Este documento mostra como configurar um projeto do Google Cloud e conceder papéis a uma Conta do Google.
As instruções aqui fazem parte do guia de início rápido. Para instruções completas sobre como usar projetos do Google Cloud com clusters do Anthos no VMware (GKE On-Prem), consulte Como usar vários projetos do Google Cloud.
Antes de começar
Leia a Visão geral dos clusters do Anthos no VMware.
Escolher ou criar um projeto do Google Cloud
Um cluster do Anthos no VMware precisa estar associado a um ou mais projetos do Google Cloud. Neste guia de início rápido, usamos apenas um projeto do Google Cloud. É possível usar um projeto do Google Cloud ou criar um novo. Anote o ID do projeto.
Ativar serviços no seu projeto do Google Cloud
Seu projeto do Google Cloud precisa ter os seguintes serviços ativados:
anthos.googleapis.com anthosgke.googleapis.com anthosaudit.googleapis.com cloudresourcemanager.googleapis.com container.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com serviceusage.googleapis.com stackdriver.googleapis.com opsconfigmonitoring.googleapis.com monitoring.googleapis.com logging.googleapis.com
Para ativar os serviços em um projeto, é preciso ter determinadas permissões no
projeto do Google Cloud. Para detalhes, consulte as permissões necessárias para
services.enable
no controle de acesso.
Se tiver as permissões necessárias, você mesmo poderá ativar os serviços. Caso contrário, outra pessoa na sua organização precisará ativar esses serviços para você.
Para ativar os serviços necessários:
Linux e macOS
gcloud services enable --project=PROJECT_ID \ anthos.googleapis.com \ anthosgke.googleapis.com \ anthosaudit.googleapis.com \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ stackdriver.googleapis.com \ opsconfigmonitoring.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com
Windows
gcloud services enable --project=PROJECT_ID ^ anthos.googleapis.com ^ anthosgke.googleapis.com ^ anthosaudit.googleapis.com ^ cloudresourcemanager.googleapis.com ^ container.googleapis.com ^ gkeconnect.googleapis.com ^ gkehub.googleapis.com ^ serviceusage.googleapis.com ^ stackdriver.googleapis.com ^ monitoring.googleapis.com ^ logging.googleapis.com
A ativação do anthos.googleapis.com
pode gerar cobranças. Veja mais detalhes no guia de preços.
Fazer login e definir as propriedades do SDK
A ferramenta de linha de comando gkeadm
usa as propriedades account
e
project
do SDK para criar contas de serviço e preencher
campos nos arquivos de configuração do cluster. Portanto, é importante definir
essas propriedades antes de executar gkeadm
para criar uma estação de trabalho de administrador.
Faça login com qualquer Conta do Google: Isso define a propriedade account
do SDK:
gcloud auth login
Em seguida, defina a propriedade project
do SDK:
gcloud config set project PROJECT_ID
Verifique se as propriedades account
e project
do SDK estão definidas corretamente:
gcloud config list
A saída mostra os valores das propriedades account
e project
do SDK.
Exemplo:
[core] account = my-name@google.com disable_usage_reporting = False project = my-project-123 Your active configuration is: [default]
Conceder papéis à conta do SDK
A conta do Google definida como a propriedade account
do SDK precisa ter estes
papéis do IAM para que gkeadm
possa criar contas de
serviço para você:
resourcemanager.projectIamAdmin
serviceusage.serviceUsageAdmin
iam.serviceAccountCreator
iam.serviceAccountKeyAdmin
Para conceder papéis, é preciso ter determinadas permissões no projeto do Google Cloud. Para instruções detalhadas, veja Como conceder, alterar e revogar acesso a recursos.
Se tiver as permissões necessárias, você mesmo poderá conceder os papéis. Caso contrário, outra pessoa na sua organização precisará conceder esses papéis para você.
Para conceder os papéis:
Linux e macOS
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/serviceusage.serviceUsageAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountKeyAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/serviceusage.serviceUsageAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountKeyAdmin"
Substitua:
PROJECT_ID
: o valor da propriedadeproject
do SDK.ACCOUNT
: o valor da propriedadeaccount
do SDK.
A seguir
Criar uma conta de serviço (guia de início rápido)