Paso 5: Crear cuentas de servicio y credenciales

En este paso, se explica cómo crear las cuentas de servicio de Google Cloud y las credenciales TLS que se requieren para que Apigee Hybrid funcione.

Crea las cuentas de servicio

Apigee Hybrid usa cuentas de servicio de Google Cloud para permitir que los componentes híbridos se comuniquen mediante llamadas a la API autorizadas.

En este paso, usarás una herramienta de línea de comandos híbrida de Apigee para crear un conjunto de cuentas de servicio y descargar los archivos de claves privadas de la cuenta de servicio.

Para obtener más información sobre las cuentas de servicio y leer la lista completa de las que están recomendadas para entornos de producción, consulta los siguientes vínculos:

Apigee proporciona una herramienta, create-service-account, que crea las cuentas de servicio, les asigna funciones a las cuentas de servicio y crea y descarga los archivos de claves para la cuenta de servicio en un solo comando. Para obtener información sobre los conceptos relacionados de Google Cloud, consulta Crea y administra cuentas de servicio y Crea y administra claves de cuentas de servicio.

  1. Asegúrate de que estés en el directorio base_directory/hybrid-files que configuraste en Configura la estructura del directorio del proyecto.
  2. Ejecuta el siguiente comando desde el directorio hybrid-files: Con este comando, se crea una cuenta de servicio para el componente apigee-metrics y se coloca la clave que descargaste en el directorio ./service-accounts:
    ./tools/create-service-account apigee-metrics ./service-accounts

    Cuando veas el siguiente mensaje, ingresa y:

    [INFO]: gcloud configured project ID is project_id.
     Press: y to proceed with creating service account in project: project_id
     Press: n to abort.

    Si es la primera vez que se crea una cuenta de servicio con el nombre exacto asignado por la herramienta, la herramienta solo la crea, y no tienes que realizar ninguna otra acción.

    Sin embargo, si ves el siguiente mensaje e instrucción, ingresa y para generar claves nuevas:

    [INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists.
    ...
     [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
     Press: y to generate new keys.(this does not de-activate existing keys)
     Press: n to skip generating new keys.
    
  3. A continuación, crea el resto de las cuentas de servicio con los siguientes comandos. El comando create-service-account es interactivo y requiere una respuesta para cada cuenta.
    ./tools/create-service-account apigee-synchronizer ./service-accounts
    ./tools/create-service-account apigee-udca ./service-accounts
    ./tools/create-service-account apigee-mart ./service-accounts
    ./tools/create-service-account apigee-cassandra ./service-accounts
    ./tools/create-service-account apigee-logger ./service-accounts
    ./tools/create-service-account apigee-watcher ./service-accounts
    ./tools/create-service-account apigee-distributed-trace ./service-accounts
  4. Usa el siguiente comando para verificar que se crearon las claves de la cuenta de servicio. Eres responsable de almacenar estas claves privadas de forma segura. Los nombres de los archivos de la clave tienen el prefijo del nombre de tu proyecto de Google Cloud.
    ls ./service-accounts

    El resultado debería ser similar a lo siguiente:

    gcp-project-id-apigee-cassandra.json
    gcp-project-id-apigee-distributed-trace.json
    gcp-project-id-apigee-logger.json
    gcp-project-id-apigee-mart.json
    gcp-project-id-apigee-metrics.json
    gcp-project-id-apigee-synchronizer.json
    gcp-project-id-apigee-udca.json
    gcp-project-id-apigee-watcher.json

Crea certificados TLS

Debes proporcionar certificados TLS para la puerta de enlace de entrada del entorno de ejecución en tu configuración de Apigee Hybrid. A los fines de esta guía de inicio rápido (una instalación de prueba que no es de producción), la puerta de enlace del entorno de ejecución puede aceptar credenciales autofirmadas. En los siguientes pasos, openssl se usa para generar las credenciales autofirmadas.

En este paso, crearás los archivos de credenciales TLS y los agregarás al directorio base_directory/hybrid-files/certs. En el Paso 6: Configura el clúster, agregarás las rutas de acceso al archivo al archivo de configuración del clúster.

  1. Asegúrate de que estés en el directorio base_directory/hybrid-files que configuraste en Configura la estructura del directorio del proyecto.
  2. Asegúrate de guardar un nombre de dominio en la variable de entorno DOMAIN con el siguiente comando:
    echo $DOMAIN
  3. Ejecuta el siguiente comando desde el directorio hybrid-files:
    openssl req  -nodes -new -x509 -keyout ./certs/keystore.key -out \
        ./certs/keystore.pem -subj '/CN='$DOMAIN'' -days 3650

    En el ejemplo anterior, DOMAIN es el mismo que usaste para tu entorno en la Parte 1: Paso 5: crea un grupo de entornos.

    Este comando crea un par autofirmado de certificado y clave que puedes usar para la guía de inicio rápido.

  4. Usa el siguiente comando para asegurarte de que los archivos estén en el directorio ./certs.
    ls ./certs
      keystore.pem
      keystore.key

    En el ejemplo anterior, keystore.pem es el archivo de certificado TLS autofirmado, y keystore.key es el archivo de claves.

Ahora tienes las cuentas de servicio y las credenciales necesarias para administrar Apigee Hybrid en tu clúster de Kubernetes. A continuación, crearás un archivo que Kubernetes usará para implementar los componentes del entorno de ejecución híbrido en el clúster.

1 2 3 4 5 (A CONTINUACIÓN) Paso 6: Configura el entorno de ejecución híbrido 7