總覽
本步驟說明如何建立 Apigee Hybrid 運作所需的 Google Cloud 服務帳戶,並為這些帳戶指派適當的 IAM 角色。
這個程序會使用步驟 2:下載 Apigee Helm 圖表中定義的下列兩個環境變數。這些變數為選用項目。如果您未定義這些變數,請在程式碼範例中,為每個變數代入適當的目錄路徑。
$APIGEE_HELM_CHARTS_HOME:您下載 Apigee Helm 圖表的目錄,定義於步驟 2:下載 Apigee Helm 圖表。$PROJECT_ID:您的 Google Cloud 專案 ID,定義於 第 1 部分:專案和機構設定 - 步驟 1:啟用 API。
正式環境與非正式環境
本指南會說明正式版 (「正式版」) 和非正式版 (「非正式版」) 安裝作業。實際工作環境安裝作業會經過調整,以提高使用容量、儲存空間和擴充性。非實際工作環境的安裝程序使用的資源較少,主要用於學習和示範。
為 Apigee Hybrid 建立及設定服務帳戶時,請務必留意目標安裝類型。
如果是正式環境安裝作業,建議您為每個 Apigee Hybrid 元件建立專屬的服務帳戶。舉例來說,執行階段、市集、指標、鑄幣、udca 等每個元件都有專屬的服務帳戶。
如果是非正式版安裝作業,您可以建立單一服務帳戶,並套用至所有元件。
如要進一步瞭解 Apigee 使用的服務帳戶,以及指派給這些帳戶的角色,請參閱混合式元件使用的服務帳戶和角色。
驗證服務帳戶
Apigee Hybrid 支援下列 Google 服務帳戶驗證方法:
- Kubernetes Secret
- 服務帳戶 JSON 金鑰檔案 (以下章節選取分頁中的「JSON 檔案」)。
- 保管箱
- Workload Identity Federation for GKE (以下各節選取分頁標籤中的「WIF for GKE」)。
- 其他平台上的 Workload Identity Federation (以下章節選取分頁中的「其他平台上的 WIF」)。
在下一節中,選擇您打算使用的驗證類型程序。
建立服務帳戶
Apigee Hybrid 會使用下列服務帳戶:
正式環境
| 服務帳戶 | IAM 角色 | Apigee Helm 圖表 |
|---|---|---|
apigee-cassandra |
Storage 物件管理員 | apigee-datastore |
apigee-logger |
記錄寫入者 | apigee-telemetry |
apigee-mart |
Apigee Connect 代理人 | apigee-org |
apigee-metrics |
Monitoring 指標寫入者 | apigee-telemetry |
apigee-mint-task-scheduler(僅在使用 Apigee Hybrid 適用的營利功能時為必填) |
無須具備任何角色 | apigee-org |
apigee-runtime |
無須具備任何角色 | apigee-env |
apigee-synchronizer |
Apigee 同步處理工具管理員 儲存空間物件管理員 |
apigee-env |
apigee-udca |
Apigee 數據分析代理人 | apigee-orgapigee-env |
apigee-watcher |
Apigee 執行階段代理人 | apigee-org |
非正式環境
| 服務帳戶 | IAM 角色 | Apigee Helm 圖表 |
|---|---|---|
apigee-non-prod |
Storage 物件管理員 記錄檔寫入者 Apigee Connect 代理人 Monitoring 指標寫入者 Apigee 同步處理工具管理員 Apigee Analytics 代理人 Apigee 執行階段代理人 |
apigee-datastoreapigee-telemetryapigee-orgapigee-env |
create-service-account 工具
Apigee 提供工具,位於 apigee-operator/etc/tools 目錄中:
create-service-account
$APIGEE_HELM_CHARTS_HOME/ └── apigee-operator/ └── etc/ └── tools/ └── create-service-account
這項工具會建立服務帳戶、為每個帳戶指派 IAM 角色,並以 JSON 格式下載每個帳戶的憑證檔案。
確認你可以執行 create-service-account。如果您剛下載圖表,create-service-account 檔案可能不是可執行模式。在 APIGEE_HELM_CHARTS_HOME 目錄中執行下列指令:
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account --help
如果輸出內容顯示 permission denied,您需要讓檔案可執行,例如在 Linux、MacOS 或 UNIX 中使用 chmod,或在 Windows 檔案總管中,或在 Windows 中使用 icacls 指令。例如:
chmod +x $APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account
建立服務帳戶
選擇要在安裝中使用的服務帳戶驗證方法程序。詳情請參閱「Apigee Hybrid 中的服務帳戶驗證方法」。
Kubernetes Secret
如要準備服務帳戶金鑰檔案以儲存在 Kubernetes 密鑰中,可以使用 create-service-account 工具,並透過 --dir 旗標建立金鑰檔案的目錄。
正式環境
- 確認已定義
PROJECT_ID環境變數。echo $PROJECT_ID
create-service-account tool uses the value of the。如果未定義,請使用 Google Cloud 專案 ID 定義,或將PROJECT_IDenvironment variable--project-id PROJECT_ID標記新增至create-service-account指令。 -
執行下列指令來建立服務帳戶,其中
$APIGEE_HELM_CHARTS_HOME是您下載 Apigee Helm 資訊套件的路徑。系統可能會提示您建立每個服務帳戶。請以y回覆。$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
- 檢查
service-accounts目錄的內容,確認是否已建立服務帳戶檔案。輸出內容應如下所示:ls $APIGEE_HELM_CHARTS_HOME/service-accounts/my-project-apigee-cassandra.json my-project-apigee-runtime.json my-project-apigee-logger.json my-project-apigee-synchronizer.json my-project-apigee-mart.json my-project-apigee-udca.json my-project-apigee-metrics.json my-project-apigee-watcher.json my-project-apigee-mint-task-scheduler.json
非正式環境
- 確認已定義
PROJECT_ID環境變數。echo $PROJECT_ID
create-service-account tool uses the value of the。如果未定義,請使用 Google Cloud 專案 ID 定義,或將PROJECT_IDenvironment variable--project-id PROJECT_ID標記新增至create-service-account指令。 -
執行下列指令來建立服務帳戶,其中
$APIGEE_HELM_CHARTS_HOME是您下載 Apigee Helm 資訊套件的路徑。系統可能會提示您建立服務帳戶。請以y回覆。$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --env non-prod \ --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
- 檢查
service-accounts目錄的內容,確認是否已建立服務帳戶檔案。輸出內容應如下所示:ls $APIGEE_HELM_CHARTS_HOME/service-accounts/my-project-apigee-non-prod.json
JSON 檔案
由於 Helm 不支援參照圖表目錄外的檔案,因此您會在對應混合式元件的圖表目錄中,建立每個服務帳戶憑證檔案。
接下來,請選擇要設定正式環境或非正式環境的安裝作業。
正式環境
- 確認已定義
PROJECT_ID環境變數。echo $PROJECT_ID
create-service-account tool uses the value of the。如果未定義,請使用 Google Cloud 專案 ID 定義,或將PROJECT_IDenvironment variable--project-id PROJECT_ID標記新增至create-service-account指令。 -
使用下列指令建立服務帳戶,其中
$APIGEE_HELM_CHARTS_HOME是您下載 Apigee Helm 資訊套件的路徑。系統可能會提示您建立每個服務帳戶。請以y回覆。$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-cassandra \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-datastore
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-logger \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-telemetry$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-mart \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-org$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-metrics \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-telemetry$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-runtime \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-env$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-synchronizer \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-env$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-udca \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-env$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-udca \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-org$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-watcher \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-org如要啟用 Apigee Hybrid 營利 (Apigee Hybrid v1.15.1 以上版本):
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --profile apigee-mint-task-scheduler \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-org
- 將
apigee-udcaJSON 檔案複製到apigee-env圖表目錄。無論是機構範圍或環境範圍的作業,都需要這項權限。cp $APIGEE_HELM_CHARTS_HOME/apigee-org/$PROJECT_ID-apigee-udca.json $APIGEE_HELM_CHARTS_HOME/apigee-env/
- 檢查每個圖表的目錄內容,確認服務帳戶檔案是否已在正確的目錄中建立。輸出內容應如下所示:
ls ./apigee-datastoreChart.yaml my-project-apigee-cassandra.json templates values.yamlls ./apigee-telemetryChart.yaml my-project-apigee-metrics.json values.yaml my-project-apigee-logger.json templatesls ./apigee-orgChart.yaml my-project-apigee-udca.json my-project-apigee-mart.json my-project-apigee-watcher.json my-project-apigee-mint-task-scheduler.json values.yamlls ./apigee-envChart.yaml my-project-apigee-synchronizer.json templates my-project-apigee-runtime.json my-project-apigee-udca.json values.yaml
非正式環境
- 確認已定義
PROJECT_ID環境變數。echo $PROJECT_ID
create-service-account tool uses the value of the。如果未定義,請使用 Google Cloud 專案 ID 定義,或將PROJECT_IDenvironment variable--project-id PROJECT_ID標記新增至create-service-account指令。 -
執行下列指令建立服務帳戶,其中
$APIGEE_HELM_CHARTS_HOME是您下載 Apigee Helm 資訊套件的路徑。系統可能會提示您建立每個服務帳戶。請以y回覆。$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --env non-prod \ --dir $APIGEE_HELM_CHARTS_HOME/apigee-datastore
- 確認在
apigee-datastore目錄中建立的服務帳戶檔案名稱:ls $APIGEE_HELM_CHARTS_HOME/apigee-datastore
Chart.yaml PROJECT_ID-apigee-non-prod.json templates values.yaml
- 將服務帳戶檔案複製到需要參照該檔案的其他圖表目錄:
cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME $APIGEE_HELM_CHARTS_HOME/apigee-telemetry/
cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME $APIGEE_HELM_CHARTS_HOME/apigee-org/
cp $APIGEE_HELM_CHARTS_HOME/apigee-datastore/SA_FILE_NAME $APIGEE_HELM_CHARTS_HOME/apigee-env/
保管箱
如要準備服務帳戶金鑰檔案以儲存在 Vault 中,可以使用 create-service-account 工具,並透過 --dir 旗標建立金鑰檔案的目錄,藉此建立服務帳戶金鑰檔案。
正式環境
- 確認已定義
PROJECT_ID環境變數。echo $PROJECT_ID
create-service-account tool uses the value of the。如果未定義,請使用 Google Cloud 專案 ID 定義,或將PROJECT_IDenvironment variable--project-id PROJECT_ID標記新增至create-service-account指令。 -
使用下列指令建立服務帳戶,其中
$APIGEE_HELM_CHARTS_HOME是您下載 Apigee Helm 資訊套件的路徑。系統可能會提示您建立每個服務帳戶。請以y回覆。$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
- 檢查
service-accounts目錄的內容,確認是否已建立服務帳戶檔案。輸出內容應如下所示:ls $APIGEE_HELM_CHARTS_HOME/service-accounts/my-project-apigee-cassandra.json my-project-apigee-runtime.json my-project-apigee-logger.json my-project-apigee-synchronizer.json my-project-apigee-mart.json my-project-apigee-udca.json my-project-apigee-metrics.json my-project-apigee-watcher.json my-project-apigee-mint-task-scheduler.json
非正式環境
- 確認已定義
PROJECT_ID環境變數。echo $PROJECT_ID
create-service-account tool uses the value of the。如果未定義,請使用 Google Cloud 專案 ID 定義,或將PROJECT_IDenvironment variable--project-id PROJECT_ID標記新增至create-service-account指令。 -
執行下列指令來建立服務帳戶,其中
$APIGEE_HELM_CHARTS_HOME是您下載 Apigee Helm 資訊套件的路徑。系統可能會提示您建立服務帳戶。請以y回覆。$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --env non-prod \ --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
- 檢查
service-accounts目錄的內容,確認是否已建立服務帳戶檔案。輸出內容應如下所示:ls $APIGEE_HELM_CHARTS_HOME/service-accounts/my-project-apigee-non-prod.json
GKE 的 WIF
使用下列指令為安裝作業建立服務帳戶:
正式環境
- 確認已定義
PROJECT_ID環境變數。echo $PROJECT_ID
create-service-account tool uses the value of the。如果未定義,請使用 Google Cloud 專案 ID 定義,或將PROJECT_IDenvironment variable--project-id PROJECT_ID標記新增至create-service-account指令。 -
執行下列指令來建立服務帳戶,其中
$APIGEE_HELM_CHARTS_HOME是您下載 Apigee Helm 資訊套件的路徑。系統可能會提示您建立每個服務帳戶。請以y回覆。$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
-
使用下列指令驗證 Google 服務帳戶的建立作業:
gcloud iam service-accounts list --project $PROJECT_ID
輸出內容應如下所示:
DISPLAY NAME EMAIL DISABLED apigee-cassandra apigee-cassandra@my-project.iam.gserviceaccount.com False apigee-mart apigee-mart@my-project.iam.gserviceaccount.com False apigee-metrics apigee-metrics@my-project.iam.gserviceaccount.com False apigee-mint-task-scheduler apigee-mint-task-scheduler@my-project.iam.gserviceaccount.com False apigee-runtime apigee-runtime@my-project.iam.gserviceaccount.com False apigee-synchronizer apigee-synchronizer@my-project.iam.gserviceaccount.com False apigee-udca apigee-udca@my-project.iam.gserviceaccount.com False apigee-watcher apigee-watcher@my-project.iam.gserviceaccount.com False
非正式環境
- 確認已定義
PROJECT_ID環境變數。echo $PROJECT_ID
create-service-account tool uses the value of the。如果未定義,請使用 Google Cloud 專案 ID 定義,或將PROJECT_IDenvironment variable--project-id PROJECT_ID標記新增至create-service-account指令。 -
執行下列指令來建立服務帳戶,其中
$APIGEE_HELM_CHARTS_HOME是您下載 Apigee Helm 資訊套件的路徑。系統可能會提示您建立服務帳戶。請以y回覆。$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --env non-prod \ --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
-
使用下列指令驗證 Google 服務帳戶的建立作業:
gcloud iam service-accounts list --project $PROJECT_ID
輸出內容應如下所示:
DISPLAY NAME EMAIL DISABLED apigee-non-prod apigee-non-prod@my-project.iam.gserviceaccount.com False
選用:您不需要 GKE 適用的工作負載身分聯盟服務帳戶金鑰檔案。完成後,即可刪除 service-accounts 目錄。
在其他平台使用 WIF
使用下列指令為安裝作業建立服務帳戶:
正式環境
- 確認已定義
PROJECT_ID環境變數。echo $PROJECT_ID
create-service-account tool uses the value of the。如果未定義,請使用 Google Cloud 專案 ID 定義,或將PROJECT_IDenvironment variable--project-id PROJECT_ID標記新增至create-service-account指令。 -
執行下列指令來建立服務帳戶,其中
$APIGEE_HELM_CHARTS_HOME是您下載 Apigee Helm 資訊套件的路徑。系統可能會提示您建立每個服務帳戶。請以y回覆。$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --env prod \ --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
-
使用下列指令驗證 Google 服務帳戶的建立作業:
gcloud iam service-accounts list --project $PROJECT_ID
輸出內容應如下所示:
DISPLAY NAME EMAIL DISABLED apigee-cassandra apigee-cassandra@my-project.iam.gserviceaccount.com False apigee-mart apigee-mart@my-project.iam.gserviceaccount.com False apigee-metrics apigee-metrics@my-project.iam.gserviceaccount.com False apigee-mint-task-scheduler apigee-mint-task-scheduler@my-project.iam.gserviceaccount.com False apigee-runtime apigee-runtime@my-project.iam.gserviceaccount.com False apigee-synchronizer apigee-synchronizer@my-project.iam.gserviceaccount.com False apigee-udca apigee-udca@my-project.iam.gserviceaccount.com False apigee-watcher apigee-watcher@my-project.iam.gserviceaccount.com False
非正式環境
- 確認已定義
PROJECT_ID環境變數。echo $PROJECT_ID
create-service-account tool uses the value of the。如果未定義,請使用 Google Cloud 專案 ID 定義,或將PROJECT_IDenvironment variable--project-id PROJECT_ID標記新增至create-service-account指令。 -
執行下列指令來建立服務帳戶,其中
$APIGEE_HELM_CHARTS_HOME是您下載 Apigee Helm 資訊套件的路徑。系統可能會提示您建立服務帳戶。請以y回覆。$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/create-service-account \ --env non-prod \ --dir $APIGEE_HELM_CHARTS_HOME/service-accounts
-
使用下列指令驗證 Google 服務帳戶的建立作業:
gcloud iam service-accounts list --project $PROJECT_ID
輸出內容應如下所示:
DISPLAY NAME EMAIL DISABLED apigee-non-prod apigee-non-prod@my-project.iam.gserviceaccount.com False
選用:您不需要 GKE 適用的工作負載身分聯盟服務帳戶金鑰檔案。完成後,即可刪除 service-accounts 目錄。
如要進一步瞭解服務帳戶和 create-service-account 工具,請參閱:
您現在已建立服務帳戶,並指派 Apigee Hybrid 元件所需的角色。接著,建立混合式 Ingress 閘道所需的 TLS 憑證。