Autorisierungstoken abrufen
Für die später in diesem Thema beschriebenen Apigee API-Aufrufe benötigen Sie ein Autorisierungstoken mit der Rolle "Administrator der Apigee-Organisation".
- Wenn Sie nicht der Inhaber des Google Cloud-Projekts sind, das mit Ihrer Apigee Hybrid-Organisation verknüpft ist, prüfen Sie, ob Ihr Google Cloud-Nutzerkonto die Rolle roles/apigee.admin (Administrator der Apigee-Organisation) hat. Sie können die Ihnen zugewiesenen Rollen mit diesem Befehl prüfen:
gcloud projects get-iam-policy $PROJECT_ID \ --flatten="bindings[].members" \ --format='table(bindings.role)' \ --filter="bindings.members:your_account_email"
Beispiel:
gcloud projects get-iam-policy my-project \ --flatten="bindings[].members" \ --format='table(bindings.role)' \ --filter="bindings.members:myusername@example.com"
Die Ausgabe sollte in etwa so aussehen:
ROLE roles/apigee.admin roles/compute.admin roles/container.admin roles/gkehub.admin roles/iam.serviceAccountAdmin roles/iam.serviceAccountKeyAdmin roles/meshconfig.admin roles/owner roles/resourcemanager.projectIamAdmin roles/servicemanagement.admin roles/serviceusage.serviceUsageAdmin
- Wenn Ihre Rollen nicht
roles/apigee.adminenthalten, fügen Sie Ihrem Nutzerkonto die Rolle Apigee-Organisationsadministrator hinzu. Verwenden Sie den folgenden Befehl, um Ihrem Nutzerkonto die Rolle hinzuzufügen:gcloud projects add-iam-policy-binding $PROJECT_ID \ --member user:your_account_email \ --role roles/apigee.admin
Beispiel:
gcloud projects add-iam-policy-binding my-project \ --member user:myusername@example.com \ --role roles/apigee.admin
- Rufen Sie ein Autorisierungstoken für Ihr Nutzerkonto ab:
export TOKEN=$(gcloud auth print-access-token)
Sie können die Umgebungsvariable $TOKEN mit dem folgenden Befehl prüfen:
echo $TOKEN
Synchronizer-Zugriff aktivieren
So aktivieren Sie den Synchronizer-Zugriff:
- Rufen Sie die E-Mail-Adresse des Dienstkontos ab, auf das Sie Synchronizer-Zugriff gewähren.
Für Nicht-Produktionsumgebungen (wie in dieser Anleitung vorgeschlagen) sollte der Wert
apigee-non-prodsein. In Produktionsumgebungen sollte esapigee-synchronizersein. Verwenden Sie den folgenden Befehl:gcloud iam service-accounts list --filter "apigee-non-prod"
Wenn es mit dem Muster
apigee-non-prod@$ORG_NAME.iam.gserviceaccount.comübereinstimmt, können Sie dieses Muster im nächsten Schritt verwenden. - Rufen Sie die setSyncAuthorization API mit dem folgenden Befehl auf, um die erforderlichen Berechtigungen für Synchronizer zu aktivieren:
curl -X POST -H "Authorization: Bearer $TOKEN" \ -H "Content-Type:application/json" \ "https://apigee.googleapis.com/v1/organizations/$ORG_NAME:setSyncAuthorization" \ -d '{"identities":["'"serviceAccount:apigee-non-prod@$ORG_NAME.iam.gserviceaccount.com"'"]}'Dabei gilt:
$ORG_NAME: der Name Ihrer Hybridorganisation.apigee-non-prod$ORG_NAME.iam.gserviceaccount.com: die E-Mail-Adresse des Dienstkontos.
- Prüfen Sie, ob das Dienstkonto eingerichtet wurde. Rufen Sie mit dem folgenden Befehl die API auf, um eine Liste der Dienstkonten abzurufen:
curl -X POST -H "Authorization: Bearer $TOKEN" \ -H "Content-Type:application/json" \ "https://apigee.googleapis.com/v1/organizations/$ORG_NAME:getSyncAuthorization" \ -d ''
Die Ausgabe sieht dann ungefähr so aus:
{ "identities":[ "serviceAccount:apigee-non-prod@my_project_id.iam.gserviceaccount.com" ], "etag":"BwWJgyS8I4w=" }
Sie haben jetzt festgelegt, dass Ihre Apigee Hybrid-Laufzeit- und -Verwaltungsebenen miteinander kommunizieren können. Als Nächstes wenden Sie Ihre Konfiguration auf die Hybrid-Laufzeit an und schließen die Installation von Apigee Hybrid ab.
1 2 3 4 5 6 7 8 (WEITER) Schritt 9: Hybrid-Laufzeit installieren