此步骤介绍如何创建 Apigee Hybrid 运行所需的 Google Cloud 服务账号。
创建服务账号
Apigee Hybrid 使用 Google Cloud 服务账号来允许 Hybrid 组件通过授权的 API 调用进行通信。
在此步骤中,您将使用 Apigee Hybrid 命令行工具创建一组服务账号并下载服务账号私钥文件。
在生产混合环境中,Apigee 建议您对每个组件使用单独的服务账号。在本教程中,您可以创建一个名为“apigee-non-prod”的服务账号,您可以将该账号用于所有组件。
如需详细了解服务账号并查看建议用于生产环境的服务账号的完整列表,请参阅以下内容:
Apigee 提供了一个工具 create-service-account,可在一个命令中创建服务账号、将角色分配给服务账号以及创建和下载服务账号的密钥文件。
- 如需详细了解
create-service-account及其所有选项,请参阅create-service-account。 - 如需了解相关的 Google Cloud 概念,请参阅创建和管理服务账号以及创建和管理服务账号密钥。
- 确保已设置 HYBRID_FILENAME 和 PROJECT_ID 环境变量。
PROJECT_ID 必须设置为您的 Google Cloud 项目 ID,因为
create-service-account工具会读取 PROJECT_ID 环境变量以在正确的项目中创建服务账号。echo $HYBRID_FILES
echo $PROJECT_ID -
使用以下命令创建非生产环境服务账号。此命令会创建一个名为
apigee-non-prod的服务账号,以用于非生产环境,并将下载的密钥文件放在$HYBRID_FILES/service-accounts目录中。$HYBRID_FILES/tools/create-service-account --env non-prod --dir $HYBRID_FILES/service-accounts
当您看到以下提示时,请输入 y:
[INFO]: gcloud configured project ID is project_id. Enter: y to proceed with creating service account in project: project_id Enter: n to abort.
如果这是您第一次创建分配有特定名称的 SA,则该工具会在没有进一步提示的情况下创建它。
但是,如果您看到以下消息和提示,请输入 y 以生成新的密钥:
[INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists. ... [INFO]: The service account might have keys associated with it. It is recommended to use existing keys. Press: y to generate new keys.(this does not deactivate existing keys) Press: n to skip generating new keys.
-
使用以下命令验证是否已创建服务账号密钥。您需要确保安全地存储这些私钥。密钥文件名以您的 Google Cloud 项目的名称为前缀。
ls $HYBRID_FILES/service-accounts
结果应该类似如下所示:
project_id-apigee-non-prod.json
现在,您已经创建了服务账号并分配了 Apigee Hybrid 组件所需的角色。接下来,创建混合入站流量网关所需的 TLS 证书。
后续步骤
1 2 3 4 (下一步)第 5 步:创建 TLS 证书 6 7 8 9 10