En este paso, se explica cómo crear las cuentas de servicio de Google Cloud necesarias para que Apigee Hybrid funcione.
Crea las cuentas de servicio
Apigee Hybrid usa cuentas de servicio de Google Cloud para permitir que los componentes híbridos se comuniquen mediante llamadas a la API autorizadas.
En este paso, usarás una herramienta de línea de comandos híbrida de Apigee para crear un conjunto de cuentas de servicio y descargar los archivos de claves privadas de la cuenta de servicio.
Nota: En un entorno híbrido de producción, Apigee recomienda usar una cuenta de servicio independiente para cada componente. A los fines de este instructivo, puedes crear una sola cuenta de servicio llamada “apigee-non-prod” que puedes usar para todos los componentes.
Para obtener más información sobre las cuentas de servicio y leer la lista completa de las que están recomendadas para entornos de producción, consulta los siguientes vínculos:
Apigee proporciona una herramienta, create-service-account
, que crea las cuentas de servicio, les asigna funciones a las cuentas de servicio y crea y descarga los archivos de claves para la cuenta de servicio en un solo comando.
- Para obtener más información sobre
create-service-account
y todas sus opciones, consultacreate-service-account
- Para obtener información sobre los conceptos relacionados de Google Cloud, consulta Crea y administra cuentas de servicio y Crea y administra claves de cuentas de servicio.
- Asegúrate de que las variables de entorno HYBRID_FILES y PROJECT_ID estén configuradas.
PROJECT_ID debe configurarse como tu ID del proyecto de Google Cloud, porque la herramienta de
create-service-account
lee la variable de entorno PROJECT_ID para crear las cuentas de servicio en el proyecto correcto.echo $HYBRID_FILES
echo $PROJECT_ID
-
Crea una cuenta de servicio non-prod con el siguiente comando. Con este comando, se crea una sola cuenta de servicio llamada
apigee-non-prod
para usarla en entornos que no son de producción y se coloca el archivo de claves descargado en el directorio$HYBRID_FILES/service-accounts
.$HYBRID_FILES/tools/create-service-account --env non-prod --dir $HYBRID_FILES/service-accounts
Cuando veas el siguiente mensaje, ingresa y:
[INFO]: gcloud configured project ID is project_id. Enter: y to proceed with creating service account in project: project_id Enter: n to abort.
Si es la primera vez que creas una cuenta de servicio con un nombre particular asignado, la herramienta la creará sin más mensajes.
Sin embargo, si ves el siguiente mensaje e instrucción, ingresa y para generar claves nuevas:
[INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists. ... [INFO]: The service account might have keys associated with it. It is recommended to use existing keys. Press: y to generate new keys.(this does not deactivate existing keys) Press: n to skip generating new keys.
-
Verifica que la clave de la cuenta de servicio se haya creado con el siguiente comando. Eres responsable de almacenar estas claves privadas de forma segura. Los nombres de los archivos de la clave tienen el prefijo del nombre de tu proyecto de Google Cloud.
ls $HYBRID_FILES/service-accounts
El resultado debería ser similar a lo siguiente:
project_id-apigee-non-prod.json
Ya creaste cuentas de servicio y asignaste las funciones que necesitan los componentes híbridos de Apigee. A continuación, crea los certificados TLS que requiere la puerta de enlace de entrada híbrida.
1 2 3 4 (SIGUIENTE) Paso 5: Crea certificados TLS 6 7 8 9 10