Versão 1.7. Esta versão não é mais compatível. Para mais informações, consulte a política de suporte de versões. Para informações sobre como fazer upgrade para a versão 1.8, consulte Como fazer upgrade do Anthos em Bare Metal na documentação do 1.8.

Versões com suporte disponíveis: 1.14 | 1.13 | 1.12

Como ativar serviços e contas de serviço do Google

Além de atender aos pré-requisitos de instalação, hardware e sistema operacional, é necessário configurar projetos, APIs e contas de serviço do Google Cloud para executar clusters do Anthos em bare metal.

O comando bmctl pode ativar automaticamente contas de serviço e APIs no momento da criação do cluster, mas também é possível configurar esses serviços manualmente para um controle mais detalhado das operações.

Ativando APIs

Para ativar APIs no projeto, um dos seguintes papéis precisa ser atribuído à sua conta: roles/owner, roles/editor ou roles/serviceusage.serviceUsageAdmin.

Para mais informações, consulte Conceder um único papel.

Como definir os IDs e papéis padrão do projeto do Google Cloud

É possível definir seu project id padrão além de configurar contas de serviço.

Você precisa ter papéis owner ou editor no projeto para clusters do Anthos em bare metal.

Para definir o projeto padrão, emita o comando a seguir e substitua PROJECT_ID pelo ID do projeto do Google Cloud:

gcloud config set project PROJECT_ID

Como configurar contas de serviço manualmente

O comando bmctl dos clusters do Anthos em bare metal podem configurar automaticamente as contas de serviço e as APIs do Google quando você cria clusters.

No entanto, para ter mais controle sobre seu sistema ou para simplificar a criação de clusters com um conjunto padrão de serviços, contas e projetos, você pode configurá-los manualmente.

Os clusters do Anthos em bare metal conectam seus clusters ao Google Cloud. Essa conexão permite gerenciar e observar seus clusters no Console do Cloud usando:

Conecte-se para conectar seu cluster bare metal ao Google Cloud. Assim, é possível acessar o cluster e os recursos de gerenciamento de carga de trabalho. Isso inclui uma interface de usuário unificada, o console do Cloud, para interagir com o cluster.
Logging e Monitoring para ver registros e métricas do cluster no Console do Cloud.

O processo de configuração manual do acesso inclui:

Ativação dos serviços do Google necessários no projeto do Cloud;
Criação das seguintes contas de serviço com os papéis necessários:
- Conta de serviço do agente de conexão: a conexão usa essa conta de serviço para manter uma conexão entre seu cluster e o Google Cloud.
- Conta de serviço de conexão de registro: o Connect usa essa conta para registrar seus clusters com o Google Cloud.
- Conta de serviço de geração de registros: o Connect usa essa conta de serviço para exportar registros e métricas de clusters para o Logging e o Monitoring.
Download dos arquivos de chave JSON para cada conta de serviço.

Em seguida, adicione referências aos arquivos de chave JSON aos arquivos de configuração apropriados do cluster. Consulte Como criar clusters: visão geral para mais informações.

Como configurar contas de serviço para uso com o Connect

Para criar as contas de serviço e os arquivos de chaves:

Verifique se você está no diretório baremetal.
Ative os serviços necessários do Google no projeto do Cloud:

gcloud services enable --project=PROJECT_ID \
    container.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    cloudresourcemanager.googleapis.com \
    anthos.googleapis.com

Crie a conta de serviço connect-agent com o papel necessário e faça o download do arquivo de chave. Estas etapas criam o arquivo de chave connect-agent.json no diretório baremetal:

Crie a conta de serviço

gcloud iam service-accounts create connect-agent-svc-account --project=PROJECT_ID

Conceda o papel gkehub.connect:

gcloud projects add-iam-policy-binding  PROJECT_ID \
    --member="serviceAccount:connect-agent-svc-account@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/gkehub.connect"

Faça o download do arquivo de chave JSON da conta de serviço:

gcloud iam service-accounts keys create connect-agent.json \
    --iam-account=connect-agent-svc-account@PROJECT_ID.iam.gserviceaccount.com \
    --project=PROJECT_ID

Crie a conta de serviço de conexão de registro com o papel necessário e faça o download do arquivo de chave. Estas etapas criam o arquivo de chave connect-register.json no diretório baremetal:

Crie a conta de serviço

gcloud iam service-accounts create connect-register-svc-account \
    --project=PROJECT_ID

Conceda o papel gkehub.admin:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:connect-register-svc-account@PROJECT_ID.iam.gserviceaccount.com" \
    --role=roles/gkehub.admin

Faça o download do arquivo de chave JSON da conta de serviço:

gcloud iam service-accounts keys create connect-register.json \
    --iam-account=connect-register-svc-account@PROJECT_ID.iam.gserviceaccount.com \
    --project=PROJECT_ID

Como configurar uma conta de serviço para uso com o Logging e o Monitoring

Para criar a conta de serviço e o arquivo de chave do Logging e do Monitoring:

Verifique se você está no diretório baremetal.
Ative os serviços necessários do Google no projeto do Cloud:

gcloud services enable --project PROJECT_ID \
    anthos.googleapis.com \
    anthosgke.googleapis.com \
    cloudresourcemanager.googleapis.com \
    container.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    serviceusage.googleapis.com \
    stackdriver.googleapis.com \
    monitoring.googleapis.com \
    logging.googleapis.com

Crie a conta de serviço do Logging-Monitoring com os papéis necessários e faça o download do arquivo de chave. Estas etapas criam o arquivo de chave cloud-ops.json no diretório baremetal:

Criar conta de serviço

gcloud iam service-accounts create logging-monitoring-svc-account \
    --project=PROJECT_ID

Conceda o papel logging.logWriter

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:logging-monitoring-svc-account@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/logging.logWriter"

Conceda o papel monitoring.metricWriter

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:logging-monitoring-svc-account@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/monitoring.metricWriter"

Conceda o papel roles/stackdriver.resourceMetadata.writer

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:logging-monitoring-svc-account@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/stackdriver.resourceMetadata.writer"

Conceder o papel roles/monitoring.dashboardEditor

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:logging-monitoring-svc-account@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/monitoring.dashboardEditor"

Faça o download do arquivo de chave JSON da conta de serviço:

gcloud iam service-accounts keys create cloud-ops.json \
    --iam-account=logging-monitoring-svc-account@PROJECT_ID.iam.gserviceaccount.com \
    --project=PROJECT_ID