Schritt 5: Dienstkonten und Anmeldedaten erstellen

In diesem Schritt wird erläutert, wie Sie die Google Cloud-Dienstkonten und TLS-Anmeldedaten erstellen, die für das Funktionieren von Apigee Hybrid erforderlich sind.

Dienstkonten erstellen

Apigee Hybrid verwendet Google Cloud-Dienstkonten, um die Kommunikation zwischen Hybrid-Komponenten über autorisierte API-Aufrufe zu ermöglichen.

In diesem Schritt erstellen Sie mit einem Hybrid-Befehlszeilentool von Apigee eine Reihe von Dienstkonten und laden die Dateien mit dem privaten Schlüssel des Dienstkontos herunter.

Apigee stellt das Tool create-service-account bereit, mit dem die Dienstkonten erstellt werden, die Rollen den Dienstkonten zugewiesen werden und die Schlüsseldateien für das Dienstkonto in einem einzigen Befehl erstellt und heruntergeladen werden.

Weitere Informationen zu create-service-account und allen möglichen Optionen finden Sie unter create-service-account
Weitere Informationen zu den verknüpften Google Cloud-Konzepten finden Sie unter Dienstkonten erstellen und verwalten und Dienstkontoschlüssel erstellen und verwalten.

Sie müssen sich in dem Verzeichnis base_directory/hybrid-files befinden, das Sie unter Projektverzeichnisstruktur einrichten konfiguriert haben.
Achten Sie darauf, dass die Umgebungsvariable PROJECT_ID auf Ihre Google Cloud-Projekt-ID eingestellt ist. Das create-service-account-Tool liest die Umgebungsvariable PROJECT_ID, um die Dienstkonten im richtigen Projekt zu erstellen.
```
echo $PROJECT_ID
```
Führen Sie den folgenden Befehl im Verzeichnis hybrid-files aus. Mit diesem Befehl wird ein einzelnes Dienstkonto mit dem Namen apigee-non-prod für die Verwendung in einer Nicht-Produktionsumgebung erstellt und die heruntergeladene Schlüsseldatei im Verzeichnis ./service-accounts abgelegt.
```
./tools/create-service-account --env non-prod --dir ./service-accounts
```
Hinweis: Wenn Sie alle einzelnen Dienstkonten für eine Produktionsumgebung erstellen möchten, verwenden Sie den folgenden Befehl:
```
./tools/create-service-account --env prod --dir ./service-accounts
```
Wenn die folgende Eingabeaufforderung angezeigt wird, geben Sie y ein:
```
[INFO]: gcloud configured project ID is project_id.
 Enter: y to proceed with creating service account in project: project_id
 Enter: n to abort.
```
Wenn Sie zum ersten Mal eine SA mit einem bestimmten Namen erstellen, wird sie vom Tool ohne weitere Aufforderungen erstellt.

Wenn jedoch die folgende Meldung und Eingabeaufforderung angezeigt wird, geben Sie y ein, um neue Schlüssel zu generieren:
```
[INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
...
 [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
 Press: y to generate new keys.(this does not deactivate existing keys)
 Press: n to skip generating new keys.
```
Hinweis: Die Cloud Pub/Sub API muss in dem Google Cloud-Projekt aktiviert sein, zu dem das Dienstkonto für Synchronizer gehört. Weitere Informationen finden Sie unter APIs aktivieren.
Prüfen Sie mit dem folgenden Befehl, ob der Dienstkontoschlüssel erstellt wurde. Sie sind dafür verantwortlich, diese privaten Schlüssel sicher zu speichern. Den Schlüsselnamen ist der Name Ihres Google Cloud-Projekts vorangestellt.
```
ls ./service-accounts
```
Das Ergebnis sollte ungefähr so aussehen:
```
project_id-apigee-non-prod.json
```

Sie haben jetzt Dienstkonten erstellt und die Rollen zugewiesen, die die Apigee Hybrid-Komponenten benötigen. Im nächsten Schritt erstellen Sie die für das Hybrid-Ingress-Gateway erforderlichen TLS-Zertifikate.

1 2 3 4 5 (WEITER) Schritt 6: TLS-Zertifikate erstellen 7 8 9