프로젝트로 설정되어 있는지 확인합니다.

gcloud config list project

현재 프로젝트 ID를 변경해야 하는 경우 다음 명령어를 사용합니다.

gcloud config set project GC_PROJECT_ID

여기서 GC_PROJECT_ID2단계: Google Cloud 프로젝트 만들기에서 만든 프로젝트입니다.

create-service-account 구문

create-service-account 도구는 다음 구문을 사용합니다.

create-service-account HYBRID_SERVICE OUTPUT_DIR [GC_PROJECT_ID]

각 항목의 의미는 다음과 같습니다.

  • HYBRID_SERVICE: 서비스 계정을 사용하는 하이브리드 서비스를 지정합니다. 유효한 값은 다음과 같습니다.
    • apigee-cassandra
    • apigee-distributed-trace
    • apigee-logger
    • apigee-mart
    • apigee-metrics
    • apigee-synchronizer
    • apigee-udca
    • apigee-watcher

    create-service-account 도구는 apigee-org-admin 서비스 계정을 만들 수 없습니다. 서비스 계정 만들기에 설명된 대로 gcloud API를 사용하여 만들어야 합니다.

  • OUTPUT_DIR: 다운로드한 서비스 계정 키를 저장할 출력 디렉터리입니다.
  • GCP_PROJECT_ID: (선택사항) 하이브리드 지원 조직에 결합된 프로젝트의 Google Cloud 프로젝트 ID를 지정합니다. Google Cloud 프로젝트 ID를 제공하지 않으면 도구는 현재 gcloud 구성에서 ID를 검색하려고 시도합니다.

상세 설명

create-service-account 도구는 다음과 같습니다.

  • 하이브리드 구성요소에서 사용되는 Google Cloud 서비스 계정을 만듭니다. 생성된 서비스 계정에는 특정 구성요소가 작동하는 데 필요한 역할이 부여됩니다.
  • 서비스 계정 키를 시스템에 다운로드합니다. 하이브리드 설치 안내에 설명된 대로 하이브리드 구성 재정의 파일에 서비스 계정 키를 배치합니다.

이 도구는 다음 구성요소의 서비스 계정을 만듭니다.

구성요소* 역할 기본 설치 시 필요 여부 설명
apigee-cassandra 스토리지 객체 관리자
roles/storage.objectAdmin
백업 및 복구에 설명된 대로 Cloud Storage로 Cassandra 백업을 허용합니다.
apigee-distributed-trace Cloud Trace 에이전트
roles/cloudtrace.agent
하이브리드 런타임 영역이 Google Cloud TraceJaeger와 같은 시스템과 호환되는 형식으로 분산 요청 추적에 참여하도록 허용합니다.
apigee-logger 로그 작성자
roles/logging.logWriter
Logging에 설명된 대로 로깅 데이터 수집을 허용합니다. 비GKE 클러스터 설치에만 필요합니다.
apigee-mart Apigee Connect 에이전트
roles/apigeeconnect.Agent
MART 서비스 인증을 허용합니다. Apigee Connect 에이전트 역할은 Apigee Connect 사용에 설명된 대로 Apigee Connect 프로세스와 안전하게 통신할 수 있도록 합니다.
apigee-metrics 모니터링 측정항목 작성자
roles/monitoring.metricWriter
측정항목 수집 개요에 설명된 대로 측정항목 데이터 수집을 허용합니다.
apigee-synchronizer Apigee 동기화 담당자 관리자
roles/apigee.synchronizerManager
동기화 담당자가 프록시 번들 및 환경 구성 데이터를 다운로드하도록 허용합니다. 또한 trace 기능의 작업을 사용 설정합니다.
apigee-udca Apigee 애널리틱스 에이전트
roles/apigee.analyticsAgent
추적, 분석, 배포 상태 데이터를 관리 영역에 전송할 수 있습니다.
apigee-watcher Apigee 런타임 에이전트
roles/apigee.runtimeAgent
Apigee Watcher는 조직에 대한 가상 호스트 관련 변경사항을 동기화 담당자로부터 가져오고 istio 인그레스를 구성하는 데 필요한 변경사항을 적용합니다.
* 이 이름은 다운로드한 서비스 계정 키의 파일 이름에 사용됩니다.

Google Cloud Console에서 서비스 계정을 만들 수도 있습니다. 서비스 계정 만들기 및 관리도 참조하세요.

다음 예시에서는 apigee-logger 서비스의 새 서비스 계정을 만들고 다운로드한 키를 ./service-accounts 디렉터리에 배치합니다.

./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts