Passaggio 4: crea gli account di servizio

Questo passaggio spiega come creare gli account di servizio Google Cloud necessari per il funzionamento di Apigee Hybrid.

Crea i service account

Apigee Hybrid utilizza service account Google Cloud per consentire ai componenti ibridi di comunicare effettuando chiamate API autorizzate.

In questo passaggio, utilizzi uno strumento a riga di comando Apigee ibrido per creare un insieme di service account e scaricare i file delle chiavi private del account di servizio.

In un ambiente ibrido di produzione, Apigee consiglia di utilizzare un account di servizio separato per ogni componente. Ai fini di questo tutorial, puoi creare un singolo service account denominato "apigee-non-prod" che puoi utilizzare per tutti i componenti.

Per scoprire di più sui service account e leggere l'elenco completo dei service account consigliati per gli ambienti di produzione, consulta le seguenti pagine:

• Informazioni sui service account
• Service account e ruoli utilizzati dai componenti ibridi

Apigee fornisce uno strumento, create-service-account, che crea i service account, assegna i ruoli ai service account e crea e scarica i file delle chiavi per il service account in un unico comando.

• Per scoprire di più su create-service-account e su tutte le sue opzioni, consulta create-service-account.
• Per scoprire di più sui concetti correlati di Google Cloud, consulta Creazione e gestione dei service account e Creazione e gestione account di servizio account.

1. Assicurati che le variabili di ambiente HYBRID_FILES e PROJECT_ID siano impostate.

   PROJECT_ID deve essere impostato sull'ID progetto Google Cloud, perché lo strumento create-service-account legge la variabile di ambiente PROJECT_ID per creare gli account di servizio nel progetto corretto.

   echo $HYBRID_FILES
   echo $PROJECT_ID

2. Crea un account di servizio non di produzione con il seguente comando. Questo comando crea un singolo account di servizio denominato apigee-non-prod da utilizzare in ambienti non di produzione e inserisce il file della chiave scaricato nella directory $HYBRID_FILES/service-accounts.

   $HYBRID_FILES/tools/create-service-account --env non-prod --dir $HYBRID_FILES/service-accounts

   Se visualizzi il seguente prompt, inserisci y:

   [INFO]: gcloud configured project ID is project_id.
    Enter: y to proceed with creating service account in project: project_id
    Enter: n to abort.

   Se è la prima volta che crei un account di servizio con un determinato nome assegnato, lo strumento lo crea senza ulteriori prompt.

   Se, invece, visualizzi il seguente messaggio e prompt, inserisci y per generare nuove chiavi:

   [INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
   ...
    [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
    Press: y to generate new keys.(this does not deactivate existing keys)
    Press: n to skip generating new keys.

3. Verifica che la chiave del account di servizio sia stata creata utilizzando il seguente comando. Sei responsabile di conservare queste chiavi private in modo sicuro. I nomi dei file delle chiavi hanno come prefisso il nome del tuo progetto Google Cloud.

   ls $HYBRID_FILES/service-accounts

   Il risultato dovrebbe essere simile al seguente:

   project_id-apigee-non-prod.json

Ora hai creato i service account e assegnato i ruoli necessari ai componenti di Apigee Hybrid. Successivamente, crea i certificati TLS richiesti dal gateway in entrata ibrido.

1 2 3 4 (NEXT) Step 5: Create TLS certificates 6 7 8 9 10