Questa pagina mostra come utilizzare progetti Google Cloud separati per diversi aspetti di GKE On-Prem.
Il file di configurazione on-premise di GKE include diversi campi in cui puoi specificare un ID progetto Google Cloud:
...
usercluster:
usagemetering:
bigqueryprojectid: ""
...
gkeconnect:
projectid: ""
...
stackdriver:
projectid: ""
...
cloudauditlogging:
projectid: ""
L'idea è che tu possa avere un progetto per la connessione a GKE on-prem, un altro progetto per il logging e il monitoraggio e così via.
Non è necessario utilizzare ID progetto separati, Ad esempio, potresti utilizzare lo stesso progetto sia per la connessione che per il logging. Se vuoi, puoi utilizzare lo stesso progetto per tutto.
Progetto di misurazione dell'utilizzo
Se abiliti la misurazione dell'utilizzo di GKE per un cluster utente, GKE On-Prem archivia i dati di utilizzo in un set di dati BigQuery associato a un progetto Google Cloud a tua scelta.
Nel file di configurazione GKE On-Prem, imposta usercluster.usagemetering.bigqueryprojectid sull'ID del progetto Google Cloud in cui vuoi archiviare i dati sull'utilizzo.
Abilitazione delle API nel progetto di misurazione dell'utilizzo
Per abilitare le API richieste nel progetto di misurazione dell'utilizzo:
Linux e macOS
gcloud services enable --project [PROJECT_ID] \
bigquery.googleapis.com \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di misurazione dell'utilizzo.
Windows
gcloud services enable --project [PROJECT_ID] ^
bigquery.googleapis.com ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di misurazione dell'utilizzo.
Concessione di ruoli agli account di servizio nel progetto di misurazione dell'utilizzo
Al tuo account di servizio di misurazione dell'utilizzo devono essere concessi determinati ruoli nel progetto di misurazione dell'utilizzo.
Per i dettagli, consulta l'articolo sull'account di servizio per la misurazione dell'utilizzo.
Connetti progetto
Quando crei un cluster utente, GKE On-Prem utilizza Connect per registrare il cluster con un progetto Google Cloud a tua scelta. Dopo aver registrato il cluster, puoi visualizzarlo e gestirlo in questo progetto nella console Google Cloud.
Connect utilizza un deployment chiamato agente Connect per stabilire una connessione tra il cluster GKE on-prem e il tuo progetto Google Cloud.
Nel file di configurazione GKE On-Prem, imposta gkeconnect.projectid sull'ID del progetto Google Cloud in cui vuoi visualizzare e gestire il cluster.
Abilitazione delle API nel progetto di connessione in corso...
Per abilitare le API richieste nel progetto di connessione:
Linux e macOS
gcloud services enable --project [PROJECT_ID] \
cloudresourcemanager.googleapis.com \
container.googleapis.com \
gkeconnect.googleapis.com \
gkehub.googleapis.com \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di connessione.
Windows
gcloud services enable --project [PROJECT_ID] ^
cloudresourcemanager.googleapis.com ^
container.googleapis.com ^
gkeconnect.googleapis.com ^
gkehub.googleapis.com ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di connessione.
Concessione di ruoli agli account di servizio nel progetto di connessione
Al tuo account di servizio Connect-register e al tuo account di servizio Connect-agent devono essere assegnati determinati ruoli nel tuo progetto Connect.
Per maggiori dettagli, consulta Account di servizio Connect-register e Account di servizio Connect-agent.
Progetto di monitoraggio del logging
In un cluster utente, gli agenti di logging e metriche raccolgono i dati e li rendono disponibili per Cloud Logging e Cloud Monitoring. Per visualizzare i log e le metriche del cluster, devi specificare un progetto Google Cloud associato.
Nel file di configurazione del cluster utente, imposta stackdriver.projectID sull'ID del progetto Google Cloud che vuoi associare al logging e al monitoraggio. Questo è il progetto in cui visualizzerai i log e le metriche del cluster.
Abilitazione delle API nel progetto di monitoraggio dei log
Per abilitare le API richieste nel progetto di monitoraggio dei log:
Linux e macOS
gcloud services enable --project [PROJECT_ID] \
stackdriver.googleapis.com \
monitoring.googleapis.com \
logging.googleapis.com \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di monitoraggio del logging.
Windows
gcloud services enable --project [PROJECT_ID] ^
stackdriver.googleapis.com ^
monitoring.googleapis.com ^
logging.googleapis.com ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di monitoraggio del logging.
Concessione di ruoli agli account di servizio nel progetto di monitoraggio dei log
Al tuo account di servizio di monitoraggio del logging devono essere concessi determinati ruoli nel tuo progetto di monitoraggio del logging.
Per i dettagli, consulta Account di servizio per il monitoraggio dei log.
Progetto di audit logging
Se abiliti Cloud Audit Logs per GKE On-Prem, le voci degli audit log del server API Kubernetes del cluster vengono inviate a Google Cloud. Puoi visualizzare le voci degli audit log in un progetto Google Cloud a tua scelta.
Nel file di configurazione GKE On-Prem, imposta cloudauditlogging.projectid sull'ID del progetto Google Cloud in cui vuoi visualizzare gli audit log.
Abilitazione delle API nel progetto di audit logging
Per abilitare le API richieste nel progetto di audit logging:
Linux e macOS
gcloud services enable --project [PROJECT_ID] \
anthosgke.googleapis.com \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di audit logging.
Windows
gcloud services enable --project [PROJECT_ID] ^
anthosgke.googleapis.com ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di audit logging.
Concessione di ruoli agli account di servizio nel progetto di audit logging
Al tuo account di servizio di audit logging devono essere concessi determinati ruoli nel progetto di audit logging.
Per maggiori dettagli, consulta Account di servizio per l'audit logging.
Progetto padre del tuo account di servizio di accesso ai componenti
Per installare GKE On-Prem, devi avere:
È stato creato un progetto Google Cloud.
Nel tuo progetto Google Cloud, hai creato un account di servizio che GKE On-Prem può utilizzare per scaricare i componenti da Container Registry. Questo account di servizio è chiamato account di servizio per l'accesso ai componenti.
Abilitare l'API Anthos. L'abilitazione di questa API potrebbe comportare addebiti. Per ulteriori dettagli, consulta la guida ai prezzi.
Il progetto Google Cloud in cui hai creato il tuo account di servizio dell'accesso composto si chiama genitore del tuo account di servizio dell'accesso al componente. Questo progetto può essere uguale a uno dei progetti specificati nel file di configurazione on-prem di GKE oppure può essere diverso da tutti i progetti specificati nel file di configurazione.
Per abilitare le API richieste per il progetto padre dell'account di servizio dell'accesso ai componenti:
Linux e macOS
gcloud services enable --project [PROJECT_ID] \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del progetto padre del tuo account di servizio dell'accesso ai componenti.
Windows
gcloud services enable --project [PROJECT_ID] ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del progetto padre del tuo account di servizio dell'accesso ai componenti.
Passaggi successivi
Scopri di più su account e chiavi di servizio per GKE On-Prem.