本文档介绍了如何设置 Google Cloud 项目并向 Google 帐号授予角色。
此处的说明是快速入门的一部分。如需详细了解如何将 Google Cloud 项目与 Anthos Clusters on VMware (GKE On-Prem) 搭配使用,请参阅使用多个 Google Cloud 项目。
须知事项
阅读 Anthos clusters on VMware 概览。
选择或创建 Google Cloud 项目
Anthos Clusters on VMware 必须与一个或多个 Google Cloud 项目关联。本快速入门仅使用一个 Google Cloud 项目。您可以使用现有的 Google Cloud 项目,也可以创建新的 Google Cloud 项目。记下您的项目 ID。
在您的 Google Cloud 项目中启用服务
您的 Google Cloud 项目必须启用以下服务:
anthos.googleapis.com anthosgke.googleapis.com anthosaudit.googleapis.com cloudresourcemanager.googleapis.com container.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com serviceusage.googleapis.com stackdriver.googleapis.com monitoring.googleapis.com logging.googleapis.com
如需在您的 Google Cloud 项目中启用服务,您必须拥有特定的项目权限。如需了解详情,请参阅访问权限控制中 services.enable 所需的权限。
如果您拥有所需的权限,则可以自行启用服务。否则,必须由您所在组织中的其他人为您启用服务。
如需启用所需的服务,请执行以下操作:
Linux 和 macOS
gcloud services enable --project=PROJECT_ID \
anthos.googleapis.com \
anthosgke.googleapis.com \
anthosaudit.googleapis.com \
cloudresourcemanager.googleapis.com \
container.googleapis.com \
gkeconnect.googleapis.com \
gkehub.googleapis.com \
serviceusage.googleapis.com \
stackdriver.googleapis.com \
monitoring.googleapis.com \
logging.googleapis.com
Windows
gcloud services enable --project=PROJECT_ID ^
anthos.googleapis.com ^
anthosgke.googleapis.com ^
anthosaudit.googleapis.com ^
cloudresourcemanager.googleapis.com ^
container.googleapis.com ^
gkeconnect.googleapis.com ^
gkehub.googleapis.com ^
serviceusage.googleapis.com ^
stackdriver.googleapis.com ^
monitoring.googleapis.com ^
logging.googleapis.com
启用 anthos.googleapis.com 可能会产生费用。如需了解详情,请参阅价格指南。
登录并设置 SDK 属性
gkeadm 命令行工具使用 SDK account 和 SDK project 属性创建服务帐号,并填充集群配置文件中的字段。因此,在运行 gkeadm 创建管理员工作站之前,请务必设置这些属性。
使用任意 Google 帐号登录。这将设置您的 SDK account 属性:
gcloud auth login
接下来,设置您的 SDK project 属性:
gcloud config set project PROJECT_ID
验证您的 SDK account 和 project 属性是否设置正确:
gcloud config list
输出内容会显示 SDK account 和 SDK project 属性的值。例如:
[core] account = my-name@google.com disable_usage_reporting = False project = my-project-123 Your active configuration is: [default]
向您的 SDK 帐号授予角色
您设置为 SDK account 属性的 Google 帐号必须具有以下 IAM 角色,gkeadm 才能为您创建和管理服务帐号:
resourcemanager.projectIamAdminserviceusage.serviceUsageAdminiam.serviceAccountCreatoriam.serviceAccountKeyAdmin
如需授予角色,您必须拥有 Google Cloud 项目的特定权限。如需了解详情,请参阅授予、更改和撤消对资源的访问权限。
如果您拥有所需的权限,则可以自行授予这些角色。否则,必须由您所在组织中的其他人为您授予这些角色。
要授予这些角色,请执行以下操作:
Linux 和 macOS
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:ACCOUNT" \
--role="roles/resourcemanager.projectIamAdmin"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:ACCOUNT" \
--role="roles/serviceusage.serviceUsageAdmin"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:ACCOUNT" \
--role="roles/iam.serviceAccountCreator"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:ACCOUNT" \
--role="roles/iam.serviceAccountKeyAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^
--member="user:ACCOUNT" ^
--role="roles/resourcemanager.projectIamAdmin"
gcloud projects add-iam-policy-binding PROJECT_ID ^
--member="user:ACCOUNT" ^
--role="roles/serviceusage.serviceUsageAdmin"
gcloud projects add-iam-policy-binding PROJECT_ID ^
--member="user:ACCOUNT" ^
--role="roles/iam.serviceAccountCreator"
gcloud projects add-iam-policy-binding PROJECT_ID ^
--member="user:ACCOUNT" ^
--role="roles/iam.serviceAccountKeyAdmin"
替换以下内容:
PROJECT_ID:您的 SDKproject属性的值ACCOUNT:您的 SDKaccount属性的值。