本步驟說明如何建立 Apigee hybrid 運作所需的 Google Cloud 服務帳戶。
建立服務帳戶
Apigee hybrid 會使用 Google Cloud 服務帳戶,讓混合式元件透過已授權的 API 呼叫進行通訊。
在這個步驟中,您會使用 Apigee 混合指令列工具建立一組服務帳戶,並下載服務帳戶私密金鑰檔案。
在實際工作混合環境中,Apigee 建議為每個元件使用不同的服務帳戶。為了配合本教學課程的目的,您可以建立名為「apigee-non-prod」的單一服務帳戶,用於所有元件。
如要進一步瞭解服務帳戶,並查看建議用於實際工作環境的服務帳戶完整清單,請參閱以下內容:
Apigee 提供 create-service-account 工具,可用於建立服務帳戶、為服務帳戶指派角色,並在單一指令中建立及下載服務帳戶的金鑰檔案。
- 如要進一步瞭解
create-service-account及其所有選項,請參閱create-service-account。 - 如要瞭解相關的 Google Cloud 概念,請參閱「建立及管理服務帳戶」和「建立及管理服務帳戶金鑰」。
- 確認已設定 HYBRID_FILES 和 PROJECT_ID 環境變數。
create-service-account工具會讀取 PROJECT_ID 環境變數,在正確的專案中建立服務帳戶,因此 PROJECT_ID 必須設為 Google Cloud 專案 ID。echo $HYBRID_FILES
echo $PROJECT_ID -
使用下列指令建立非生產環境服務帳戶。這個指令會建立名為
apigee-non-prod的單一服務帳戶,用於非正式環境,並將下載的金鑰檔案放在$HYBRID_FILES/service-accounts目錄中。$HYBRID_FILES/tools/create-service-account --env non-prod --dir $HYBRID_FILES/service-accounts
如果看到下列提示,請輸入 y:
[INFO]: gcloud configured project ID is project_id. Enter: y to proceed with creating service account in project: project_id Enter: n to abort.
如果您是第一次建立已指派特定名稱的 SA,工具就會在未進一步提示的情況下建立 SA。
不過,如果您看到下列訊息和提示,請輸入 y 來產生新的金鑰:
[INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists. ... [INFO]: The service account might have keys associated with it. It is recommended to use existing keys. Press: y to generate new keys.(this does not deactivate existing keys) Press: n to skip generating new keys.
-
請使用下列指令,確認服務帳戶金鑰已建立。您必須妥善儲存這些私密金鑰。鍵檔案名稱的前面會加上 Google Cloud 專案名稱。
ls $HYBRID_FILES/service-accounts
結果應如下所示:
project_id-apigee-non-prod.json
您現在已建立服務帳戶,並指派 Apigee 混合元件所需的角色。接下來,請建立混合式入口閘道所需的 TLS 憑證。
1 2 3 4 (NEXT) 步驟 5:建立 TLS 憑證 6 7 9 10