In diesem Schritt wird erläutert, wie Sie die Google Cloud-Dienstkonten und TLS-Anmeldedaten erstellen, die für das Funktionieren von Apigee Hybrid erforderlich sind.
Dienstkonten erstellen
Apigee Hybrid verwendet Google Cloud-Dienstkonten, um die Kommunikation zwischen Hybrid-Komponenten über autorisierte API-Aufrufe zu ermöglichen.
In diesem Schritt erstellen Sie mit einem Hybrid-Befehlszeilentool von Apigee eine Reihe von Dienstkonten und laden die Dateien mit dem privaten Schlüssel des Dienstkontos herunter.
Weitere Informationen zu Dienstkonten und die vollständige Liste der Dienstkonten, die für Produktionsumgebungen empfohlen werden, finden Sie hier:
Apigee stellt das Tool create-service-account
bereit, mit dem die Dienstkonten erstellt werden, die Rollen den Dienstkonten zugewiesen werden und die Schlüsseldateien für das Dienstkonto in einem einzigen Befehl erstellt und heruntergeladen werden. Weitere Informationen zu den verknüpften Google Cloud-Konzepten finden Sie unter Dienstkonten erstellen und verwalten und Dienstkontoschlüssel erstellen und verwalten.
- Sie müssen sich in dem Verzeichnis
base_directory/hybrid-files
befinden, das Sie unter Projektverzeichnisstruktur einrichten konfiguriert haben. -
Führen Sie den folgenden Befehl im Verzeichnis
hybrid-files
aus. Mit diesem Befehl wird ein Dienstkonto für die Komponenteapigee-metrics
erstellt und der heruntergeladene Schlüssel im Verzeichnis./service-accounts
abgelegt:./tools/create-service-account apigee-metrics ./service-accounts
Wenn die folgende Eingabeaufforderung angezeigt wird, geben Sie y ein:
[INFO]: gcloud configured project ID is project_id. Press: y to proceed with creating service account in project: project_id Press: n to abort.
Wenn ein Dienstkonto zum ersten Mal mit genau dem Namen erstellt wird, der vom Tool zugewiesen wurde, wird es einfach vom Tool erstellt. Sie müssen nichts weiter tun.
Wenn jedoch die folgende Meldung und Eingabeaufforderung angezeigt wird, geben Sie y ein, um neue Schlüssel zu generieren:
[INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists. ... [INFO]: The service account might have keys associated with it. It is recommended to use existing keys. Press: y to generate new keys.(this does not de-activate existing keys) Press: n to skip generating new keys.
-
Erstellen Sie nun die übrigen Dienstkonten mit den folgenden Befehlen: Der Befehl
create-service-account
ist interaktiv und erfordert eine Antwort für jedes Konto../tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts
./tools/create-service-account apigee-watcher ./service-accounts
./tools/create-service-account apigee-distributed-trace ./service-accounts
-
Prüfen Sie mit dem folgenden Befehl, ob die Dienstkontoschlüssel erstellt wurden. Sie sind dafür verantwortlich, diese privaten Schlüssel sicher zu speichern. Den Schlüsselnamen ist der Name Ihres Google Cloud-Projekts vorangestellt.
ls ./service-accounts
Das Ergebnis sollte ungefähr so aussehen:
gcp-project-id-apigee-cassandra.json gcp-project-id-apigee-distributed-trace.json gcp-project-id-apigee-logger.json gcp-project-id-apigee-mart.json gcp-project-id-apigee-metrics.json gcp-project-id-apigee-synchronizer.json gcp-project-id-apigee-udca.json gcp-project-id-apigee-watcher.json
TLS-Zertifikate erstellen
Sie müssen TLS-Zertifikate für das Laufzeit-Ingress-Gateway in Ihrer Apigee Hybrid-Konfiguration bereitstellen. Bei dieser Kurzanleitung (eine Nicht-Produktions-Testinstallation) akzeptiert das Laufzeitgateway selbst signierte Anmeldedaten. In den folgenden Schritten wird openssl verwendet, um die selbst signierten Anmeldedaten zu generieren.
In diesem Schritt erstellen Sie die TLS-Anmeldedatendateien und fügen sie dem Verzeichnis base_directory/hybrid-files/certs
hinzu.
In Schritt 6: Cluster konfigurieren fügen Sie der Clusterkonfigurationsdatei die Dateipfade hinzu.
- Sie müssen sich in dem Verzeichnis
base_directory/hybrid-files
befinden, das Sie unter Projektverzeichnisstruktur einrichten konfiguriert haben. - Achten Sie darauf, einen Domainnamen mit dem folgenden Befehl in der Umgebungsvariable
DOMAIN
zu speichern:echo $DOMAIN
- Führen Sie den folgenden Befehl im Verzeichnis
hybrid-files
aus:openssl req -nodes -new -x509 -keyout ./certs/keystore.key -out \ ./certs/keystore.pem -subj '/CN='$DOMAIN'' -days 3650
Dabei ist
DOMAIN
dasselbe, das Sie in Teil 1, Schritt 5: Umgebungsgruppe erstellen für Ihre Umgebung verwendet haben.Mit diesem Befehl wird ein selbst signiertes Zertifikat-/Schlüsselpaar erstellt, das Sie für die Schnellinstallation verwenden können.
- Prüfen Sie mit dem folgenden Befehl, ob sich die Dateien im Verzeichnis
./certs
befinden:ls ./certs
keystore.pem keystore.keyDabei ist
keystore.pem
die selbst signierte TLS-Zertifikatsdatei undkeystore.key
die Schlüsseldatei.
Sie haben jetzt die Dienstkonten und Anmeldedaten, die zum Verwalten von Apigee Hybrid in Ihrem Kubernetes-Cluster erforderlich sind. Als Nächstes erstellen Sie eine Datei, mit der Kubernetes die Hybrid-Laufzeitkomponenten im Cluster bereitstellt.
1 2 3 4 5 (WEITER) Schritt 6: Hybridlaufzeit konfigurieren 7