En este paso, se explica cómo crear las cuentas de servicio de Google Cloud y las credenciales TLS que se requieren para que Apigee Hybrid funcione.
Crea las cuentas de servicio
Apigee Hybrid usa cuentas de servicio de Google Cloud para permitir que los componentes híbridos se comuniquen mediante llamadas a la API autorizadas.
En este paso, usarás una herramienta de línea de comandos híbrida de Apigee para crear un conjunto de cuentas de servicio y descargar los archivos de claves privadas de la cuenta de servicio.
Para obtener más información sobre las cuentas de servicio y leer la lista completa de las que están recomendadas para entornos de producción, consulta los siguientes vínculos:
Apigee proporciona una herramienta, create-service-account
, que crea las cuentas de servicio, les asigna funciones a las cuentas de servicio y crea y descarga los archivos de claves para la cuenta de servicio en un solo comando. Para obtener información sobre los conceptos relacionados de Google Cloud, consulta Crea y administra cuentas de servicio y Crea y administra claves de cuentas de servicio.
-
Asegúrate de que estés en el directorio
base_directory/hybrid-files
que configuraste en Configura la estructura del directorio del proyecto. -
Ejecuta el siguiente comando desde el directorio
hybrid-files
: Con este comando, se crea una cuenta de servicio para el componenteapigee-metrics
y se coloca la clave que descargaste en el directorio./service-accounts
:./tools/create-service-account apigee-metrics ./service-accounts
Cuando veas el siguiente mensaje, ingresa y:
[INFO]: gcloud configured project ID is project_id. Press: y to proceed with creating service account in project: project_id Press: n to abort.
Si es la primera vez que se crea una cuenta de servicio con el nombre exacto asignado por la herramienta, la herramienta solo la crea, y no tienes que realizar ninguna otra acción.
Sin embargo, si ves el siguiente mensaje e instrucción, ingresa y para generar claves nuevas:
[INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists. ... [INFO]: The service account might have keys associated with it. It is recommended to use existing keys. Press: y to generate new keys.(this does not de-activate existing keys) Press: n to skip generating new keys.
-
A continuación, crea el resto de las cuentas de servicio con los siguientes comandos. El comando
create-service-account
es interactivo y requiere una respuesta para cada cuenta../tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts
./tools/create-service-account apigee-watcher ./service-accounts
./tools/create-service-account apigee-distributed-trace ./service-accounts
-
Usa el siguiente comando para verificar que se crearon las claves de la cuenta de servicio. Eres responsable de almacenar estas claves privadas de forma segura. Los nombres de los archivos de la clave tienen el prefijo del nombre de tu proyecto de Google Cloud.
ls ./service-accounts
El resultado debería ser similar a lo siguiente:
gcp-project-id-apigee-cassandra.json gcp-project-id-apigee-distributed-trace.json gcp-project-id-apigee-logger.json gcp-project-id-apigee-mart.json gcp-project-id-apigee-metrics.json gcp-project-id-apigee-synchronizer.json gcp-project-id-apigee-udca.json gcp-project-id-apigee-watcher.json
Crea certificados TLS
Debes proporcionar certificados TLS para la puerta de enlace de entrada del entorno de ejecución en tu configuración de Apigee Hybrid. A los fines de esta guía de inicio rápido (una instalación de prueba que no es de producción), la puerta de enlace del entorno de ejecución puede aceptar credenciales autofirmadas. En los siguientes pasos, openssl se usa para generar las credenciales autofirmadas.
En este paso, crearás los archivos de credenciales TLS y los agregarás al directorio base_directory/hybrid-files/certs
.
En el Paso 6: Configura el clúster, agregarás las rutas de acceso al archivo al archivo de configuración del clúster.
- Asegúrate de que estés en el directorio
base_directory/hybrid-files
que configuraste en Configura la estructura del directorio del proyecto. - Asegúrate de guardar un nombre de dominio en la variable de entorno
DOMAIN
con el siguiente comando:echo $DOMAIN
-
Ejecuta el siguiente comando desde el directorio
hybrid-files
:openssl req -nodes -new -x509 -keyout ./certs/keystore.key -out \ ./certs/keystore.pem -subj '/CN='$DOMAIN'' -days 3650
En el ejemplo anterior,
DOMAIN
es el mismo que usaste para tu entorno en la Parte 1: Paso 5: crea un grupo de entornos.Este comando crea un par autofirmado de certificado y clave que puedes usar para la guía de inicio rápido.
-
Usa el siguiente comando para asegurarte de que los archivos estén en el directorio
./certs
.ls ./certs
keystore.pem keystore.keyEn el ejemplo anterior,
keystore.pem
es el archivo de certificado TLS autofirmado, ykeystore.key
es el archivo de claves.
Ahora tienes las cuentas de servicio y las credenciales necesarias para administrar Apigee Hybrid en tu clúster de Kubernetes. A continuación, crearás un archivo que Kubernetes usará para implementar los componentes del entorno de ejecución híbrido en el clúster.
1 2 3 4 5 (A CONTINUACIÓN) Paso 6: Configura el entorno de ejecución híbrido 7