Google Cloud 项目(快速入门)

本文档介绍了如何设置 Google Cloud 项目并向 Google 账号授予角色。

此处的说明是快速入门的一部分。如需详细了解如何将 Google Cloud 项目与 Anthos Clusters on VMware (GKE On-Prem) 搭配使用,请参阅使用多个 Google Cloud 项目

须知事项

阅读 Anthos clusters on VMware 概览

安装 Google Cloud CLI

选择或创建 Google Cloud 项目

Anthos Clusters on VMware 必须与一个或多个 Google Cloud 项目关联。本快速入门仅使用一个 Google Cloud 项目。您可以使用现有的 Google Cloud 项目,也可以创建新的 Google Cloud 项目。记下您的项目 ID

在您的 Google Cloud 项目中启用服务

您的 Google Cloud 项目必须启用以下服务:

anthos.googleapis.com
anthosgke.googleapis.com
anthosaudit.googleapis.com
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
monitoring.googleapis.com
logging.googleapis.com

如需在您的 Google Cloud 项目中启用服务,您必须拥有特定的项目权限。如需了解详情,请参阅访问权限控制services.enable 所需的权限。

如果您拥有所需的权限,则可以自行启用服务。否则,必须由您所在组织中的其他人为您启用服务。

如需启用所需的服务,请执行以下操作:

Linux 和 macOS

gcloud services enable --project=PROJECT_ID \
    anthos.googleapis.com \
    anthosgke.googleapis.com \
    anthosaudit.googleapis.com \
    cloudresourcemanager.googleapis.com \
    container.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    serviceusage.googleapis.com \
    stackdriver.googleapis.com \
    monitoring.googleapis.com \
    logging.googleapis.com

Windows

gcloud services enable --project=PROJECT_ID ^
    anthos.googleapis.com ^
    anthosgke.googleapis.com ^
    anthosaudit.googleapis.com ^
    cloudresourcemanager.googleapis.com ^
    container.googleapis.com ^
    gkeconnect.googleapis.com ^
    gkehub.googleapis.com ^
    serviceusage.googleapis.com ^
    stackdriver.googleapis.com ^
    monitoring.googleapis.com ^
    logging.googleapis.com

启用 anthos.googleapis.com 可能会产生费用。如需了解详情,请参阅价格指南。

登录并设置 SDK 属性

gkeadm 命令行工具使用 SDK account 和 SDK project 属性创建服务账号,并填充集群配置文件中的字段。因此,在运行 gkeadm 创建管理员工作站之前,请务必设置这些属性。

使用任意 Google 账号登录。这将设置您的 SDK account 属性:

gcloud auth login

接下来,设置您的 SDK project 属性:

gcloud config set project PROJECT_ID

验证您的 SDK accountproject 属性是否设置正确:

gcloud config list

输出内容会显示 SDK account 和 SDK project 属性的值。例如:

[core]
account = my-name@google.com
disable_usage_reporting = False
project = my-project-123
Your active configuration is: [default]

向您的 SDK 账号授予角色

您设置为 SDK account 属性的 Google 账号必须具有以下 IAM 角色gkeadm 才能为您创建和管理服务账号:

  • resourcemanager.projectIamAdmin
  • serviceusage.serviceUsageAdmin
  • iam.serviceAccountCreator
  • iam.serviceAccountKeyAdmin

如需授予角色,您必须拥有 Google Cloud 项目的特定权限。如需了解详情,请参阅授予、更改和撤消对资源的访问权限

如果您拥有所需的权限,则可以自行授予这些角色。否则,必须由您所在组织中的其他人为您授予这些角色。

要授予这些角色,请执行以下操作:

Linux 和 macOS

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/resourcemanager.projectIamAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/serviceusage.serviceUsageAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/iam.serviceAccountCreator"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/iam.serviceAccountKeyAdmin"

Windows

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/resourcemanager.projectIamAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/serviceusage.serviceUsageAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/iam.serviceAccountCreator"

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/iam.serviceAccountKeyAdmin"

替换以下内容:

  • PROJECT_ID:您的 SDK project 属性的值
  • ACCOUNT:您的 SDK account 属性的值。

后续步骤

创建服务账号(快速入门)