Questo documento mostra come configurare un progetto Google Cloud e concedere ruoli a un Account Google.
Queste istruzioni fanno parte di una guida rapida. Per istruzioni complete sull'utilizzo dei progetti Google Cloud con Cluster Anthos su VMware (GKE On-Prem), consulta Utilizzo di più progetti Google Cloud.
Prima di iniziare
Leggi la panoramica di Anthos clusters on VMware.
Scegli o crea un progetto Google Cloud
Un cluster Anthos su VMware deve essere associato a uno o più progetti Google Cloud. Questa guida rapida utilizza un solo progetto Google Cloud. Puoi utilizzare un progetto Google Cloud esistente o creare un nuovo progetto Google Cloud. Prendi nota del tuo ID progetto.
Abilitare i servizi nel progetto Google Cloud
Per il tuo progetto Google Cloud devono essere abilitati i seguenti servizi:
anthos.googleapis.com anthosgke.googleapis.com anthosaudit.googleapis.com cloudresourcemanager.googleapis.com container.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com serviceusage.googleapis.com stackdriver.googleapis.com monitoring.googleapis.com logging.googleapis.com
Per abilitare i servizi in un progetto, devi disporre di determinate autorizzazioni sul progetto Google Cloud. Per i dettagli, consulta le autorizzazioni necessarie per
services.enable
in Controllo dell'accesso.
Se disponi delle autorizzazioni necessarie, puoi attivare i servizi autonomamente. In caso contrario, i servizi dovranno essere attivati da un altro utente della tua organizzazione.
Per abilitare i servizi richiesti:
Linux e macOS
gcloud services enable --project=PROJECT_ID \ anthos.googleapis.com \ anthosgke.googleapis.com \ anthosaudit.googleapis.com \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ stackdriver.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com
Windows
gcloud services enable --project=PROJECT_ID ^ anthos.googleapis.com ^ anthosgke.googleapis.com ^ anthosaudit.googleapis.com ^ cloudresourcemanager.googleapis.com ^ container.googleapis.com ^ gkeconnect.googleapis.com ^ gkehub.googleapis.com ^ serviceusage.googleapis.com ^ stackdriver.googleapis.com ^ monitoring.googleapis.com ^ logging.googleapis.com
L'attivazione di anthos.googleapis.com
potrebbe comportare addebiti. Consulta la guida ai prezzi per i dettagli.
Accedi e imposta le proprietà dell'SDK
Lo strumento a riga di comando gkeadm
utilizza il tuo SDK account
e il tuo SDK project
proprietà per creare account di servizio e compilare i campi nei file di configurazione del cluster. Pertanto è importante impostare
queste proprietà prima di eseguire gkeadm
per creare una workstation di amministrazione.
Accedi con qualsiasi Account Google. Questa azione imposta la proprietà account
dell'SDK:
gcloud auth login
Successivamente, imposta la proprietà project
dell'SDK:
gcloud config set project PROJECT_ID
Verifica che le proprietà SDK account
e project
siano impostate correttamente:
gcloud config list
L'output mostra i valori delle proprietà dell'SDK account
e dell'SDK project
.
Ecco alcuni esempi:
[core] account = my-name@google.com disable_usage_reporting = False project = my-project-123 Your active configuration is: [default]
Concedi i ruoli al tuo account SDK
L'Account Google impostato come proprietà dell'SDK account
deve avere questi
ruoli IAM affinché gkeadm
possa creare e
gestire gli account di servizio per te:
resourcemanager.projectIamAdmin
serviceusage.serviceUsageAdmin
iam.serviceAccountCreator
iam.serviceAccountKeyAdmin
Per concedere i ruoli, devi disporre di determinate autorizzazioni sul progetto Google Cloud. Per maggiori dettagli, consulta Concedere, modificare e revocare l'accesso alle risorse.
Se disponi delle autorizzazioni necessarie, puoi concedere i ruoli personalmente. In caso contrario, un altro membro dell'organizzazione deve concederti i ruoli.
Per concedere i ruoli:
Linux e macOS
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/serviceusage.serviceUsageAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountKeyAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/serviceusage.serviceUsageAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountKeyAdmin"
Sostituisci quanto segue:
PROJECT_ID
: il valore della tua proprietàproject
dell'SDKACCOUNT
: il valore della tua proprietàaccount
dell'SDK.
Passaggi successivi
Creare un account di servizio (guida rapida)