En este documento, se muestra cómo configurar un proyecto de Google Cloud y otorgar funciones a una Cuenta de Google.
Estas instrucciones forman parte de una guía de inicio rápido. Para obtener instrucciones completas sobre el uso de proyectos de Cloud con clústeres de Anthos en VMware (GKE On-Prem), consulta Usa varios proyectos de Cloud.
Antes de comenzar
Lee la descripción general de los clústeres de Anthos alojados en VMware.
Elige o crea un proyecto de Cloud
Un clúster de Anthos alojado en VMware se debe asociar con uno o más proyectos de Cloud. En esta guía de inicio rápido, se usa solo un proyecto de Cloud. Puedes usar un proyecto de Cloud existente o crear un proyecto de Cloud nuevo. Toma nota de la ID del proyecto.
Habilita servicios en tu proyecto de Cloud
Tu proyecto de Cloud debe tener los siguientes servicios habilitados:
anthos.googleapis.com anthosgke.googleapis.com anthosaudit.googleapis.com cloudresourcemanager.googleapis.com container.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com serviceusage.googleapis.com stackdriver.googleapis.com opsconfigmonitoring.googleapis.com monitoring.googleapis.com logging.googleapis.com
Para habilitar los servicios en un proyecto, debes tener ciertos permisos en el proyecto de Cloud. A fin de obtener más información, consulta los permisos necesarios para services.enable en Control de acceso.
Si tienes los permisos necesarios, puedes habilitar los servicios tú mismo. De lo contrario, alguien de tu organización deberá habilitar los servicios por ti.
Para habilitar los servicios requeridos, sigue estos pasos:
Linux y macOS
gcloud services enable --project=PROJECT_ID \
anthos.googleapis.com \
anthosgke.googleapis.com \
anthosaudit.googleapis.com \
cloudresourcemanager.googleapis.com \
container.googleapis.com \
gkeconnect.googleapis.com \
gkehub.googleapis.com \
serviceusage.googleapis.com \
stackdriver.googleapis.com \
opsconfigmonitoring.googleapis.com \
monitoring.googleapis.com \
logging.googleapis.com
Windows
gcloud services enable --project=PROJECT_ID ^
anthos.googleapis.com ^
anthosgke.googleapis.com ^
anthosaudit.googleapis.com ^
cloudresourcemanager.googleapis.com ^
container.googleapis.com ^
gkeconnect.googleapis.com ^
gkehub.googleapis.com ^
serviceusage.googleapis.com ^
stackdriver.googleapis.com ^
monitoring.googleapis.com ^
logging.googleapis.com
Habilita anthos.googleapis.com puede generar cargos. Consulta la guía de precios para obtener más detalles.
Acceder
La herramienta de línea de comandos de gkeadm usa la propiedad account de tu SDK para crear cuentas de servicio. Por lo tanto, es importante que establezcas la propiedad account de tu SDK antes de ejecutar gkeadm para crear una estación de trabajo de administrador.
Accede con cualquier Cuenta de Google. Esto establece la propiedad account de tu SDK:
gcloud auth login
Verifica que la propiedad account de tu SDK esté configurada correctamente:
gcloud config list
En el resultado, se muestran los valores de la propiedad account de tu SDK.
Por ejemplo:
[core] account = my-name@google.com disable_usage_reporting = False Your active configuration is: [default]
Otorga roles a tu cuenta del SDK
La Cuenta de Google que se configuró como tu propiedad account del SDK debe tener estas funciones de IAM para que gkeadm pueda crear y administrar cuentas de servicio por ti:
resourcemanager.projectIamAdminserviceusage.serviceUsageAdminiam.serviceAccountCreatoriam.serviceAccountKeyAdmin
Para otorgar funciones, debes tener ciertos permisos en tu proyecto de Cloud. Para obtener detalles, consulta Otorga, cambia y revoca el acceso a los recursos.
Si tienes los permisos necesarios, puedes otorgar las funciones tú mismo. De lo contrario, alguien de tu organización deberá otorgar las funciones por ti.
Para otorgar las funciones, sigue estos pasos:
Linux y macOS
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:ACCOUNT" \
--role="roles/resourcemanager.projectIamAdmin"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:ACCOUNT" \
--role="roles/serviceusage.serviceUsageAdmin"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:ACCOUNT" \
--role="roles/iam.serviceAccountCreator"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:ACCOUNT" \
--role="roles/iam.serviceAccountKeyAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^
--member="user:ACCOUNT" ^
--role="roles/resourcemanager.projectIamAdmin"
gcloud projects add-iam-policy-binding PROJECT_ID ^
--member="user:ACCOUNT" ^
--role="roles/serviceusage.serviceUsageAdmin"
gcloud projects add-iam-policy-binding PROJECT_ID ^
--member="user:ACCOUNT" ^
--role="roles/iam.serviceAccountCreator"
gcloud projects add-iam-policy-binding PROJECT_ID ^
--member="user:ACCOUNT" ^
--role="roles/iam.serviceAccountKeyAdmin"
Reemplaza lo siguiente:
PROJECT_ID: El ID de tu proyecto de Cloud.ACCOUNT: el valor de tu propiedadaccountdel SDK
¿Qué sigue?
Crea una cuenta de servicio (guía de inicio rápido).