Ce document explique comment configurer un projet Google Cloud et attribuer des rôles à un compte Google.
Ces instructions font partie d'un guide de démarrage rapide. Pour obtenir des instructions complètes sur l'utilisation de projets Google Cloud avec Clusters Anthos sur VMware (GKE On-Prem), consultez la page Utiliser plusieurs projets Google Cloud.
Avant de commencer
Consultez la présentation d'Anthos clusters on VMware.
Choisir ou créer un projet Google Cloud
Un cluster Anthos sur VMware doit être associé à un ou plusieurs projets Google Cloud. Ce guide de démarrage rapide n'utilise qu'un seul projet Google Cloud. Vous pouvez utiliser un projet Google Cloud existant ou en créer un. Notez l'ID de votre projet.
Activer des services dans votre projet Google Cloud
Les services suivants doivent être activés pour votre projet Google Cloud:
anthos.googleapis.com anthosgke.googleapis.com anthosaudit.googleapis.com cloudresourcemanager.googleapis.com container.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com serviceusage.googleapis.com stackdriver.googleapis.com opsconfigmonitoring.googleapis.com monitoring.googleapis.com logging.googleapis.com
Pour activer les services dans un projet, vous devez disposer de certaines autorisations sur votre projet Google Cloud. Pour en savoir plus, consultez les autorisations requises pour services.enable
dans la section Contrôle des accès.
Si vous disposez des autorisations requises, vous pouvez activer les services vous-même. Sinon, un autre membre de votre organisation doit activer les services à votre place.
Pour activer les services requis :
Linux et macOS
gcloud services enable --project=PROJECT_ID \ anthos.googleapis.com \ anthosgke.googleapis.com \ anthosaudit.googleapis.com \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ stackdriver.googleapis.com \ opsconfigmonitoring.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com
Windows
gcloud services enable --project=PROJECT_ID ^ anthos.googleapis.com ^ anthosgke.googleapis.com ^ anthosaudit.googleapis.com ^ cloudresourcemanager.googleapis.com ^ container.googleapis.com ^ gkeconnect.googleapis.com ^ gkehub.googleapis.com ^ serviceusage.googleapis.com ^ stackdriver.googleapis.com ^ monitoring.googleapis.com ^ logging.googleapis.com
L'activation de anthos.googleapis.com
peut entraîner des frais. Pour en savoir plus, consultez notre grille tarifaire.
Se connecter et définir les propriétés du SDK
L'outil de ligne de commande gkeadm
utilise les propriétés account
et project
du SDK pour créer des comptes de service et pour renseigner des champs dans vos fichiers de configuration de cluster. Il est donc important de définir ces propriétés avant d'exécuter gkeadm
pour créer un poste de travail administrateur.
Connectez-vous avec un compte Google. Cela définit la propriété account
du SDK :
gcloud auth login
Ensuite, définissez la propriété project
du SDK :
gcloud config set project PROJECT_ID
Vérifiez que les propriétés account
et project
du SDK sont correctement définies :
gcloud config list
Le résultat affiche les valeurs des propriétés account
et project
du SDK.
Exemple :
[core] account = my-name@google.com disable_usage_reporting = False project = my-project-123 Your active configuration is: [default]
Attribuer des rôles à votre compte SDK
Le compte Google défini en tant que propriété account
du SDK doit disposer des rôles IAM permettant à gkeadm
de créer et gérer des comptes de service :
resourcemanager.projectIamAdmin
serviceusage.serviceUsageAdmin
iam.serviceAccountCreator
iam.serviceAccountKeyAdmin
Pour attribuer des rôles, vous devez disposer de certaines autorisations sur votre projet Google Cloud. Pour plus d'informations, consultez la page Accorder, modifier et révoquer les accès à des ressources.
Si vous disposez des autorisations requises, vous pouvez attribuer les rôles vous-même. Sinon, un autre membre de votre organisation doit attribuer les rôles à votre place.
Pour accorder les rôles, procédez comme suit :
Linux et macOS
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/serviceusage.serviceUsageAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountKeyAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/serviceusage.serviceUsageAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountKeyAdmin"
Remplacez les éléments suivants :
PROJECT_ID
: valeur de la propriétéproject
du SDK.ACCOUNT
: valeur de la propriétéaccount
du SDK.
Étapes suivantes
Créer un compte de service (Guide de démarrage rapide)