Passaggio 8: attivazione dell'accesso al sincronizzatore

Recuperare un token di autorizzazione

Per effettuare le chiamate API Apigee descritte più avanti in questo argomento, devi ottenere un token di autorizzazione con il ruolo Amministratore organizzazione Apigee.

  1. Se non sei il proprietario del progetto Google Cloud associato alla tua organizzazione ibrida Apigee, assicurati che il tuo account utente Google Cloud abbia il ruolo roles/apigee.admin (Amministratore dell'organizzazione Apigee). Puoi controllare i ruoli che ti sono stati assegnati con questo comando:
    gcloud projects get-iam-policy ${PROJECT_ID}  \
    --flatten="bindings[].members" \
    --format='table(bindings.role)' \
    --filter="bindings.members:your_account_email"
    

    Ad esempio:

    gcloud projects get-iam-policy my-project  \
    --flatten="bindings[].members" \
    --format='table(bindings.role)' \
    --filter="bindings.members:myusername@example.com"

    L'output dovrebbe essere simile al seguente:

    ROLE
    roles/apigee.admin
    roles/compute.admin
    roles/container.admin
    roles/gkehub.admin
    roles/iam.serviceAccountAdmin
    roles/iam.serviceAccountKeyAdmin
    roles/meshconfig.admin
    roles/owner
    roles/resourcemanager.projectIamAdmin
    roles/servicemanagement.admin
    roles/serviceusage.serviceUsageAdmin
  2. Se non hai roles/apigee.admin tra i tuoi ruoli, aggiungi il ruolo Amministratore dell'organizzazione Apigee al tuo account utente. Utilizza il seguente comando per aggiungere il ruolo al tuo account utente:
    gcloud projects add-iam-policy-binding ${PROJECT_ID} \
      --member user:your_account_email \
      --role roles/apigee.admin

    Ad esempio:

    gcloud projects add-iam-policy-binding my-project \
      --member user:myusername@example.com \
      --role roles/apigee.admin
  3. Nella riga di comando, ottieni la tua autenticazione gcloud le credenziali utilizzando il comando seguente:

    Linux e MacOS

    TOKEN=$(gcloud auth print-access-token)

    Per verificare che il token sia stato compilato, utilizza echo, come illustrato nell'esempio seguente:

    echo $TOKEN

    Il token dovrebbe essere visualizzato come stringa codificata.

    Windows

    for /f "tokens=*" %a in ('gcloud auth print-access-token') do set TOKEN=%a

    Per verificare che il token sia stato compilato, utilizza echo, come illustrato nell'esempio seguente:

    echo %TOKEN%

    Il token dovrebbe essere visualizzato come stringa codificata.

Abilita l'accesso per sincronizzare

Per attivare l'accesso al sincronizzatore:

  1. Ottieni l'indirizzo email per l'account di servizio a cui stai concedendo l'accesso per la sincronizzazione. Per gli ambienti non di produzione (come suggerito in questo tutorial), deve essere apigee-non-prod. Per gli ambienti di produzione, dovrebbe essere apigee-synchronizer. Utilizza questo comando:

    Non prod

    gcloud iam service-accounts list --filter "apigee-non-prod"

    Produzione

    gcloud iam service-accounts list --filter "apigee-synchronizer"

    Se corrisponde al pattern apigee-non-prod@${ORG_NAME}.iam.gserviceaccount.com, puoi usare questo pattern nel passaggio successivo.

  2. Chiama il setSyncAuthorization API per abilitare le autorizzazioni richieste per synchronousr utilizzando il seguente comando:

    Non di produzione

    curl -X POST -H "Authorization: Bearer ${TOKEN}" \
      -H "Content-Type:application/json" \
      "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:setSyncAuthorization" \
       -d '{"identities":["'"serviceAccount:apigee-non-prod@${ORG_NAME}.iam.gserviceaccount.com"'"]}'
    

    Produzione

    curl -X POST -H "Authorization: Bearer ${TOKEN}" \
      -H "Content-Type:application/json" \
      "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:setSyncAuthorization" \
       -d '{"identities":["'"serviceAccount:apigee-synchronizer@${ORG_NAME}.iam.gserviceaccount.com"'"]}'
    

    Dove:

    • ${ORG_NAME}: il nome della tua organizzazione ibrida.
    • apigee-non-prod${ORG_NAME}.iam.gserviceaccount.com oppure
      apigee-synchronizer${ORG_NAME}.iam.gserviceaccount.com: l'email dell'account di servizio.
  3. Per verificare che l'account di servizio sia stato impostato, utilizza il seguente comando per chiamare l'API e ottenere un elenco di account di servizio:
    curl -X GET -H "Authorization: Bearer $TOKEN" \
      -H "Content-Type:application/json" \
      "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:getSyncAuthorization"
    

    L'output è simile al seguente:

    Non di produzione

    {
       "identities":[
          "serviceAccount:apigee-non-prod@my_project_id.iam.gserviceaccount.com"
       ],
       "etag":"BwWJgyS8I4w="
    }

    Produzione

    {
       "identities":[
          "serviceAccount:apigee-synchronizer@my_project_id.iam.gserviceaccount.com"
       ],
       "etag":"BwWJgyS8I4w="
    }

Ora hai reso possibile per i tuoi piani di runtime e gestione ibridi Apigee comunicare. Ora applichiamo la configurazione al runtime ibrido e l'installazione di Apigee hybrid.

1 2 3 4 5 6 7 8 (AVANTI) Passaggio 9: installa il runtime ibrido