Cette page explique comment utiliser des projets Google Cloud distincts pour différents aspects de GKE On-Prem.
Le fichier de configuration GKE On-Prem comporte plusieurs champs dans lesquels vous pouvez spécifier un ID de projet Google Cloud.
... usercluster: usagemetering: bigqueryprojectid: "" ... gkeconnect: projectid: "" ... stackdriver: projectid: "" ... cloudauditlogging: projectid: ""
L'idée est de pouvoir disposer d'un projet dédié à la connexion à GKE On-Prem, d'un autre dédié à la journalisation et la surveillance, etc.
Toutefois, vous n'avez pas besoin d'utiliser des ID de projet distincts. Vous pouvez, par exemple, utiliser le même projet pour la connexion et la journalisation. Si vous le souhaitez, vous pouvez très bien utiliser le même projet pour différentes fonctionnalités.
Projet de mesure de l'utilisation
Si vous activez la mesure de l'utilisation de GKE pour un cluster d'utilisateur, GKE On-Prem stocke les données d'utilisation dans un ensemble de données BigQuery associé au projet Google Cloud de votre choix.
Dans votre fichier de configuration GKE On-Prem, définissez usercluster.usagemetering.bigqueryprojectid
sur l'ID du projet Google Cloud dans lequel vous souhaitez stocker les données d'utilisation.
Activer des API dans votre projet de mesure de l'utilisation
Pour activer les API requises dans votre projet de mesure de l'utilisation :
Linux et macOS
gcloud services enable --project [PROJECT_ID] \ bigquery.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
où [PROJECT_ID] correspond à l'ID de votre projet de mesure de l'utilisation.
Windows
gcloud services enable --project [PROJECT_ID] ^ bigquery.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
où [PROJECT_ID] correspond à l'ID de votre projet de mesure de l'utilisation.
Attribuer des rôles aux comptes de service sur votre projet de mesure de l'utilisation
Votre compte de service de mesure de l'utilisation doit disposer de certains rôles sur votre projet de mesure de l'utilisation.
Pour en savoir plus, consultez la section Compte de service de mesure de l'utilisation.
Projet Connect
Lorsque vous créez un cluster d'utilisateur, GKE On-Prem utilise Connect pour enregistrer le cluster avec le projet Google Cloud de votre choix. Une fois le cluster enregistré, vous pouvez l'afficher et le gérer dans ce projet dans Google Cloud Console.
Connect utilise un déploiement appelé agent Connect pour établir une connexion entre votre cluster GKE On-Prem et votre projet Google Cloud.
Dans le fichier de configuration GKE On-Prem, définissez gkeconnect.projectid
sur l'ID du projet Google Cloud dans lequel vous souhaitez afficher et gérer votre cluster.
Activer des API dans votre projet Connect
Pour activer les API requises dans votre projet Connect :
Linux et macOS
gcloud services enable --project [PROJECT_ID] \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
où [PROJECT_ID] correspond à l'ID de votre projet Connect.
Windows
gcloud services enable --project [PROJECT_ID] ^ cloudresourcemanager.googleapis.com ^ container.googleapis.com ^ gkeconnect.googleapis.com ^ gkehub.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
où [PROJECT_ID] correspond à l'ID de votre projet Connect.
Attribuer des rôles aux comptes de service sur votre projet Connect
Votre compte de service connect-register et votre compte de service connect-agent doivent disposer de certains rôles sur votre projet Connect.
Pour en savoir plus, consultez les pages Compte de service connect-register et Compte de service connect-agent.
Projet de journalisation et de surveillance
Dans un cluster d'utilisateur, les agents de journalisation et de métriques collectent des données et les mettent à la disposition de Cloud Logging et Cloud Monitoring. Pour afficher les journaux et les métriques de votre cluster, vous devez spécifier un projet Google Cloud associé.
Dans le fichier de configuration de votre cluster d'utilisateur, définissez stackdriver.projectID
sur l'ID du projet Google Cloud que vous souhaitez associer à la journalisation et à la surveillance. Il s'agit du projet dans lequel vous allez afficher les journaux et les métriques du cluster.
Activer des API dans votre projet de journalisation et de surveillance
Pour activer les API requises dans votre projet de journalisation et de surveillance :
Linux et macOS
gcloud services enable --project [PROJECT_ID] \ stackdriver.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
où [PROJECT_ID] est l'ID de votre projet de journalisation et de surveillance.
Windows
gcloud services enable --project [PROJECT_ID] ^ stackdriver.googleapis.com ^ monitoring.googleapis.com ^ logging.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
où [PROJECT_ID] est l'ID de votre projet de journalisation et de surveillance.
Attribuer des rôles aux comptes de service de votre projet de journalisation et de surveillance
Vous devez attribuer certains rôles à votre compte de service de journalisation et de surveillance sur votre projet de journalisation et de surveillance.
Pour en savoir plus, consultez la section Compte de service de journalisation et de surveillance.
Projet de journalisation d'audit
Si vous activez les journaux d'audit Cloud pour GKE On-Prem, les entrées du journal d'audit du serveur d'API Kubernetes de votre cluster sont envoyées à Google Cloud. Vous pouvez afficher les entrées du journal d'audit dans le projet Google Cloud de votre choix.
Dans le fichier de configuration GKE On-Prem, définissez cloudauditlogging.projectid
sur l'ID du projet Google Cloud dans lequel vous souhaitez afficher les journaux d'audit.
Activer des API dans votre projet de journalisation d'audit
Pour activer les API requises dans votre projet de journalisation d'audit :
Linux et macOS
gcloud services enable --project [PROJECT_ID] \ anthosgke.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
où [PROJECT_ID] correspond à l'ID de votre projet de journalisation d'audit.
Windows
gcloud services enable --project [PROJECT_ID] ^ anthosgke.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
où [PROJECT_ID] correspond à l'ID de votre projet de journalisation d'audit.
Attribuer des rôles aux comptes de service sur votre projet de journalisation d'audit
Votre compte de service de journalisation d'audit doit disposer de certains rôles sur votre projet de journalisation d'audit.
Pour en savoir plus, consulter la section Compte de service de journalisation d'audit.
Projet parent de votre compte de service d'accès au composant
Pour installer GKE On-Prem, vous devez avoir :
Vous avez créé un projet Google Cloud.
Dans votre projet Google Cloud, vous avez créé un compte de service que GKE On-Prem peut utiliser pour télécharger des composants à partir de Container Registry. Ce compte de service est appelé compte de service d'accès au composant.
Activation de l'API Anthos. L'activation de cette API peut entraîner des frais. Pour en savoir plus, consultez le guide des tarifs.
Le projet Google Cloud dans lequel vous avez créé votre compte de service d'accès simultané est appelé le parent de votre compte de service d'accès au composant. Ce projet peut être l'un des projets que vous spécifiez dans votre fichier de configuration de GKE On-Prem ou bien un projet différent.
Pour activer les API requises pour le projet parent de votre compte de service d'accès au composant, procédez comme suit :
Linux et macOS
gcloud services enable --project [PROJECT_ID] \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
où [PROJECT_ID] correspond à l'ID du projet parent de votre compte de service d'accès au composant.
Windows
gcloud services enable --project [PROJECT_ID] ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
où [PROJECT_ID] correspond à l'ID du projet parent de votre compte de service d'accès au composant.
Étapes suivantes
Découvrez les comptes de service et les clés pour GKE On-Prem.