Esta página se ha traducido con Cloud Translation API.

Paso 8: Instala el entorno de ejecución híbrido

Aplica la configuración al clúster

Sigue estos pasos para instalar Apigee hybrid en tu clúster:

Asegúrate de que estás en el directorio hybrid-base-directory/hybrid-files.
```
cd $HYBRID_FILES
```
Nota: Como el archivo de anulaciones especifica los archivos de la cuenta de servicio mediante rutas relativas a tu directorio hybrid-base-directory/hybrid-files, debes ejecutar los comandos desde ese directorio.
Verifica que kubectl esté configurado en el contexto correcto con el siguiente comando. El contexto actual debe ser el clúster en el que vas a implementar Apigee Hybrid.
```
kubectl config current-context
```
El resultado debe incluir el nombre del clúster en el que vas a implementar Apigee hybrid. Por ejemplo, en GKE, el nombre del contexto suele tener el formato gke_project-id_cluster-location_cluster-name, como en el siguiente ejemplo:
```
gke_my-project_us-central1_my-cluster
```
Si el nombre del clúster del contexto no coincide, el siguiente comando obtendrá las credenciales de gcloud del clúster y definirá el contexto de kubectl:
Clústeres regionales
```
gcloud container clusters get-credentials $CLUSTER_NAME \
--region $CLUSTER_LOCATION \
--project $PROJECT_ID
```
Clústeres zonales
```
gcloud container clusters get-credentials $CLUSTER_NAME \
--zone $CLUSTER_LOCATION \
--project $PROJECT_ID
```
Solo para las plataformas Anthos on bare metal, AWS on GKE, EKS y GKE On-Prem, comprueba que la variable KUBECONFIG se ha definido con el siguiente comando:
```
echo ${KUBECONFIG}
```
Haz una inicialización de prueba de funcionamiento. Al hacer una prueba, puedes comprobar si hay errores antes de que se apliquen cambios al clúster. Ejecuta el comando init con la marca --dry-run de la siguiente manera:
```
${APIGEECTL_HOME}/apigeectl init -f overrides/overrides.yaml --dry-run=client
```
Si no hay errores, ejecuta el comando init de la siguiente manera:
```
${APIGEECTL_HOME}/apigeectl init -f overrides/overrides.yaml
```
El comando init instala los servicios de despliegue de Apigee Apigee Deployment Controller y Apigee Admission Webhook.
Para comprobar el estado de la implementación, puedes usar los siguientes comandos:
```
${APIGEECTL_HOME}/apigeectl check-ready -f overrides/overrides.yaml
```
```
kubectl get pods -n apigee-system
```
```
kubectl get pods -n apigee
```
Cuando los pods estén listos, ve al siguiente paso.
Haz una instalación de prueba de funcionamiento. Ejecuta el comando apply con la marca --dry-run.
```
${APIGEECTL_HOME}/apigeectl apply -f overrides/overrides.yaml --dry-run=client
```
Si no hay errores, puedes aplicar los componentes de tiempo de ejecución específicos de Apigee al clúster con el siguiente comando:
```
${APIGEECTL_HOME}/apigeectl apply -f overrides/overrides.yaml
```
Para comprobar el estado del despliegue, ejecuta el siguiente comando:
```
${APIGEECTL_HOME}/apigeectl check-ready -f overrides/overrides.yaml
```
Repite este paso hasta que todos los pods estén listos. Los pods pueden tardar varios minutos en iniciarse.

Nota: Si configura el archivo de anulaciones para usar Workload Identity en GKE, es posible que vea un error que indica que apigeeenvironment no se está ejecutando. Sigue los pasos que se indican en la siguiente sección. check-ready mostrará tu entorno de Apigee en ejecución después de completar los pasos para habilitar Workload Identity.

GKE con Workload Identity

Si usas Workload Identity en GKE, sigue estas instrucciones para asociar las cuentas de servicio de Kubernetes creadas por apigeectl con las cuentas de servicio de Google que creaste en el paso 4: Crea cuentas de servicio y credenciales.

En estos procedimientos se usan las siguientes variables de entorno. Puedes definir estos valores en tu shell de comandos o sustituirlos por los valores reales en los ejemplos de código:

APIGEECTL_HOME: el directorio en el que has instalado apigeectl.
CLUSTER_LOCATION: la región o zona de tu clúster. Por ejemplo, us-west1.
CLUSTER_LOCATION: el nombre del clúster.
ENV_NAME: nombre del entorno de Apigee.
NAMESPACE: tu espacio de nombres de Apigee. El valor predeterminado es apigee.
HYBRID_FILES: tu directorio de archivos híbrido. Por ejemplo, hybrid-base-directory/hybrid-files.
ORG_NAME: el nombre de tu organización de Apigee.
PROJECT_ID: el ID de tu proyecto de Google Cloud.

Verifica las variables de entorno:

echo $APIGEECTL_HOME
echo $CLUSTER_LOCATION
echo $ENV_NAME
echo $HYBRID_FILES
echo $NAMESPACE
echo $ORG_NAME
echo $PROJECT_ID

Inicializa las variables que necesites:

export APIGEECTL_HOME=hybrid-base-directory/apigeectl
export CLUSTER_LOCATION=my-cluster-location
export ENV_NAME=my-environment-name
export HYBRID_FILES=hybrid-base-directory/hybrid-files
export NAMESPACE=apigee
export ORG_NAME=$PROJECT_ID
export PROJECT_ID=my-project-id

Opcional: Elimina los archivos de claves de la cuenta de servicio.
Cuando se ejecuta Apigee hybrid en GKE, lo habitual es crear y descargar claves privadas (archivos .json) para cada una de las cuentas de servicio. Cuando se usa Workload Identity, no es necesario descargar claves privadas de cuentas de servicio ni añadirlas a los clústeres de GKE.

Puedes eliminar los archivos de claves con el siguiente comando:
```
rm $HYBRID_FILES/service-accounts/*.json
```
Comprueba la configuración actual de gcloud con el ID de tu proyecto de Google Cloud con el siguiente comando:
```
gcloud config get project
```

Si es necesario, define la configuración actual de gcloud:

gcloud config set project $PROJECT_ID

Crea la cuenta de servicio de Kubernetes apigee-cassandra-restore.
Cuando aplicaste la configuración ejecutando apigeectl apply, el comando creó la mayoría de las cuentas de servicio de Kubernetes necesarias para la identidad de carga de trabajo.

Para crear la cuenta de servicio de Kubernetes apigee-cassandra-restore, ejecuta apigeectl apply con la marca --restore:
```
$APIGEECTL_HOME/apigeectl apply -f $HYBRID_FILES/overrides/overrides.yaml --restore
```

Verifica que Workload Identity esté habilitado en tu clúster de GKE. Cuando creaste el clúster en el paso 1: Crea un clúster, el paso 6 consistía en habilitar Workload Identity. Para confirmar si Workload Identity está habilitado, ejecuta el siguiente comando:

Clústeres regionales

gcloud container clusters describe $CLUSTER_NAME \
  --region $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten 'workloadIdentityConfig'

Clústeres zonales

gcloud container clusters describe $CLUSTER_NAME \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten 'workloadIdentityConfig'

Si Workload Identity está habilitado en el clúster, la salida debería ser similar a la siguiente:

  ---
  workloadPool: PROJECT_ID.svc.id.goog

Si ves null en los resultados, ejecuta el siguiente comando para habilitar Workload Identity en tu clúster:

Clústeres regionales

gcloud container clusters update $CLUSTER_NAME \
  --workload-pool=$PROJECT_ID.svc.id.goog \
  --project $PROJECT_ID \
  --region $CLUSTER_LOCATION

Clústeres zonales

gcloud container clusters update  $CLUSTER_NAME \
  --workload-pool=$PROJECT_ID.svc.id.goog \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID

Verifica que la identidad de carga de trabajo esté habilitada en tus grupos de nodos con los siguientes comandos:

Clústeres regionales

gcloud container node-pools describe apigee-data \
  --cluster $CLUSTER_NAME \
  --region $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten "config:"

gcloud container node-pools describe apigee-runtime \
  --cluster $CLUSTER_NAME \
  --region $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten "config:"

Clústeres zonales

gcloud container node-pools describe apigee-data \
  --cluster $CLUSTER_NAME \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten "config:"

gcloud container node-pools describe apigee-runtime \
  --cluster $CLUSTER_NAME \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --flatten "config:"

La salida debería tener un aspecto similar a este:

---
diskSizeGb: 100
diskType: pd-standard
...
workloadMetadataConfig:
  mode: GKE_METADATA

Si el resultado no contiene una línea para workloadMetadataConfig:, habilita la identidad de carga de trabajo en cada grupo de nodos con los siguientes comandos. Esta operación puede tardar hasta 30 minutos:

Clústeres regionales

gcloud container node-pools update NODE_POOL_NAME \
  --cluster=$CLUSTER_NAME \
  --region $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --workload-metadata=GKE_METADATA

Clústeres zonales

gcloud container node-pools update NODE_POOL_NAME \
  --cluster=$CLUSTER_NAME \
  --zone $CLUSTER_LOCATION \
  --project $PROJECT_ID \
  --workload-metadata=GKE_METADATA

Donde NODE_POOL_NAME es el nombre de cada grupo de nodos. En la mayoría de las instalaciones de Apigee hybrid, los dos grupos de nodos predeterminados se denominan apigee-data y apigee-runtime.

Consulta los nombres de las cuentas de servicio de Google de tu proyecto con el siguiente comando:

gcloud iam service-accounts list --project $PROJECT_ID

La salida debería tener un aspecto similar a este:

No producción

En entornos que no sean de producción:

DISPLAY NAME         EMAIL                                                      DISABLED
apigee-non-prod      apigee-non-prod@my_project_id.iam.gserviceaccount.com      False

Producción

En entornos que no sean de producción:

DISPLAY NAME         EMAIL                                                      DISABLED
apigee-cassandra     apigee-cassandra@my_project_id.iam.gserviceaccount.com     False
apigee-logger        apigee-logger@my_project_id.iam.gserviceaccount.com        False
apigee-mart          apigee-mart@my_project_id.iam.gserviceaccount.com          False
apigee-metrics       apigee-metrics@my_project_id.iam.gserviceaccount.com       False
apigee-runtime       apigee-runtime@my_project_id.iam.gserviceaccount.com       False
apigee-synchronizer  apigee-synchronizer@my_project_id.iam.gserviceaccount.com  False
apigee-udca          apigee-udca@my_project_id.iam.gserviceaccount.com          False
apigee-watcher       apigee-watcher@my_project_id.iam.gserviceaccount.com       False

Verifica las cuentas de servicio con el siguiente comando:

kubectl get sa -n $NAMESPACE

La salida debería tener un aspecto similar al siguiente. Las cuentas de servicio de Kubernetes en negrita son las que tendrás que anotar con tus cuentas de servicio de Google:

NAME                                                         SECRETS   AGE
apigee-cassandra-backup                                      1         11m
apigee-cassandra-restore                                     1         11m
apigee-cassandra-schema-setup-my-project-id-123abcd-sa       1         11m
apigee-cassandra-schema-val-my-project-id-123abcd            1         11m
apigee-cassandra-user-setup-my-project-id-123abcd-sa         1         11m
apigee-connect-agent-my-project-id-123abcd-sa                1         11m
apigee-datastore-default-sa                                  1         11m
apigee-ingressgateway                                        1         11m
apigee-ingressgateway-my-project-id-123abcd                  1         11m
apigee-ingressgateway-manager                                1         11m
apigee-init                                                  1         11m
apigee-mart-my-project-id-123abcd-sa                         1         11m
apigee-metrics-sa                                            1         11m
apigee-mint-task-scheduler-my-project-id-123abcd-sa          1         11m
apigee-redis-default-sa                                      1         11m
apigee-redis-envoy-default-sa                                1         11m
apigee-runtime-my-project-id-env-name-234bcde-sa             1         11m
apigee-synchronizer-my-project-id-env-name-234bcde-sa        1         11m
apigee-udca-my-project-id-123abcd-sa                         1         11m
apigee-udca-my-project-id-env-name-234bcde-sa                1         11m
apigee-watcher-my-project-id-123abcd-sa                      1         11m
default                                                      1         11m

En cada componente de Apigee, anota las cuentas de servicio de Kubernetes correspondientes con la cuenta de servicio de Google del componente.
IMPORTANTE: Si los nombres de tus cuentas de servicio no coinciden con los nombres predeterminados creados por create-service-account, sustituye el nombre de la cuenta de servicio en rojo por el nombre correcto de la cuenta de servicio del componente en los siguientes comandos. Por ejemplo, si tu cuenta de servicio de Cassandra se llama my-cassandra-accnt-1, sustituye apigee-cassandra por ese nombre en el comando.

En los pasos siguientes se usan dos variables de entorno. Restablecerás los valores de estas variables antes de cada conjunto de comandos:
- GSA_NAME: el nombre de una cuenta de servicio de Google. Estas son las cuentas de servicio que has creado con la herramienta create-service-account en el paso 4: Crea cuentas de servicio.
- KSA_NAME: nombre de una cuenta de servicio de Kubernetes. Estas son las cuentas que ha indicado anteriormente con el comando kubectl get sa -n $NAMESPACE, por ejemplo: apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa.
Nota: Si aparece un error que indica que no se ha encontrado la cuenta de servicio, prueba a ejecutar gcloud init para definir la configuración actual con el ID de proyecto de Google Cloud y la ubicación del clúster correctos.

Cassandra

El componente Cassandra tiene seis cuentas de servicio de Kubernetes asociadas:

apigee-cassandra-backup
apigee-cassandra-restore
apigee-cassandra-schema-setup
apigee-cassandra-schema-val (val = validación)
apigee-cassandra-user-setup
apigee-datastore-default

No producción

En los pasos siguientes se usan dos variables de entorno. Restablecerás los valores de estas variables antes de cada conjunto de comandos:

GSA_NAME: el nombre de una cuenta de servicio de Google. Estas son las cuentas de servicio que has creado con la herramienta create-service-account en el paso 4: Crea cuentas de servicio.
KSA_NAME: nombre de una cuenta de servicio de Kubernetes. Estas son las cuentas que has indicado anteriormente con el comando kubectl get sa -n $NAMESPACE.

apigee-cassandra-backup Cuenta de servicio de Kubernetes

Define las variables de entorno KSA_NAME y GSA_NAME:

GSA_NAME="apigee-non-prod"
KSA_NAME="apigee-cassandra-backup"

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

La salida debe incluir una línea que describa la anotación, como la siguiente:

Annotations:         iam.gke.io/gcp-service-account: apigee-non-prod@my-project-id.iam.gserviceaccount.com

apigee-cassandra-restore Cuenta de servicio de Kubernetes

Vuelve a definir la variable de entorno KSA_NAME:
```
KSA_NAME="apigee-cassandra-restore"
```

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-cassandra-schema-setup Cuenta de servicio de Kubernetes

Vuelve a definir la variable de entorno KSA_NAME:
```
KSA_NAME="apigee-cassandra-schema-setup-service-account-name-sa"
```
Por ejemplo: apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-cassandra-schema-val Cuenta de servicio de Kubernetes

Vuelve a definir la variable de entorno KSA_NAME:
```
KSA_NAME="apigee-cassandra-schema-val-service-account-name"
```
Por ejemplo: apigee-cassandra-schema-val-hybrid-example-project-123abcd.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-cassandra-user-setup Cuenta de servicio de Kubernetes

Vuelve a definir la variable de entorno KSA_NAME:
```
KSA_NAME="apigee-cassandra-user-setup-service-account-name-sa"
```
Por ejemplo: apigee-cassandra-user-setup-hybrid-example-project-123abcd-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-datastore-default-sa Cuenta de servicio de Kubernetes

Vuelve a definir la variable de entorno KSA_NAME:
```
KSA_NAME="apigee-datastore-default-sa"
```

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Producción

apigee-cassandra-backup Cuenta de servicio de Kubernetes

Define las variables de entorno KSA_NAME y GSA_NAME:

GSA_NAME="apigee-cassandra"
KSA_NAME="apigee-cassandra-backup"

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

La salida debe incluir una línea que describa la anotación, como la siguiente:

Annotations:         iam.gke.io/gcp-service-account: apigee-cassandra@my-project-id.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-cassandra-restore Cuenta de servicio de Kubernetes

Vuelve a definir la variable de entorno KSA_NAME:
```
KSA_NAME="apigee-cassandra-restore"
```

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

apigee-cassandra-schema-setup Cuenta de servicio de Kubernetes

Vuelve a definir la variable de entorno KSA_NAME:
```
KSA_NAME="apigee-cassandra-schema-setup-service-account-name-sa"
```
Por ejemplo: apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-cassandra-schema-val Cuenta de servicio de Kubernetes

Vuelve a definir la variable de entorno KSA_NAME:
```
KSA_NAME="apigee-cassandra-schema-val-service-account-name"
```
Por ejemplo: apigee-cassandra-schema-val-hybrid-example-project-123abcd.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-cassandra-user-setup Cuenta de servicio de Kubernetes

Vuelve a definir la variable de entorno KSA_NAME:
```
KSA_NAME="apigee-cassandra-user-setup-service-account-name-sa"
```
Por ejemplo: apigee-cassandra-user-setup-hybrid-example-project-123abcd-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

apigee-datastore-default-sa Cuenta de servicio de Kubernetes

Vuelve a definir la variable de entorno KSA_NAME:
```
KSA_NAME="apigee-datastore-default-sa"
```

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Apigee Connect

No producción

Define la variable de entorno KSA_NAME:
```
KSA_NAME="apigee-connect-agent-service-account-name-sa"
```
Por ejemplo: apigee-connect-agent-hybrid-example-project-123abcd-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Producción

Define las variables de entorno KSA_NAME y GSA_NAME:
```
GSA_NAME="apigee-mart"
KSA_NAME="apigee-connect-agent-service-account-name-sa"
```
Por ejemplo: apigee-connect-agent-hybrid-example-project-123abcd-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

MART

No producción

Define la variable de entorno KSA_NAME:
```
KSA_NAME="apigee-mart-service-account-name-sa"
```
Por ejemplo: apigee-mart-hybrid-example-project-123abcd-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Producción

Define las variables de entorno KSA_NAME y GSA_NAME:
```
GSA_NAME="apigee-mart"
KSA_NAME="apigee-mart-service-account-name-sa"
```
Por ejemplo: apigee-mart-hybrid-example-project-123abcd-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Métricas de Apigee

No producción

Define las variables de entorno KSA_NAME:
```
KSA_NAME="apigee-metrics-sa"
```

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Producción

Define las variables de entorno KSA_NAME y GSA_NAME:

GSA_NAME="apigee-metrics"
KSA_NAME="apigee-metrics-sa"

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
--role roles/iam.workloadIdentityUser \
--member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
--project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
--namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

UDCA (nivel de organización)

UDCA se implementa en ámbitos de nivel de organización y de nivel de entorno. Por lo tanto, hay dos cuentas de servicio de Kubernetes independientes para UDCA, una para cada ámbito. Puedes diferenciarlas por el nombre de la cuenta. La cuenta env-scope incluye el nombre del entorno en el nombre de la cuenta de servicio. Por ejemplo:

Nivel de organización: apigee-udca-my-project-id-123abcd-sa, donde my-project-id es el ID del proyecto.
Nivel de entorno: apigee-udca-my-project-id-my-env-234bcde-sa donde my-env es el nombre del entorno.

No producción

Define las variables de entorno KSA_NAME:
```
KSA_NAME="apigee-udca-service-account-name-sa"
```
Por ejemplo: apigee-udca-hybrid-example-project-123abcd-sa.

Asigna el rol de gestión de identidades y accesos:

  gcloud iam service-accounts add-iam-policy-binding \
    --role roles/iam.workloadIdentityUser \
    --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
    $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
    --project $PROJECT_ID

Anota la cuenta de servicio:

  kubectl annotate serviceaccount \
    --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Producción

Define las variables de entorno KSA_NAME y GSA_NAME:
```
GSA_NAME="apigee-udca"
KSA_NAME="apigee-udca-service-account-name-sa"
```
Por ejemplo: apigee-udca-hybrid-example-project-123abcd-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Apigee Watcher

No producción

Define las variables de entorno KSA_NAME:
```
KSA_NAME="apigee-watcher-service-account-name-sa"
```
Por ejemplo: apigee-watcher-hybrid-example-project-123abcd-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Producción

Define las variables de entorno KSA_NAME y GSA_NAME:
```
GSA_NAME="apigee-watcher"
KSA_NAME="apigee-watcher-service-account-name-sa"
```
Por ejemplo: apigee-watcher-hybrid-example-project-123abcd-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Tiempo de ejecución

No producción

Define las variables de entorno KSA_NAME:
```
KSA_NAME="apigee-runtime-env-level-service-account-name-sa"
```
Por ejemplo: apigee-runtime-hybrid-example-project-example-env-234bcde-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Producción

Define las variables de entorno KSA_NAME y GSA_NAME:
```
GSA_NAME="apigee-runtime"
KSA_NAME="apigee-runtime-env-level-service-account-name-sa"
```
Por ejemplo: apigee-runtime-hybrid-example-project-example-env-234bcde-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Sincronizador

No producción

Define las variables de entorno KSA_NAME:
```
KSA_NAME="apigee-synchronizer-env-level-service-account-name-sa"
```
Por ejemplo: apigee-synchronizer-hybrid-example-project-example-env-234bcde-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Producción

Define las variables de entorno KSA_NAME y GSA_NAME:
```
GSA_NAME="apigee-synchronizer"
KSA_NAME="apigee-synchronizer-env-level-service-account-name-sa"
```
Por ejemplo: apigee-synchronizer-hybrid-example-project-example-env-234bcde-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

UDCA (nivel de entorno)

No producción

Define las variables de entorno KSA_NAME:
```
KSA_NAME="apigee-udca-env-level-service-account-name-sa"
```
Por ejemplo: apigee-udca-hybrid-example-project-example-env-234bcde-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

Producción

Define las variables de entorno KSA_NAME y GSA_NAME:
```
GSA_NAME="apigee-udca"
KSA_NAME="apigee-udca-env-level-service-account-name-sa"
```
Por ejemplo: apigee-udca-hybrid-example-project-example-env-234bcde-sa.

Asigna el rol de gestión de identidades y accesos:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
  $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
  --project $PROJECT_ID

Anota la cuenta de servicio:

kubectl annotate serviceaccount \
  --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

Verifica la anotación:

kubectl describe serviceaccount \
  --namespace $NAMESPACE $KSA_NAME

(Opcional) Puedes ver el estado de tus cuentas de servicio de Kubernetes en la página Kubernetes: Información general de las cargas de trabajo de la Google Cloud console.
Ve a Cargas de trabajo.

Nota: Puede que vea un estado de error en las cuentas de servicio apigee-cassandra-backup y apigee-cassandra-restore. Esto se debe a que no estás ejecutando ninguna copia de seguridad ni restauración, y estos procesos aún no se han configurado por completo. Para obtener más información sobre la copia de seguridad y la restauración de Cassandra, consulta la descripción general de la copia de seguridad de Cassandra.
Para volver a comprobar el estado del despliegue con apigeectl check-ready, sigue estos pasos:
```
${APIGEECTL_HOME}/apigeectl check-ready -f ${HYBRID_FILES}/overrides/overrides.yaml
```

1 2 3 4 5 6 7 8 (NEXT) Paso 9: Exponer el ingreso de Apigee 10

Paso 8: Instala el entorno de ejecución híbrido Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Aplica la configuración al clúster

Clústeres regionales

Clústeres zonales

GKE con Workload Identity

Clústeres regionales

Clústeres zonales

Clústeres regionales

Clústeres zonales

Clústeres regionales

Clústeres zonales

Clústeres regionales

Clústeres zonales

No producción

Producción

No producción

Producción

No producción

Producción

No producción

Producción

No producción

Producción

No producción

Producción

No producción

Producción

No producción

Producción

No producción

Producción

No producción

Producción

Paso 8: Instala el entorno de ejecución híbrido