Crea service account Google Cloud Platform con ruoli che consentono ai singoli componenti di Apigee Hybrid di effettuare chiamate API autorizzate e scarica i file delle chiavi del account di servizio associato. Puoi utilizzare i file della chiave delaccount di serviziot generati da questo comando nel file di override della configurazione.
Lo strumento create-service-account si trova nella directory HYBRID_ROOT_DIR/tools.
Prerequisiti
Lo strumento create-service-account richiede l'installazione dell'interfaccia a riga di comando gcloud. Gli utenti che richiamano l'utilità devono avere il ruolo Service Account Admin.
Per iniziare, assicurati che la configurazione del progetto gcloud sia impostata sul progetto che hai creato nel passaggio 2: crea un progetto Google Cloud:
gcloud config list project
Se devi modificare l'ID progetto corrente, utilizza il seguente comando:
gcloud config set project GC_PROJECT_ID
dove GC_PROJECT_ID è il progetto creato nel passaggio 2: crea un progetto Google Cloud.
Sintassi di create-service-account
Lo strumento create-service-account utilizza la seguente sintassi:
create-service-account HYBRID_SERVICE OUTPUT_DIR [GC_PROJECT_ID]
Dove:
- HYBRID_SERVICE: specifica il servizio ibrido che utilizza il account di servizio. I valori
validi sono:
apigee-cassandraapigee-distributed-traceapigee-loggerapigee-martapigee-metricsapigee-synchronizerapigee-udcaapigee-watcher
Tieni presente che lo strumento
create-service-accountnon può creare il account di servizioapigee-org-admin. Devi crearlo con le APIgcloud, come descritto in Creare service account. - OUTPUT_DIR: la directory di output in cui archiviare la chiave del account di servizio scaricata.
- GCP_PROJECT_ID: (facoltativo) Specifica l'ID progetto Google Cloud del progetto
associato alla tua organizzazione abilitata all'ibrido. Se l'ID progetto Google Cloud non viene
fornito, lo strumento tenta di recuperarlo dalla configurazione
gcloudcorrente.
Descrizione dettagliata
Lo strumento create-service-account:
- Crea service account Google Cloud utilizzati dai componenti ibridi. Al account di servizio creato viene concesso il ruolo richiesto dal componente specifico per funzionare.
- Scarica la chiave del account di servizio sul tuo sistema. Inserisci le chiavi del account di servizio nel file di override della configurazione ibrida, come spiegato nelle istruzioni di installazione ibrida.
Lo strumento crea service account per i seguenti componenti:
| Componente* | Ruolo | Necessario per l'installazione di base? | Descrizione |
|---|---|---|---|
apigee-cassandra |
Storage Object Adminroles/storage.objectAdmin |
Consente di eseguire backup di Cassandra in Cloud Storage, come descritto in Backup e ripristino. | |
apigee-distributed-trace |
Agente Cloud Traceroles/cloudtrace.agent |
Consente al piano di runtime ibrido di partecipare al tracciamento delle richieste distribuite in un formato compatibile con sistemi come Google Cloud Trace e Jaeger. | |
apigee-logger |
Logs Writerroles/logging.logWriter |
Consente la raccolta dei dati di logging, come descritto in Logging. Obbligatorio solo per le installazioni di cluster non GKE. | |
apigee-mart |
Agente Apigee Connectroles/apigeeconnect.Agent |
Consente l'autenticazione del servizio MART. Il ruolo Agente Apigee Connect consente di comunicare in modo sicuro con il processo Apigee Connect, come descritto in Utilizzo di Apigee Connect. | |
apigee-metrics |
Monitoring Metric Writerroles/monitoring.metricWriter |
Consente la raccolta dei dati delle metriche, come descritto nella panoramica della raccolta di metriche. | |
apigee-synchronizer |
Gestore sincronizzatore Apigeeroles/apigee.synchronizerManager |
Consente al sincronizzatore di scaricare i bundle proxy e i dati di configurazione dell'ambiente. Consente inoltre il funzionamento della funzionalità di tracciamento. | |
apigee-udca |
Agente Apigee Analyticsroles/apigee.analyticsAgent |
Consente il trasferimento dei dati di traccia, analisi e stato di deployment al control plane. | |
apigee-watcher |
Apigee Runtime Agentroles/apigee.runtimeAgent |
Apigee Watcher estrae dal sincronizzatore le modifiche correlate agli host virtuali per un'organizzazione e apporta le modifiche necessarie per configurare l'ingresso di Istio. | |
| * Questo nome viene utilizzato nel nome file della chiave dell'account di servizio scaricata. | |||
Puoi creare service account anche nella console Google Cloud. Vedi anche Creazione e gestione dei service account.
Esempio
L'esempio seguente crea un nuovo account di servizio per il servizio apigee-logger
e inserisce la chiave scaricata nella directory ./service-accounts.
./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts