Ce document explique comment associer un ou plusieurs projets Google Cloud à un cluster Anthos sur VMware.
Ces instructions sont complètes. Pour une présentation plus courte de l'utilisation d'un projet Google Cloud, consultez Configurer une infrastructure minimale.
Avant de commencer
Projet hôte du parc
Chaque cluster d'administrateur doit être enregistré dans un parc. De plus, chaque cluster d'utilisateur géré par un cluster d'administrateur doit être enregistré dans le même parc que le cluster d'administrateur.
Lorsqu'un administrateur ou un cluster d'utilisateur est enregistré dans un parc, il est associé à un projet hôte de parc. Un cluster d'administrateur et tous les clusters d'utilisateur qu'il gère ont le même projet hôte de parc. Dans la console Google Cloud, dans le projet hôte de parc, vous pouvez afficher et gérer vos clusters d'administrateur et d'utilisateur.
Pour spécifier un projet hôte de parc pour un cluster d'administrateur, saisissez un ID de projet dans le champ gkeConnect.projectID du fichier de configuration du cluster d'administrateur.
Si vous créez un cluster d'utilisateur à l'aide de l'outil de ligne de commande gkectl, saisissez un ID de projet dans le champ gkeConnect.projectID du fichier de configuration du cluster d'utilisateur.
Si vous utilisez la console Google Cloud pour créer un cluster d'utilisateur, le projet Google Cloud actuel devient automatiquement le projet hôte de parc.
Activer des API dans votre projet hôte de parc
Linux et macOS
Activez les API requises dans votre projet hôte de parc:
gcloud services enable --project FLEET_HOST_PROJECT_ID \
anthos.googleapis.com \
cloudresourcemanager.googleapis.com \
connectgateway.googleapis.com \
container.googleapis.com \
gkeconnect.googleapis.com \
gkehub.googleapis.com \
serviceusage.googleapis.com \
iam.googleapis.com
Si vous souhaitez gérer le cycle de vie des clusters d'utilisateur dans la console Google Cloud, Google Cloud CLI, ou Terraform, activez ces API supplémentaires dans votre projet hôte de parc:
gcloud services enable --project FLEET_HOST_PROJECT_ID \
anthosgke.googleapis.com \
anthosaudit.googleapis.com \
gkeonprem.googleapis.com \
opsconfigmonitoring.googleapis.com \
stackdriver.googleapis.com \
monitoring.googleapis.com \
logging.googleapis.com \
storage.googleapis.com
Windows
Activez les API requises dans votre projet hôte de parc:
gcloud services enable --project FLEET_HOST_PROJECT_ID ^
anthos.googleapis.com ^
cloudresourcemanager.googleapis.com ^
connectgateway.googleapis.com ^
container.googleapis.com ^
gkeconnect.googleapis.com ^
gkehub.googleapis.com ^
serviceusage.googleapis.com ^
iam.googleapis.com
Si vous souhaitez gérer le cycle de vie des clusters d'utilisateur dans la console Google Cloud, Google Cloud CLI, ou Terraform, activez ces API supplémentaires dans votre projet hôte de parc:
gcloud services enable --project FLEET_HOST_PROJECT_ID ^
anthosgke.googleapis.com ^
anthosaudit.googleapis.com ^
gkeonprem.googleapis.com ^
opsconfigmonitoring.googleapis.com ^
stackdriver.googleapis.com ^
monitoring.googleapis.com ^
logging.googleapis.com ^
storage.googleapis.com
Afficher les journaux et les métriques dans le projet hôte de parc
Si vous souhaitez afficher les journaux et les métriques du cluster dans la console Google Cloud, saisissez l'ID de votre projet hôte de parc dans le champ stackdriver.projectID de vos fichiers de configuration de cluster d'administrateur et d'utilisateur.
Cette section stackdriver est obligatoire par défaut. Autrement dit, si vous ne remplissez pas la section stackdriver, vous devez inclure l'indicateur --skip-validation-stackdriver lorsque vous exécutez gkectl create.
Vous ne pouvez pas saisir un autre ID de projet dans le champ stackdriver.projectID. Si vous saisissez une valeur, il doit s'agir de l'ID du projet hôte de parc.
Si vous choisissez d'afficher les journaux et les métriques du cluster dans la console Google Cloud, activez les API suivantes dans votre projet hôte de parc:
Linux et macOS
gcloud services enable --project FLEET_HOST_PROJECT_ID \
stackdriver.googleapis.com \
opsconfigmonitoring.googleapis.com \
monitoring.googleapis.com \
logging.googleapis.com \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.comWindows
gcloud services enable --project FLEET_HOST_PROJECT_ID ^
stackdriver.googleapis.com ^
opsconfigmonitoring.googleapis.com ^
monitoring.googleapis.com ^
logging.googleapis.com ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.comAfficher les journaux d'audit dans votre projet hôte de parc
Si vous souhaitez afficher les journaux d'audit et dans la console Google Cloud, saisissez l'ID de votre projet hôte de parc dans le champ cloudAuditLogging.projectID de vos fichiers de configuration de cluster d'administrateur et d'utilisateur.
Vous ne pouvez pas saisir un autre ID de projet dans le champ cloudAuditLogging.projectID. Si vous saisissez une valeur, il doit s'agir de l'ID du projet hôte de parc.
Si vous choisissez d'afficher les journaux d'audit dans la console Google Cloud, activez les API suivantes dans votre projet hôte de parc:
Linux et macOS
gcloud services enable --project FLEET_HOST_PROJECT_ID \
anthosaudit.googleapis.com \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.comWindows
gcloud services enable --project FLEET_HOST_PROJECT_ID ^
anthosaudit.googleapis.com ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.comAttribuer des rôles aux comptes de service sur votre projet hôte de parc
Votre compte de service connect-register doit disposer de certains rôles sur votre projet hôte de parc. Pour en savoir plus, consultez Connecter le compte de service.
Votre compte de service logging-monitoring doit disposer de certains rôles sur votre projet hôte de parc. Pour en savoir plus, consultez la section Compte de service de journalisation et de surveillance.
Votre compte de service de journalisation d'audit doit disposer de certains rôles sur votre projet hôte de parc. Pour en savoir plus, consulter la section Compte de service de journalisation d'audit.
Projet de mesure de l'utilisation
Si vous activez la mesure de l'utilisation de GKE pour un cluster d'utilisateur, les clusters Anthos sur VMware stockent les données d'utilisation dans un ensemble de données BigQuery associé au projet Google Cloud de votre choix. Ce projet Google Cloud est appelé projet de mesure de l'utilisation.
Votre projet de mesure de l'utilisation peut être identique au projet hôte de votre parc ou être différent.
Pour activer la mesure de l'utilisation, dans le fichier de configuration de votre cluster d'utilisateur, définissez usageMetering.bigQueryProjectID sur l'ID de votre projet de mesure de l'utilisation.
Si vous choisissez d'activer la mesure de l'utilisation, activez les API suivantes dans votre projet de mesure de l'utilisation:
Linux et macOS
gcloud services enable --project USAGE_METERING_PROJECT_ID] \
bigquery.googleapis.com \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.comWindows
gcloud services enable --project USAGE_METERING_PROJECT_ID ^
bigquery.googleapis.com ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.comAttribuer des rôles aux comptes de service sur votre projet de mesure de l'utilisation
Votre compte de service de mesure de l'utilisation doit disposer de certains rôles sur votre projet de mesure de l'utilisation.
Pour en savoir plus, consultez la section Compte de service de mesure de l'utilisation.
Projet parent de votre compte de service d'accès au composant
Avant de créer un cluster, vous devez disposer d'un compte de service qu'Anthos Clusters on VMware peut utiliser pour télécharger des composants à partir de Container Registry. Ce compte de service est appelé compte de service d'accès au composant.
Le projet Google Cloud dans lequel vous avez créé votre compte de service d'accès au composant est appelé le parent du compte de service d'accès au composant. Ce projet peut être l'un des projets que vous spécifiez dans vos fichiers de configuration de cluster ou être différent de tous les projets que vous spécifiez dans vos fichiers de configuration. Pour en savoir plus sur les comptes de service et les projets parents, consultez la page Comprendre les comptes de service et les projets Google Cloud.
Pour activer les API requises pour le projet parent de votre compte de service d'accès au composant, procédez comme suit :
Linux et macOS
gcloud services enable --project [PROJECT_ID] \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.com
où [PROJECT_ID] correspond à l'ID du projet parent de votre compte de service d'accès au composant.
Windows
gcloud services enable --project [PROJECT_ID] ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.com
où [PROJECT_ID] correspond à l'ID du projet parent de votre compte de service d'accès au composant.
Étapes suivantes
Créez des clés et des comptes de service.