Passaggio 8: attivazione dell'accesso al sincronizzatore

Ottenere un token di autorizzazione

Per effettuare le chiamate API Apigee descritte più avanti in questo argomento, devi ottenere un token di autorizzazione con il ruolo Amministratore organizzazione Apigee.

  1. Se non sei il proprietario del progetto Google Cloud associato al tuo modello Apigee hybrid assicurati che il tuo account utente Google Cloud abbia il ruolo roles/apigee.admin (Apigee). Amministratore dell'organizzazione). Puoi controllare i ruoli assegnati a te con questo comando:
    gcloud projects get-iam-policy $PROJECT_ID  \
    --flatten="bindings[].members" \
    --format='table(bindings.role)' \
    --filter="bindings.members:your_account_email"
    

    Ad esempio:

    gcloud projects get-iam-policy my-project  \
    --flatten="bindings[].members" \
    --format='table(bindings.role)' \
    --filter="bindings.members:myusername@example.com"

    L'output dovrebbe essere simile al seguente:

    ROLE
    roles/apigee.admin
    roles/compute.admin
    roles/container.admin
    roles/gkehub.admin
    roles/iam.serviceAccountAdmin
    roles/iam.serviceAccountKeyAdmin
    roles/meshconfig.admin
    roles/owner
    roles/resourcemanager.projectIamAdmin
    roles/servicemanagement.admin
    roles/serviceusage.serviceUsageAdmin
  2. Se non hai roles/apigee.admin nei tuoi ruoli, aggiungi il team Apigee Amministratore dell'organizzazione al tuo account utente. Utilizza il seguente comando per aggiungere il ruolo al tuo account utente:
    gcloud projects add-iam-policy-binding $PROJECT_ID \
      --member user:your_account_email \
      --role roles/apigee.admin

    Ad esempio:

    gcloud projects add-iam-policy-binding my-project \
      --member user:myusername@example.com \
      --role roles/apigee.admin
  3. Ottieni un token di autorizzazione per il tuo account utente:
    export TOKEN=$(gcloud auth print-access-token)
    

    Puoi controllare la variabile di ambiente $TOKEN con il seguente comando:

    echo $TOKEN

Attivare l'accesso al sincronizzatore

Per abilitare l'accesso al sincronizzatore:

  1. Recupera l'indirizzo email dell'account di servizio a cui stai concedendo l'accesso al sincronizzatore. Per gli ambienti non di produzione (come suggerito in questo tutorial), dovrebbe essere apigee-non-prod. Per gli ambienti di produzione, apigee-synchronizer. Utilizza il seguente comando:
    gcloud iam service-accounts list --filter "apigee-non-prod"

    Se corrisponde allo schema apigee-non-prod@$ORG_NAME.iam.gserviceaccount.com, puoi utilizzarlo nel passaggio successivo.

  2. Chiama l'API setSyncAuthorization per abilitare le autorizzazioni richieste per Synchronizer utilizzando il seguente comando:
    curl -X POST -H "Authorization: Bearer $TOKEN" \
      -H "Content-Type:application/json" \
      "https://apigee.googleapis.com/v1/organizations/$ORG_NAME:setSyncAuthorization" \
       -d '{"identities":["'"serviceAccount:apigee-non-prod@$ORG_NAME.iam.gserviceaccount.com"'"]}'
    

    Dove:

    • $ORG_NAME: il nome della tua organizzazione ibrida.
    • apigee-non-prod$ORG_NAME.iam.gserviceaccount.com: l'email. dell'account di servizio.
  3. Per verificare che l'account di servizio sia stato impostato, utilizza il seguente comando per chiamare l'API e ottenere un elenco di account di servizio:
    curl -X POST -H "Authorization: Bearer $TOKEN" \
      -H "Content-Type:application/json" \
      "https://apigee.googleapis.com/v1/organizations/$ORG_NAME:getSyncAuthorization" \
       -d ''
    

    L'output è simile al seguente:

    {
       "identities":[
          "serviceAccount:apigee-non-prod@my_project_id.iam.gserviceaccount.com"
       ],
       "etag":"BwWJgyS8I4w="
    }

Ora hai reso possibile per i tuoi piani di runtime e gestione ibridi Apigee comunicare. Ora applichiamo la configurazione al runtime ibrida e completiamo l'installazione di Apigee hybrid.

1 2 3 4 5 6 7 8 (AVANTI) Passaggio 9: installa il runtime ibrido