In diesem Dokument wird beschrieben, wie Sie ein Google Cloud-Projekt einrichten und einem Google-Konto Rollen zuweisen.
Diese Anleitung ist Teil einer Kurzanleitung. Eine vollständige Anleitung zur Verwendung von Google Cloud-Projekten mit Anthos-Cluster auf VMware (GKE On-Prem) finden Sie unter Mehrere Google Cloud-Projekte verwenden.
Hinweise
Anthos-Cluster auf VMware – Übersicht lesen
Installieren Sie die Google Cloud CLI.
Google Cloud-Projekt auswählen oder erstellen
Ein Anthos-Cluster auf VMware muss mit einem oder mehreren Google Cloud-Projekten verknüpft sein. In dieser Kurzanleitung wird nur ein Google Cloud-Projekt verwendet. Sie können ein vorhandenes Google Cloud-Projekt verwenden oder ein neues Google Cloud-Projekt erstellen. Notieren Sie sich die Projekt-ID.
Dienste in Ihrem Google Cloud-Projekt aktivieren
In Ihrem Google Cloud-Projekt müssen die folgenden Dienste aktiviert sein:
anthos.googleapis.com anthosgke.googleapis.com anthosaudit.googleapis.com cloudresourcemanager.googleapis.com container.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com serviceusage.googleapis.com stackdriver.googleapis.com opsconfigmonitoring.googleapis.com monitoring.googleapis.com logging.googleapis.com
Zum Aktivieren von Diensten in einem Projekt benötigen Sie bestimmte Berechtigungen für das Google Cloud-Projekt. Weitere Informationen finden Sie in den erforderlichen Berechtigungen für services.enable
unter Zugriffssteuerung.
Wenn Sie die erforderlichen Berechtigungen haben, können Sie die Dienste selbst aktivieren. Andernfalls muss eine andere Person in Ihrer Organisation die Dienste für Sie aktivieren.
So aktivieren Sie die erforderlichen Dienste:
Linux und macOS
gcloud services enable --project=PROJECT_ID \ anthos.googleapis.com \ anthosgke.googleapis.com \ anthosaudit.googleapis.com \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ stackdriver.googleapis.com \ opsconfigmonitoring.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com
Windows
gcloud services enable --project=PROJECT_ID ^ anthos.googleapis.com ^ anthosgke.googleapis.com ^ anthosaudit.googleapis.com ^ cloudresourcemanager.googleapis.com ^ container.googleapis.com ^ gkeconnect.googleapis.com ^ gkehub.googleapis.com ^ serviceusage.googleapis.com ^ stackdriver.googleapis.com ^ monitoring.googleapis.com ^ logging.googleapis.com
Wenn Sie anthos.googleapis.com
aktivieren, können Kosten anfallen. Weitere Informationen finden Sie in der Preisübersicht.
Anmelden
Das gkeadm
-Befehlszeilentool verwendet das SDK-account
-Attribut zum Erstellen von Dienstkonten. Legen Sie deshalb das account
-Attribut Ihres SDK fest, bevor Sie gkeadm
ausführen, um eine Administrator-Workstation zu erstellen.
Melde dich mit einem beliebigen Google-Konto an. Dadurch wird das SDK-Attribut account
festgelegt:
gcloud auth login
Prüfen Sie, ob das SDK-Attribut account
korrekt festgelegt ist:
gcloud config list
Die Ausgabe enthält die Werte des SDK-Attributs account
.
Beispiel:
[core] account = my-name@google.com disable_usage_reporting = False Your active configuration is: [default]
Ihrem SDK-Konto Rollen zuweisen
Das Google-Konto, das als SDK-Attribut account
festgelegt ist, muss diese IAM-Rollen haben, damit gkeadm
Dienstkonten für Sie erstellen und verwalten kann:
resourcemanager.projectIamAdmin
serviceusage.serviceUsageAdmin
iam.serviceAccountCreator
iam.serviceAccountKeyAdmin
Zum Gewähren von Rollen müssen Sie für Ihr Google Cloud-Projekt bestimmte Berechtigungen haben. Weitere Informationen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Wenn Sie die erforderlichen Berechtigungen haben, können Sie die Rollen selbst zuweisen. Andernfalls muss eine andere Person in Ihrer Organisation die Rollen für Sie zuweisen.
So weisen Sie die Rollen zu:
Linux und macOS
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/serviceusage.serviceUsageAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountKeyAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/serviceusage.serviceUsageAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountKeyAdmin"
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID Ihres Google Cloud-ProjektsACCOUNT
: Wert Ihres SDK-account
-Attributs
Nächste Schritte
Dienstkonto erstellen (Kurzanleitung)