创建服务帐号(快速入门)

10

本文档介绍如何创建服务帐号以访问 Anthos 组件。

此处的说明是快速入门的一部分。如需详细了解如何将 服务帐号与 VMware 上的 Anthos 集群 (GKE On-Prem) 搭配使用,请参阅服务帐号和密钥

准备工作

创建 Google Cloud 项目(快速入门)

创建组件访问服务帐号

Anthos clusters on VMware 使用一个服务帐号代表您从 Container Registry 下载 Anthos 组件。此帐号称为组件访问服务帐号

这一系列快速入门主题使用单个 Google Cloud 项目。您已经在前面的快速入门主题 Google Cloud 项目(快速入门)中建立了要使用的 Google Cloud 项目。

您的组件访问服务账号将成为该相同 Google Cloud 项目的子级,并且将被授予该 Google Cloud 项目的角色。

如需创建组件访问服务帐号,请输入以下命令:

gcloud iam service-accounts create component-access-sa \
    --display-name "Component Access Service Account" \
    --project PROJECT_ID

PROJECT_ID 替换为您的 Google Cloud 项目的 ID。

如需为您的组件访问服务帐号创建 JSON 密钥,请输入以下命令:

gcloud iam service-accounts keys create component-access-key.json \
   --iam-account component-access-sa@[PROJECT_ID].iam.gserviceaccount.com

向组件访问服务帐号授予角色

组件访问服务账号必须被授予 Google Cloud 项目的以下 IAM 角色。这些角色是必需的,以便 Anthos clusters on VMware 可以进行预检检查:

  • serviceusage.serviceUsageViewer
  • iam.roleViewer
  • iam.serviceAccountViewer

要授予角色,请使用以下命令:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
    --role "roles/serviceusage.serviceUsageViewer"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
    --role "roles/iam.roleViewer"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
    --role "roles/iam.serviceAccountViewer"

后续步骤

创建管理员工作站(快速入门)