Passaggio 4: crea gli account di servizio

Questo passaggio spiega come creare gli account di servizio Google Cloud necessari per il funzionamento di Apigee Hybrid.

Crea gli account di servizio

Apigee hybrid utilizza gli account di servizio Google Cloud per consentono ai componenti ibridi di comunicare effettuando chiamate API autorizzate.

In questo passaggio, utilizzerai uno strumento a riga di comando ibrido Apigee per creare un set di account di servizio e scaricare i file delle chiavi private dell'account di servizio.

In un ambiente di produzione ibrido, Apigee consiglia di utilizzare un account di servizio distinto per ogni componente. Ai fini di questo tutorial, puoi creare un singolo account di servizio chiamato "apigee-non-prod" da utilizzare per tutti i componenti.

Per scoprire di più sugli account di servizio e leggere l'elenco completo degli account di servizio consigliati per di produzione, consulta le seguenti risorse:

Apigee fornisce uno strumento, create-service-account, che crea gli account di servizio, Assegna i ruoli agli account di servizio, quindi crea e scarica i file chiave per il servizio con un singolo comando.

  1. Assicurati che le variabili di ambiente HYBRID_FILES e PROJECT_ID siano impostate.

    PROJECT_ID deve essere impostato sul tuo ID progetto Google Cloud, perché lo strumento create-service-account legge la variabile di ambiente PROJECT_ID per creare gli account di servizio nel progetto corretto.

    echo $HYBRID_FILES
    echo $PROJECT_ID
  2. Crea un account di servizio non-prod con il comando seguente. Questo comando crea un singolo account di servizio denominato apigee-non-prod da utilizzare in ambienti di produzione e posiziona il file della chiave scaricato nella directory $HYBRID_FILES/service-accounts.
    $HYBRID_FILES/tools/create-service-account --env non-prod --dir $HYBRID_FILES/service-accounts

    Se viene visualizzato il seguente prompt, inserisci y:

    [INFO]: gcloud configured project ID is project_id.
     Enter: y to proceed with creating service account in project: project_id
     Enter: n to abort.

    Se è la prima volta che crei un'area protetta con un nome specifico assegnato, lo strumento la crea senza ulteriori richieste.

    Se invece viene visualizzato il messaggio e la richiesta seguenti, inserisci y per generare nuove chiavi:

    [INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
    ...
     [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
     Press: y to generate new keys.(this does not deactivate existing keys)
     Press: n to skip generating new keys.
  3. Verifica che la chiave dell'account di servizio sia stata creata utilizzando il seguente comando. Sei responsabile dell'archiviazione le tue chiavi private in modo sicuro. I nomi file delle chiavi sono preceduti dal nome del progetto Google Cloud.
    ls $HYBRID_FILES/service-accounts

    Il risultato dovrebbe essere simile al seguente:

    project_id-apigee-non-prod.json

Ora hai creato gli account di servizio e assegnato i ruoli necessari ai componenti Apigee hybrid. Quindi, crea i certificati TLS richiesti dal gateway ibrido in entrata.

1 2 3 4 (SUCCESSIVO) Passaggio 5: crea i certificati TLS 6 7 8 9 10