Paso 5: Crea credenciales y cuentas de servicio

En este paso se explica cómo crear las cuentas de servicio de Google Cloud y las credenciales TLS que necesita Apigee hybrid para funcionar.

Crear las cuentas de servicio

Apigee hybrid usa cuentas de servicio de Google Cloud para permitir que los componentes híbridos se comuniquen haciendo llamadas a las APIs autorizadas.

En este paso, usarás una herramienta de línea de comandos de Apigee hybrid para crear un conjunto de cuentas de servicio y descargar los archivos de clave privada de las cuentas de servicio.

Apigee proporciona una herramienta, create-service-account, que crea las cuentas de servicio, asigna los roles a las cuentas de servicio y crea y descarga los archivos de claves de la cuenta de servicio con un solo comando.

• Para obtener más información sobre create-service-account y todas sus opciones, consulta create-service-account.
• Para obtener información sobre los conceptos relacionados de Google Cloud, consulta los artículos sobre cómo crear y gestionar cuentas de servicio y cómo crear y gestionar claves de cuentas de servicio.

1. Asegúrate de que te encuentras en el directorio base_directory/hybrid-files que has configurado en Configurar la estructura del directorio del proyecto.
2. Comprueba que la variable de entorno PROJECT_ID esté definida con el ID de tu proyecto de Google Cloud. La herramienta create-service-account lee la variable de entorno PROJECT_ID para crear las cuentas de servicio en el proyecto correcto.

   echo $PROJECT_ID

3. Ejecuta el siguiente comando desde el directorio hybrid-files. Este comando crea una cuenta de servicio llamada apigee-non-prod para usarla en entornos que no son de producción y coloca el archivo de claves descargado en el directorio ./service-accounts.

   ./tools/create-service-account --env non-prod --dir ./service-accounts

   Si ves el siguiente mensaje, introduce y:

   [INFO]: gcloud configured project ID is project_id.
    Enter: y to proceed with creating service account in project: project_id
    Enter: n to abort.

   Si es la primera vez que creas una SA con un nombre concreto, la herramienta la creará sin pedirte más información.

   Sin embargo, si ves el siguiente mensaje y petición, introduce y para generar nuevas claves:

   [INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
   ...
    [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
    Press: y to generate new keys.(this does not deactivate existing keys)
    Press: n to skip generating new keys.

4. Verifica que la clave de cuenta de servicio se haya creado con el siguiente comando. Eres responsable de almacenar estas claves privadas de forma segura. Los nombres de los archivos de claves tienen como prefijo el nombre de tu proyecto de Google Cloud.

   ls ./service-accounts

   El resultado debería ser similar al siguiente:

   project_id-apigee-non-prod.json

Ahora has creado cuentas de servicio y has asignado los roles que necesitan los componentes de Apigee hybrid. A continuación, se indican los certificados TLS que requiere la puerta de enlace de entrada híbrida.

1 2 3 4 5 Paso 6(SIGUIENTE): Crea certificados TLS 7 8 9