Crea service account Google Cloud Platform (GCP) con ruoli che consentono ai singoli componenti di Apigee Hybrid di effettuare chiamate API autorizzate e scarica i file delle chiavi del account di servizio associato. Puoi utilizzare i file della chiave delaccount di serviziot generati da questo comando nel file di override della configurazione.
Lo strumento create-service-account si trova nella directory hybrid_root_dir/tools.
Prerequisiti
Lo strumento create-service-account richiede l'installazione della CLI gcloud. Gli utenti che richiamano l'utilità devono avere il ruolo Service Account Admin.
Per iniziare, assicurati che la configurazione del progetto gcloud sia impostata sul progetto che hai creato nel passaggio 2: crea un progetto Google Cloud:
gcloud config list project
Se devi modificare l'ID progetto corrente, utilizza questo comando:
gcloud config set project gcp_project_id
dove gcp_project_id è il progetto creato nel passaggio 2: crea un progetto Google Cloud.
Sintassi di create-service-account
Lo strumento create-service-account utilizza la seguente sintassi:
create-service-account component_name output_dir [gcp_project_id]
Dove:
- component_name: specifica il servizio ibrido che utilizza il account di servizio. I valori
validi sono:
apigee-cassandraapigee-loggerapigee-martapigee-metricsapigee-synchronizerapigee-udca
Tieni presente che lo strumento
create-service-accountnon può creare il account di servizioapigee-org-admin. Devi crearlo con le API GCP o gcloud, come descritto in Creare service account. - output_dir: la directory di output in cui archiviare la chiave del account di servizio scaricata.
- gcp_project_id: (facoltativo) Specifica l'ID progetto Google Cloud del progetto associato alla tua organizzazione abilitata all'ibrido. Se l'ID progetto GCP non viene fornito, lo strumento tenta di recuperarlo dalla configurazione gcloud corrente.
Descrizione dettagliata
Lo strumento create-service-account:
- Crea service account Google Cloud utilizzati dai componenti ibridi. Al account di servizio creato viene concesso il ruolo richiesto dal componente specifico per funzionare.
- Scarica la chiave del account di servizio sul tuo sistema. Inserisci le chiavi del account di servizio nel file di override della configurazione ibrida, come spiegato nelle istruzioni di installazione ibrida.
Lo strumento crea service account per i seguenti componenti:
| Componente* | Ruolo | Necessario per l'installazione di base? | Descrizione |
|---|---|---|---|
apigee-cassandra |
Storage Object Admin | Consente di eseguire backup di Cassandra in Google Cloud Storage, come descritto in Backup e ripristino. | |
apigee-logger |
Logs Writer | Consente la raccolta dei dati di logging, come descritto in Logging. Obbligatorio solo per le installazioni di cluster non GKE. | |
apigee-mart |
Nessun ruolo | Consente l'autenticazione del servizio MART. A questo account di servizio non deve essere associato alcun ruolo. Di conseguenza, quando lo crei, non assegnargli un ruolo. | |
apigee-metrics |
Monitoring Metric Writer | Consente la raccolta dei dati delle metriche, come descritto in Raccolta di metriche | |
apigee-org-admin |
Apigee Organization Admin | Consente di chiamare l'API getSyncAuthorization e l'API setSyncAuthorization. Non puoi creare questo account di servizio con lo strumento
create-service-account. |
|
apigee-synchronizer |
Apigee Synchronizer Manager | Consente al sincronizzatore di scaricare i bundle proxy e i dati di configurazione dell'ambiente. Consente inoltre il funzionamento della funzionalità di tracciamento. | |
apigee-udca |
Apigee Analytics Agent | Consente il trasferimento dei dati di traccia, analisi e stato di deployment al control plane. | |
| * Questo nome viene utilizzato nel nome file della chiave dell'account di servizio scaricata. | |||
Puoi anche creare service account nella console di GCP. Vedi anche Creazione e gestione dei service account.
Esempio
L'esempio seguente crea un nuovo account di servizio per il servizio apigee-logger
e inserisce la chiave scaricata nella directory ./service-accounts.
./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts