Usa varios proyectos de Google Cloud

En esta página, se muestra cómo usar distintos proyectos de Google Cloud para diferentes aspectos de GKE On-Prem.

El archivo de configuración de GKE On-Prem tiene varios campos en los que puedes especificar un ID del proyecto de Google Cloud:

...
usercluster:
  usagemetering:
    bigqueryprojectid: ""
...
gkeconnect:
  projectid: ""
...
stackdriver:
  projectid: ""
...
cloudauditlogging:
  projectid: ""

La idea es que puedes tener un proyecto para conectarte a GKE On-Prem, otro para el registro y la supervisión, y así sucesivamente.

No es necesario usar ID de proyectos diferentes. Por ejemplo, puedes usar el mismo proyecto para la conexión y el registro. Si lo deseas, puedes usar el mismo proyecto para todo.

Proyecto de medición del uso

Si habilitas la medición de uso de GKE para un clúster de usuario, GKE On-Prem almacena los datos de uso en un conjunto de datos de BigQuery asociado con el proyecto de Google Cloud que elijas.

En el archivo de configuración de GKE On-Prem, establece usercluster.usagemetering.bigqueryprojectid en el ID del proyecto de Google Cloud en el que deseas almacenar los datos de uso.

Habilita las API en el proyecto de medición del uso

Para habilitar las API requeridas en el proyecto de medición del uso, haz lo siguiente:

gcloud services enable --project [PROJECT_ID] \
    bigquery.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    bigquery.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Otorga funciones a las cuentas de servicio en el proyecto de medición del uso

Tu cuenta de servicio de medición del uso debe tener ciertas funciones en el proyecto de medición del uso.

Para obtener más detalles, consulta Cuenta de servicio de medición del uso.

Proyecto de Connect

Cuando creas un clúster de usuario, GKE On-Prem usa Connect para registrar el clúster con el proyecto de Google Cloud que elijas. Después de registrar el clúster, puedes usar la consola de Google Cloud para administrarlo.

Connect usa un objeto Deployment llamado agente de Connect para establecer una conexión entre tu clúster de GKE On-Prem y tu proyecto de Google Cloud.

En el archivo de configuración de GKE On-Prem, establece gkeconnect.projectid en el ID del proyecto de Google Cloud en el que deseas registrar el clúster.

Habilita las API en tu proyecto de conexión

Para habilitar las API obligatorias en tu proyecto de conexión, haz lo siguiente:

gcloud services enable --project [PROJECT_ID] \
    cloudresourcemanager.googleapis.com \
    container.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    cloudresourcemanager.googleapis.com ^
    container.googleapis.com ^
    gkeconnect.googleapis.com ^
    gkehub.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Otorga funciones a cuentas de servicio en tu proyecto de conexión

La cuenta de servicio de registro de conexión y la cuenta de servicio del agente de conexión deben tener ciertas funciones en el proyecto de conexión.

Para obtener más detalles, consulta Cuenta de servicio de registro de conexión y Cuenta de servicio del agente de conexión.

Proyecto de supervisión y registro

Cloud Logging y Cloud Monitoring recopilan datos del clúster de GKE On-Prem y los ponen a disposición de Google Cloud. Para ver los registros y las métricas de tu clúster, debes especificar un proyecto de Google Cloud asociado.

En el archivo de configuración de GKE On-Prem, establece stackdriver.projectid en el ID del proyecto de Google Cloud que deseas asociar con el registro y la supervisión.

Habilita las API en tu proyecto de supervisión y registro

Para habilitar las API necesarias en tu proyecto de supervisión y registro, haz lo siguiente:

gcloud services enable --project [PROJECT_ID] \
    stackdriver.googleapis.com \
    monitoring.googleapis.com \
    logging.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    stackdriver.googleapis.com ^
    monitoring.googleapis.com ^
    logging.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Otorga funciones a las cuentas de servicio en tu proyecto de supervisión y registro

A la cuenta de servicio de supervisión y registro se le deben otorgar ciertas funciones en el proyecto de supervisión y registro.

Para obtener más detalles, consulta Cuenta de servicio de supervisión y registro.

Proyecto de registro de auditoría

Si habilitas los registros de auditoría de Cloud para GKE On-Prem, las entradas del registro de auditoría del servidor de la API de Kubernetes de tu clúster se enviarán a Google Cloud. Puedes ver las entradas de registro de auditoría en el proyecto de Google Cloud que elijas.

En el archivo de configuración de GKE On-Prem, establece cloudauditlogging.projectid en el ID del proyecto de Google Cloud en el que deseas ver los registros de auditoría.

Habilita las API en tu proyecto de registro de auditoría

Para habilitar las API necesarias en tu proyecto de registro de auditoría, haz lo siguiente:

gcloud services enable --project [PROJECT_ID] \
    anthosgke.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    anthosgke.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Otorga funciones a cuentas de servicio en tu proyecto de registro de auditoría

La cuenta de servicio de registro de auditoría debe tener ciertas funciones en tu proyecto de registro de auditoría.

Para obtener más información, consulta Cuenta de servicio de registro de auditoría.

Proyecto superior de tu cuenta de servicio de la lista de anunciantes permitidos

Para instalar GKE On-Prem, debes tener una suscripción a Anthos. Si tienes una suscripción a Anthos, ya hiciste lo siguiente:

• Creaste un proyecto de Google Cloud.

• En tu proyecto de Google Cloud, debes crear una cuenta de servicio y hacer que se incluya en la lista de anunciantes permitidos. Esta cuenta de servicio se denomina cuenta de servicio incluida en la lista de anunciantes permitidos.

El proyecto de Google Cloud en el que creaste la cuenta de servicio incluida en la lista de entidades permitidas se denomina superior de tu cuenta de servicio incluida en la lista de entidades permitidas. Este proyecto puede ser el mismo que uno de los proyectos que especificas en el archivo de configuración de GKE On-Prem, o puede ser diferente de todos los proyectos que especificas en el archivo de configuración.

Para habilitar las API necesarias en el proyecto superior de la cuenta de servicio incluida en la lista de anunciantes permitidos, haz lo siguiente:

gcloud services enable --project [PROJECT_ID] \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

¿Qué sigue?

Obtén más información sobre las claves y las cuentas de servicio para GKE On-Prem.