Esta página foi traduzida pela API Cloud Translation.

Passo 8: instale o tempo de execução híbrido

Aplique a configuração ao cluster

Siga os passos abaixo para instalar o Apigee hybrid no seu cluster:

Certifique-se de que está no diretório hybrid-base-directory/hybrid-files.
```
cd $HYBRID_FILES
```
Nota: uma vez que o ficheiro de substituições especifica ficheiros de contas de serviço através de caminhos relativos ao seu diretório hybrid-base-directory/hybrid-files, tem de executar os comandos a partir desse diretório.
Verifique se kubectl está definido para o contexto correto através do seguinte comando. O contexto atual deve ser definido para o cluster no qual está a implementar o Apigee Hybrid.
```
kubectl config current-context
```
O resultado deve incluir o nome do cluster no qual está a implementar o Apigee hybrid. Por exemplo, no GKE, o nome do contexto está normalmente no formato gke_project-id_cluster-location_cluster-name, como em:
```
gke_my-project_us-central1_my-cluster
```
Se o nome do cluster no contexto não corresponder, o comando seguinte obtém as credenciais gcloud do cluster e define o contexto kubectl:
Clusters regionais
```
gcloud container clusters get-credentials $CLUSTER_NAME \
--region $CLUSTER_LOCATION \
--project $PROJECT_ID
```
Clusters zonais
```
gcloud container clusters get-credentials $CLUSTER_NAME \
--zone $CLUSTER_LOCATION \
--project $PROJECT_ID
```
Apenas para as plataformas Anthos on bare metal, AWS on GKE, EKS e GKE on prem, verifique se a variável KUBECONFIG está definida através do seguinte comando:
```
echo ${KUBECONFIG}
```
Faça uma inicialização de execução de ensaio. A execução de um teste permite-lhe verificar a existência de erros antes de serem feitas alterações ao cluster. Execute o comando init com a flag --dry-run da seguinte forma:
```
${APIGEECTL_HOME}/apigeectl init -f overrides/overrides.yaml --dry-run=client
```
Se não houver erros, execute o comando init da seguinte forma:
```
${APIGEECTL_HOME}/apigeectl init -f overrides/overrides.yaml
```
O comando init instala os serviços de implementação do Apigee Apigee Deployment Controller e Apigee Admission Webhook.
Para verificar o estado da implementação, pode usar os seguintes comandos:
```
${APIGEECTL_HOME}/apigeectl check-ready -f overrides/overrides.yaml
```
```
kubectl get pods -n apigee-system
```
```
kubectl get pods -n apigee
```
Quando os pods estiverem prontos, avance para o passo seguinte.
Faça uma instalação de execução de ensaio. Execute o comando apply com a flag --dry-run.
```
${APIGEECTL_HOME}/apigeectl apply -f overrides/overrides.yaml --dry-run=client
```
Se não existirem erros, pode aplicar os componentes de tempo de execução específicos do Apigee ao cluster com o seguinte comando:
```
${APIGEECTL_HOME}/apigeectl apply -f overrides/overrides.yaml
```
Para verificar o estado da implementação, execute o seguinte comando:
```
${APIGEECTL_HOME}/apigeectl check-ready -f overrides/overrides.yaml
```
Repita este passo até que todos os pods estejam prontos. Os pods podem demorar vários minutos a iniciar.

Nota: se configurar o ficheiro de substituições para usar a identidade da carga de trabalho no GKE, pode ver um erro a indicar que o apigeeenvironment não está em execução. Continue para os passos na secção seguinte. check-ready mostra o seu ambiente do Apigee em execução depois de concluir os passos para ativar a identidade da carga de trabalho.

GKE com Workload Identity

Se estiver a usar a Workload Identity no GKE, siga estas instruções para associar as contas de serviço do Kubernetes criadas pelo apigeectl às contas de serviço Google que criou no Passo 4: crie contas de serviço e credenciais.

Estes procedimentos usam as seguintes variáveis de ambiente. Defina estes valores na shell de comandos ou substitua-os nos exemplos de código pelos valores reais:

APIGEECTL_HOME: o diretório onde instalou o apigeectl.
CLUSTER_LOCATION: a região ou a zona do seu cluster, por exemplo: us-west1.
CLUSTER_LOCATION: o nome do cluster.
ENV_NAME: o nome do ambiente do Apigee.
NAMESPACE: o seu espaço de nomes do Apigee. Por predefinição, apigee.
HYBRID_FILES: o diretório de ficheiros híbridos, por exemplo, hybrid-base-directory/hybrid-files.
ORG_NAME: o nome da sua organização do Apigee.
PROJECT_ID: o ID do seu projeto do Google Cloud.

Verifique as variáveis de ambiente:

echo $APIGEECTL_HOME
echo $CLUSTER_LOCATION
echo $ENV_NAME
echo $HYBRID_FILES
echo $NAMESPACE
echo $ORG_NAME
echo $PROJECT_ID

Inicialize qualquer uma das variáveis de que precisa:

export APIGEECTL_HOME=hybrid-base-directory/apigeectl
export CLUSTER_LOCATION=my-cluster-location
export ENV_NAME=my-environment-name
export HYBRID_FILES=hybrid-base-directory/hybrid-files
export NAMESPACE=apigee
export ORG_NAME=$PROJECT_ID
export PROJECT_ID=my-project-id

Opcional: elimine os ficheiros de chaves da conta de serviço.
Quando executa o Apigee hybrid no GKE, a prática padrão é criar e transferir chaves privadas (ficheiros .json) para cada uma das contas de serviço. Quando usa o Workload Identity, não precisa de transferir chaves privadas de contas de serviço e adicioná-las a clusters do GKE.

Pode eliminar os ficheiros de chaves com o seguinte comando:
```
rm $HYBRID_FILES/service-accounts/*.json
```
Verifique se a configuração atual do ID do projeto do Google Cloud com o seguinte comando:gcloud
```
gcloud config get project
```

Se necessário, defina a configuração gcloud atual:

gcloud config set project $PROJECT_ID

Crie a apigee-cassandra-restore conta de serviço do Kubernetes.
Quando aplicou a configuração executando apigeectl apply, o comando criou a maioria das contas de serviço do Kubernetes necessárias para a identidade de carga de trabalho.

Para criar a conta de serviço do Kubernetes, execute o comando apigeectl apply com a flag --restore:apigee-cassandra-restore
```
$APIGEECTL_HOME/apigeectl apply -f $HYBRID_FILES/overrides/overrides.yaml --restore
```

Verifique se o Workload Identity está ativado para o seu cluster do GKE. Quando criou o cluster no Passo 1: crie um cluster, o passo 6 consistia em ativar o Workload Identity. Pode confirmar se o Workload Identity está ativado executando o seguinte comando:

Clusters regionais

gcloud container clusters describe $CLUSTER_NAME \
  --region $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten 'workloadIdentityConfig'

Clusters zonais

gcloud container clusters describe $CLUSTER_NAME \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten 'workloadIdentityConfig'

Se o Workload Identity estiver ativado para o cluster, o resultado deve ser semelhante ao seguinte:

  ---
  workloadPool: PROJECT_ID.svc.id.goog

Se vir null nos resultados, execute o seguinte comando para ativar a identidade da carga de trabalho para o seu cluster:

Clusters regionais

gcloud container clusters update $CLUSTER_NAME \
  --workload-pool=$PROJECT_ID.svc.id.goog \
  --project $PROJECT_ID \
  --region $CLUSTER_LOCATION

Clusters zonais

gcloud container clusters update  $CLUSTER_NAME \
  --workload-pool=$PROJECT_ID.svc.id.goog \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID

Verifique se o Workload Identity está ativado nos seus node pools com os seguintes comandos:

Clusters regionais

gcloud container node-pools describe apigee-data \
  --cluster $CLUSTER_NAME \
  --region $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten "config:"

gcloud container node-pools describe apigee-runtime \
  --cluster $CLUSTER_NAME \
  --region $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten "config:"

Clusters zonais

gcloud container node-pools describe apigee-data \
  --cluster $CLUSTER_NAME \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten "config:"

gcloud container node-pools describe apigee-runtime \
  --cluster $CLUSTER_NAME \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten "config:"

O resultado deve ter um aspeto semelhante ao seguinte:

---
diskSizeGb: 100
diskType: pd-standard
...
workloadMetadataConfig:
  mode: GKE_METADATA

Se o resultado não contiver uma linha para workloadMetadataConfig:, ative a identidade de carga de trabalho para cada conjunto de nós com os seguintes comandos. Esta operação pode demorar até 30 minutos:

Clusters regionais

gcloud container node-pools update NODE_POOL_NAME \
  --cluster=$CLUSTER_NAME \
  --region $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --workload-metadata=GKE_METADATA

Clusters zonais

gcloud container node-pools update NODE_POOL_NAME \
  --cluster=$CLUSTER_NAME \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --workload-metadata=GKE_METADATA

Onde NODE_POOL_NAME é o nome de cada conjunto de nós. Na maioria das instalações do Apigee Hybrid, os dois conjuntos de nós predefinidos têm os nomes apigee-data e apigee-runtime.

Verifique os nomes das contas de serviço Google para o seu projeto com o seguinte comando:

gcloud iam service-accounts list --project $PROJECT_ID

O resultado deve ter um aspeto semelhante ao seguinte:

Não prod

Para ambientes de não produção:

DISPLAY NAME         EMAIL                                                      DISABLED
apigee-non-prod      apigee-non-prod@my_project_id.iam.gserviceaccount.com      False

Prod

Para ambientes de não produção:

DISPLAY NAME         EMAIL                                                      DISABLED
apigee-cassandra     apigee-cassandra@my_project_id.iam.gserviceaccount.com     False
apigee-logger        apigee-logger@my_project_id.iam.gserviceaccount.com        False
apigee-mart          apigee-mart@my_project_id.iam.gserviceaccount.com          False
apigee-metrics       apigee-metrics@my_project_id.iam.gserviceaccount.com       False
apigee-runtime       apigee-runtime@my_project_id.iam.gserviceaccount.com       False
apigee-synchronizer  apigee-synchronizer@my_project_id.iam.gserviceaccount.com  False
apigee-udca          apigee-udca@my_project_id.iam.gserviceaccount.com          False
apigee-watcher       apigee-watcher@my_project_id.iam.gserviceaccount.com       False

Valide as contas de serviço com o seguinte comando:

kubectl get sa -n $NAMESPACE

O resultado deve ter um aspeto semelhante ao seguinte. As contas de serviço do Kubernetes em negrito são as que tem de anotar com as suas contas de serviço Google:

NAME                                                         SECRETS   AGE
apigee-cassandra-backup                                      1         11m
apigee-cassandra-restore                                     1         11m
apigee-cassandra-schema-setup-my-project-id-123abcd-sa       1         11m
apigee-cassandra-schema-val-my-project-id-123abcd            1         11m
apigee-cassandra-user-setup-my-project-id-123abcd-sa         1         11m
apigee-connect-agent-my-project-id-123abcd-sa                1         11m
apigee-datastore-default-sa                                  1         11m
apigee-ingressgateway                                        1         11m
apigee-ingressgateway-my-project-id-123abcd                  1         11m
apigee-ingressgateway-manager                                1         11m
apigee-init                                                  1         11m
apigee-mart-my-project-id-123abcd-sa                         1         11m
apigee-metrics-sa                                            1         11m
apigee-mint-task-scheduler-my-project-id-123abcd-sa          1         11m
apigee-redis-default-sa                                      1         11m
apigee-redis-envoy-default-sa                                1         11m
apigee-runtime-my-project-id-env-name-234bcde-sa             1         11m
apigee-synchronizer-my-project-id-env-name-234bcde-sa        1         11m
apigee-udca-my-project-id-123abcd-sa                         1         11m
apigee-udca-my-project-id-env-name-234bcde-sa                1         11m
apigee-watcher-my-project-id-123abcd-sa                      1         11m
default                                                      1         11m

Para cada componente do Apigee, anote as contas de serviço do Kubernetes correspondentes com a conta de serviço Google para o componente.
IMPORTANTE: se os nomes das contas de serviço não corresponderem aos nomes predefinidos criados pelo create-service-account, substitua o nome da conta de serviço vermelho pelo nome da conta de serviço correto para o componente nos comandos seguintes. Por exemplo, se a sua conta de serviço do Cassandra se chamar my-cassandra-accnt-1, substitua apigee-cassandra por esse nome no comando.

Os passos seguintes usam duas variáveis de ambiente. Repõe os valores destas variáveis antes de cada conjunto de comandos:
- GSA_NAME: o nome de uma conta de serviço Google. Estas são as contas de serviço que criou com a ferramenta create-service-account no passo 4: crie contas de serviço.
- KSA_NAME: O nome de uma conta de serviço do Kubernetes. Estas são as contas que indicou acima com o comando kubectl get sa -n $NAMESPACE, por exemplo: apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa.
Sugestão: se encontrar um erro a indicar que a conta de serviço "NÃO FOI ENCONTRADA", experimente executar gcloud init para definir a configuração atual para o ID do projeto do Google Cloud e a localização do cluster corretos.

Cassandra

O componente Cassandra tem seis contas de serviço do Kubernetes associadas:

apigee-cassandra-backup
apigee-cassandra-restore
apigee-cassandra-schema-setup
apigee-cassandra-schema-val (val = validação)
apigee-cassandra-user-setup
apigee-datastore-default

Não prod

Os passos seguintes usam duas variáveis de ambiente. Repõe os valores destas variáveis antes de cada conjunto de comandos:

GSA_NAME: o nome de uma conta de serviço Google. Estas são as contas de serviço que criou com a ferramenta create-service-account no passo 4: crie contas de serviço.
KSA_NAME: O nome de uma conta de serviço do Kubernetes. Estas são as contas que indicou acima com o comando kubectl get sa -n $NAMESPACE.

apigee-cassandra-backup Conta de serviço do Kubernetes

Defina as variáveis de ambiente KSA_NAME e GSA_NAME:

GSA_NAME="apigee-non-prod"
KSA_NAME="apigee-cassandra-backup"

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

A saída deve ter uma linha que descreva a anotação, semelhante a:

Annotations:         iam.gke.io/gcp-service-account: apigee-non-prod@my-project-id.iam.gserviceaccount.com

apigee-cassandra-restore Conta de serviço do Kubernetes

Redefina a KSA_NAMEvariável de ambiente:
```
KSA_NAME="apigee-cassandra-restore"
```

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-cassandra-schema-setup Conta de serviço do Kubernetes

Redefina a KSA_NAMEvariável de ambiente:
```
KSA_NAME="apigee-cassandra-schema-setup-service-account-name-sa"
```
por exemplo: apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-cassandra-schema-val Conta de serviço do Kubernetes

Redefina a KSA_NAMEvariável de ambiente:
```
KSA_NAME="apigee-cassandra-schema-val-service-account-name"
```
por exemplo: apigee-cassandra-schema-val-hybrid-example-project-123abcd.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-cassandra-user-setup Conta de serviço do Kubernetes

Redefina a KSA_NAMEvariável de ambiente:
```
KSA_NAME="apigee-cassandra-user-setup-service-account-name-sa"
```
por exemplo: apigee-cassandra-user-setup-hybrid-example-project-123abcd-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-datastore-default-sa Conta de serviço do Kubernetes

Redefina a KSA_NAMEvariável de ambiente:
```
KSA_NAME="apigee-datastore-default-sa"
```

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Prod

apigee-cassandra-backup Conta de serviço do Kubernetes

Defina as variáveis de ambiente KSA_NAME e GSA_NAME:

GSA_NAME="apigee-cassandra"
KSA_NAME="apigee-cassandra-backup"

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

A saída deve ter uma linha que descreva a anotação, semelhante a:

Annotations:         iam.gke.io/gcp-service-account: apigee-cassandra@my-project-id.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-cassandra-restore Conta de serviço do Kubernetes

Redefina a variável de ambiente KSA_NAME:
```
KSA_NAME="apigee-cassandra-restore"
```

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

apigee-cassandra-schema-setup Conta de serviço do Kubernetes

Redefina a KSA_NAMEvariável de ambiente:
```
KSA_NAME="apigee-cassandra-schema-setup-service-account-name-sa"
```
por exemplo: apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-cassandra-schema-val Conta de serviço do Kubernetes

Redefina a KSA_NAMEvariável de ambiente:
```
KSA_NAME="apigee-cassandra-schema-val-service-account-name"
```
por exemplo: apigee-cassandra-schema-val-hybrid-example-project-123abcd.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-cassandra-user-setup Conta de serviço do Kubernetes

Redefina a KSA_NAMEvariável de ambiente:
```
KSA_NAME="apigee-cassandra-user-setup-service-account-name-sa"
```
por exemplo: apigee-cassandra-user-setup-hybrid-example-project-123abcd-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-datastore-default-sa Conta de serviço do Kubernetes

Redefina a KSA_NAMEvariável de ambiente:
```
KSA_NAME="apigee-datastore-default-sa"
```

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Apigee Connect

Não prod

Defina a KSA_NAMEvariável de ambiente:
```
KSA_NAME="apigee-connect-agent-service-account-name-sa"
```
por exemplo: apigee-connect-agent-hybrid-example-project-123abcd-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Prod

Defina as variáveis de ambiente KSA_NAME e GSA_NAME:
```
GSA_NAME="apigee-mart"
KSA_NAME="apigee-connect-agent-service-account-name-sa"
```
por exemplo: apigee-connect-agent-hybrid-example-project-123abcd-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

MART

Não prod

Defina a KSA_NAMEvariável de ambiente:
```
KSA_NAME="apigee-mart-service-account-name-sa"
```
por exemplo: apigee-mart-hybrid-example-project-123abcd-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Prod

Defina as variáveis de ambiente KSA_NAME e GSA_NAME:
```
GSA_NAME="apigee-mart"
KSA_NAME="apigee-mart-service-account-name-sa"
```
por exemplo: apigee-mart-hybrid-example-project-123abcd-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Métricas da Apigee

Não prod

Defina as KSA_NAMEvariáveis de ambiente:
```
KSA_NAME="apigee-metrics-sa"
```

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Prod

Defina as variáveis de ambiente KSA_NAME e GSA_NAME:

GSA_NAME="apigee-metrics"
KSA_NAME="apigee-metrics-sa"

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
--role roles/iam.workloadIdentityUser \
--member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
--project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
--namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

UDCA (org-level)

A UDCA é implementada nos âmbitos ao nível da organização e do ambiente. Por conseguinte, existem duas contas de serviço do Kubernetes separadas para o UDCA, uma para cada âmbito. Pode distinguir as contas pelo nome. A conta com âmbito de ambiente inclui o nome do ambiente no nome da conta de serviço. Por exemplo:

Nível da organização: apigee-udca-my-project-id-123abcd-sa onde my-project-id é o ID do projeto.
Env-level: apigee-udca-my-project-id-my-env-234bcde-sa em que my-env é o nome do ambiente.

Não prod

Defina as KSA_NAMEvariáveis de ambiente:
```
KSA_NAME="apigee-udca-service-account-name-sa"
```
por exemplo: apigee-udca-hybrid-example-project-123abcd-sa.

Associe a função de IAM:

  gcloud iam service-accounts add-iam-policy-binding \
    --role roles/iam.workloadIdentityUser \
    --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
    $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
    --project $PROJECT_ID

Anotar a conta de serviço:

  kubectl annotate serviceaccount \
    --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Prod

Defina as variáveis de ambiente KSA_NAME e GSA_NAME:
```
GSA_NAME="apigee-udca"
KSA_NAME="apigee-udca-service-account-name-sa"
```
por exemplo: apigee-udca-hybrid-example-project-123abcd-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Apigee Watcher

Não prod

Defina as KSA_NAMEvariáveis de ambiente:
```
KSA_NAME="apigee-watcher-service-account-name-sa"
```
por exemplo: apigee-watcher-hybrid-example-project-123abcd-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Prod

Defina as variáveis de ambiente KSA_NAME e GSA_NAME:
```
GSA_NAME="apigee-watcher"
KSA_NAME="apigee-watcher-service-account-name-sa"
```
por exemplo: apigee-watcher-hybrid-example-project-123abcd-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Tempo de execução

Não prod

Defina as KSA_NAMEvariáveis de ambiente:
```
KSA_NAME="apigee-runtime-env-level-service-account-name-sa"
```
por exemplo: apigee-runtime-hybrid-example-project-example-env-234bcde-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Prod

Defina as variáveis de ambiente KSA_NAME e GSA_NAME:
```
GSA_NAME="apigee-runtime"
KSA_NAME="apigee-runtime-env-level-service-account-name-sa"
```
por exemplo: apigee-runtime-hybrid-example-project-example-env-234bcde-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Sincronizador

Não prod

Defina as KSA_NAMEvariáveis de ambiente:
```
KSA_NAME="apigee-synchronizer-env-level-service-account-name-sa"
```
por exemplo: apigee-synchronizer-hybrid-example-project-example-env-234bcde-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Prod

Defina as variáveis de ambiente KSA_NAME e GSA_NAME:
```
GSA_NAME="apigee-synchronizer"
KSA_NAME="apigee-synchronizer-env-level-service-account-name-sa"
```
por exemplo: apigee-synchronizer-hybrid-example-project-example-env-234bcde-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

UDCA (env-level)

Não prod

Defina as KSA_NAMEvariáveis de ambiente:
```
KSA_NAME="apigee-udca-env-level-service-account-name-sa"
```
por exemplo: apigee-udca-hybrid-example-project-example-env-234bcde-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Prod

Defina as variáveis de ambiente KSA_NAME e GSA_NAME:
```
GSA_NAME="apigee-udca"
KSA_NAME="apigee-udca-env-level-service-account-name-sa"
```
por exemplo: apigee-udca-hybrid-example-project-example-env-234bcde-sa.

Associe a função de IAM:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anotar a conta de serviço:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Valide a anotação:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

(Opcional) Pode ver o estado das suas contas de serviço do Kubernetes na página Kubernetes: Vista geral das cargas de trabalho no Google Cloud console.
Aceda a Cargas de trabalho

Nota: pode ver um estado de erro para as contas de serviço apigee-cassandra-backup e apigee-cassandra-restore. Isto deve-se ao facto de não estar atualmente a executar uma cópia de segurança ou um restauro, e estes processos ainda não foram totalmente configurados. Para mais informações sobre a cópia de segurança e o restauro do Cassandra, consulte a vista geral da cópia de segurança do Cassandra.

Para verificar novamente o estado da implementação com apigeectl check-ready:

${APIGEECTL_HOME}/apigeectl check-ready -f ${HYBRID_FILES}/overrides/overrides.yaml

1 2 3 4 5 6 7 8 (NEXT) Passo 9: exponha a entrada do Apigee 10

Passo 8: instale o tempo de execução híbrido Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Aplique a configuração ao cluster

Clusters regionais

Clusters zonais

GKE com Workload Identity

Clusters regionais

Clusters zonais

Clusters regionais

Clusters zonais

Clusters regionais

Clusters zonais

Clusters regionais

Clusters zonais

Não prod

Prod

Não prod

Prod

Não prod

Prod

Não prod

Prod

Não prod

Prod

Não prod

Prod

Não prod

Prod

Não prod

Prod

Não prod

Prod

Não prod

Prod

Passo 8: instale o tempo de execução híbrido