本文档介绍如何创建服务帐号以访问 Anthos 组件。
此处的说明是快速入门的一部分。如需详细了解如何将 服务帐号与 VMware 上的 Anthos 集群 (GKE On-Prem) 搭配使用,请参阅服务帐号和密钥。
准备工作
创建组件访问服务帐号
Anthos clusters on VMware 使用一个服务帐号代表您从 Container Registry 下载 Anthos 组件。此帐号称为组件访问服务帐号。
这一系列快速入门主题使用单个 Google Cloud 项目。您已经在前面的快速入门主题 Google Cloud 项目(快速入门)中建立了要使用的 Google Cloud 项目。
您的组件访问服务账号将成为该相同 Google Cloud 项目的子级,并且将被授予该 Google Cloud 项目的角色。
如需创建组件访问服务账号,请输入以下命令:
gcloud iam service-accounts create component-access-sa \ --display-name "Component Access Service Account" \ --project PROJECT_ID
将 PROJECT_ID 替换为您的 Google Cloud 项目的 ID。
如需为您的组件访问服务账号创建 JSON 密钥,请输入以下命令:
gcloud iam service-accounts keys create component-access-key.json \ --iam-account component-access-sa@[PROJECT_ID].iam.gserviceaccount.com
向组件访问服务账号授予角色
组件访问服务账号必须被授予 Google Cloud 项目的以下 IAM 角色。这些角色是必需的,以便 Anthos Clusters on VMware 可以进行预检检查:
- serviceusage.serviceUsageViewer
- iam.roleViewer
- iam.serviceAccountViewer
要授予角色,请使用以下命令:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \ --role "roles/serviceusage.serviceUsageViewer" gcloud projects add-iam-policy-binding PROJECT_ID \ --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \ --role "roles/iam.roleViewer" gcloud projects add-iam-policy-binding PROJECT_ID \ --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \ --role "roles/iam.serviceAccountViewer"