Anthos clusters on Azure 适用于已与 Google Cloud 建立支持关系的客户。如需获取访问权限,请与您的客户代表联系。

访问权限要求

本页面介绍了在 Anthos clusters on Azure 的 Azure 和 Google Cloud 要求。

Azure

本部分介绍安装和使用 Anthos clusters on Azure 所需的 Azure 权限和网络访问权限。

安装角色和权限

如需为 Anthos clusters on Azure 设置 Azure 帐号,您需要以下 Azure 内置角色

应用角色和权限

为了允许 Anthos clusters on Azure 管理 Azure 帐号中的资源,您必须授予应用注册权限。以下部分介绍了这些权限。

如需查看如何授予这些权限的示例,请参阅前提条件

创建自定义角色

Anthos clusters on Azure 需要以下权限才能创建自定义角色,这些角色可授予集群控制平面对同一 VNet 资源的访问权限。

范围:您的 VNet 资源组

权限:

"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",

加入 VNet

Anthos clusters on Azure 需要以下权限才能将资源加入虚拟网络 (VNet)。它还设置了角色分配,以允许控制平面虚拟机 (VM) 实例使用虚拟网络。

范围:VNet 资源

权限:

"*/read",
"Microsoft.Network/*/join/action",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",

虚拟机身份角色

Anthos clusters on Azure 需要以下 Azure 内置角色才能在资源组中创建资源和管理虚拟机身份角色分配。Anthos clusters on Azure 还使用 Azure Key Vault 分发 Secret。

范围:您的集群资源组

角色:

出站网络访问权限

默认情况下,Anthos clusters on Azure 集群是您的 Virtual Private Cloud (VPC) 的专用集群。这意味着不允许来自互联网的入站流量,并且虚拟机没有公共 IP 地址。

创建和管理集群需要有限的出站互联网访问权限。出站互联网连接应由 NAT 网关提供。

出站连接

本部分定义 Anthos clusters on Azure 需要连接以创建和管理集群的地址。

常规连接

控制平面和节点池虚拟机必须能够解析 DNS,并在端口 443 上建立出站 TCP 连接。

出站主机名

Anthos clusters on Azure 可能会连接到以下端点:

端点 原因
storage.googleapis.com 用于在安装过程中从 Cloud Storage 中提取二进制依赖项。
*.gcr.io 用于在安装期间从 Container Registry 中提取二进制依赖项。
gkeconnect.googleapis.com Anthos 多集群管理
oauth2.googleapis.com

sts.googleapis.com
集群身份验证。

Google Cloud

本部分介绍安装 Anthos clusters on Azure 所需的 Google Cloud Identity and Access Management (IAM) 角色和权限。

Identity and Access Management 角色

安装 Anthos clusters on Azure

如需在 Azure 预览版上安装 Anthos 集群,激活 Anthos clusters on Azure API 的用户需要列入许可名单。

管理用户集群

如需管理 Anthos clusters on Azure 用户集群,您可以使用预定义的 IAM 角色。如需了解详情,请参阅 API 权限

Google Cloud API

Anthos clusters on Azure 在 Google Cloud 项目中使用以下 API:

gkemulticloud.googleapis.com
anthos.googleapis.com
gkeconnect.googleapis.com
cloudresourcemanager.googleapis.com
containerregistry.googleapis.com
gkehub.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
securetoken.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
sts.googleapis.com

设置工作站

如需在安装 Azure 时安装和升级 Anthos 集群,您必须有权访问运行 Linux 或 macOS 的工作站。本文档假定您在 Linux 或 macOS 上使用 bash shell。如果您无权访问 bash shell 环境,则可以使用 Cloud Shell

Azure

如需安装 Anthos clusters on Azure,您需要安装 Azure CLI。 如需了解详情,请参阅安装 Azure CLI

gcloud 命令行工具

您可以使用 Cloud SDK 347.0.0 或更高版本的 gcloud 命令行工具来安装和管理 Anthos clusters on Azure。如需确认是否安装了 gcloud 工具,请运行以下命令:

gcloud version

如果您未安装 gcloud 工具,请参阅安装 Cloud SDK

如需将 Anthos clusters on Azure 与 gcloud 工具搭配使用,您还需要安装 gcloud alpha 组件。如需安装 gcloud alpha 组件,请运行以下命令:

gcloud components install alpha && gcloud components update

后续步骤