Schritt 5: Dienstkonten und Anmeldedaten erstellen

In diesem Schritt wird erläutert, wie Sie die Google Cloud-Dienstkonten und TLS-Anmeldedaten erstellen, die für das Funktionieren von Apigee Hybrid erforderlich sind.

Dienstkonten erstellen

Apigee Hybrid verwendet Google Cloud-Dienstkonten, um die Kommunikation zwischen Hybrid-Komponenten über autorisierte API-Aufrufe zu ermöglichen.

In diesem Schritt erstellen Sie mit einem Hybrid-Befehlszeilentool von Apigee eine Reihe von Dienstkonten und laden die Dateien mit dem privaten Schlüssel des Dienstkontos herunter.

Weitere Informationen zu Dienstkonten und die vollständige Liste der Dienstkonten, die für Produktionsumgebungen empfohlen werden, finden Sie hier:

• Informationen zu Dienstkonten
• Dienstkonten und Rollen, die von Hybrid-Komponenten verwendet werden

Apigee stellt das Tool create-service-account bereit, mit dem die Dienstkonten erstellt werden, die Rollen den Dienstkonten zugewiesen werden und die Schlüsseldateien für das Dienstkonto in einem einzigen Befehl erstellt und heruntergeladen werden. Weitere Informationen zu den verknüpften Google Cloud-Konzepten finden Sie unter Dienstkonten erstellen und verwalten und Dienstkontoschlüssel erstellen und verwalten.

1. Sie müssen sich in dem Verzeichnis base_directory/hybrid-files befinden, das Sie unter Projektverzeichnisstruktur einrichten konfiguriert haben.
2. Führen Sie den folgenden Befehl im Verzeichnis hybrid-files aus. Mit diesem Befehl wird ein Dienstkonto für die Komponente apigee-metrics erstellt und der heruntergeladene Schlüssel im Verzeichnis ./service-accounts abgelegt:

   ./tools/create-service-account apigee-metrics ./service-accounts

   Wenn die folgende Eingabeaufforderung angezeigt wird, geben Sie y ein:

   [INFO]: gcloud configured project ID is project_id.
    Press: y to proceed with creating service account in project: project_id
    Press: n to abort.

   Wenn ein Dienstkonto zum ersten Mal mit genau dem Namen erstellt wird, der vom Tool zugewiesen wurde, wird es einfach vom Tool erstellt. Sie müssen nichts weiter tun.

   Wenn jedoch die folgende Meldung und Eingabeaufforderung angezeigt wird, geben Sie y ein, um neue Schlüssel zu generieren:

   [INFO]: Service account apigee-metrics@project_id.iam.gserviceaccount.com already exists.
   ...
    [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
    Press: y to generate new keys.(this does not de-activate existing keys)
    Press: n to skip generating new keys.
   

3. Erstellen Sie nun die übrigen Dienstkonten mit den folgenden Befehlen: Der Befehl create-service-account ist interaktiv und erfordert eine Antwort für jedes Konto.

   ./tools/create-service-account apigee-synchronizer ./service-accounts

   ./tools/create-service-account apigee-udca ./service-accounts

   ./tools/create-service-account apigee-mart ./service-accounts

   ./tools/create-service-account apigee-cassandra ./service-accounts

   ./tools/create-service-account apigee-logger ./service-accounts

   ./tools/create-service-account apigee-watcher ./service-accounts

   ./tools/create-service-account apigee-distributed-trace ./service-accounts

4. Prüfen Sie mit dem folgenden Befehl, ob die Dienstkontoschlüssel erstellt wurden. Sie sind dafür verantwortlich, diese privaten Schlüssel sicher zu speichern. Den Schlüsselnamen ist der Name Ihres Google Cloud-Projekts vorangestellt.

   ls ./service-accounts

   Das Ergebnis sollte ungefähr so aussehen:

   gcp-project-id-apigee-cassandra.json
   gcp-project-id-apigee-distributed-trace.json
   gcp-project-id-apigee-logger.json
   gcp-project-id-apigee-mart.json
   gcp-project-id-apigee-metrics.json
   gcp-project-id-apigee-synchronizer.json
   gcp-project-id-apigee-udca.json
   gcp-project-id-apigee-watcher.json

TLS-Zertifikate erstellen

Sie müssen TLS-Zertifikate für das Laufzeit-Ingress-Gateway in Ihrer Apigee Hybrid-Konfiguration bereitstellen. Bei dieser Kurzanleitung (eine Nicht-Produktions-Testinstallation) akzeptiert das Laufzeitgateway selbst signierte Anmeldedaten. In den folgenden Schritten wird openssl verwendet, um die selbst signierten Anmeldedaten zu generieren.

In diesem Schritt erstellen Sie die TLS-Anmeldedatendateien und fügen sie dem Verzeichnis base_directory/hybrid-files/certs hinzu. In Schritt 6: Cluster konfigurieren fügen Sie der Clusterkonfigurationsdatei die Dateipfade hinzu.

1. Sie müssen sich in dem Verzeichnis base_directory/hybrid-files befinden, das Sie unter Projektverzeichnisstruktur einrichten konfiguriert haben.
2. Achten Sie darauf, einen Domainnamen mit dem folgenden Befehl in der Umgebungsvariable DOMAIN zu speichern:

   echo $DOMAIN

3. Führen Sie den folgenden Befehl im Verzeichnis hybrid-files aus:

   openssl req  -nodes -new -x509 -keyout ./certs/keystore.key -out \
       ./certs/keystore.pem -subj '/CN='$DOMAIN'' -days 3650

   Dabei ist DOMAIN dasselbe, das Sie in Teil 1, Schritt 5: Umgebungsgruppe erstellen für Ihre Umgebung verwendet haben.

   Mit diesem Befehl wird ein selbst signiertes Zertifikat-/Schlüsselpaar erstellt, das Sie für die Schnellinstallation verwenden können.

4. Prüfen Sie mit dem folgenden Befehl, ob sich die Dateien im Verzeichnis ./certs befinden:

   ls ./certs
     keystore.pem
     keystore.key

   Dabei ist keystore.pem die selbst signierte TLS-Zertifikatsdatei und keystore.key die Schlüsseldatei.

Sie haben jetzt die Dienstkonten und Anmeldedaten, die zum Verwalten von Apigee Hybrid in Ihrem Kubernetes-Cluster erforderlich sind. Als Nächstes erstellen Sie eine Datei, mit der Kubernetes die Hybrid-Laufzeitkomponenten im Cluster bereitstellt.

1 2 3 4 5 (WEITER) Schritt 6: Hybridlaufzeit konfigurieren 7