本文档介绍了如何设置 Google Cloud 项目并向 Google 帐号授予角色。
此处的说明是快速入门的一部分。如需详细了解如何将 Google Cloud 项目与 Anthos Clusters on VMware (GKE On-Prem) 搭配使用,请参阅使用多个 Cloud 项目。
须知事项
阅读 Anthos clusters on VMware 概览。
选择或创建 Google Cloud 项目
Anthos clusters on VMware 必须与一个或多个 Google Cloud 项目关联。本快速入门仅使用一个 Google Cloud 项目。您可以使用现有的 Google Cloud 项目,也可以创建新的 Google Cloud 项目。记下您的项目 ID。
在 Google Cloud 项目中启用服务
Google Cloud 项目必须启用以下服务:
anthos.googleapis.com anthosgke.googleapis.com anthosaudit.googleapis.com cloudresourcemanager.googleapis.com container.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com serviceusage.googleapis.com stackdriver.googleapis.com opsconfigmonitoring.googleapis.com monitoring.googleapis.com logging.googleapis.com
如需启用项目中的服务,您必须拥有 Google Cloud 项目的特定权限。如需了解详情,请参阅访问权限控制中 services.enable
所需的权限。
如果您拥有所需的权限,则可以自行启用服务。否则,必须由您所在组织中的其他人为您启用服务。
如需启用所需的服务,请执行以下操作:
Linux 和 macOS
gcloud services enable --project=PROJECT_ID \ anthos.googleapis.com \ anthosgke.googleapis.com \ anthosaudit.googleapis.com \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ stackdriver.googleapis.com \ opsconfigmonitoring.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com
Windows
gcloud services enable --project=PROJECT_ID ^ anthos.googleapis.com ^ anthosgke.googleapis.com ^ anthosaudit.googleapis.com ^ cloudresourcemanager.googleapis.com ^ container.googleapis.com ^ gkeconnect.googleapis.com ^ gkehub.googleapis.com ^ serviceusage.googleapis.com ^ stackdriver.googleapis.com ^ monitoring.googleapis.com ^ logging.googleapis.com
启用 anthos.googleapis.com
可能会产生费用。如需了解详情,请参阅价格指南。
登录
gkeadm
命令行工具使用您的 SDK account
属性创建服务帐号。因此,在运行 gkeadm
以创建管理员工作站之前,请务必设置 SDK account
属性。
使用任意 Google 帐号登录。这将设置您的 SDK account
属性:
gcloud auth login
验证您的 SDK account
属性是否已正确设置:
gcloud config list
输出会显示 SDK account
属性的值。例如:
[core] account = my-name@google.com disable_usage_reporting = False Your active configuration is: [default]
向您的 SDK 帐号授予角色
您设置为 SDK account
属性的 Google 帐号必须具有以下 IAM 角色,gkeadm
才能为您创建和管理服务帐号:
resourcemanager.projectIamAdmin
serviceusage.serviceUsageAdmin
iam.serviceAccountCreator
iam.serviceAccountKeyAdmin
如需授予角色,您必须拥有 Google Cloud 项目的特定权限。如需了解详情,请参阅授予、更改和撤消对资源的访问权限。
如果您拥有所需的权限,则可以自行授予这些角色。否则,必须由您所在组织中的其他人为您授予这些角色。
要授予这些角色,请执行以下操作:
Linux 和 macOS
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/serviceusage.serviceUsageAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountKeyAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/serviceusage.serviceUsageAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountKeyAdmin"
请替换以下内容:
PROJECT_ID
:您的 Google Cloud 项目的 IDACCOUNT
:您的 SDKaccount
属性的值