Google Cloud-Projekt (Kurzanleitung)

In diesem Dokument wird beschrieben, wie Sie ein Google Cloud-Projekt einrichten und einem Google-Konto Rollen zuweisen.

Diese Anleitung ist Teil einer Kurzanleitung. Eine vollständige Anleitung zur Verwendung von Google Cloud-Projekten mit Anthos-Cluster auf VMware (GKE On-Prem) finden Sie unter Mehrere Google Cloud-Projekte verwenden.

Hinweise

Anthos-Cluster auf VMware – Übersicht lesen

Installieren Sie die Google Cloud CLI.

Google Cloud-Projekt auswählen oder erstellen

Ein Anthos-Cluster auf VMware muss mit einem oder mehreren Google Cloud-Projekten verknüpft sein. In dieser Kurzanleitung wird nur ein Google Cloud-Projekt verwendet. Sie können ein vorhandenes Google Cloud-Projekt verwenden oder ein neues Google Cloud-Projekt erstellen. Notieren Sie sich die Projekt-ID.

Dienste in Ihrem Google Cloud-Projekt aktivieren

In Ihrem Google Cloud-Projekt müssen die folgenden Dienste aktiviert sein:

anthos.googleapis.com
anthosgke.googleapis.com
anthosaudit.googleapis.com
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
opsconfigmonitoring.googleapis.com
monitoring.googleapis.com
logging.googleapis.com

Zum Aktivieren von Diensten in einem Projekt benötigen Sie bestimmte Berechtigungen für das Google Cloud-Projekt. Weitere Informationen finden Sie in den erforderlichen Berechtigungen für services.enable unter Zugriffssteuerung.

Wenn Sie die erforderlichen Berechtigungen haben, können Sie die Dienste selbst aktivieren. Andernfalls muss eine andere Person in Ihrer Organisation die Dienste für Sie aktivieren.

So aktivieren Sie die erforderlichen Dienste:

Linux und macOS

gcloud services enable --project=PROJECT_ID \
    anthos.googleapis.com \
    anthosgke.googleapis.com \
    anthosaudit.googleapis.com \
    cloudresourcemanager.googleapis.com \
    container.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    serviceusage.googleapis.com \
    stackdriver.googleapis.com \
    opsconfigmonitoring.googleapis.com \
    monitoring.googleapis.com \
    logging.googleapis.com

Windows

gcloud services enable --project=PROJECT_ID ^
    anthos.googleapis.com ^
    anthosgke.googleapis.com ^
    anthosaudit.googleapis.com ^
    cloudresourcemanager.googleapis.com ^
    container.googleapis.com ^
    gkeconnect.googleapis.com ^
    gkehub.googleapis.com ^
    serviceusage.googleapis.com ^
    stackdriver.googleapis.com ^
    monitoring.googleapis.com ^
    logging.googleapis.com

Wenn Sie anthos.googleapis.com aktivieren, können Kosten anfallen. Weitere Informationen finden Sie in der Preisübersicht.

Anmelden

Das gkeadm-Befehlszeilentool verwendet das SDK-account-Attribut zum Erstellen von Dienstkonten. Legen Sie deshalb das account-Attribut Ihres SDK fest, bevor Sie gkeadm ausführen, um eine Administrator-Workstation zu erstellen.

Melde dich mit einem beliebigen Google-Konto an. Dadurch wird das SDK-Attribut account festgelegt:

gcloud auth login

Prüfen Sie, ob das SDK-Attribut account korrekt festgelegt ist:

gcloud config list

Die Ausgabe enthält die Werte des SDK-Attributs account. Beispiel:

[core]
account = my-name@google.com
disable_usage_reporting = False
Your active configuration is: [default]

Ihrem SDK-Konto Rollen zuweisen

Das Google-Konto, das als SDK-Attribut account festgelegt ist, muss diese IAM-Rollen haben, damit gkeadm Dienstkonten für Sie erstellen und verwalten kann:

  • resourcemanager.projectIamAdmin
  • serviceusage.serviceUsageAdmin
  • iam.serviceAccountCreator
  • iam.serviceAccountKeyAdmin

Zum Gewähren von Rollen müssen Sie für Ihr Google Cloud-Projekt bestimmte Berechtigungen haben. Weitere Informationen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Wenn Sie die erforderlichen Berechtigungen haben, können Sie die Rollen selbst zuweisen. Andernfalls muss eine andere Person in Ihrer Organisation die Rollen für Sie zuweisen.

So weisen Sie die Rollen zu:

Linux und macOS

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/resourcemanager.projectIamAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/serviceusage.serviceUsageAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/iam.serviceAccountCreator"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/iam.serviceAccountKeyAdmin"

Windows

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/resourcemanager.projectIamAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/serviceusage.serviceUsageAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/iam.serviceAccountCreator"

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/iam.serviceAccountKeyAdmin"

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID Ihres Google Cloud-Projekts
  • ACCOUNT: Wert Ihres SDK-account-Attributs

Nächste Schritte

Dienstkonto erstellen (Kurzanleitung)