In diesem Schritt wird erläutert, wie Sie die Google Cloud-Dienstkonten erstellen, die für das Funktionieren von Apigee Hybrid erforderlich sind.
Dienstkonten erstellen
Apigee Hybrid verwendet Google Cloud-Dienstkonten, um die Kommunikation zwischen Hybrid-Komponenten über autorisierte API-Aufrufe zu ermöglichen.
In diesem Schritt erstellen Sie mit einem Hybrid-Befehlszeilentool von Apigee eine Reihe von Dienstkonten und laden die Dateien mit dem privaten Schlüssel des Dienstkontos herunter.
In einer Hybridumgebung in einer Produktionsumgebung empfiehlt Apigee, für jede Komponente ein separates Dienstkonto zu verwenden. Für diese Anleitung können Sie ein einzelnes Dienstkonto mit dem Namen "apigee-non-prod" erstellen, das Sie für alle Komponenten verwenden können.
Weitere Informationen zu Dienstkonten und die vollständige Liste der Dienstkonten, die für Produktionsumgebungen empfohlen werden, finden Sie hier:
Apigee stellt das Tool create-service-account bereit, mit dem die Dienstkonten erstellt werden, die Rollen den Dienstkonten zugewiesen werden und die Schlüsseldateien für das Dienstkonto in einem einzigen Befehl erstellt und heruntergeladen werden.
- Weitere Informationen zu
create-service-accountund allen möglichen Optionen finden Sie untercreate-service-account. - Weitere Informationen zu den verknüpften Google Cloud-Konzepten finden Sie unter Dienstkonten erstellen und verwalten und Dienstkontoschlüssel erstellen und verwalten.
- Achten Sie darauf, dass die Umgebungsvariablen HYBRID_FILES und HYBRID_FILES festgelegt sind.
PROJECT_ID muss auf Ihre Google Cloud-Projekt-ID eingestellt sein, da das
create-service-account-Tool die Umgebungsvariable PROJECT_ID liest, um die Dienstkonten im richtigen Projekt zu erstellen.echo $HYBRID_FILES
echo $PROJECT_ID -
Erstellen Sie mit dem folgenden Befehl ein Dienstkonto, das nicht für die Produktion bestimmt ist. Mit diesem Befehl wird ein einzelnes Dienstkonto mit dem Namen
apigee-non-prodfür die Verwendung in einer Nicht-Produktionsumgebung erstellt und die heruntergeladene Schlüsseldatei im Verzeichnis$HYBRID_FILES/service-accountsabgelegt.$HYBRID_FILES/tools/create-service-account --env non-prod --dir $HYBRID_FILES/service-accounts
Wenn die folgende Eingabeaufforderung angezeigt wird, geben Sie y ein:
[INFO]: gcloud configured project ID is project_id. Enter: y to proceed with creating service account in project: project_id Enter: n to abort.
Wenn Sie zum ersten Mal eine SA mit einem bestimmten Namen erstellen, wird sie vom Tool ohne weitere Aufforderungen erstellt.
Wenn jedoch die folgende Meldung und Eingabeaufforderung angezeigt wird, geben Sie y ein, um neue Schlüssel zu generieren:
[INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists. ... [INFO]: The service account might have keys associated with it. It is recommended to use existing keys. Press: y to generate new keys.(this does not deactivate existing keys) Press: n to skip generating new keys.
-
Prüfen Sie mit dem folgenden Befehl, ob der Dienstkontoschlüssel erstellt wurde. Sie sind dafür verantwortlich, diese privaten Schlüssel sicher zu speichern. Den Schlüsselnamen ist der Name Ihres Google Cloud-Projekts vorangestellt.
ls $HYBRID_FILES/service-accounts
Das Ergebnis sollte ungefähr so aussehen:
project_id-apigee-non-prod.json
Sie haben jetzt Dienstkonten erstellt und die Rollen zugewiesen, die die Apigee Hybrid-Komponenten benötigen. Im nächsten Schritt erstellen Sie die für das Hybrid-Ingress-Gateway erforderlichen TLS-Zertifikate.
1 2 3 4 (WEITER) Schritt 5: TLS-Zertifikate erstellen 6 7 8 9 10