Progetto Google Cloud (guida rapida)

Questo documento mostra come configurare un progetto Google Cloud e concedere ruoli a un Account Google.

Le istruzioni riportate di seguito fanno parte di una guida rapida. Per istruzioni complete sull'utilizzo dei progetti Cloud con i cluster Anthos su VMware (GKE on-prem), consulta la sezione Utilizzo di più progetti Cloud.

Prima di iniziare

Consulta la panoramica su Anthos cluster su VMware.

Installa l'interfaccia a riga di comando di Google Cloud.

Scegli o crea un progetto Cloud

Un cluster Anthos su VMware deve essere associato a uno o più progetti Cloud. Questa guida rapida utilizza un solo progetto Cloud. Puoi utilizzare un progetto Cloud esistente o creare un nuovo progetto Cloud. Prendi nota del tuo ID progetto.

Abilita i servizi nel tuo progetto Cloud

Il tuo progetto cloud deve avere i seguenti servizi abilitati:

anthos.googleapis.com
anthosgke.googleapis.com
anthosaudit.googleapis.com
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
opsconfigmonitoring.googleapis.com
monitoring.googleapis.com
logging.googleapis.com

Per abilitare i servizi in un progetto, devi disporre di determinate autorizzazioni sul progetto Cloud. Per maggiori dettagli, consulta le autorizzazioni richieste per services.enable in Controllo dell'accesso.

Se disponi delle autorizzazioni necessarie, puoi attivare autonomamente i servizi. In caso contrario, qualcun altro della tua organizzazione deve attivare i servizi per te.

Per attivare i servizi richiesti:

Linux e macOS

gcloud services enable --project=PROJECT_ID \
    anthos.googleapis.com \
    anthosgke.googleapis.com \
    anthosaudit.googleapis.com \
    cloudresourcemanager.googleapis.com \
    container.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    serviceusage.googleapis.com \
    stackdriver.googleapis.com \
    opsconfigmonitoring.googleapis.com \
    monitoring.googleapis.com \
    logging.googleapis.com

Windows

gcloud services enable --project=PROJECT_ID ^
    anthos.googleapis.com ^
    anthosgke.googleapis.com ^
    anthosaudit.googleapis.com ^
    cloudresourcemanager.googleapis.com ^
    container.googleapis.com ^
    gkeconnect.googleapis.com ^
    gkehub.googleapis.com ^
    serviceusage.googleapis.com ^
    stackdriver.googleapis.com ^
    monitoring.googleapis.com ^
    logging.googleapis.com

L'attivazione di anthos.googleapis.com potrebbe comportare costi. Per informazioni dettagliate, consulta la guida relativa ai prezzi.

Accedi

Lo strumento a riga di comando gkeadm utilizza la proprietà SDK account per creare gli account di servizio. Pertanto, è importante impostare la proprietà SDK account prima di eseguire gkeadm per creare una workstation di amministrazione.

Accedi con qualsiasi Account Google. Questa operazione imposta la proprietà SDK account:

gcloud auth login

Verifica che la proprietà SDK account sia impostata correttamente:

gcloud config list

L'output mostra i valori della proprietà dell'SDK account. Ad esempio:

[core]
account = my-name@google.com
disable_usage_reporting = False
Your active configuration is: [default]

Concedi ruoli al tuo account SDK

L'Account Google impostato come tua proprietà SDK di account deve avere questi ruoli IAM affinché gkeadm possa creare e gestire account di servizio per te:

  • resourcemanager.projectIamAdmin
  • serviceusage.serviceUsageAdmin
  • iam.serviceAccountCreator
  • iam.serviceAccountKeyAdmin

Per concedere i ruoli, devi disporre di determinate autorizzazioni sul tuo progetto Cloud. Per informazioni dettagliate, vedi Concedere, modificare e revocare l'accesso alle risorse.

Se disponi delle autorizzazioni necessarie, puoi concedere personalmente i ruoli. In caso contrario, qualcun altro della tua organizzazione deve concederti le autorizzazioni.

Per concedere i ruoli:

Linux e macOS

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/resourcemanager.projectIamAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/serviceusage.serviceUsageAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/iam.serviceAccountCreator"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/iam.serviceAccountKeyAdmin"

Windows

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/resourcemanager.projectIamAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/serviceusage.serviceUsageAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/iam.serviceAccountCreator"

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/iam.serviceAccountKeyAdmin"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo progetto Cloud
  • ACCOUNT: il valore della tua proprietà SDK account

Passaggi successivi

Creare un account di servizio (guida rapida)