Questo documento mostra come creare un account di servizio per accedere ai componenti Anthos.
Queste istruzioni fanno parte di una guida rapida. Per istruzioni complete sull'utilizzo degli account di servizio con i cluster Anthos su VMware (GKE On-Prem), consulta Account di servizio e chiavi.
Prima di iniziare
Crea un progetto Google Cloud (guida rapida).
Crea un account di servizio per l'accesso ai componenti
Cluster Anthos su VMware utilizza un account di servizio per scaricare i componenti Anthos, per tuo conto, da Container Registry. Si tratta di questo account come account del servizio di accesso ai componenti.
Questa sequenza di argomenti della guida rapida utilizza un singolo progetto Google Cloud. Hai stabilito quale progetto Google Cloud utilizzare nell'argomento della guida rapida precedente: progetto Google Cloud (guida rapida).
L'account di servizio con accesso ai componenti sarà un elemento secondario dello stesso progetto Google Cloud e riceverà i ruoli per quel progetto Google Cloud.
Per creare un account di servizio per l'accesso ai componenti:
gcloud iam service-accounts create component-access-sa \
--display-name "Component Access Service Account" \
--project PROJECT_ID
Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.
Per creare una chiave JSON per l'account di servizio con accesso ai componenti:
gcloud iam service-accounts keys create component-access-key.json \ --iam-account component-access-sa@[PROJECT_ID].iam.gserviceaccount.com
Concessione di ruoli all'account di servizio con accesso ai componenti
Al tuo account di servizio per l'accesso ai componenti devono essere assegnati i seguenti ruoli IAM sul progetto Google Cloud. Questi ruoli sono obbligatori per consentire ai cluster Anthos su VMware di eseguire controlli preflight:
- serviceusage.serviceUsageViewer
- iam.roleViewer
- iam.serviceAccountViewer
Per concedere i ruoli:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
--role "roles/serviceusage.serviceUsageViewer"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
--role "roles/iam.roleViewer"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
--role "roles/iam.serviceAccountViewer"
Passaggi successivi
Creare una workstation di amministrazione (guida rapida)