In diesem Schritt wird erläutert, wie Sie die Google Cloud-Dienstkonten und TLS-Anmeldedaten erstellen, die für das Funktionieren von Apigee Hybrid erforderlich sind.
Dienstkonten erstellen
Apigee Hybrid verwendet Google Cloud-Dienstkonten, um die Kommunikation zwischen Hybrid-Komponenten über autorisierte API-Aufrufe zu ermöglichen.
In diesem Schritt erstellen Sie mit einem Hybrid-Befehlszeilentool von Apigee eine Reihe von Dienstkonten und laden die Dateien mit dem privaten Schlüssel des Dienstkontos herunter.
Apigee stellt das Tool create-service-account
bereit, mit dem die Dienstkonten erstellt werden, die Rollen den Dienstkonten zugewiesen werden und die Schlüsseldateien für das Dienstkonto in einem einzigen Befehl erstellt und heruntergeladen werden.
- Weitere Informationen zu
create-service-account
und allen möglichen Optionen finden Sie untercreate-service-account
- Weitere Informationen zu den verknüpften Google Cloud-Konzepten finden Sie unter Dienstkonten erstellen und verwalten und Dienstkontoschlüssel erstellen und verwalten.
- Sie müssen sich in dem Verzeichnis
base_directory/hybrid-files
befinden, das Sie unter Projektverzeichnisstruktur einrichten konfiguriert haben. - Achten Sie darauf, dass die Umgebungsvariable PROJECT_ID auf Ihre Google Cloud-Projekt-ID eingestellt ist.
Das
create-service-account
-Tool liest die Umgebungsvariable PROJECT_ID, um die Dienstkonten im richtigen Projekt zu erstellen.echo $PROJECT_ID
-
Führen Sie den folgenden Befehl im Verzeichnis
hybrid-files
aus. Mit diesem Befehl wird ein einzelnes Dienstkonto mit dem Namenapigee-non-prod
für die Verwendung in einer Nicht-Produktionsumgebung erstellt und die heruntergeladene Schlüsseldatei im Verzeichnis./service-accounts
abgelegt../tools/create-service-account --env non-prod --dir ./service-accounts
Wenn die folgende Eingabeaufforderung angezeigt wird, geben Sie y ein:
[INFO]: gcloud configured project ID is project_id. Enter: y to proceed with creating service account in project: project_id Enter: n to abort.
Wenn Sie zum ersten Mal eine SA mit einem bestimmten Namen erstellen, wird sie vom Tool ohne weitere Aufforderungen erstellt.
Wenn jedoch die folgende Meldung und Eingabeaufforderung angezeigt wird, geben Sie y ein, um neue Schlüssel zu generieren:
[INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists. ... [INFO]: The service account might have keys associated with it. It is recommended to use existing keys. Press: y to generate new keys.(this does not deactivate existing keys) Press: n to skip generating new keys.
-
Prüfen Sie mit dem folgenden Befehl, ob der Dienstkontoschlüssel erstellt wurde. Sie sind dafür verantwortlich, diese privaten Schlüssel sicher zu speichern. Den Schlüsselnamen ist der Name Ihres Google Cloud-Projekts vorangestellt.
ls ./service-accounts
Das Ergebnis sollte ungefähr so aussehen:
project_id-apigee-non-prod.json
Sie haben jetzt Dienstkonten erstellt und die Rollen zugewiesen, die die Apigee Hybrid-Komponenten benötigen. Im nächsten Schritt erstellen Sie die für das Hybrid-Ingress-Gateway erforderlichen TLS-Zertifikate.
1 2 3 4 5 (WEITER) Schritt 6: TLS-Zertifikate erstellen 7 8 9