Questo passaggio spiega come creare gli account di servizio Google Cloud e le credenziali TLS necessari per il funzionamento di Apigee hybrid.
Crea gli account di servizio
Apigee hybrid utilizza Google Cloud account di servizio per consentire ai componenti ibridi di comunicare rendendo Chiamate API.
In questo passaggio, utilizzerai uno strumento a riga di comando ibrido Apigee per creare un set di account di servizio e scaricare i file delle chiavi private dell'account di servizio.
Per scoprire di più sugli account di servizio e leggere l'elenco completo degli account di servizio consigliati per di produzione, consulta le seguenti risorse:
Apigee fornisce uno strumento, create-service-account
, che crea gli account di servizio,
Assegna i ruoli agli account di servizio, quindi crea e scarica i file chiave per il servizio
con un singolo comando. Per saperne di più sui concetti correlati di Google Cloud, consulta
Creazione in corso
e la gestione degli account di servizio e
Creazione in corso...
e la gestione delle chiavi degli account di servizio.
-
Assicurati di trovarti nella directory
base_directory/hybrid-files
in cui configurate in Configurare la struttura della directory del progetto. -
Esegui questo comando dalla directory
hybrid-files
. Questo comando crea un account di servizio per il componenteapigee-metrics
e inserisce la chiave scaricata nella directory./service-accounts
../tools/create-service-account apigee-metrics ./service-accounts
Quando viene visualizzato questo prompt, inserisci y:
[INFO]: gcloud configured project ID is project_id. Press: y to proceed with creating service account in project: project_id Press: n to abort.
Se è la prima volta che viene creato un SA con il nome esatto assegnato dallo strumento, lo strumento si limita a crearlo e non devi fare altro.
Se invece viene visualizzato il messaggio e la richiesta seguenti, inserisci y per generare nuove chiavi:
[INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists. ... [INFO]: The service account might have keys associated with it. It is recommended to use existing keys. Press: y to generate new keys.(this does not de-activate existing keys) Press: n to skip generating new keys.
-
Ora crea gli altri account di servizio utilizzando i comandi seguenti. Il comando
create-service-account
è interattivo e richiede una risposta per ogni account../tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts
./tools/create-service-account apigee-watcher ./service-accounts
./tools/create-service-account apigee-distributed-trace ./service-accounts
-
Verifica che le chiavi dell'account di servizio siano state create utilizzando il seguente comando. Sei responsabile dell'archiviazione
le tue chiavi private in modo sicuro. I nomi file della chiave sono preceduti dal prefisso del nome del progetto Google Cloud.
ls ./service-accounts
Il risultato dovrebbe essere simile al seguente:
gcp-project-id-apigee-cassandra.json gcp-project-id-apigee-distributed-trace.json gcp-project-id-apigee-logger.json gcp-project-id-apigee-mart.json gcp-project-id-apigee-metrics.json gcp-project-id-apigee-synchronizer.json gcp-project-id-apigee-udca.json gcp-project-id-apigee-watcher.json
Creare certificati TLS
Devi fornire certificati TLS per il gateway in entrata del runtime nel tuo la configurazione ibrida di Apigee. Ai fini di questa guida rapida (un'installazione di prova non di produzione), il gateway di runtime può accettare le credenziali autofirmate. Nei passaggi successivi, openssl viene utilizzato per generare le credenziali autofirmate.
In questo passaggio creerai i file di credenziali TLS e li aggiungerai a
nella directory base_directory/hybrid-files/certs
.
Nel Passaggio 6: configura il
cluster, dovrai aggiungere i percorsi dei file al file di configurazione del cluster.
- Assicurati di essere nella directory
base_directory/hybrid-files
configurato in Configurare la struttura della directory del progetto. - Assicurati di salvare un nome di dominio nell'ambiente
DOMAIN
. utilizzando il comando seguente:echo $DOMAIN
-
Esegui questo comando dalla directory
hybrid-files
:openssl req -nodes -new -x509 -keyout ./certs/keystore.key -out \ ./certs/keystore.pem -subj '/CN='$DOMAIN'' -days 3650
Dove
DOMAIN
è lo stesso che hai utilizzato per il tuo ambiente in Parte 1, Passaggio 5: crea una gruppo di ambienti.Questo comando crea una coppia di certificato/chiave autofirmato che puoi utilizzare per la guida rapida dell'installazione.
-
Verifica che i file si trovino nella directory
./certs
utilizzando il seguente comando:ls ./certs
keystore.pem keystore.keyDove
keystore.pem
è il file del certificato TLS autofirmato ekeystore.key
è il file della chiave.
Ora hai gli account di servizio e le credenziali necessari per gestire Apigee hybrid nel tuo cluster Kubernetes. Ora creerai un file utilizzato da Kubernetes per il deployment dei componenti di runtime ibridi nel cluster.
1 2 3 4 5 (SUCCESSIVO) Passaggio 6: configura il runtime ibrido 7