In diesem Dokument wird gezeigt, wie Sie separate Google Cloud-Projekte für verschiedene Aspekte von Anthos-Clustern in VMware (GKE On-Prem) verwenden können.
Diese Anleitung ist vollständig. Eine kürzere Einführung in ein Google Cloud-Projekt finden Sie unter Google Cloud-Projekt (Kurzanleitung).
Hinweise
Installieren Sie Google Cloud CLI.
Clusterkonfigurationsdateien
Die Konfigurationsdateien Administratorcluster und Nutzercluster enthalten mehrere Felder, in denen Sie eine Google Cloud-Projekt-ID angeben können:
stackdriver: projectID: "" ... gkeConnect: projectID: "" ... usageMetering: bigQueryProjectID: "" ... cloudAuditLogging: projectID: ""
Die Idee ist, dass Sie ein Projekt zur Verwaltung Ihres Clusters über die Google Cloud Console, ein weiteres Projekt zum Anzeigen von Logs und Messwerten usw. einrichten können. Allerdings muss Ihr Audit-Logging-Projekt mit Ihrem Verbindungsprojekt übereinstimmen.
Sie müssen keine separaten Projekt-IDs verwenden. Sie können beispielsweise dasselbe Projekt für die Verwaltung und für das Logging verwenden. Wenn Sie möchten, können Sie dasselbe Projekt für alles verwenden.
Dienste in einem Google Cloud-Projekt aktivieren
Für jedes Google Cloud-Projekt müssen bestimmte Dienste aktiviert sein. Für Ihr Verbindungsprojekt müssen beispielsweise die folgenden Dienste aktiviert sein:
cloudresourcemanager.googleapis.com container.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com serviceusage.googleapis.com iam.googleapis.com
Zum Aktivieren von Diensten in einem Projekt benötigen Sie bestimmte Berechtigungen für das Google Cloud-Projekt. Weitere Informationen finden Sie in den erforderlichen Berechtigungen für services.enable
unter Zugriffssteuerung.
Wenn Sie die erforderlichen Berechtigungen haben, können Sie die Dienste selbst aktivieren. Andernfalls muss eine andere Person in Ihrer Organisation die Dienste für Sie aktivieren.
Verbindungsprojekt
Wenn Sie einen Nutzercluster erstellen, verwendet Anthos-Cluster auf VMware Connect, um den Cluster bei einem Google Cloud-Projekt Ihrer Wahl zu registrieren. Nach der Registrierung des Clusters können Sie Ihren Cluster in diesem Projekt in der Google Cloud Console aufrufen und verwalten.
Connect nutzt ein Deployment namens Connect Agent, um eine Verbindung zwischen Ihrem Nutzercluster und Ihrem Google Cloud-Projekt herzustellen.
Legen Sie in der Konfigurationsdatei des Nutzerclusters gkecConnect.projectID
auf die ID des Google Cloud-Projekts fest, in dem Sie den Cluster aufrufen und verwalten möchten.
APIs im Verbindungsprojekt aktivieren
So aktivieren Sie die erforderlichen APIs im Verbindungsprojekt:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com
Dabei ist [PROJECT_ID] die ID des Verbindungsprojekts.
Windows
gcloud services enable --project [PROJECT_ID] ^ cloudresourcemanager.googleapis.com ^ container.googleapis.com ^ gkeconnect.googleapis.com ^ gkehub.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des Verbindungsprojekts.
Den Dienstkonten für das Verbindungsprojekt Rollen zuweisen
Dem Connect-Register-Dienstkonto müssen bestimmte Rollen im Verbindungsprojekt gewährt werden. Weitere Informationen finden Sie unter Connect-Register-Dienstkonto.
Logging-Monitoring-Projekt
In einem Nutzercluster erfassen Logging und Messwert-Agents Daten und stellen sie für Cloud Logging und Cloud Monitoring zur Verfügung. Damit Sie Logs und Messwerte aus dem Cluster aufrufen können, müssen Sie ein verknüpftes Google Cloud-Projekt angeben.
Legen Sie in der Konfigurationsdatei des Nutzerclusters stackdriver.projectID
auf die ID des Google Cloud-Projekts fest, das Sie mit Logging und Monitoring verknüpfen möchten. Dies ist das Projekt, in dem Sie die Logs und Messwerte des Clusters anzeigen werden.
APIs im Logging-Monitoring-Projekt aktivieren
So aktivieren Sie die erforderlichen APIs im Logging-Monitoring-Projekt:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \ stackdriver.googleapis.com \ opsconfigmonitoring.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID Ihres Logging-Monitoring-Projekts.
Windows
gcloud services enable --project [PROJECT_ID] ^ stackdriver.googleapis.com ^ opsconfigmonitoring.googleapis.com ^ monitoring.googleapis.com ^ logging.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID Ihres Logging-Monitoring-Projekts.
Den Dienstkonten für das Logging-Monitoring-Projekt Rollen zuweisen
Dem Logging-Monitoring-Dienstkonto müssen bestimmte Rollen im Logging-Monitoring-Projekt zugewiesen sein.
Weitere Informationen finden Sie unter Logging-Monitoring-Dienstkonto.
Audit-Logging-Projekt
Wenn Sie Cloud-Audit-Logs für einen Cluster aktivieren, werden die Audit-Logeinträge vom Kubernetes API-Server des Clusters an Google Cloud gesendet.
Das Projekt, in dem Ihre Audit-Logs aufgerufen werden, wird als Audit-Logging-Projekt bezeichnet. Ihr Audit-Logging-Projekt muss mit Ihrem Verbindungsprojekt übereinstimmen.
Legen Sie in der Clusterkonfigurationsdatei cloudAuditLogging.projectID
auf die ID Ihres Verbindungsprojekts fest.
APIs im Audit-Logging-Projekt aktivieren
So aktivieren Sie die erforderlichen APIs im Audit-Logging-Projekt:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \ anthosgke.googleapis.com \ anthosaudit.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
[PROJECT_ID] ist die ID des Audit-Logging-Projekts.
Windows
gcloud services enable --project [PROJECT_ID] ^ anthosgke.googleapis.com ^ anthosaudit.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
[PROJECT_ID] ist die ID des Audit-Logging-Projekts.
Den Dienstkonten für das Audit-Logging-Projekt Rollen zuweisen
Dem Audit-Logging-Dienstkonto müssen bestimmte Rollen für Ihr Audit-Logging-Projekt zugewiesen werden.
Weitere Informationen finden Sie unter Audit-Logging-Dienstkonto.
Übergeordnetes Projekt des Dienstkontos für Ihr Komponenten-Zugriff-Dienstkonto
Bevor Sie einen Cluster erstellen, müssen Sie ein Dienstkonto haben, mit dem Anthos-Cluster auf VMware Komponenten aus Container Registry herunterladen können. Dieses Dienstkonto wird als Dienstkonto für den Komponentenzugriff bezeichnet.
Das Google Cloud-Projekt, in dem Sie das Dienstkonto für den Komponentenzugriff erstellt haben, wird als übergeordnetes Element des Dienstkontos für Komponentenzugriff bezeichnet. Dieses Projekt kann mit einem der Projekte übereinstimmen, die Sie in Ihren Clusterkonfigurationsdateien angeben, oder es kann sich von allen Projekten unterscheiden, die Sie in Ihren Konfigurationsdateien angeben. Weitere Informationen zu Dienstkonten und übergeordneten Projekten finden Sie unter Details zu Dienstkonten und Google Cloud-Projekten.
So aktivieren Sie die erforderlichen APIs für das übergeordnete Projekt des Komponenten-Zugriff-Dienstkontos:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des übergeordneten Projekts Ihres Dienstkontos für das Komponenten-Zugriff-Dienstkonto.
Windows
gcloud services enable --project [PROJECT_ID] ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des übergeordneten Projekts Ihres Dienstkontos für das Komponenten-Zugriff-Dienstkonto.
Projekt zur Nutzungsmessung
Wenn Sie die GKE-Nutzungsmessung für einen Nutzercluster aktivieren, speichert Anthos-Cluster auf VMware Nutzungsdaten in einem BigQuery-Dataset, das mit einem Google Cloud-Projekt Ihrer Wahl verknüpft ist.
Legen Sie in der Konfigurationsdatei des Nutzerclusters usageMetering.bigQueryProjectID
auf die ID des Google Cloud-Projekts fest, in dem Sie Nutzungsdaten speichern möchten.
APIs im Projekt zur Nutzungsmessung aktivieren
So aktivieren Sie die erforderlichen APIs in Ihrem Nutzungsmessungsprojekt:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \ bigquery.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des Nutzungsmessungsprojekts.
Windows
gcloud services enable --project [PROJECT_ID] ^ bigquery.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des Nutzungsmessungsprojekts.
Den Dienstkonten für das Projekt zur Nutzungsmessung Rollen zuweisen
Ihrem Dienstkonto zur Nutzungsmessung müssen bestimmte Rollen im Projekt zur Nutzungsmessung zugewiesen sein.
Weitere Informationen finden Sie unter Dienstkonto zur Nutzungsmessung.
Nächste Schritte
Dienstkonten und Schlüssel erstellen