En este documento, se muestra cómo configurar un proyecto de Google Cloud y otorgar funciones a una Cuenta de Google.
Estas instrucciones forman parte de una guía de inicio rápido. Para obtener instrucciones completas sobre el uso de proyectos de Google Cloud con clústeres de Anthos alojados en VMware (GKE On-Prem), consulta Usa varios proyectos de Google Cloud.
Antes de comenzar
Lee la descripción general de los clústeres de Anthos alojados en VMware.
Elige o crea un proyecto de Google Cloud
Un clúster de Anthos alojado en VMware debe estar asociado con uno o más proyectos de Google Cloud. En esta guía de inicio rápido, se usa un solo proyecto de Google Cloud. Puedes usar un proyecto existente de Google Cloud o crear uno nuevo. Toma nota de la ID del proyecto.
Habilita los servicios en tu proyecto de Google Cloud
Tu proyecto de Google Cloud debe tener habilitados los siguientes servicios:
anthos.googleapis.com anthosgke.googleapis.com anthosaudit.googleapis.com cloudresourcemanager.googleapis.com container.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com serviceusage.googleapis.com stackdriver.googleapis.com monitoring.googleapis.com logging.googleapis.com
Para habilitar los servicios en un proyecto, debes tener ciertos permisos en tu proyecto de Google Cloud. A fin de obtener más información, consulta los permisos necesarios para services.enable
en Control de acceso.
Si tienes los permisos necesarios, puedes habilitar los servicios tú mismo. De lo contrario, alguien de tu organización deberá habilitar los servicios por ti.
Para habilitar los servicios requeridos, sigue estos pasos:
Linux y macOS
gcloud services enable --project=PROJECT_ID \ anthos.googleapis.com \ anthosgke.googleapis.com \ anthosaudit.googleapis.com \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ stackdriver.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com
Windows
gcloud services enable --project=PROJECT_ID ^ anthos.googleapis.com ^ anthosgke.googleapis.com ^ anthosaudit.googleapis.com ^ cloudresourcemanager.googleapis.com ^ container.googleapis.com ^ gkeconnect.googleapis.com ^ gkehub.googleapis.com ^ serviceusage.googleapis.com ^ stackdriver.googleapis.com ^ monitoring.googleapis.com ^ logging.googleapis.com
Habilita anthos.googleapis.com
puede generar cargos. Consulta la guía de precios para obtener más detalles.
Accede y configura las propiedades del SDK
La herramienta de línea de comandos de gkeadm
usa las propiedades del SDK de account
y el SDK de project
para crear cuentas de servicio y propagar campos en los archivos de configuración del clúster. Por lo tanto, es importante que configures estas propiedades antes de ejecutar gkeadm
para crear una estación de trabajo de administrador.
Accede con cualquier Cuenta de Google. Esto establece la propiedad account
de tu SDK:
gcloud auth login
Luego, configura la propiedad project
de tu SDK:
gcloud config set project PROJECT_ID
Verifica que las propiedades account
y project
del SDK estén configuradas de forma correcta:
gcloud config list
En el resultado, se muestran los valores de las propiedades account
y project
del SDK.
Por ejemplo:
[core] account = my-name@google.com disable_usage_reporting = False project = my-project-123 Your active configuration is: [default]
Otorga roles a tu cuenta del SDK
La Cuenta de Google que se configuró como tu propiedad account
del SDK debe tener estas funciones de IAM para que gkeadm
pueda crear y administrar cuentas de servicio por ti:
resourcemanager.projectIamAdmin
serviceusage.serviceUsageAdmin
iam.serviceAccountCreator
iam.serviceAccountKeyAdmin
Para otorgar funciones, debes tener ciertos permisos en tu proyecto de Google Cloud. Para obtener detalles, consulta Otorga, cambia y revoca el acceso a los recursos.
Si tienes los permisos necesarios, puedes otorgar las funciones tú mismo. De lo contrario, alguien de tu organización deberá otorgar las funciones por ti.
Para otorgar las funciones, sigue estos pasos:
Linux y macOS
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/serviceusage.serviceUsageAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountKeyAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/serviceusage.serviceUsageAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountKeyAdmin"
Reemplaza lo siguiente:
PROJECT_ID
: el valor de tu propiedadproject
del SDKACCOUNT
: el valor de tu propiedadaccount
del SDK.
¿Qué sigue?
Crea una cuenta de servicio (guía de inicio rápido).