Questa pagina è stata tradotta dall'API Cloud Translation.

Passaggio 4: crea gli account di servizio

Questo passaggio spiega come creare gli account di servizio Google Cloud necessari per il funzionamento di Apigee Hybrid.

Crea gli account di servizio

Apigee hybrid utilizza gli account di servizio Google Cloud per consentono ai componenti ibridi di comunicare effettuando chiamate API autorizzate.

In questo passaggio, utilizzerai uno strumento a riga di comando ibrido Apigee per creare un set di account di servizio e scaricare i file delle chiavi private dell'account di servizio.

In un ambiente di produzione ibrido, Apigee consiglia di utilizzare un account di servizio distinto per ogni componente. Ai fini di questo tutorial, puoi creare un singolo account di servizio chiamato "apigee-non-prod" da utilizzare per tutti i componenti.

Per scoprire di più sugli account di servizio e leggere l'elenco completo degli account di servizio consigliati per di produzione, consulta le seguenti risorse:

Apigee fornisce uno strumento, create-service-account, che crea gli account di servizio, Assegna i ruoli agli account di servizio, quindi crea e scarica i file chiave per il servizio con un singolo comando.

Per scoprire di più su create-service-account e su tutte le sue opzioni, consulta create-service-account.
Per saperne di più sui concetti correlati di Google Cloud, consulta Creazione in corso e la gestione degli account di servizio e Creazione in corso... e la gestione delle chiavi degli account di servizio.

Assicurati che le variabili di ambiente HYBRID_FILES e PROJECT_ID siano impostate.
PROJECT_ID deve essere impostato sul tuo ID progetto Google Cloud, perché lo strumento create-service-account legge la variabile di ambiente PROJECT_ID per creare gli account di servizio nel progetto corretto.
```
echo $HYBRID_FILES
echo $PROJECT_ID
```
Crea un account di servizio non-prod con il comando seguente. Questo comando crea un singolo account di servizio denominato apigee-non-prod da utilizzare in ambienti di produzione e posiziona il file della chiave scaricato nella directory $HYBRID_FILES/service-accounts.
```
$HYBRID_FILES/tools/create-service-account --env non-prod --dir $HYBRID_FILES/service-accounts
```
Nota: se preferisci creare tutti i singoli servizi per un ambiente di produzione, utilizza il seguente comando:
```
$HYBRID_FILES/tools/create-service-account --env prod --dir $HYBRID_FILES/service-accounts
```
Se viene visualizzato il seguente prompt, inserisci y:
```
[INFO]: gcloud configured project ID is project_id.
 Enter: y to proceed with creating service account in project: project_id
 Enter: n to abort.
```
Se è la prima volta che crei un'area protetta con un nome specifico assegnato, lo strumento la crea senza ulteriori richieste.

Se invece viene visualizzato il messaggio e la richiesta seguenti, inserisci y per generare nuove chiavi:
```
[INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
...
 [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
 Press: y to generate new keys.(this does not deactivate existing keys)
 Press: n to skip generating new keys.
```
Nota: l'API Cloud Pub/Sub deve essere abilitata nel progetto Google Cloud che è proprietario dell'account di servizio per synchronousr. Per verificare se hai attivato questa API, consulta Abilitare le API.
Verifica che la chiave dell'account di servizio sia stata creata utilizzando il seguente comando. Sei responsabile dell'archiviazione le tue chiavi private in modo sicuro. I nomi file delle chiavi sono preceduti dal nome del progetto Google Cloud.
```
ls $HYBRID_FILES/service-accounts
```
Il risultato dovrebbe essere simile al seguente:
```
project_id-apigee-non-prod.json
```

Ora hai creato gli account di servizio e assegnato i ruoli necessari ai componenti Apigee hybrid. Quindi, crea i certificati TLS richiesti dal gateway ibrido in entrata.

1 2 3 4 (SUCCESSIVO) Passaggio 5: crea i certificati TLS 6 7 8 9 10