Auf dieser Seite wird erläutert, wie Sie separate Google Cloud-Projekte für verschiedene Aspekte von GKE On-Prem verwenden.
Die GKE On-Prem-Konfigurationsdatei enthält mehrere Felder, in denen Sie eine Google Cloud-Projekt-ID angeben können:
... usercluster: usagemetering: bigqueryprojectid: "" ... gkeconnect: projectid: "" ... stackdriver: projectid: "" ... cloudauditlogging: projectid: ""
Die Idee ist, dass Sie ein Projekt für die Verbindung zu GKE On-Prem, ein anderes Projekt für Logging und Monitoring usw. haben können.
Sie müssen keine separaten Projekt-IDs verwenden. Sie können beispielsweise dasselbe Projekt für die Verbindung und für das Logging verwenden. Wenn Sie möchten, können Sie dasselbe Projekt für alles verwenden.
Projekt zur Nutzungsmessung
Wenn Sie die GKE-Nutzungsmessung für einen Nutzercluster aktivieren, speichert GKE On-Prem Nutzungsdaten in einem BigQuery-Dataset, das einem Google Cloud-Projekt Ihrer Wahl zugeordnet ist.
Legen Sie in der GKE On-Prem-Konfigurationsdatei usercluster.usagemetering.bigqueryprojectid
auf die ID des Google Cloud-Projekts fest, in dem Sie Nutzungsdaten speichern möchten.
APIs im Projekt zur Nutzungsmessung aktivieren
So aktivieren Sie die erforderlichen APIs in Ihrem Nutzungsmessungsprojekt:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \ bigquery.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des Nutzungsmessungsprojekts.
Windows
gcloud services enable --project [PROJECT_ID] ^ bigquery.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des Nutzungsmessungsprojekts.
Den Dienstkonten für das Projekt zur Nutzungsmessung Rollen zuweisen
Ihrem Dienstkonto zur Nutzungsmessung müssen bestimmte Rollen im Projekt zur Nutzungsmessung zugewiesen sein.
Weitere Informationen finden Sie unter Dienstkonto zur Nutzungsmessung.
Verbindungsprojekt
Wenn Sie einen Nutzercluster erstellen, verwendet GKE On-Prem Connect, um den Cluster bei einem Google Cloud-Projekt Ihrer Wahl zu registrieren. Nach der Registrierung des Clusters können Sie Ihren Cluster in diesem Projekt in der Google Cloud Console aufrufen und verwalten.
Connect verwendet ein Deployment namens Connect Agent, um eine Verbindung zwischen Ihrem lokalen GKE-Cluster und Ihrem Google Cloud-Projekt herzustellen.
Legen Sie in der GKE On-Prem-Konfigurationsdatei gkeconnect.projectid
auf die ID des Google Cloud-Projekts fest, in dem Sie Ihren Cluster ansehen und verwalten möchten.
APIs im Verbindungsprojekt aktivieren
So aktivieren Sie die erforderlichen APIs im Verbindungsprojekt:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des Verbindungsprojekts.
Windows
gcloud services enable --project [PROJECT_ID] ^ cloudresourcemanager.googleapis.com ^ container.googleapis.com ^ gkeconnect.googleapis.com ^ gkehub.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des Verbindungsprojekts.
Den Dienstkonten für das Verbindungsprojekt Rollen zuweisen
Dem Connect-Register-Dienstkonto und dem Connect-Agent-Dienstkonto müssen bestimmte Rollen im Verbindungsprojekt gewährt werden.
Weitere Informationen finden Sie unter Connect-Register-Dienstkonto und Connect-Agent-Dienstkonto.
Logging-Monitoring-Projekt
In einem Nutzercluster erfassen Logging und Messwert-Agents Daten und stellen sie für Cloud Logging und Cloud Monitoring zur Verfügung. Damit Sie Logs und Messwerte aus dem Cluster aufrufen können, müssen Sie ein verknüpftes Google Cloud-Projekt angeben.
Legen Sie in der Konfigurationsdatei des Nutzerclusters stackdriver.projectID
auf die ID des Google Cloud-Projekts fest, das Sie mit Logging und Monitoring verknüpfen möchten. Dies ist das Projekt, in dem Sie die Logs und Messwerte des Clusters anzeigen werden.
APIs im Logging-Monitoring-Projekt aktivieren
So aktivieren Sie die erforderlichen APIs im Logging-Monitoring-Projekt:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \ stackdriver.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID Ihres Logging-Monitoring-Projekts.
Windows
gcloud services enable --project [PROJECT_ID] ^ stackdriver.googleapis.com ^ monitoring.googleapis.com ^ logging.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID Ihres Logging-Monitoring-Projekts.
Den Dienstkonten für das Logging-Monitoring-Projekt Rollen zuweisen
Dem Logging-Monitoring-Dienstkonto müssen bestimmte Rollen im Logging-Monitoring-Projekt zugewiesen sein.
Weitere Informationen finden Sie unter Logging-Monitoring-Dienstkonto.
Audit-Logging-Projekt
Wenn Sie Cloud-Audit-Logs für GKE On-Prem aktivieren, werden die Audit-Logeinträge des Kubernetes API-Servers Ihres Clusters an Google Cloud gesendet. Sie können sich die Audit-Logeinträge in einem Google Cloud-Projekt Ihrer Wahl ansehen.
Legen Sie in der GKE On-Prem-Konfigurationsdatei cloudauditlogging.projectid
auf die ID des Google Cloud-Projekts fest, in dem Sie Audit-Logs aufrufen möchten.
APIs im Audit-Logging-Projekt aktivieren
So aktivieren Sie die erforderlichen APIs im Audit-Logging-Projekt:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \ anthosgke.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
[PROJECT_ID] ist die ID des Audit-Logging-Projekts.
Windows
gcloud services enable --project [PROJECT_ID] ^ anthosgke.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
[PROJECT_ID] ist die ID des Audit-Logging-Projekts.
Den Dienstkonten für das Audit-Logging-Projekt Rollen zuweisen
Dem Audit-Logging-Dienstkonto müssen bestimmte Rollen für Ihr Audit-Logging-Projekt zugewiesen werden.
Weitere Informationen finden Sie unter Audit-Logging-Dienstkonto.
Übergeordnetes Projekt des Dienstkontos für Ihr Komponenten-Zugriff-Dienstkonto
Zum Installieren von GKE On-Prem müssen Sie bereits Folgendes getan haben:
Sie haben ein Google Cloud-Projekt erstellt.
In Ihrem Google Cloud-Projekt haben Sie ein Dienstkonto erstellt, mit dem GKE On-Prem Komponenten aus Container Registry herunterladen kann. Dieses Dienstkonto wird als Dienstkonto für den Komponentenzugriff bezeichnet.
Sie haben die Anthos API aktiviert. Das Aktivieren dieser API kann Kosten verursachen. Weitere Informationen finden Sie in der Preisübersicht.
Das Google Cloud-Projekt, in dem Sie das passende Zugriffsdienstkonto erstellt haben, wird das übergeordnete Dienstkonto Ihres Komponentenzugriffs genannt. Dieses Projekt kann eines der Projekte sein, die Sie in der GKE On-Prem-Konfigurationsdatei angegeben haben, oder es kann ein anderes Projekt als die in der Konfigurationsdatei angegebenen Projekte sein.
So aktivieren Sie die erforderlichen APIs für das übergeordnete Projekt des Komponenten-Zugriff-Dienstkontos:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des übergeordneten Projekts Ihres Dienstkontos für das Komponenten-Zugriff-Dienstkonto.
Windows
gcloud services enable --project [PROJECT_ID] ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des übergeordneten Projekts Ihres Dienstkontos für das Komponenten-Zugriff-Dienstkonto.
Nächste Schritte
Mehr über Dienstkonten und Schlüssel für GKE On-Prem erfahren