Utiliser plusieurs projets Google Cloud

Cette page explique comment utiliser des projets Google Cloud distincts pour différents aspects de GKE On-Prem.

Le fichier de configuration GKE On-Prem comporte plusieurs champs dans lesquels vous pouvez spécifier un ID de projet Google Cloud.

...
usercluster:
  usagemetering:
    bigqueryprojectid: ""
...
gkeconnect:
  projectid: ""
...
stackdriver:
  projectid: ""
...
cloudauditlogging:
  projectid: ""

L'idée est de pouvoir disposer d'un projet dédié à la connexion à GKE On-Prem, d'un autre dédié à la journalisation et la surveillance, etc.

Toutefois, vous n'avez pas besoin d'utiliser des ID de projet distincts. Vous pouvez, par exemple, utiliser le même projet pour la connexion et la journalisation. Si vous le souhaitez, vous pouvez très bien utiliser le même projet pour différentes fonctionnalités.

Projet de mesure de l'utilisation

Si vous activez la mesure de l'utilisation de GKE pour un cluster d'utilisateur, GKE On-Prem stocke les données d'utilisation dans un ensemble de données BigQuery associé au projet Google Cloud de votre choix.

Dans votre fichier de configuration GKE On-Prem, définissez usercluster.usagemetering.bigqueryprojectid sur l'ID du projet Google Cloud dans lequel vous souhaitez stocker les données d'utilisation.

Activer des API dans votre projet de mesure de l'utilisation

Pour activer les API requises dans votre projet de mesure de l'utilisation :

gcloud services enable --project [PROJECT_ID] \
    bigquery.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    bigquery.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Attribuer des rôles aux comptes de service sur votre projet de mesure de l'utilisation

Votre compte de service de mesure de l'utilisation doit disposer de certains rôles sur votre projet de mesure de l'utilisation.

Pour en savoir plus, consultez la section Compte de service de mesure de l'utilisation.

Projet Connect

Lorsque vous créez un cluster d'utilisateur, GKE On-Prem utilise Connect pour enregistrer le cluster avec le projet Google Cloud de votre choix. Une fois le cluster enregistré, vous pouvez l'afficher et le gérer dans ce projet dans Google Cloud Console.

Connect utilise un déploiement appelé agent Connect pour établir une connexion entre votre cluster GKE On-Prem et votre projet Google Cloud.

Dans le fichier de configuration GKE On-Prem, définissez gkeconnect.projectid sur l'ID du projet Google Cloud dans lequel vous souhaitez afficher et gérer votre cluster.

Activer des API dans votre projet Connect

Pour activer les API requises dans votre projet Connect :

gcloud services enable --project [PROJECT_ID] \
    cloudresourcemanager.googleapis.com \
    container.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    cloudresourcemanager.googleapis.com ^
    container.googleapis.com ^
    gkeconnect.googleapis.com ^
    gkehub.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Attribuer des rôles aux comptes de service sur votre projet Connect

Votre compte de service connect-register et votre compte de service connect-agent doivent disposer de certains rôles sur votre projet Connect.

Pour en savoir plus, consultez les pages Compte de service connect-register et Compte de service connect-agent.

Projet de journalisation et de surveillance

Dans un cluster d'utilisateur, les agents de journalisation et de métriques collectent des données et les mettent à la disposition de Cloud Logging et Cloud Monitoring. Pour afficher les journaux et les métriques de votre cluster, vous devez spécifier un projet Google Cloud associé.

Dans le fichier de configuration de votre cluster d'utilisateur, définissez stackdriver.projectID sur l'ID du projet Google Cloud que vous souhaitez associer à la journalisation et à la surveillance. Il s'agit du projet dans lequel vous allez afficher les journaux et les métriques du cluster.

Activer des API dans votre projet de journalisation et de surveillance

Pour activer les API requises dans votre projet de journalisation et de surveillance :

gcloud services enable --project [PROJECT_ID] \
    stackdriver.googleapis.com \
    monitoring.googleapis.com \
    logging.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    stackdriver.googleapis.com ^
    monitoring.googleapis.com ^
    logging.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Attribuer des rôles aux comptes de service de votre projet de journalisation et de surveillance

Vous devez attribuer certains rôles à votre compte de service de journalisation et de surveillance sur votre projet de journalisation et de surveillance.

Pour en savoir plus, consultez la section Compte de service de journalisation et de surveillance.

Projet de journalisation d'audit

Si vous activez les journaux d'audit Cloud pour GKE On-Prem, les entrées du journal d'audit du serveur d'API Kubernetes de votre cluster sont envoyées à Google Cloud. Vous pouvez afficher les entrées du journal d'audit dans le projet Google Cloud de votre choix.

Dans le fichier de configuration GKE On-Prem, définissez cloudauditlogging.projectid sur l'ID du projet Google Cloud dans lequel vous souhaitez afficher les journaux d'audit.

Activer des API dans votre projet de journalisation d'audit

Pour activer les API requises dans votre projet de journalisation d'audit :

gcloud services enable --project [PROJECT_ID] \
    anthosgke.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    anthosgke.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Attribuer des rôles aux comptes de service sur votre projet de journalisation d'audit

Votre compte de service de journalisation d'audit doit disposer de certains rôles sur votre projet de journalisation d'audit.

Pour en savoir plus, consulter la section Compte de service de journalisation d'audit.

Projet parent de votre compte de service d'accès au composant

Pour installer GKE On-Prem, vous devez avoir :

• Vous avez créé un projet Google Cloud.

• Dans votre projet Google Cloud, vous avez créé un compte de service que GKE On-Prem peut utiliser pour télécharger des composants à partir de Container Registry. Ce compte de service est appelé compte de service d'accès au composant.

• Activation de l'API Anthos. L'activation de cette API peut entraîner des frais. Pour en savoir plus, consultez le guide des tarifs.

Le projet Google Cloud dans lequel vous avez créé votre compte de service d'accès simultané est appelé le parent de votre compte de service d'accès au composant. Ce projet peut être l'un des projets que vous spécifiez dans votre fichier de configuration de GKE On-Prem ou bien un projet différent.

Pour activer les API requises pour le projet parent de votre compte de service d'accès au composant, procédez comme suit :

gcloud services enable --project [PROJECT_ID] \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Étapes suivantes

Découvrez les comptes de service et les clés pour GKE On-Prem.