Os clusters do Anthos no Azure estão disponíveis para clientes que já têm relacionamento de suporte com o Google Cloud. Entre em contato com seu representante de conta para ter acesso.

Requisitos de acesso

Nesta página, descrevemos os requisitos do Azure e do Google Cloud para o uso de clusters do Anthos no Azure.

Azure

Nesta seção, descrevemos as permissões e o acesso à rede do Azure necessários para instalar usando clusters do Anthos no Azure.

Permissões e papéis de instalação

Para configurar sua conta do Azure para clusters do Anthos no Azure, são necessários os seguintes papéis integrados do Azure:

Permissões e papéis do aplicativo

Para permitir que os clusters do Anthos no Azure gerenciem recursos na sua conta do Azure, você precisa conceder as permissões de registro do app. A seção a seguir descreve essas permissões.

Para exemplos de como conceder essas permissões, consulte os Pré-requisitos.

Criar funções personalizadas

Os clusters do Anthos no Azure precisam das seguintes permissões para criar papéis personalizados que concedem aos planos de controle de cluster acesso aos recursos na mesma VNet.

Escopo: grupo de recursos da VNet

Permissões:

"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",

Participar da VNet

Os clusters do Anthos no Azure precisam das seguintes permissões para mesclar recursos à rede virtual (VNet). Também são configuradas as atribuições de papel para permitir que as instâncias de máquina virtual (VM) do plano de controle usem a rede virtual.

Escopo: recurso VNet

Permissões:

"*/read",
"Microsoft.Network/*/join/action",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",

Papéis de identidade de VM

Os clusters do Anthos no Azure precisam dos seguintes papéis integrados do Azure para criar recursos e gerenciar atribuições de papéis de identidade de VM em grupos de recursos. Os clusters do Anthos no Azure também usam o Azure Key Vault para distribuir secrets.

Escopo: grupo de recursos do cluster

Papéis:

Acesso à rede de saída

Por padrão, os clusters do Anthos em clusters do Azure são particulares na nuvem privada virtual (VPC). Isto é, o tráfego de entrada da Internet não é permitido e as VMs não têm endereços IP públicos.

É necessário acesso limitado à Internet de saída para criar e gerenciar clusters. A conectividade de saída com a Internet precisa ser fornecida por um gateway NAT.

Conexões de saída

Nesta seção, definimos os endereços em que os clusters do Anthos no Azure precisam se conectar para criar e gerenciar clusters.

Conexões gerais

As VMs do plano de controle e do pool de nós precisam ser capazes de resolver DNS e estabelecer conexões TCP de saída na porta 443.

Nomes de host de saída

Os clusters do Anthos no Azure podem se conectar aos seguintes endpoints:

Endpoint Motivo
storage.googleapis.com Para buscar dependências binárias do Cloud Storage durante a instalação.
*.gcr.io Para buscar dependências binárias durante a instalação do Container Registry.
gkeconnect.googleapis.com Para gerenciamento de vários clusters do Anthos.
oauth2.googleapis.com

sts.googleapis.com
Para autenticação de cluster.

Google Cloud

Nesta seção, descrevemos os papéis e as permissões do Google Cloud Identity and Access Management (IAM) necessários para instalar clusters do Anthos no Azure.

Papéis do Identity and Access Management

Instalar clusters do Anthos no Azure

Para instalar clusters do Anthos na visualização do Azure, o usuário que ativa os clusters do Anthos na API Azure precisa fazer parte de uma lista de permissões.

Gerenciar clusters de usuários

Para gerenciar clusters do Anthos em clusters de usuários do Azure, use papéis predefinidos do IAM. Para mais informações, consulte Permissões da API.

APIs Google Cloud

Os clusters do Anthos no Azure usam as seguintes APIs no projeto do Google Cloud:

gkemulticloud.googleapis.com
anthos.googleapis.com
gkeconnect.googleapis.com
cloudresourcemanager.googleapis.com
containerregistry.googleapis.com
gkehub.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
securetoken.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
sts.googleapis.com

Configurar a estação de trabalho

Para instalar e fazer upgrade dos clusters do Anthos na instalação do Azure, você precisa ter acesso a uma estação de trabalho executando Linux ou MacOS. Nesta documentação, pressupomos que você esteja usando um shell bash no Linux ou MacOS. Se você não tiver acesso a um ambiente de shell normal, poderá usar o Cloud Shell.

Azure

Para instalar clusters do Anthos no Azure, você precisa da CLI do Azure instalada. Para mais informações, consulte Instalar a CLI do Azure.

Ferramenta de linha de comando gcloud

Você instala e gerencia clusters do Anthos no Azure com a ferramenta de linha de comando gcloud do SDK do Cloud, versão 347.0.0 ou superior. Para confirmar que você tem a ferramenta gcloud instalada, execute o seguinte comando:

gcloud version

Se você não tiver a ferramenta gcloud instalada, veja Como instalar o SDK do Cloud.

Para usar clusters do Anthos no Azure com a ferramenta gcloud, você também precisa instalar o componente gcloud alpha. Para instalar o componente gcloud alpha, execute o seguinte comando:

gcloud components install alpha && gcloud components update

A seguir