5단계: 서비스 계정 및 사용자 인증 정보 만들기

이 단계에서는 Apigee Hybrid가 작동하는 데 필요한 Google Cloud 서비스 계정과 TLS 사용자 인증 정보를 만드는 방법을 설명합니다.

서비스 계정 만들기

Apigee Hybrid는 Google Cloud 서비스 계정을 사용하여 승인된 API 호출을 만들어 하이브리드 구성요소가 통신할 수 있도록 합니다.

이 단계에서는 Apigee Hybrid 명령줄 도구를 사용하여 서비스 계정 집합을 만들고 서비스 계정 비공개 키 파일을 다운로드합니다.

서비스 계정에 대해 자세히 알아보고 프로덕션 환경에 권장되는 서비스 계정의 전체 목록을 확인하려면 다음을 참조하세요.

• 서비스 계정 정보
• 하이브리드 구성요소에서 사용하는 서비스 계정 및 역할

Apigee는 서비스 계정을 만들고, 서비스 계정에 역할을 할당하고, 단일 명령어로 서비스 계정의 키 파일을 만들고 다운로드하는 create-service-account 도구를 제공합니다. 관련 Google Cloud 개념에 대한 자세한 내용은서비스 계정 만들기 및 관리와 서비스 계정 키 만들기 및 관리를 참조하세요.

1. 프로젝트 디렉터리 구조 설정에서 구성한 base_directory/hybrid-files 디렉터리에 있는지 확인합니다.
2. hybrid-files 디렉터리 내에서 다음 명령어를 실행합니다. 이 명령어는 apigee-metrics 구성요소의 서비스 계정을 만들고 다운로드한 키를 ./service-accounts 디렉터리에 배치합니다.

   ./tools/create-service-account apigee-metrics ./service-accounts

   다음 프롬프트가 표시되면 y를 입력합니다.

   [INFO]: gcloud configured project ID is project_id.
    Press: y to proceed with creating service account in project: project_id
    Press: n to abort.

   도구로 할당된 정확한 이름이 있는 SA를 처음 만들면 도구에서 SA를 만들므로 추가적으로 해야 할 작업은 없습니다.

   하지만 다음 메시지 및 프롬프트가 표시되면 y를 입력하여 새 키를 생성합니다.

   [INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists.
   ...
    [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
    Press: y to generate new keys.(this does not de-activate existing keys)
    Press: n to skip generating new keys.
   

3. 이제 다음 명령어를 사용하여 서비스 계정의 나머지 부분을 만듭니다. create-service-account 명령어는 대화형이며 각 계정의 응답이 필요합니다.

   ./tools/create-service-account apigee-synchronizer ./service-accounts

   ./tools/create-service-account apigee-udca ./service-accounts

   ./tools/create-service-account apigee-mart ./service-accounts

   ./tools/create-service-account apigee-cassandra ./service-accounts

   ./tools/create-service-account apigee-logger ./service-accounts

   ./tools/create-service-account apigee-watcher ./service-accounts

   ./tools/create-service-account apigee-distributed-trace ./service-accounts

4. 다음 명령어를 사용하여 서비스 계정 키가 생성되었는지 확인합니다. 이러한 비공개 키를 안전하게 보관할 책임은 사용자에게 있습니다. 키 파일 이름에는 Google Cloud 프로젝트 이름이 프리픽스로 추가됩니다.

   ls ./service-accounts

   다음과 같은 결과가 표시됩니다.

   gcp-project-id-apigee-cassandra.json
   gcp-project-id-apigee-distributed-trace.json
   gcp-project-id-apigee-logger.json
   gcp-project-id-apigee-mart.json
   gcp-project-id-apigee-metrics.json
   gcp-project-id-apigee-synchronizer.json
   gcp-project-id-apigee-udca.json
   gcp-project-id-apigee-watcher.json

TLS 인증서 만들기

Apigee Hybrid 구성에 런타임 인그레스 게이트웨이에 대한 TLS 인증서를 제공해야 합니다. 이 빠른 시작(비프로덕션 무료 체험판 설치)에서 런타임 게이트웨이는 자체 서명 사용자 인증 정보를 수락할 수 있습니다. 다음의 절차에서 openssl은 자체 서명 사용자 인증 정보를 생성하는 데 사용됩니다.

이 단계에서는 TLS 사용자 인증 정보 파일을 만들어 base_directory/hybrid-files/certs 디렉터리에 추가합니다. 6단계: 클러스터 구성에서는 파일 경로를 클러스터 구성 파일에 추가합니다.

1. 프로젝트 디렉터리 구조 설정에서 구성한 base_directory/hybrid-files 디렉터리에 있는지 확인합니다.
2. 다음 명령어를 사용하여 도메인 이름을 DOMAIN 환경 변수에 저장해야 합니다.

   echo $DOMAIN

3. hybrid-files 디렉터리 내에서 다음 명령어를 실행합니다.

   openssl req  -nodes -new -x509 -keyout ./certs/keystore.key -out \
       ./certs/keystore.pem -subj '/CN='$DOMAIN'' -days 3650

   여기서 DOMAIN은 1부, 5단계: 환경 그룹 만들기에서 사용자 환경에 사용한 도메인과 같습니다.

   이 명령어는 빠른 시작 설치에 사용할 수 있는 자체 서명 인증서/키 쌍을 만듭니다.

4. 다음 명령어를 사용하여 파일이 ./certs 디렉터리에 있는지 확인합니다.

   ls ./certs
     keystore.pem
     keystore.key

   여기서 keystore.pem은 자체 서명 TLS 인증서 파일이고 keystore.key는 키 파일입니다.

이제 Kubernetes 클러스터에서 Apigee Hybrid를 관리하는 데 필요한 서비스 계정과 사용자 인증 정보를 갖췄습니다. 다음 단계로 하이브리드 런타임 구성요소를 클러스터에 배포하기 위해 Kubernetes에서 사용되는 파일을 만듭니다.

다음 단계

1 2 3 4 5 (다음) 6단계: 하이브리드 런타임 구성 7