Schritt 8: Synchronizer-Zugriff aktivieren

Autorisierungstoken abrufen

Für die später in diesem Thema beschriebenen Apigee API-Aufrufe benötigen Sie ein Autorisierungstoken mit der Rolle "Administrator der Apigee-Organisation".

  1. Wenn Sie nicht der Inhaber des Google Cloud-Projekts sind, das mit Ihrer Apigee Hybrid-Organisation verknüpft ist, prüfen Sie, ob Ihr Google Cloud-Nutzerkonto die Rolle roles/apigee.admin (Administrator der Apigee-Organisation) hat. Sie können die Ihnen zugewiesenen Rollen mit diesem Befehl prüfen: 
    gcloud projects get-iam-policy $PROJECT_ID  \
--flatten="bindings[].members" \
--format='table(bindings.role)' \
--filter="bindings.members:your_account_email"

    Beispiel:

    gcloud projects get-iam-policy my-project  \
--flatten="bindings[].members" \
--format='table(bindings.role)' \
--filter="bindings.members:myusername@example.com"

    Die Ausgabe sollte in etwa so aussehen:

    ROLE
roles/apigee.admin
roles/compute.admin
roles/container.admin
roles/gkehub.admin
roles/iam.serviceAccountAdmin
roles/iam.serviceAccountKeyAdmin
roles/meshconfig.admin
roles/owner
roles/resourcemanager.projectIamAdmin
roles/servicemanagement.admin
roles/serviceusage.serviceUsageAdmin
  2. Wenn Ihre Rollen nicht roles/apigee.admin enthalten, fügen Sie Ihrem Nutzerkonto die Rolle Apigee-Organisationsadministrator hinzu. Verwenden Sie den folgenden Befehl, um Ihrem Nutzerkonto die Rolle hinzuzufügen: 
    gcloud projects add-iam-policy-binding $PROJECT_ID \
  --member user:your_account_email \
  --role roles/apigee.admin

    Beispiel:

    gcloud projects add-iam-policy-binding my-project \
  --member user:myusername@example.com \
  --role roles/apigee.admin
  3. Rufen Sie ein Autorisierungstoken für Ihr Nutzerkonto ab: 
    export TOKEN=$(gcloud auth print-access-token)

    Sie können die Umgebungsvariable $TOKEN mit dem folgenden Befehl prüfen: 

    echo $TOKEN

Synchronizer-Zugriff aktivieren

So aktivieren Sie den Synchronizer-Zugriff:

  1. Rufen Sie die E-Mail-Adresse des Dienstkontos ab, auf das Sie Synchronizer-Zugriff gewähren. Für Nicht-Produktionsumgebungen (wie in dieser Anleitung vorgeschlagen) sollte der Wert apigee-non-prod sein. In Produktionsumgebungen sollte es apigee-synchronizer sein. Verwenden Sie den folgenden Befehl: 
    gcloud iam service-accounts list --filter "apigee-non-prod"

    Wenn es mit dem Muster apigee-non-prod@$ORG_NAME.iam.gserviceaccount.com übereinstimmt, können Sie dieses Muster im nächsten Schritt verwenden.

  2. Rufen Sie die setSyncAuthorization API mit dem folgenden Befehl auf, um die erforderlichen Berechtigungen für Synchronizer zu aktivieren:
    curl -X POST -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/$ORG_NAME:setSyncAuthorization" \
   -d '{"identities":["'"serviceAccount:apigee-non-prod@$ORG_NAME.iam.gserviceaccount.com"'"]}'

    Dabei gilt:

    • $ORG_NAME: der Name Ihrer Hybridorganisation.
    • apigee-non-prod$ORG_NAME.iam.gserviceaccount.com: die E-Mail-Adresse des Dienstkontos.
  3. Prüfen Sie, ob das Dienstkonto eingerichtet wurde. Rufen Sie mit dem folgenden Befehl die API auf, um eine Liste der Dienstkonten abzurufen:
    curl -X POST -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/$ORG_NAME:getSyncAuthorization" \
   -d ''

    Die Ausgabe sieht dann ungefähr so aus: 

    {
   "identities":[
      "serviceAccount:apigee-non-prod@my_project_id.iam.gserviceaccount.com"
   ],
   "etag":"BwWJgyS8I4w="
}

Sie haben jetzt festgelegt, dass Ihre Apigee Hybrid-Laufzeit- und -Verwaltungsebenen miteinander kommunizieren können. Als Nächstes wenden Sie Ihre Konfiguration auf die Hybrid-Laufzeit an und schließen die Installation von Apigee Hybrid ab.

1 2 3 4 5 6 7 8 (WEITER) Schritt 9: Hybrid-Laufzeit installieren