Paso 4: Crear cuentas de servicio

En este paso, se explica cómo crear las cuentas de servicio de Google Cloud necesarias para que Apigee Hybrid funcione.

Crea las cuentas de servicio

Apigee Hybrid usa cuentas de servicio de Google Cloud para permitir que los componentes híbridos se comuniquen mediante llamadas a la API autorizadas.

En este paso, usarás una herramienta de línea de comandos híbrida de Apigee para crear un conjunto de cuentas de servicio y descargar los archivos de claves privadas de la cuenta de servicio.

Nota: En un entorno híbrido de producción, Apigee recomienda usar una cuenta de servicio independiente para cada componente. A los fines de este instructivo, puedes crear una sola cuenta de servicio llamada “apigee-non-prod” que puedes usar para todos los componentes.

Para obtener más información sobre las cuentas de servicio y leer la lista completa de las que están recomendadas para entornos de producción, consulta los siguientes vínculos:

Apigee proporciona una herramienta, create-service-account, que crea las cuentas de servicio, les asigna funciones a las cuentas de servicio y crea y descarga los archivos de claves para la cuenta de servicio en un solo comando.

  1. Asegúrate de que las variables de entorno HYBRID_FILES y PROJECT_ID estén configuradas.

    PROJECT_ID debe configurarse como tu ID del proyecto de Google Cloud, porque la herramienta de create-service-account lee la variable de entorno PROJECT_ID para crear las cuentas de servicio en el proyecto correcto.

    echo $HYBRID_FILES
    echo $PROJECT_ID
  2. Crea una cuenta de servicio non-prod con el siguiente comando. Con este comando, se crea una sola cuenta de servicio llamada apigee-non-prod para usarla en entornos que no son de producción y se coloca el archivo de claves descargado en el directorio $HYBRID_FILES/service-accounts.
    $HYBRID_FILES/tools/create-service-account --env non-prod --dir $HYBRID_FILES/service-accounts

    Cuando veas el siguiente mensaje, ingresa y:

    [INFO]: gcloud configured project ID is project_id.
     Enter: y to proceed with creating service account in project: project_id
     Enter: n to abort.

    Si es la primera vez que creas una cuenta de servicio con un nombre particular asignado, la herramienta la creará sin más mensajes.

    Sin embargo, si ves el siguiente mensaje e instrucción, ingresa y para generar claves nuevas:

    [INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
    ...
     [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
     Press: y to generate new keys.(this does not deactivate existing keys)
     Press: n to skip generating new keys.
  3. Verifica que la clave de la cuenta de servicio se haya creado con el siguiente comando. Eres responsable de almacenar estas claves privadas de forma segura. Los nombres de los archivos de la clave tienen el prefijo del nombre de tu proyecto de Google Cloud.
    ls $HYBRID_FILES/service-accounts

    El resultado debería ser similar a lo siguiente:

    project_id-apigee-non-prod.json

Ya creaste cuentas de servicio y asignaste las funciones que necesitan los componentes híbridos de Apigee. A continuación, crea los certificados TLS que requiere la puerta de enlace de entrada híbrida.

1 2 3 4 (SIGUIENTE) Paso 5: Crea certificados TLS 6 7 8 9 10