Passaggio 5: creazione di account di servizio e credenziali

Questo passaggio spiega come creare i service account Google Cloud e le credenziali TLS necessari per il funzionamento di Apigee Hybrid.

Crea i service account

Apigee Hybrid utilizza service account Google Cloud per consentire ai componenti ibridi di comunicare effettuando chiamate API autorizzate.

In questo passaggio, utilizzi uno strumento a riga di comando Apigee ibrido per creare un insieme di service account e scaricare i file delle chiavi private del account di servizio.

Apigee fornisce uno strumento, create-service-account, che crea i service account, assegna i ruoli ai service account e crea e scarica i file delle chiavi per il service account in un unico comando.

• Per scoprire di più su create-service-account e su tutte le sue opzioni, consulta create-service-account
• Per scoprire di più sui concetti correlati di Google Cloud, consulta Creazione e gestione dei service account e Creazione e gestione account di servizio account.

1. Assicurati di trovarti nella directory base_directory/hybrid-files che hai configurato in Configurare la struttura delle directory del progetto.
2. Assicurati che la variabile di ambiente PROJECT_ID sia impostata sull'ID progetto Google Cloud. Lo strumento create-service-account legge la variabile di ambiente PROJECT_ID per creare i service account nel progetto corretto.

   echo $PROJECT_ID

3. Esegui questo comando dalla directory hybrid-files. Questo comando crea un singolo account di servizio denominato apigee-non-prod da utilizzare in ambienti non di produzione e inserisce il file della chiave scaricato nella directory ./service-accounts.

   ./tools/create-service-account --env non-prod --dir ./service-accounts

   Se visualizzi il seguente prompt, inserisci y:

   [INFO]: gcloud configured project ID is project_id.
    Enter: y to proceed with creating service account in project: project_id
    Enter: n to abort.

   Se è la prima volta che crei un account di servizio con un determinato nome assegnato, lo strumento lo crea senza ulteriori prompt.

   Se, invece, visualizzi il seguente messaggio e prompt, inserisci y per generare nuove chiavi:

   [INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
   ...
    [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
    Press: y to generate new keys.(this does not deactivate existing keys)
    Press: n to skip generating new keys.

4. Verifica che la chiave del account di servizio sia stata creata utilizzando il seguente comando. Sei responsabile di conservare queste chiavi private in modo sicuro. I nomi dei file delle chiavi hanno come prefisso il nome del tuo progetto Google Cloud.

   ls ./service-accounts

   Il risultato dovrebbe essere simile al seguente:

   project_id-apigee-non-prod.json

Ora hai creato i service account e assegnato i ruoli necessari ai componenti di Apigee Hybrid. Successivamente, i certificati TLS richiesti dal gateway in entrata ibrido.

1 2 3 4 5 (NEXT) Step 6: Create TLS certificates 7 8 9