Questo documento mostra come utilizzare progetti Google Cloud separati per i diversi aspetti dei cluster Anthos su VMware (GKE On-Prem).
Le istruzioni qui sono complete. Per un'introduzione più breve all'utilizzo di un progetto Google Cloud, consulta il progetto Google Cloud (guida rapida).
Prima di iniziare
File di configurazione del cluster
I file di configurazione dei cluster di amministrazione e dei cluster utente hanno vari campi in cui è possibile specificare un ID progetto Google Cloud:
stackdriver: projectID: "" ... gkeConnect: projectID: "" ... usageMetering: bigQueryProjectID: "" ... cloudAuditLogging: projectID: ""
L'idea è che tu possa avere un progetto per la gestione del cluster dalla console Google Cloud, un altro progetto per la visualizzazione di log e metriche e così via. L'unica eccezione è che il progetto di audit logging deve essere uguale al progetto di connessione.
Non è necessario utilizzare ID progetto separati, Ad esempio, potresti utilizzare lo stesso progetto sia per la gestione che per il logging. Se vuoi, puoi utilizzare lo stesso progetto per tutto.
Abilitazione dei servizi in un progetto Google Cloud
Per ogni progetto Google Cloud devono essere abilitati determinati servizi. Ad esempio, nel progetto di connessione devono essere abilitati i seguenti servizi:
cloudresourcemanager.googleapis.com container.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com serviceusage.googleapis.com iam.googleapis.com
Per abilitare i servizi in un progetto, devi disporre di determinate autorizzazioni sul progetto Google Cloud. Per i dettagli, consulta le autorizzazioni necessarie per
services.enable
in Controllo dell'accesso.
Se disponi delle autorizzazioni necessarie, puoi attivare i servizi autonomamente. In caso contrario, i servizi dovranno essere attivati da un altro utente della tua organizzazione.
Connetti progetto
Quando crei un cluster utente, Cluster Anthos su VMware utilizza Connetti per registrare il cluster con un progetto Google Cloud a tua scelta. Dopo aver registrato il cluster, puoi visualizzarlo e gestirlo in questo progetto nella console Google Cloud.
Connect utilizza un deployment chiamato agente di connessione per stabilire una connessione tra il cluster utente e il progetto Google Cloud.
Nel file di configurazione del cluster utente, imposta gkecConnect.projectID
sull'ID del progetto Google Cloud in cui vuoi visualizzare e gestire il cluster.
Abilitazione delle API nel progetto di connessione in corso...
Per abilitare le API richieste nel progetto di connessione:
Linux e macOS
gcloud services enable --project [PROJECT_ID] \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di connessione.
Windows
gcloud services enable --project [PROJECT_ID] ^ cloudresourcemanager.googleapis.com ^ container.googleapis.com ^ gkeconnect.googleapis.com ^ gkehub.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di connessione.
Concessione di ruoli agli account di servizio nel progetto di connessione
Al tuo account di servizio Connect-register devono essere concessi determinati ruoli nel progetto di connessione. Per maggiori dettagli, consulta Collegare un account di servizio
Progetto di monitoraggio del logging
In un cluster utente, gli agenti di logging e metriche raccolgono i dati e li rendono disponibili per Cloud Logging e Cloud Monitoring. Per visualizzare i log e le metriche del cluster, devi specificare un progetto Google Cloud associato.
Nel file di configurazione del cluster utente, imposta stackdriver.projectID
sull'ID del progetto Google Cloud che vuoi associare al logging e al monitoraggio. Questo è il progetto in cui visualizzerai i log e le metriche del cluster.
Abilitazione delle API nel progetto di monitoraggio dei log
Per abilitare le API richieste nel progetto di monitoraggio dei log:
Linux e macOS
gcloud services enable --project [PROJECT_ID] \ stackdriver.googleapis.com \ opsconfigmonitoring.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di monitoraggio del logging.
Windows
gcloud services enable --project [PROJECT_ID] ^ stackdriver.googleapis.com ^ opsconfigmonitoring.googleapis.com ^ monitoring.googleapis.com ^ logging.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di monitoraggio del logging.
Concessione di ruoli agli account di servizio nel progetto di monitoraggio dei log
Al tuo account di servizio di monitoraggio del logging devono essere concessi determinati ruoli nel tuo progetto di monitoraggio del logging.
Per i dettagli, consulta Account di servizio per il monitoraggio dei log.
Progetto di audit logging
Se abiliti Cloud Audit Logs per un cluster, le voci degli audit log del server API Kubernetes del cluster vengono inviate a Google Cloud.
Il progetto in cui gli audit log della vista vengono chiamati audit logging. Il progetto di audit logging deve essere uguale al progetto di connessione.
Nel file di configurazione del cluster, imposta cloudAuditLogging.projectID
sull'ID del tuo progetto di connessione.
Abilitazione delle API nel progetto di audit logging
Per abilitare le API richieste nel progetto di audit logging:
Linux e macOS
gcloud services enable --project [PROJECT_ID] \ anthosgke.googleapis.com \ anthosaudit.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di audit logging.
Windows
gcloud services enable --project [PROJECT_ID] ^ anthosgke.googleapis.com ^ anthosaudit.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di audit logging.
Concessione di ruoli agli account di servizio nel progetto di audit logging
Al tuo account di servizio di audit logging devono essere concessi determinati ruoli nel progetto di audit logging.
Per maggiori dettagli, consulta Account di servizio per l'audit logging.
Progetto padre del tuo account di servizio di accesso ai componenti
Prima di creare un cluster, devi avere un account di servizio che Cluster Anthos su VMware può utilizzare per scaricare componenti da Container Registry. Questo account di servizio è chiamato account di servizio per l'accesso ai componenti.
Il progetto di Google Cloud in cui hai creato l'account di servizio per l'accesso ai componenti è chiamato padre dell'account di servizio. Questo progetto può essere uguale a uno dei progetti specificati nei file di configurazione del cluster o può essere diverso da tutti i progetti specificati nei file di configurazione. Per ulteriori informazioni sugli account di servizio e sui progetti padre, consulta Informazioni sugli account di servizio e sui progetti Google Cloud.
Per abilitare le API richieste per il progetto padre dell'account di servizio dell'accesso ai componenti:
Linux e macOS
gcloud services enable --project [PROJECT_ID] \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del progetto padre del tuo account di servizio dell'accesso ai componenti.
Windows
gcloud services enable --project [PROJECT_ID] ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del progetto padre del tuo account di servizio dell'accesso ai componenti.
Progetto di misurazione dell'utilizzo
Se abiliti la misurazione dell'utilizzo di GKE per un cluster utente, Cluster Anthos su VMware archivia i dati di utilizzo in un set di dati BigQuery associato a un progetto Google Cloud a tua scelta.
Nel
file di configurazione del cluster utente,
imposta usageMetering.bigQueryProjectID
sull'ID del progetto Google Cloud
in cui vuoi archiviare i dati di utilizzo.
Abilitazione delle API nel progetto di misurazione dell'utilizzo
Per abilitare le API richieste nel progetto di misurazione dell'utilizzo:
Linux e macOS
gcloud services enable --project [PROJECT_ID] \ bigquery.googleapis.com \ serviceusage.googleapis.com \ iam.googleapis.com \ cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di misurazione dell'utilizzo.
Windows
gcloud services enable --project [PROJECT_ID] ^ bigquery.googleapis.com ^ serviceusage.googleapis.com ^ iam.googleapis.com ^ cloudresourcemanager.googleapis.com
dove [PROJECT_ID] è l'ID del tuo progetto di misurazione dell'utilizzo.
Concessione di ruoli agli account di servizio nel progetto di misurazione dell'utilizzo
Al tuo account di servizio di misurazione dell'utilizzo devono essere concessi determinati ruoli nel progetto di misurazione dell'utilizzo.
Per i dettagli, consulta l'articolo sull'account di servizio per la misurazione dell'utilizzo.
Passaggi successivi
Creare account e chiavi di servizio.