Cria contas de serviço da Google Cloud Platform com funções que permitem que os componentes híbridos do Apigee individuais façam chamadas de API autorizadas e transfiram os ficheiros de chaves de contas de serviço associados. Pode usar os ficheiros de chaves de contas de serviço gerados por este comando no ficheiro de substituições de configuração.
A ferramenta create-service-account encontra-se no diretório HYBRID_ROOT_DIR/tools.
Pré-requisitos
A ferramenta create-service-account requer que a CLI gcloud esteja instalada. Os utilizadores que invocam a utilidade devem ter a função Service Account Admin.
Para começar, certifique-se de que a configuração do gcloudprojeto
está definida para o projeto que criou no passo 2: crie um projeto do Google Cloud:
gcloud config list project
Se precisar de alterar o ID do projeto atual, use o seguinte comando:
gcloud config set project GC_PROJECT_ID
Em que GC_PROJECT_ID é o projeto criado no Passo 2: crie um projeto do Google Cloud.
Sintaxe create-service-account
A ferramenta create-service-account usa a seguinte sintaxe:
create-service-account HYBRID_SERVICE OUTPUT_DIR [GC_PROJECT_ID]
Onde:
- HYBRID_SERVICE: especifica o serviço híbrido que usa a conta de serviço. Os valores
válidos são:
apigee-cassandraapigee-distributed-traceapigee-loggerapigee-martapigee-metricsapigee-synchronizerapigee-udcaapigee-watcher
Tenha em atenção que a ferramenta
create-service-accountnão pode criar a conta de serviçoapigee-org-admin. Tem de criá-la com as APIsgcloud, conforme descrito em Criar contas de serviço. - OUTPUT_DIR: o diretório de saída no qual armazenar a chave da conta de serviço transferida.
- GCP_PROJECT_ID: (Opcional) Especifica o ID do projeto do Google Cloud do projeto
associado à sua organização com capacidade híbrida. Se o ID do projeto do Google Cloud não for
indicado, a ferramenta tenta obtê-lo a partir da configuração
atual.
gcloud
Descrição detalhada
A ferramenta create-service-account:
- Cria contas de serviço do Google Cloud usadas por componentes híbridos. A conta de serviço criada recebe a função exigida pelo componente específico para funcionar.
- Transfere a chave da conta de serviço para o seu sistema. Coloca as chaves da conta de serviço no ficheiro de substituições da configuração híbrida, conforme explicado nas instruções de instalação híbrida.
A ferramenta cria contas de serviço para os seguintes componentes:
| Componente* | Função | Necessário para a instalação básica? | Descrição |
|---|---|---|---|
apigee-cassandra |
Administrador de objetos de armazenamentoroles/storage.objectAdmin |
Permite que as cópias de segurança do Cassandra sejam feitas no Cloud Storage, conforme descrito em Cópia de segurança e recuperação. | |
apigee-distributed-trace |
Agente do Cloud Traceroles/cloudtrace.agent |
Permite que o plano de tempo de execução híbrido participe na monitorização de pedidos distribuídos num formato compatível com sistemas como o Google Cloud Trace e o Jaeger. | |
apigee-logger |
Escritor de registosroles/logging.logWriter |
Permite a recolha de dados de registo, conforme descrito em Registo. Apenas necessário para instalações de clusters que não sejam do GKE. | |
apigee-mart |
Agente do Apigee Connectroles/apigeeconnect.Agent |
Permite a autenticação do serviço MART. A função de agente do Apigee Connect permite-lhe comunicar em segurança com o processo do Apigee Connect, conforme descrito no artigo Usar o Apigee Connect. | |
apigee-metrics |
Escritor de métricas de monitorizaçãoroles/monitoring.metricWriter |
Permite a recolha de dados de métricas, conforme descrito na vista geral da recolha de métricas. | |
apigee-synchronizer |
Apigee Synchronizer Managerroles/apigee.synchronizerManager |
Permite que o sincronizador transfira pacotes de proxy e dados de configuração do ambiente. Também permite o funcionamento da funcionalidade de rastreio. | |
apigee-udca |
Agente do Apigee Analyticsroles/apigee.analyticsAgent |
Permite a transferência de dados de rastreio, estatísticas e estado de implementação para o plano de gestão. | |
apigee-watcher |
Agente de tempo de execução do Apigeeroles/apigee.runtimeAgent |
O Apigee Watcher extrai as alterações relacionadas com os anfitriões virtuais de uma organização do sincronizador e faz as alterações necessárias para configurar a entrada do Istio. | |
| * Este nome é usado no nome do ficheiro da chave da conta de serviço transferida. | |||
Também pode criar contas de serviço na Google Cloud Console. Consulte também Criar e gerir contas de serviço.
Exemplo
O exemplo seguinte cria uma nova conta de serviço para o serviço apigee-logger
e coloca a chave transferida no diretório ./service-accounts.
./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts