Schritt 4: Dienstkonten erstellen

In diesem Schritt wird erläutert, wie Sie die Google Cloud-Dienstkonten erstellen, die für das Funktionieren von Apigee Hybrid erforderlich sind.

Dienstkonten erstellen

Apigee Hybrid verwendet Google Cloud-Dienstkonten, um die Kommunikation zwischen Hybrid-Komponenten über autorisierte API-Aufrufe zu ermöglichen.

In diesem Schritt erstellen Sie mit einem Hybrid-Befehlszeilentool von Apigee eine Reihe von Dienstkonten und laden die Dateien mit dem privaten Schlüssel des Dienstkontos herunter.

In einer Hybridumgebung in einer Produktionsumgebung empfiehlt Apigee, für jede Komponente ein separates Dienstkonto zu verwenden. Für diese Anleitung können Sie ein einzelnes Dienstkonto mit dem Namen "apigee-non-prod" erstellen, das Sie für alle Komponenten verwenden können.

Weitere Informationen zu Dienstkonten und die vollständige Liste der Dienstkonten, die für Produktionsumgebungen empfohlen werden, finden Sie hier:

• Informationen zu Dienstkonten
• Dienstkonten und Rollen, die von Hybrid-Komponenten verwendet werden

Apigee stellt das Tool create-service-account bereit, mit dem die Dienstkonten erstellt werden, die Rollen den Dienstkonten zugewiesen werden und die Schlüsseldateien für das Dienstkonto in einem einzigen Befehl erstellt und heruntergeladen werden.

• Weitere Informationen zu create-service-account und allen möglichen Optionen finden Sie unter create-service-account.
• Weitere Informationen zu den verknüpften Google Cloud-Konzepten finden Sie unter Dienstkonten erstellen und verwalten und Dienstkontoschlüssel erstellen und verwalten.

1. Achten Sie darauf, dass die Umgebungsvariablen HYBRID_FILES und HYBRID_FILES festgelegt sind.

   PROJECT_ID muss auf Ihre Google Cloud-Projekt-ID eingestellt sein, da das create-service-account-Tool die Umgebungsvariable PROJECT_ID liest, um die Dienstkonten im richtigen Projekt zu erstellen.

   echo $HYBRID_FILES
   echo $PROJECT_ID

2. Erstellen Sie mit dem folgenden Befehl ein Dienstkonto, das nicht für die Produktion bestimmt ist. Mit diesem Befehl wird ein einzelnes Dienstkonto mit dem Namen apigee-non-prod für die Verwendung in einer Nicht-Produktionsumgebung erstellt und die heruntergeladene Schlüsseldatei im Verzeichnis $HYBRID_FILES/service-accounts abgelegt.

   $HYBRID_FILES/tools/create-service-account --env non-prod --dir $HYBRID_FILES/service-accounts

   Wenn die folgende Eingabeaufforderung angezeigt wird, geben Sie y ein:

   [INFO]: gcloud configured project ID is project_id.
    Enter: y to proceed with creating service account in project: project_id
    Enter: n to abort.

   Wenn Sie zum ersten Mal eine SA mit einem bestimmten Namen erstellen, wird sie vom Tool ohne weitere Aufforderungen erstellt.

   Wenn jedoch die folgende Meldung und Eingabeaufforderung angezeigt wird, geben Sie y ein, um neue Schlüssel zu generieren:

   [INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
   ...
    [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
    Press: y to generate new keys.(this does not deactivate existing keys)
    Press: n to skip generating new keys.

3. Prüfen Sie mit dem folgenden Befehl, ob der Dienstkontoschlüssel erstellt wurde. Sie sind dafür verantwortlich, diese privaten Schlüssel sicher zu speichern. Den Schlüsselnamen ist der Name Ihres Google Cloud-Projekts vorangestellt.

   ls $HYBRID_FILES/service-accounts

   Das Ergebnis sollte ungefähr so aussehen:

   project_id-apigee-non-prod.json

Sie haben jetzt Dienstkonten erstellt und die Rollen zugewiesen, die die Apigee Hybrid-Komponenten benötigen. Im nächsten Schritt erstellen Sie die für das Hybrid-Ingress-Gateway erforderlichen TLS-Zertifikate.

1 2 3 4 (WEITER) Schritt 5: TLS-Zertifikate erstellen 6 7 8 9 10