Versione 1.8. Questa versione è supportata come descritto nel criterio di supporto per le versioni di Anthos, che offre le patch e gli aggiornamenti più recenti per vulnerabilità di sicurezza, esposizioni e problemi che interessano i cluster Anthos su VMware (GKE on-prem). Per ulteriori informazioni, leggi le note di rilascio. Questa non è la versione più recente.

Versioni disponibili: 1.11 1.10 1.9 Versioni precedenti

Utilizzo di più progetti Google Cloud

Questo documento mostra come utilizzare progetti Google Cloud separati per i diversi aspetti dei cluster Anthos su VMware (GKE On-Prem).

Le istruzioni qui sono complete. Per un'introduzione più breve all'utilizzo di un progetto Google Cloud, consulta il progetto Google Cloud (guida rapida).

Prima di iniziare

Installa Google Cloud CLI.

File di configurazione del cluster

I file di configurazione dei cluster di amministrazione e dei cluster utente hanno vari campi in cui è possibile specificare un ID progetto Google Cloud:

stackdriver:
  projectID: ""
...
gkeConnect:
  projectID: ""
...
usageMetering:
  bigQueryProjectID: ""
...
cloudAuditLogging:
  projectID: ""

L'idea è che tu possa avere un progetto per la gestione del cluster dalla console Google Cloud, un altro progetto per la visualizzazione di log e metriche e così via. L'unica eccezione è che il progetto di audit logging deve essere uguale al progetto di connessione.

Non è necessario utilizzare ID progetto separati, Ad esempio, potresti utilizzare lo stesso progetto sia per la gestione che per il logging. Se vuoi, puoi utilizzare lo stesso progetto per tutto.

Abilitazione dei servizi in un progetto Google Cloud

Per ogni progetto Google Cloud devono essere abilitati determinati servizi. Ad esempio, nel progetto di connessione devono essere abilitati i seguenti servizi:

cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
serviceusage.googleapis.com
iam.googleapis.com

Per abilitare i servizi in un progetto, devi disporre di determinate autorizzazioni sul progetto Google Cloud. Per i dettagli, consulta le autorizzazioni necessarie per services.enable in Controllo dell'accesso.

Se disponi delle autorizzazioni necessarie, puoi attivare i servizi autonomamente. In caso contrario, i servizi dovranno essere attivati da un altro utente della tua organizzazione.

Connetti progetto

Quando crei un cluster utente, Cluster Anthos su VMware utilizza Connetti per registrare il cluster con un progetto Google Cloud a tua scelta. Dopo aver registrato il cluster, puoi visualizzarlo e gestirlo in questo progetto nella console Google Cloud.

Connect utilizza un deployment chiamato agente di connessione per stabilire una connessione tra il cluster utente e il progetto Google Cloud.

Nel file di configurazione del cluster utente, imposta gkecConnect.projectID sull'ID del progetto Google Cloud in cui vuoi visualizzare e gestire il cluster.

Abilitazione delle API nel progetto di connessione in corso...

Per abilitare le API richieste nel progetto di connessione:

Linux e macOS

gcloud services enable --project [PROJECT_ID] \
    cloudresourcemanager.googleapis.com \
    container.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com

dove [PROJECT_ID] è l'ID del tuo progetto di connessione.

Windows

gcloud services enable --project [PROJECT_ID] ^
    cloudresourcemanager.googleapis.com ^
    container.googleapis.com ^
    gkeconnect.googleapis.com ^
    gkehub.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

dove [PROJECT_ID] è l'ID del tuo progetto di connessione.

Concessione di ruoli agli account di servizio nel progetto di connessione

Al tuo account di servizio Connect-register devono essere concessi determinati ruoli nel progetto di connessione. Per maggiori dettagli, consulta Collegare un account di servizio

Progetto di monitoraggio del logging

In un cluster utente, gli agenti di logging e metriche raccolgono i dati e li rendono disponibili per Cloud Logging e Cloud Monitoring. Per visualizzare i log e le metriche del cluster, devi specificare un progetto Google Cloud associato.

Nel file di configurazione del cluster utente, imposta stackdriver.projectID sull'ID del progetto Google Cloud che vuoi associare al logging e al monitoraggio. Questo è il progetto in cui visualizzerai i log e le metriche del cluster.

Abilitazione delle API nel progetto di monitoraggio dei log

Per abilitare le API richieste nel progetto di monitoraggio dei log:

Linux e macOS

gcloud services enable --project [PROJECT_ID] \
    stackdriver.googleapis.com \
    opsconfigmonitoring.googleapis.com \
    monitoring.googleapis.com \
    logging.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

dove [PROJECT_ID] è l'ID del tuo progetto di monitoraggio del logging.

Windows

gcloud services enable --project [PROJECT_ID] ^
    stackdriver.googleapis.com ^
    opsconfigmonitoring.googleapis.com ^
    monitoring.googleapis.com ^
    logging.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

dove [PROJECT_ID] è l'ID del tuo progetto di monitoraggio del logging.

Concessione di ruoli agli account di servizio nel progetto di monitoraggio dei log

Al tuo account di servizio di monitoraggio del logging devono essere concessi determinati ruoli nel tuo progetto di monitoraggio del logging.

Per i dettagli, consulta Account di servizio per il monitoraggio dei log.

Progetto di audit logging

Se abiliti Cloud Audit Logs per un cluster, le voci degli audit log del server API Kubernetes del cluster vengono inviate a Google Cloud.

Il progetto in cui gli audit log della vista vengono chiamati audit logging. Il progetto di audit logging deve essere uguale al progetto di connessione.

Nel file di configurazione del cluster, imposta cloudAuditLogging.projectID sull'ID del tuo progetto di connessione.

Abilitazione delle API nel progetto di audit logging

Per abilitare le API richieste nel progetto di audit logging:

Linux e macOS

gcloud services enable --project [PROJECT_ID] \
    anthosgke.googleapis.com \
    anthosaudit.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

dove [PROJECT_ID] è l'ID del tuo progetto di audit logging.

Windows

gcloud services enable --project [PROJECT_ID] ^
    anthosgke.googleapis.com ^
    anthosaudit.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

dove [PROJECT_ID] è l'ID del tuo progetto di audit logging.

Concessione di ruoli agli account di servizio nel progetto di audit logging

Al tuo account di servizio di audit logging devono essere concessi determinati ruoli nel progetto di audit logging.

Per maggiori dettagli, consulta Account di servizio per l'audit logging.

Progetto padre del tuo account di servizio di accesso ai componenti

Prima di creare un cluster, devi avere un account di servizio che Cluster Anthos su VMware può utilizzare per scaricare componenti da Container Registry. Questo account di servizio è chiamato account di servizio per l'accesso ai componenti.

Il progetto di Google Cloud in cui hai creato l'account di servizio per l'accesso ai componenti è chiamato padre dell'account di servizio. Questo progetto può essere uguale a uno dei progetti specificati nei file di configurazione del cluster o può essere diverso da tutti i progetti specificati nei file di configurazione. Per ulteriori informazioni sugli account di servizio e sui progetti padre, consulta Informazioni sugli account di servizio e sui progetti Google Cloud.

Per abilitare le API richieste per il progetto padre dell'account di servizio dell'accesso ai componenti:

Linux e macOS

gcloud services enable --project [PROJECT_ID] \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

dove [PROJECT_ID] è l'ID del progetto padre del tuo account di servizio dell'accesso ai componenti.

Windows

gcloud services enable --project [PROJECT_ID] ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

dove [PROJECT_ID] è l'ID del progetto padre del tuo account di servizio dell'accesso ai componenti.

Progetto di misurazione dell'utilizzo

Se abiliti la misurazione dell'utilizzo di GKE per un cluster utente, Cluster Anthos su VMware archivia i dati di utilizzo in un set di dati BigQuery associato a un progetto Google Cloud a tua scelta.

Nel file di configurazione del cluster utente, imposta usageMetering.bigQueryProjectID sull'ID del progetto Google Cloud in cui vuoi archiviare i dati di utilizzo.

Abilitazione delle API nel progetto di misurazione dell'utilizzo

Per abilitare le API richieste nel progetto di misurazione dell'utilizzo:

Linux e macOS

gcloud services enable --project [PROJECT_ID] \
    bigquery.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

dove [PROJECT_ID] è l'ID del tuo progetto di misurazione dell'utilizzo.

Windows

gcloud services enable --project [PROJECT_ID] ^
    bigquery.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

dove [PROJECT_ID] è l'ID del tuo progetto di misurazione dell'utilizzo.

Concessione di ruoli agli account di servizio nel progetto di misurazione dell'utilizzo

Al tuo account di servizio di misurazione dell'utilizzo devono essere concessi determinati ruoli nel progetto di misurazione dell'utilizzo.

Per i dettagli, consulta l'articolo sull'account di servizio per la misurazione dell'utilizzo.

Passaggi successivi

Creare account e chiavi di servizio.