本步驟說明如何建立 Apigee Hybrid 運作所需的 Google Cloud 服務帳戶和 TLS 憑證。
建立服務帳戶
Apigee Hybrid 會使用 Google Cloud 服務帳戶,允許 Hybrid 元件透過發出已授權的 API 呼叫進行通訊。
在這個步驟中,您會使用 Apigee Hybrid 指令列工具建立一組服務帳戶,並下載服務帳戶私密金鑰檔案。
Apigee 提供 create-service-account 工具,可建立服務帳戶、將角色指派給服務帳戶,以及建立並下載服務帳戶的金鑰檔案,所有動作只需一個指令即可完成。
- 如要進一步瞭解
create-service-account和所有選項,請參閱create-service-account - 如要瞭解相關的 Google Cloud 概念,請參閱「建立及管理服務帳戶」和「建立及管理服務帳戶金鑰」。
-
請確認您位於「設定專案目錄結構」中設定的
base_directory/hybrid-files目錄。 - 請確認 PROJECT_ID 環境變數已設為 Google Cloud 專案 ID。
create-service-account工具會讀取 PROJECT_ID 環境變數,在正確的專案中建立服務帳戶。echo $PROJECT_ID
-
在
hybrid-files目錄中執行下列指令。這個指令會建立名為apigee-non-prod的單一服務帳戶,供非正式環境使用,並將下載的金鑰檔案放在./service-accounts目錄中。./tools/create-service-account --env non-prod --dir ./service-accounts
如果看到下列提示,請輸入 y:
[INFO]: gcloud configured project ID is project_id. Enter: y to proceed with creating service account in project: project_id Enter: n to abort.
如果您是第一次建立指派特定名稱的 SA,工具會直接建立,不會再提示您。
不過,如果看到下列訊息和提示,請輸入 y 來產生新金鑰:
[INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists. ... [INFO]: The service account might have keys associated with it. It is recommended to use existing keys. Press: y to generate new keys.(this does not deactivate existing keys) Press: n to skip generating new keys.
-
使用下列指令,確認服務帳戶金鑰是否已建立。您必須妥善儲存這些私密金鑰。金鑰檔案名稱會加上 Google Cloud 專案名稱做為前置字元。
ls ./service-accounts
結果應如下所示:
project_id-apigee-non-prod.json
您現在已建立服務帳戶,並指派 Apigee Hybrid 元件所需的角色。接著,混合式 Ingress 閘道需要 TLS 憑證。
1 2 3 4 5 (NEXT) Step 6: Create TLS certificates 7 8 9