Google Cloud 项目(快速入门)

本文档介绍了如何设置 Google Cloud 项目并向 Google 帐号授予角色。

此处的说明是快速入门的一部分。如需详细了解如何将 Cloud 项目与 VMware 上的 Anthos 集群 (GKE On-Prem) 搭配使用,请参阅使用多个 Cloud 项目

准备工作

阅读 Anthos clusters on VMware 概览

安装 Google Cloud CLI

选择或创建 Cloud 项目

Anthos clusters on VMware 必须与一个或多个 Cloud 项目关联。本快速入门仅使用一个 Cloud 项目。您可以使用现有的 Cloud 项目,也可以创建新的 Cloud 项目。记下您的项目 ID

启用 Cloud 项目中的服务

Cloud 项目必须启用以下服务:

anthos.googleapis.com
anthosgke.googleapis.com
anthosaudit.googleapis.com
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
opsconfigmonitoring.googleapis.com
monitoring.googleapis.com
logging.googleapis.com

如需启用项目中的服务,您必须拥有 Cloud 项目的特定权限。如需了解详情,请参阅访问权限控制services.enable 所需的权限。

如果您拥有所需的权限,则可以自行启用服务。否则,必须由您所在组织中的其他人为您启用服务。

如需启用所需的服务,请执行以下操作:

Linux 和 macOS

gcloud services enable --project=PROJECT_ID \
    anthos.googleapis.com \
    anthosgke.googleapis.com \
    anthosaudit.googleapis.com \
    cloudresourcemanager.googleapis.com \
    container.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    serviceusage.googleapis.com \
    stackdriver.googleapis.com \
    opsconfigmonitoring.googleapis.com \
    monitoring.googleapis.com \
    logging.googleapis.com

Windows

gcloud services enable --project=PROJECT_ID ^
    anthos.googleapis.com ^
    anthosgke.googleapis.com ^
    anthosaudit.googleapis.com ^
    cloudresourcemanager.googleapis.com ^
    container.googleapis.com ^
    gkeconnect.googleapis.com ^
    gkehub.googleapis.com ^
    serviceusage.googleapis.com ^
    stackdriver.googleapis.com ^
    monitoring.googleapis.com ^
    logging.googleapis.com

启用 anthos.googleapis.com 可能会产生费用。如需了解详情,请参阅价格指南。

登录

gkeadm 命令行工具使用您的 SDK account 属性创建服务帐号。因此,在运行 gkeadm 以创建管理员工作站之前,请务必设置 SDK account 属性。

使用任意 Google 帐号登录。这将设置您的 SDK account 属性:

gcloud auth login

验证您的 SDK account 属性是否已正确设置:

gcloud config list

输出会显示 SDK account 属性的值。例如:

[core]
account = my-name@google.com
disable_usage_reporting = False
Your active configuration is: [default]

向您的 SDK 帐号授予角色

您设置为 SDK account 属性的 Google 帐号必须具有以下 IAM 角色gkeadm 才能为您创建和管理服务帐号:

  • resourcemanager.projectIamAdmin
  • serviceusage.serviceUsageAdmin
  • iam.serviceAccountCreator
  • iam.serviceAccountKeyAdmin

如需授予角色,您必须拥有 Cloud 项目的特定权限。如需了解详情,请参阅授予、更改和撤消对资源的访问权限

如果您拥有所需的权限,则可以自行授予这些角色。否则,必须由您所在组织中的其他人为您授予这些角色。

要授予这些角色,请执行以下操作:

Linux 和 macOS

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/resourcemanager.projectIamAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/serviceusage.serviceUsageAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/iam.serviceAccountCreator"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:ACCOUNT" \
    --role="roles/iam.serviceAccountKeyAdmin"

Windows

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/resourcemanager.projectIamAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/serviceusage.serviceUsageAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/iam.serviceAccountCreator"

gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member="user:ACCOUNT" ^
    --role="roles/iam.serviceAccountKeyAdmin"

替换以下内容:

  • PROJECT_ID:您的 Cloud 项目的 ID
  • ACCOUNT:您的 SDK account 属性的值

后续步骤

创建服务帐号(快速入门)