Paso 5: Crea credenciales y cuentas de servicio

En este paso se explica cómo crear las cuentas de servicio de Google Cloud y las credenciales TLS que necesita Apigee hybrid para funcionar.

Crear las cuentas de servicio

Apigee hybrid usa cuentas de servicio de Google Cloud para permitir que los componentes híbridos se comuniquen haciendo llamadas a las APIs autorizadas.

En este paso, usarás una herramienta de línea de comandos de Apigee hybrid para crear un conjunto de cuentas de servicio y descargar los archivos de clave privada de las cuentas de servicio.

Para obtener más información sobre las cuentas de servicio y consultar la lista completa de cuentas de servicio recomendadas para entornos de producción, consulta los siguientes artículos:

Apigee proporciona una herramienta, create-service-account, que crea las cuentas de servicio, asigna los roles a las cuentas de servicio y crea y descarga los archivos de claves de la cuenta de servicio con un solo comando. Para obtener información sobre los conceptos relacionados de Google Cloud, consulta los artículos sobre cómo crear y gestionar cuentas de servicio y cómo crear y gestionar claves de cuentas de servicio.

  1. Asegúrate de que te encuentras en el directorio base_directory/hybrid-files que has configurado en Configurar la estructura del directorio del proyecto.
  2. Ejecuta el siguiente comando desde el directorio hybrid-files. Este comando crea una cuenta de servicio para el componente apigee-metrics y coloca la clave descargada en el directorio ./service-accounts. 
    ./tools/create-service-account apigee-metrics ./service-accounts

    Cuando veas la siguiente petición, introduce y: 

    [INFO]: gcloud configured project ID is project_id.
 Press: y to proceed with creating service account in project: project_id
 Press: n to abort.

    Si es la primera vez que se crea una AS con el nombre exacto asignado por la herramienta, esta se creará y no tendrás que hacer nada más.

    Sin embargo, si ves el siguiente mensaje y petición, introduce y para generar nuevas claves:

    [INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists.
...
 [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
 Press: y to generate new keys.(this does not de-activate existing keys)
 Press: n to skip generating new keys.
  3. Ahora, crea el resto de las cuentas de servicio con los siguientes comandos. El comando create-service-account es interactivo y requiere una respuesta para cada cuenta. 
    ./tools/create-service-account apigee-synchronizer ./service-accounts
     
    ./tools/create-service-account apigee-udca ./service-accounts
     
    ./tools/create-service-account apigee-mart ./service-accounts
     
    ./tools/create-service-account apigee-cassandra ./service-accounts
     
    ./tools/create-service-account apigee-logger ./service-accounts
     
    ./tools/create-service-account apigee-watcher ./service-accounts
     
    ./tools/create-service-account apigee-distributed-trace ./service-accounts
  4. Verifica que las claves de cuenta de servicio se hayan creado con el siguiente comando. Eres responsable de almacenar estas claves privadas de forma segura. Los nombres de los archivos de claves tienen como prefijo el nombre de tu proyecto de Google Cloud. 
    ls ./service-accounts

    El resultado debería ser similar al siguiente: 

    gcp-project-id-apigee-cassandra.json
gcp-project-id-apigee-distributed-trace.json
gcp-project-id-apigee-logger.json
gcp-project-id-apigee-mart.json
gcp-project-id-apigee-metrics.json
gcp-project-id-apigee-synchronizer.json
gcp-project-id-apigee-udca.json
gcp-project-id-apigee-watcher.json

Crear certificados TLS

Debes proporcionar certificados TLS para la pasarela de entrada de tiempo de ejecución en tu configuración híbrida de Apigee. Para esta guía de inicio rápido (una instalación de prueba que no es de producción), la pasarela de tiempo de ejecución puede aceptar credenciales autofirmadas. En los siguientes pasos, se usa openssl para generar las credenciales autofirmadas.

En este paso, crearás los archivos de credenciales TLS y los añadirás al directorio base_directory/hybrid-files/certs. En el paso 6: Configura el clúster, añadirás las rutas de los archivos al archivo de configuración del clúster.

  1. Asegúrate de que te encuentras en el directorio base_directory/hybrid-files que has configurado en Configurar la estructura del directorio del proyecto.
  2. Asegúrate de guardar un nombre de dominio en la variable de entorno DOMAIN con el siguiente comando: 
    echo $DOMAIN
  3. Ejecuta el siguiente comando desde el directorio hybrid-files: 
    openssl req  -nodes -new -x509 -keyout ./certs/keystore.key -out \
    ./certs/keystore.pem -subj '/CN='$DOMAIN'' -days 3650

    DOMAIN es el mismo que usaste para tu entorno en el paso 5 de la parte 1: crea un grupo de entorno.

    Este comando crea un par de clave y certificado autofirmado que puedes usar para la instalación de inicio rápido.

  4. Comprueba que los archivos estén en el directorio ./certs con el siguiente comando: 
    ls ./certs
  keystore.pem
  keystore.key

    Donde keystore.pem es el archivo de certificado TLS con firma automática y keystore.key es el archivo de clave.

Ahora tienes las cuentas de servicio y las credenciales necesarias para gestionar Apigee Hybrid en tu clúster de Kubernetes. A continuación, crearás un archivo que Kubernetes usará para desplegar los componentes del tiempo de ejecución híbrido en el clúster.

1 2 3 4 5 Paso 6: Configura el tiempo de ejecución híbrido 7