Etapa 5: criar contas de serviço e credenciais

Nesta etapa, você verá como criar as contas de serviço do Google Cloud e as credenciais TLS necessárias para que o Apigee híbrido funcione.

Criar contas de serviço

A Apigee híbrida usa contas de serviço do Google Cloud para permitir que os componentes híbridos se comuniquem fazendo chamadas de API autorizadas.

Nesta etapa, você usa uma ferramenta de linha de comando híbrida da Apigee para criar um conjunto de contas de serviço e fazer o download dos arquivos de chave privada da conta de serviço.

Para saber mais sobre contas de serviço e ler a lista completa de contas de serviço recomendadas para ambientes de produção, consulte:

A Apigee fornece uma ferramenta, create-service-account, que cria as contas de serviço, atribui os papéis às contas de serviço e cria e faz o download dos arquivos de chave para a conta de serviço em um único comando. Para saber mais sobre os conceitos relacionados do Google Cloud, consulte Como criar e gerenciar contas de serviço e Como criar e gerenciar chaves da conta de serviço.

  1. Verifique se você está no diretório base_directory/hybrid-files configurado em Configurar a estrutura de diretórios do projeto.
  2. Execute o seguinte comando no diretório hybrid-files. Esse comando cria uma conta de serviço para o componente apigee-metrics e coloca a chave baixada no diretório ./service-accounts. 
    ./tools/create-service-account apigee-metrics ./service-accounts

    Quando o seguinte prompt aparecer, digite y: 

    [INFO]: gcloud configured project ID is project_id.
 Press: y to proceed with creating service account in project: project_id
 Press: n to abort.

    Se esta for a primeira vez que uma SA com o nome exato atribuído pela ferramenta foi criada, a ferramenta apenas a criará e você não precisará fazer mais nada.

    Se, no entanto, você vir a mensagem e o prompt a seguir, digite y para gerar novas chaves:

    [INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists.
...
 [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
 Press: y to generate new keys.(this does not de-activate existing keys)
 Press: n to skip generating new keys.
  3. Agora, crie o restante das contas de serviço usando os seguintes comandos: O comando create-service-account é interativo e requer uma resposta para cada conta: 
    ./tools/create-service-account apigee-synchronizer ./service-accounts
    ./tools/create-service-account apigee-udca ./service-accounts
    ./tools/create-service-account apigee-mart ./service-accounts
    ./tools/create-service-account apigee-cassandra ./service-accounts
    ./tools/create-service-account apigee-logger ./service-accounts
    ./tools/create-service-account apigee-watcher ./service-accounts
    ./tools/create-service-account apigee-distributed-trace ./service-accounts
  4. Verifique se as chaves da conta de serviço foram criadas usando o seguinte comando: Você é responsável por armazenar essas chaves privadas com segurança. Os nomes dos arquivos da chave são prefixados com o nome do seu projeto do Google Cloud. 
    ls ./service-accounts

    O resultado será similar a este: 

    gcp-project-id-apigee-cassandra.json
gcp-project-id-apigee-distributed-trace.json
gcp-project-id-apigee-logger.json
gcp-project-id-apigee-mart.json
gcp-project-id-apigee-metrics.json
gcp-project-id-apigee-synchronizer.json
gcp-project-id-apigee-udca.json
gcp-project-id-apigee-watcher.json

Criar certificados TLS

É necessário fornecer certificados TLS para o gateway de entrada do ambiente de execução na configuração do Apigee Hybrid. Para os fins deste guia de início rápido (uma instalação de teste de não produção), o gateway de ambiente de execução pode aceitar credenciais autoassinadas. Nas etapas a seguir, o openssl é usado para gerar as credenciais autoassinadas.

Nesta etapa, você criará os arquivos de credencial de TLS e os adicionará ao diretório base_directory/hybrid-files/certs. Na Etapa 6: configurar o cluster, adicione os caminhos de arquivo ao arquivo de configuração do cluster.

  1. Verifique se você está no diretório base_directory/hybrid-files configurado em Configurar a estrutura de diretórios do projeto.
  2. Salve um nome de domínio na variável de ambiente DOMAIN usando o seguinte comando: 
    echo $DOMAIN
  3. Execute o seguinte comando a partir do diretório hybrid-files. 
    openssl req  -nodes -new -x509 -keyout ./certs/keystore.key -out \
    ./certs/keystore.pem -subj '/CN='$DOMAIN'' -days 3650

    Em que DOMAIN é o mesmo usado para seu ambiente na Parte 1, Etapa 5: criar um grupo de ambientes.

    Esse comando cria um par de certificado/chave autoassinados que pode ser usado para a instalação do guia de início rápido.

  4. Verifique se os arquivos estão no diretório ./certs usando o seguinte comando: 
    ls ./certs
  keystore.pem
  keystore.key

    Em que keystore.pem é o arquivo de certificado TLS autoassinado e keystore.key é o arquivo de chave.

Agora você tem as contas de serviço e as credenciais necessárias para gerenciar a Apigee híbrida no cluster do Kubernetes. Em seguida, você criará um arquivo usado pelo Kubernetes para implantar os componentes do ambiente de execução híbrido no cluster.

1 2 3 4 5 (NEXT) Etapa 6: configurar o ambiente de execução híbrido 7