Schritt 4: Dienstkonten erstellen

Übersicht

In diesem Schritt wird erläutert, wie Sie die Google Cloud-Dienstkonten erstellen, die für das Funktionieren von Apigee Hybrid erforderlich sind, und ihnen die entsprechenden IAM-Rollen zuweisen.

In diesem Verfahren werden die folgenden zwei Umgebungsvariablen verwendet, die in Schritt 2: Apigee Helm-Diagramme herunterladen definiert sind. Diese Variablen sind optional. Wenn Sie sie nicht definiert haben, ersetzen Sie für jede Variable in den Codebeispielen den entsprechenden Verzeichnispfad.

Produktions- und Nicht-Produktionsumgebungen

Dieser Leitfaden bezieht sich auf Produktions- („Prod“) und Nicht-Produktionsinstallationen („Non-prod“). Eine Produktionsinstallation ist auf höhere Nutzungskapazität, Speicher und Skalierbarkeit ausgelegt. Eine Nicht-Produktionsinstallation verwendet weniger Ressourcen und dient hauptsächlich zu Lern- und Demonstrationszwecken.

Wenn Sie Dienstkonten für Apigee Hybrid erstellen und konfigurieren, müssen Sie die Art der Installation berücksichtigen, auf die Sie abzielen.

Für Produktionsinstallationen empfehlen wir, für jede Apigee Hybrid-Komponente ein separates Dienstkonto zu erstellen. Beispielsweise hat jede Komponente wie Laufzeit, MART, Messwerte, MINT und UDCA ein eigenes Dienstkonto.

Für Nicht-Produktionsinstallationen können Sie ein einzelnes Dienstkonto erstellen, das für alle Komponenten gilt.

Weitere Informationen zu den von Apigee verwendeten Dienstkonten und den ihnen zugewiesenen Rollen finden Sie unter Dienstkonten und Rollen, die von Hybrid-Komponenten verwendet werden.

Dienstkonten authentifizieren

Apigee Hybrid unterstützt die folgenden Methoden zur Authentifizierung von Google-Dienstkonten:

  • Kubernetes-Secrets
  • JSON-Schlüsseldateien für Dienstkonten („JSON-Dateien“ auf den Auswahltabs im folgenden Abschnitt).
  • Vault
  • Workload Identity Federation for GKE (auf den Auswahltabs im folgenden Abschnitt als „WIF for GKE“ bezeichnet).
  • Identitätsföderation von Arbeitslasten auf anderen Plattformen („WIF on other platforms“ auf den Auswahltabs im folgenden Abschnitt).

Wählen Sie im folgenden Abschnitt die Vorgehensweise für die Art der Authentifizierung aus, die Sie verwenden möchten.

Dienstkonten erstellen

Apigee Hybrid verwendet die folgenden Dienstkonten:

Produktion

Dienstkonto IAM-Rollen Apigee Helm-Diagramm
apigee-cassandra Storage-Objekt-Administrator apigee-datastore
apigee-logger Logs Writer apigee-telemetry
apigee-mart Apigee Connect Agent apigee-org
apigee-metrics Monitoring Metric Writer apigee-telemetry
apigee-mint-task-scheduler
(Nur erforderlich, wenn Sie die Monetarisierung für Apigee Hybrid verwenden)		 Keine Rolle erforderlich apigee-org
apigee-runtime Keine Rolle erforderlich apigee-env
apigee-synchronizer Apigee Synchronizer Manager
Storage-Objekt-Administrator		 apigee-env
apigee-udca Apigee Analytics-Agent apigee-org
apigee-env
apigee-watcher Apigee-Laufzeit-Agent apigee-org

Non-prod

Dienstkonto IAM-Rollen Apigee Helm-Diagramm
apigee-non-prod Storage-Objekt-Administrator
Logs-Writer
Apigee Connect-Agent
Monitoring-Messwert-Autor
Apigee Synchronizer-Manager
Apigee Analytics Agent
Apigee-Laufzeit-Agent 		apigee-datastore
apigee-telemetry
apigee-org
apigee-env

Das create-service-account-Tool

Apigee stellt das Tool create-service-account im Verzeichnis apigee-operator/etc/tools bereit:

$APIGEE_HELM_CHARTS_HOME/
    └── apigee-operator/
        └── etc/
            └── tools/
                └── create-service-account

Dieses Tool erstellt die Dienstkonten, weist jedem Konto die IAM-Rollen zu und lädt die Zertifikatsdateien im JSON-Format für jedes Konto herunter.

Prüfen Sie, ob Sie create-service-account ausführen können. Wenn Sie gerade die Diagramme heruntergeladen haben, befindet sich die Datei create-service-account möglicherweise nicht in einem ausführbaren Modus. Führen Sie im Verzeichnis APIGEE_HELM_CHARTS_HOME den folgenden Befehl aus: 

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account --help

Wenn in der Ausgabe permission denied angegeben ist, müssen Sie die Datei ausführbar machen, z. B. mit chmod in Linux, MacOS oder UNIX oder im Windows Explorer oder mit dem Befehl icacls in Windows. Beispiel: 

chmod +x $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account

Dienstkonten erstellen

Wählen Sie das Verfahren für die Dienstkonto-Authentifizierungsmethode aus, die Sie in Ihrer Installation verwenden möchten. Weitere Informationen finden Sie unter Authentifizierungsmethoden für Dienstkonten in Apigee Hybrid.

Kubernetes-Secrets

Wenn Sie die Dienstkontoschlüsseldateien für die Speicherung in Kubernetes-Secrets vorbereiten möchten, können Sie mit dem Tool create-service-account die Dienstkontoschlüsseldateien mit dem Flag --dir erstellen, um ein Verzeichnis für die Schlüsseldateien zu erstellen.

Produktion

  1. Die Umgebungsvariable PROJECT_ID muss definiert sein. 
    echo $PROJECT_ID

    Das Feld create-service-account tool uses the value of thePROJECT_ID environment variable . Ist sie nicht definiert, definieren Sie sie entweder mit Ihrer ID Ihrer Google Cloud-Projekt-ID oder fügen Sie dem create-service-account-Befehl das Flag --project-id PROJECT_ID hinzu.

  2. Erstellen Sie die Dienstkonten mit den folgenden Befehlen, wobei $APIGEE_HELM_CHARTS_HOME der Pfad ist, in den Sie die Apigee Helm-Diagramme heruntergeladen haben. Sie werden möglicherweise aufgefordert, jedes Dienstkonto zu erstellen. Antworten Sie mit y. 
    $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
  3. Prüfen Sie, ob die Dienstkontodateien erstellt wurden. Sehen Sie sich dazu den Inhalt des Verzeichnisses service-accounts an. Die Ausgabe sollte so aussehen: 
    ls $APIGEE_HELM_CHARTS_HOME/service-accounts/
my-project-apigee-cassandra.json            my-project-apigee-runtime.json
my-project-apigee-logger.json               my-project-apigee-synchronizer.json
my-project-apigee-mart.json                 my-project-apigee-udca.json
my-project-apigee-metrics.json              my-project-apigee-watcher.json
my-project-apigee-mint-task-scheduler.json

Non-prod

  1. Die Umgebungsvariable PROJECT_ID muss definiert sein. 
    echo $PROJECT_ID

    Das Feld create-service-account tool uses the value of thePROJECT_ID environment variable . Ist sie nicht definiert, definieren Sie sie entweder mit Ihrer ID Ihrer Google Cloud-Projekt-ID oder fügen Sie dem create-service-account-Befehl das Flag --project-id PROJECT_ID hinzu.

  2. Erstellen Sie die Dienstkonten mit dem folgenden Befehl, wobei $APIGEE_HELM_CHARTS_HOME der Pfad ist, in den Sie die Apigee Helm-Diagramme heruntergeladen haben. Sie werden möglicherweise aufgefordert, das Dienstkonto zu erstellen. Antworten Sie mit y. 
    $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --env non-prod \
  --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
  3. Prüfen Sie, ob die Dienstkontodatei erstellt wurde, indem Sie den Inhalt des Verzeichnisses service-accounts aufrufen. Die Ausgabe sollte so aussehen: 
    ls $APIGEE_HELM_CHARTS_HOME/service-accounts/
my-project-apigee-non-prod.json

JSON-Dateien

Da Helm keine Referenzdateien außerhalb des Diagrammverzeichnisses unterstützt, erstellen Sie jede Dienstkontozertifikatsdatei im Diagrammverzeichnis für die entsprechende Hybridkomponente.

Wählen Sie für die nächsten Schritte aus, ob Sie eine Produktions- oder eine Nicht-Produktionsinstallation konfigurieren.

Produktion

  1. Die Umgebungsvariable PROJECT_ID muss definiert sein. 
    echo $PROJECT_ID

    Das Feld create-service-account tool uses the value of thePROJECT_ID environment variable . Ist sie nicht definiert, definieren Sie sie entweder mit Ihrer ID Ihrer Google Cloud-Projekt-ID oder fügen Sie den create-service-account-Befehlen das Flag --project-id PROJECT_ID hinzu.

  2. Erstellen Sie die Dienstkonten mit den folgenden Befehlen, wobei $APIGEE_HELM_CHARTS_HOME der Pfad ist, in den Sie die Apigee Helm-Diagramme heruntergeladen haben. Sie werden möglicherweise aufgefordert, jedes Dienstkonto zu erstellen. Antworten Sie mit y. 
    $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-cassandra \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-datastore

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-logger \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-telemetry

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-mart \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-org

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-metrics \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-telemetry

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-runtime \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-env

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-synchronizer \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-env

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-udca \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-env

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-udca \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-org

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-watcher \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-org

    Wenn Sie die Monetarisierung für Apigee Hybrid (Apigee Hybrid v1.15.1 und höher) aktivieren:

    $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --profile apigee-mint-task-scheduler \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-org
  3. Kopieren Sie die JSON-Datei apigee-udca in das Diagrammverzeichnis apigee-env. Sie ist sowohl für Vorgänge auf Organisationsebene als auch auf Umgebungsebene erforderlich. 
    cp $APIGEE_HELM_CHARTS_HOME/apigee-org/$PROJECT_ID-apigee-udca.json $APIGEE_HELM_CHARTS_HOME/apigee-env/
  4. Prüfen Sie, ob die Dienstkontodateien in den richtigen Verzeichnissen erstellt wurden. Prüfen Sie dazu den Inhalt der Verzeichnisse der einzelnen Diagramme. Die Ausgabe sollte so aussehen: 
    ls ./apigee-datastore
Chart.yaml  my-project-apigee-cassandra.json  templates  values.yaml

ls ./apigee-telemetry
Chart.yaml                     my-project-apigee-metrics.json  values.yaml
my-project-apigee-logger.json  templates

ls ./apigee-org
Chart.yaml                                  my-project-apigee-udca.json
my-project-apigee-mart.json                 my-project-apigee-watcher.json
my-project-apigee-mint-task-scheduler.json  values.yaml

ls ./apigee-env
Chart.yaml                      my-project-apigee-synchronizer.json  templates
my-project-apigee-runtime.json  my-project-apigee-udca.json          values.yaml

Non-prod

  1. Die Umgebungsvariable PROJECT_ID muss definiert sein. 
    echo $PROJECT_ID

    Das Feld create-service-account tool uses the value of thePROJECT_ID environment variable . Ist sie nicht definiert, definieren Sie sie entweder mit Ihrer ID Ihrer Google Cloud-Projekt-ID oder fügen Sie den create-service-account-Befehlen das Flag --project-id PROJECT_ID hinzu.

  2. Erstellen Sie das Dienstkonto mit dem folgenden Befehl, wobei $APIGEE_HELM_CHARTS_HOME der Pfad ist, unter den Sie die Apigee Helm-Diagramme heruntergeladen haben. Sie werden möglicherweise aufgefordert, jedes Dienstkonto zu erstellen. Antworten Sie mit y. 
    $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --env non-prod \
  --dir $APIGEE_HELM_CHARTS_HOME/apigee-datastore
  3. Prüfen Sie den Namen der Dienstkontodatei, die im Verzeichnis apigee-datastore erstellt wurde: 
    ls $APIGEE_HELM_CHARTS_HOME/apigee-datastore
     
    Chart.yaml  PROJECT_ID-apigee-non-prod.json  templates  values.yaml
  4. Kopieren Sie die Dienstkontodatei in die anderen Diagrammverzeichnisse, die darauf verweisen müssen: 
    cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME $APIGEE_HELM_CHARTS_HOME/apigee-telemetry/
     
    cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME $APIGEE_HELM_CHARTS_HOME/apigee-org/
     
    cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME $APIGEE_HELM_CHARTS_HOME/apigee-env/

Vault

Wenn Sie die Dienstkontoschlüsseldateien für die Speicherung in Vault vorbereiten möchten, können Sie mit dem create-service-account-Tool die Dienstkontoschlüsseldateien mit dem --dir-Flag erstellen, um ein Verzeichnis für die Schlüsseldateien zu erstellen.

Produktion

  1. Die Umgebungsvariable PROJECT_ID muss definiert sein. 
    echo $PROJECT_ID

    Das Feld create-service-account tool uses the value of thePROJECT_ID environment variable . Ist sie nicht definiert, definieren Sie sie entweder mit Ihrer ID Ihrer Google Cloud-Projekt-ID oder fügen Sie dem create-service-account-Befehl das Flag --project-id PROJECT_ID hinzu.

  2. Erstellen Sie die Dienstkonten mit den folgenden Befehlen, wobei $APIGEE_HELM_CHARTS_HOME der Pfad ist, in den Sie die Apigee Helm-Diagramme heruntergeladen haben. Sie werden möglicherweise aufgefordert, jedes Dienstkonto zu erstellen. Antworten Sie mit y. 
    $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
  3. Prüfen Sie, ob die Dienstkontodateien erstellt wurden. Sehen Sie sich dazu den Inhalt des Verzeichnisses service-accounts an. Die Ausgabe sollte so aussehen: 
    ls $APIGEE_HELM_CHARTS_HOME/service-accounts/
my-project-apigee-cassandra.json            my-project-apigee-runtime.json
my-project-apigee-logger.json               my-project-apigee-synchronizer.json
my-project-apigee-mart.json                 my-project-apigee-udca.json
my-project-apigee-metrics.json              my-project-apigee-watcher.json
my-project-apigee-mint-task-scheduler.json

Non-prod

  1. Die Umgebungsvariable PROJECT_ID muss definiert sein. 
    echo $PROJECT_ID

    Das Feld create-service-account tool uses the value of thePROJECT_ID environment variable . Ist sie nicht definiert, definieren Sie sie entweder mit Ihrer ID Ihrer Google Cloud-Projekt-ID oder fügen Sie dem create-service-account-Befehl das Flag --project-id PROJECT_ID hinzu.

  2. Erstellen Sie die Dienstkonten mit dem folgenden Befehl, wobei $APIGEE_HELM_CHARTS_HOME der Pfad ist, in den Sie die Apigee Helm-Diagramme heruntergeladen haben. Sie werden möglicherweise aufgefordert, das Dienstkonto zu erstellen. Antworten Sie mit y. 
    $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --env non-prod \
  --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
  3. Prüfen Sie, ob die Dienstkontodatei erstellt wurde, indem Sie den Inhalt des Verzeichnisses service-accounts prüfen. Die Ausgabe sollte so aussehen: 
    ls $APIGEE_HELM_CHARTS_HOME/service-accounts/
my-project-apigee-non-prod.json

WIF für GKE

Erstellen Sie die Dienstkonten für Ihre Installation mit den folgenden Befehlen:

Produktion

  1. Die Umgebungsvariable PROJECT_ID muss definiert sein. 
    echo $PROJECT_ID

    Das Feld create-service-account tool uses the value of thePROJECT_ID environment variable . Ist sie nicht definiert, definieren Sie sie entweder mit Ihrer ID Ihrer Google Cloud-Projekt-ID oder fügen Sie dem create-service-account-Befehl das Flag --project-id PROJECT_ID hinzu.

  2. Erstellen Sie die Dienstkonten mit den folgenden Befehlen, wobei $APIGEE_HELM_CHARTS_HOME der Pfad ist, in den Sie die Apigee Helm-Diagramme heruntergeladen haben. Sie werden möglicherweise aufgefordert, jedes Dienstkonto zu erstellen. Antworten Sie mit y. 
    $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
  3. Prüfen Sie mit dem folgenden Befehl, ob die Google-Dienstkonten erstellt wurden: 
    gcloud iam service-accounts list --project $PROJECT_ID

    Die Ausgabe sollte in etwa so aussehen: 

    DISPLAY NAME                EMAIL                                                          DISABLED
apigee-cassandra            apigee-cassandra@my-project.iam.gserviceaccount.com            False
apigee-mart                 apigee-mart@my-project.iam.gserviceaccount.com                 False
apigee-metrics              apigee-metrics@my-project.iam.gserviceaccount.com              False
apigee-mint-task-scheduler  apigee-mint-task-scheduler@my-project.iam.gserviceaccount.com  False
apigee-runtime              apigee-runtime@my-project.iam.gserviceaccount.com              False
apigee-synchronizer         apigee-synchronizer@my-project.iam.gserviceaccount.com         False
apigee-udca                 apigee-udca@my-project.iam.gserviceaccount.com                 False
apigee-watcher              apigee-watcher@my-project.iam.gserviceaccount.com              False

Non-prod

  1. Die Umgebungsvariable PROJECT_ID muss definiert sein. 
    echo $PROJECT_ID

    Das Feld create-service-account tool uses the value of thePROJECT_ID environment variable . Ist sie nicht definiert, definieren Sie sie entweder mit Ihrer ID Ihrer Google Cloud-Projekt-ID oder fügen Sie dem create-service-account-Befehl das Flag --project-id PROJECT_ID hinzu.

  2. Erstellen Sie die Dienstkonten mit dem folgenden Befehl, wobei $APIGEE_HELM_CHARTS_HOME der Pfad ist, in den Sie die Apigee Helm-Diagramme heruntergeladen haben. Sie werden möglicherweise aufgefordert, das Dienstkonto zu erstellen. Antworten Sie mit y. 
    $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --env non-prod \
  --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
  3. Prüfen Sie mit dem folgenden Befehl, ob die Google-Dienstkonten erstellt wurden: 
    gcloud iam service-accounts list --project $PROJECT_ID

    Die Ausgabe sollte in etwa so aussehen: 

    DISPLAY NAME         EMAIL                                                   DISABLED
apigee-non-prod      apigee-non-prod@my-project.iam.gserviceaccount.com      False

Optional:Für die Workload Identity Federation for GKE benötigen Sie die Schlüsseldateien für Dienstkonten nicht. Sie können das Verzeichnis service-accounts löschen, wenn Sie fertig sind.

WIF auf anderen Plattformen

Erstellen Sie die Dienstkonten für Ihre Installation mit den folgenden Befehlen:

Produktion

  1. Die Umgebungsvariable PROJECT_ID muss definiert sein. 
    echo $PROJECT_ID

    Das Feld create-service-account tool uses the value of thePROJECT_ID environment variable . Ist sie nicht definiert, definieren Sie sie entweder mit Ihrer ID Ihrer Google Cloud-Projekt-ID oder fügen Sie dem create-service-account-Befehl das Flag --project-id PROJECT_ID hinzu.

  2. Erstellen Sie die Dienstkonten mit den folgenden Befehlen, wobei $APIGEE_HELM_CHARTS_HOME der Pfad ist, in den Sie die Apigee Helm-Diagramme heruntergeladen haben. Sie werden möglicherweise aufgefordert, jedes Dienstkonto zu erstellen. Antworten Sie mit y. 
    $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --env prod \
  --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
  3. Prüfen Sie mit dem folgenden Befehl, ob die Google-Dienstkonten erstellt wurden: 
    gcloud iam service-accounts list --project $PROJECT_ID

    Die Ausgabe sollte in etwa so aussehen: 

    DISPLAY NAME                EMAIL                                                          DISABLED
apigee-cassandra            apigee-cassandra@my-project.iam.gserviceaccount.com            False
apigee-mart                 apigee-mart@my-project.iam.gserviceaccount.com                 False
apigee-metrics              apigee-metrics@my-project.iam.gserviceaccount.com              False
apigee-mint-task-scheduler  apigee-mint-task-scheduler@my-project.iam.gserviceaccount.com  False
apigee-runtime              apigee-runtime@my-project.iam.gserviceaccount.com              False
apigee-synchronizer         apigee-synchronizer@my-project.iam.gserviceaccount.com         False
apigee-udca                 apigee-udca@my-project.iam.gserviceaccount.com                 False
apigee-watcher              apigee-watcher@my-project.iam.gserviceaccount.com              False

Non-prod

  1. Die Umgebungsvariable PROJECT_ID muss definiert sein. 
    echo $PROJECT_ID

    Das Feld create-service-account tool uses the value of thePROJECT_ID environment variable . Ist sie nicht definiert, definieren Sie sie entweder mit Ihrer ID Ihrer Google Cloud-Projekt-ID oder fügen Sie dem create-service-account-Befehl das Flag --project-id PROJECT_ID hinzu.

  2. Erstellen Sie die Dienstkonten mit dem folgenden Befehl, wobei $APIGEE_HELM_CHARTS_HOME der Pfad ist, in den Sie die Apigee Helm-Diagramme heruntergeladen haben. Sie werden möglicherweise aufgefordert, das Dienstkonto zu erstellen. Antworten Sie mit y. 
    $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \
  --env non-prod \
  --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
  3. Prüfen Sie mit dem folgenden Befehl, ob die Google-Dienstkonten erstellt wurden: 
    gcloud iam service-accounts list --project $PROJECT_ID

    Die Ausgabe sollte in etwa so aussehen: 

    DISPLAY NAME         EMAIL                                                   DISABLED
apigee-non-prod      apigee-non-prod@my-project.iam.gserviceaccount.com      False

Optional:Für die Workload Identity Federation for GKE benötigen Sie die Schlüsseldateien für Dienstkonten nicht. Sie können das Verzeichnis service-accounts löschen, wenn Sie fertig sind.

Weitere Informationen zu Dienstkonten und zum create-service-account-Tool finden Sie unter:

Sie haben jetzt Dienstkonten erstellt und die Rollen zugewiesen, die die Apigee Hybrid-Komponenten benötigen. Im nächsten Schritt erstellen Sie die für das Hybrid-Ingress-Gateway erforderlichen TLS-Zertifikate.

Nächster Schritt

1 2 3 4 (WEITER) Schritt 5: Dienstkonto-Authentifizierung einrichten 6 7 8 9 10 11