此步骤介绍了如何创建运行 Apigee Hybrid 所需的 Google Cloud 服务账号和传输层安全协议 (TLS) 凭据。
创建服务账号
Apigee Hybrid 使用 Google Cloud 服务账号来允许 Hybrid 组件通过授权的 API 调用进行通信。
在此步骤中,您将使用 Apigee Hybrid 命令行工具创建一组服务账号并下载服务账号私钥文件。
Apigee 提供了一个工具 create-service-account
,可在一个命令中创建服务账号、将角色分配给服务账号以及创建和下载服务账号的密钥文件。如需了解相关的 Google Cloud 概念,请参阅创建和管理服务账号以及创建和管理服务账号密钥。
-
确保您位于在设置项目目录结构中配置的
base_directory/hybrid-files
目录中。 -
从
hybrid-files
目录内执行以下命令。此命令会创建一个名为apigee-non-prod
的服务账号,以用于非生产环境,并将下载的键文件放在./service-accounts
目录中。./tools/create-service-account --env non-prod --dir ./service-accounts --project-id PROJECT_ID
其中,PROJECT_ID 是您要在其中创建服务账号的 Google Cloud 项目的 ID。另请参阅 create-service-account 语法。
当您看到以下提示时,请输入 y:
[INFO]: gcloud configured project ID is project_id. Enter: y to proceed with creating service account in project: project_id Enter: n to abort.
如果这是首次创建与工具分配名称相同的 SA,则该工具将仅创建它,您无需执行进一步操作。
但是,如果您看到以下消息和提示,请输入 y 以生成新的密钥:
[INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists. ... [INFO]: The service account might have keys associated with it. It is recommended to use existing keys. Press: y to generate new keys.(this does not de-activate existing keys) Press: n to skip generating new keys.
-
使用以下命令验证是否已创建服务账号密钥。您需要确保安全地存储这些私钥。密钥文件名以您的 Google Cloud 项目的名称为前缀。
ls ./service-accounts
结果应该类似如下所示:
project_id-apigee-non-prod.json
现在,您已经创建了服务账号并分配了 Apigee Hybrid 组件所需的角色。接下来,混合入站流量网关所需的 TLS 证书。
1 2 3 4 5 (下一步)第 6 步:创建 TLS 证书 7 8 9