In diesem Dokument wird gezeigt, wie Sie ein Dienstkonto für den Zugriff auf Anthos-Komponenten erstellen.
Diese Anleitung ist Teil einer Kurzanleitung. Eine vollständige Anleitung zur Verwendung von Dienstkonten mit Anthos-Cluster auf VMware (GKE On-Prem) finden Sie unter Dienstkonten und Schlüssel.
Hinweise
Erstellen Sie ein Google Cloud-Projekt (Kurzanleitung).
Dienstkonto für den Komponentenzugriff erstellen
Anthos-Cluster auf VMware verwendet ein Dienstkonto, um Anthos-Komponenten in Ihrem Namen von Container Registry herunterzuladen. Dieses Konto wird als Dienstkonto für den Komponentenzugriff bezeichnet.
In dieser Kurzanleitung wird ein einzelnes Google Cloud-Projekt verwendet. Das Dienstkonto für den Komponentenzugriff ist diesem Google Cloud-Projekt untergeordnet. ihm werden Rollen für dasselbe Google Cloud-Projekt zugewiesen.
So erstellen Sie ein Dienstkonto für den Komponentenzugriff:
gcloud iam service-accounts create component-access-sa \ --display-name "Component Access Service Account" \ --project PROJECT_ID
Ersetzen Sie PROJECT_ID durch die ID Ihres Google Cloud-Projekts.
So erstellen Sie einen JSON-Schlüssel für das Dienstkonto für den Komponentenzugriff:
gcloud iam service-accounts keys create component-access-key.json \ --iam-account component-access-sa@[PROJECT_ID].iam.gserviceaccount.com
Dienstkonto für den Komponentenzugriff Rollen zuweisen
Dem Dienstkonto für den Komponentenzugriff müssen in Ihrem Google Cloud-Projekt die folgenden IAM-Rollen zugewiesen werden. Diese Rollen sind erforderlich, damit Anthos-Cluster auf VMware Preflight-Prüfungen ausführen kann:
serviceusage.serviceUsageViewer
iam.serviceAccountCreator
iam.roleViewer
So weisen Sie Rollen zu:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \ --role "roles/serviceusage.serviceUsageViewer" gcloud projects add-iam-policy-binding PROJECT_ID \ --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \ --role "roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID \ --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \ --role "roles/iam.roleViewer"
Nächste Schritte
Administrator-Workstation erstellen (Kurzanleitung)