Usa varios proyectos de Google Cloud

En esta página, se muestra cómo usar distintos proyectos de Google Cloud para diferentes aspectos de GKE On-Prem.

Un archivo de configuración del clúster tiene varios campos en los que puedes especificar un ID del proyecto de Google Cloud:

...
usercluster:
  usagemetering:
    bigqueryprojectid: ""
...
gkeconnect:
  projectid: ""
...
stackdriver:
  projectid: ""
...
cloudauditlogging:
  projectid: ""

La idea es que puedes tener un proyecto para conectarte a GKE On-Prem, otro para el registro y la supervisión, y así sucesivamente.

No es necesario usar ID de proyectos diferentes. Por ejemplo, puedes usar el mismo proyecto para la conexión y el registro. Si lo deseas, puedes usar el mismo proyecto para todo.

Proyecto de medición del uso

Si habilitas la medición del uso de GKE para un clúster de usuario, GKE On-Prem almacena los datos de uso en un conjunto de datos de BigQuery que se asocia con un proyecto de Cloud de tu elección.

En el archivo de configuración de GKE On-Prem, configura usercluster.usagemetering.bigqueryprojectid como el ID del proyecto de Cloud en el que deseas almacenar los datos de uso.

Habilita las API en el proyecto de medición del uso

Para habilitar las API requeridas en el proyecto de medición del uso, haz lo siguiente:

gcloud services enable --project [PROJECT_ID] \
    bigquery.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    bigquery.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Otorga funciones a las cuentas de servicio en el proyecto de medición del uso

Tu cuenta de servicio de medición del uso debe tener ciertas funciones en el proyecto de medición del uso.

Para obtener más detalles, consulta Cuenta de servicio de medición del uso.

Proyecto de Connect

Cuando creas un clúster de usuario, GKE On-Prem usa Connect para registrar el clúster en el proyecto de Cloud que elijas. Después de registrar el clúster, puedes verlo y administrarlo en este proyecto de la consola de Google Cloud.

Connect usa una implementación llamada agente de Connect para establecer una conexión entre el clúster de GKE On-Prem y el proyecto de Cloud.

En el archivo de configuración GKE On-Prem, configura gkeconnect.projectid como el ID del proyecto de Cloud en el que deseas ver y administrar tu clúster.

Habilita las API en tu proyecto de conexión

Para habilitar las API obligatorias en tu proyecto de conexión, haz lo siguiente:

gcloud services enable --project [PROJECT_ID] \
    cloudresourcemanager.googleapis.com \
    container.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    cloudresourcemanager.googleapis.com ^
    container.googleapis.com ^
    gkeconnect.googleapis.com ^
    gkehub.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Otorga funciones a cuentas de servicio en tu proyecto de conexión

La cuenta de servicio de registro de conexión y la cuenta de servicio del agente de conexión deben tener ciertas funciones en el proyecto de conexión.

Para obtener más detalles, consulta Cuenta de servicio de registro de conexión y Cuenta de servicio del agente de conexión.

Proyecto de supervisión y registro

En un clúster de usuario, los agentes de registros y métricas recopilan datos y los ponen a disposición de Cloud Logging y Cloud Monitoring. Para ver los registros y las métricas de tu clúster, debes especificar un proyecto de Cloud asociado.

En el archivo de configuración del clúster de usuario, establece stackdriver.projectID en el ID del proyecto de Cloud que quieres asociar con el registro y la supervisión. Este es el proyecto en el que verás los registros y las métricas del clúster.

Habilita las API en tu proyecto de supervisión y registro

Para habilitar las API necesarias en tu proyecto de supervisión y registro, haz lo siguiente:

gcloud services enable --project [PROJECT_ID] \
    stackdriver.googleapis.com \
    monitoring.googleapis.com \
    logging.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    stackdriver.googleapis.com ^
    monitoring.googleapis.com ^
    logging.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Otorga funciones a las cuentas de servicio en tu proyecto de supervisión y registro

A la cuenta de servicio de supervisión y registro se le deben otorgar ciertas funciones en el proyecto de supervisión y registro.

Para obtener más detalles, consulta Cuenta de servicio de supervisión y registro.

Proyecto de registro de auditoría

Si habilitas los registros de auditoría de Cloud para GKE On-Prem, las entradas del registro de auditoría del servidor de la API de Kubernetes de tu clúster se enviarán a Google Cloud. Puedes ver las entradas de registro de auditoría en el proyecto de Cloud que elijas.

En el archivo de configuración de GKE On-Prem, configura cloudauditlogging.projectid como el ID del proyecto de Cloud en el que deseas ver los registros de auditoría.

Habilita las API en tu proyecto de registro de auditoría

Para habilitar las API necesarias en tu proyecto de registro de auditoría, haz lo siguiente:

gcloud services enable --project [PROJECT_ID] \
    anthosgke.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    anthosgke.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Otorga funciones a cuentas de servicio en tu proyecto de registro de auditoría

La cuenta de servicio de registro de auditoría debe tener ciertas funciones en tu proyecto de registro de auditoría.

Para obtener más información, consulta Cuenta de servicio de registro de auditoría.

Proyecto superior de tu cuenta de servicio de acceso a los componentes

Para instalar GKE On-Prem, debes tener lo siguiente:

• Creaste un proyecto de Cloud.

• En el proyecto de Cloud, creaste una cuenta de servicio que GKE On-Prem puede usar para descargar componentes de Container Registry. Esta cuenta de servicio se denomina cuenta de servicio de acceso a los componentes.

• Se habilitó la API de Anthos. Habilitar esta API puede generar cargos. Consulta la guía de precios para obtener más información.

El proyecto de Cloud en el que creaste tu cuenta de servicio de acceso a los componentes se denomina el proyecto superior de tu cuenta de servicio de acceso a los componentes. Este proyecto puede ser el mismo que uno de los proyectos que especificas en el archivo de configuración de GKE On-Prem, o puede ser diferente de todos los proyectos que especificas en el archivo de configuración.

A fin de habilitar las API obligatorias para el proyecto superior de la cuenta de servicio de acceso a los componentes, haz lo siguiente:

gcloud services enable --project [PROJECT_ID] \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

gcloud services enable --project [PROJECT_ID] ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

¿Qué sigue?

Obtén más información sobre las claves y las cuentas de servicio para GKE On-Prem.