Anthos clusters on VMware は、VMware 用 Google Distributed Cloud（ソフトウェアのみ）になりました。詳細については、プロダクトの概要をご覧ください。

サービスアカウントとキー

このドキュメントでは、Google Distributed Cloud の実装でクラスタの作成に必要な Google Cloud サービスアカウントとキーについて説明します。

ここでは手順全体を詳しく解説します。サービスアカウントの使用に関する概要については、最小限のインフラストラクチャを設定するをご覧ください。

始める前に

Google Cloud プロジェクトを作成します。

サービスアカウントの概要

管理者クラスタとユーザークラスタを作成する前に、次のサービスアカウントが必要です。

コンポーネントアクセスサービスアカウント
Connect-register サービスアカウント
logging-monitoring サービスアカウント

有効にする機能によっては、オプションのサービスアカウントも必要になる場合があります。

サービスアカウントと Google Cloud プロジェクトについて

サービスアカウントは、作成時に Google Cloud プロジェクトに関連付けます。この Google Cloud プロジェクトをサービスアカウントの親プロジェクトといいます。

サービスアカウントの親プロジェクトは、そのサービスアカウントのメールアドレスで確認できます。たとえば、logger という名前のサービスアカウントのメールアドレスを次に示します。親プロジェクトは alice-123 です。

logger@alice-123.iam.gserviceaccount.com

Identity and Access Management（IAM）のロールをサービスアカウントに付与する場合は、特定の Google Cloud プロジェクトのサービスアカウントにロールを付与します。これは、リソースのプリンシパルにロールを付与するの一般的なパターンに従っています。

たとえば、bob-456 プロジェクトの logger@alice-123.iam.gserviceaccount.com サービスアカウントに bigquery.dataEditor ロールを付与できます。この場合、サービスアカウントがプリンシパルで、Google Cloud プロジェクトがリソースです。

重要なことは、サービスアカウントの親でない Google Cloud プロジェクトのサービスアカウントにロールを付与できる点です。

サービスアカウントにロールを付与する権限

各サービスアカウントに、関連する Google Cloud プロジェクトに対する特定のロールを付与する必要があります。たとえば、connect-register サービスアカウントには、フリートホストプロジェクトの gkehub.editor ロールが付与されている必要があります。

Google Cloud プロジェクトに対するロールを付与するには、プロジェクトに対する特定の権限が必要です。詳しくは、ロールについての roles/resourcemanager.projectIamAdmin をご覧ください。

必要な権限があれば、自分でロールを付与できます。それ以外の場合は、組織内の別のユーザーがロールを付与する必要があります。

`gkeadm` を使用してサービスアカウントを自動的に作成する

このページでは、サービスアカウントを手動で作成して、サービスアカウントにロールを付与する方法を説明します。手動で行う代わりに、管理者ワークステーションの作成時に gkeadm でサービスアカウントを作成してロールを付与することもできます。詳細については、管理ワークステーションの作成をご覧ください。

コンポーネントアクセスサービスアカウント

Google Distributed Cloud は、このサービスアカウントを使用して、ユーザーに代わって Container Registry からクラスタコンポーネントをダウンロードします。

コンポーネントアクセスサービスアカウントを作成するには、次のコマンドを実行します。

gcloud iam service-accounts create component-access-sa \
    --display-name "Component Access Service Account" \
    --project PROJECT_ID

PROJECT_ID は、サービスアカウントの親プロジェクトとして使用する、Google Cloud プロジェクトの ID に置き換えます。

コンポーネントアクセスサービスアカウントの JSON キーを作成するには、次のコマンドを実行します。

gcloud iam service-accounts keys create component-access-key.json \
   --iam-account SERVICE_ACCOUNT_EMAIL

SERVICE_ACCOUNT_EMAIL は、コンポーネントアクセスサービスアカウントのメールアドレスに置き換えます。

コンポーネントアクセスサービスアカウントにロールを付与する

コンポーネントアクセスサービスアカウントには、フリートホストプロジェクトに対する次の IAM ロールが付与されている必要があります。これらのロールは、Google Distributed Cloud がプリフライトチェックを実行するために必要です。

serviceusage.serviceUsageViewer
iam.roleViewer
iam.serviceAccountViewer
compute.viewer

ロールを付与するには:

gcloud projects add-iam-policy-binding FLEET_HOST_PROJECT_ID \
    --member "serviceAccount:SERVICE_ACCOUNT_EMAIL" \
    --role "roles/serviceusage.serviceUsageViewer"

gcloud projects add-iam-policy-binding FLEET_HOST_PROJECT_ID \
    --member "serviceAccount:SERVICE_ACCOUNT_EMAIL" \
    --role "roles/iam.roleViewer"

gcloud projects add-iam-policy-binding FLEET_HOST_PROJECT_ID \
    --member "serviceAccount:SERVICE_ACCOUNT_EMAIL" \
    --role "roles/iam.serviceAccountViewer"

gcloud projects add-iam-policy-binding FLEET_HOST_PROJECT_ID \
    --member "serviceAccount:SERVICE_ACCOUNT_EMAIL" \
    --role "roles/compute.viewer"

次のように置き換えます。

FLEET_HOST_PROJECT_ID: フリートホストプロジェクトの ID。
SERVICE_ACCOUNT_EMAIL: コンポーネントアクセスサービスアカウントのメールアドレス。

Connect-register サービスアカウント

Google Distributed Cloud は、このサービスアカウントを使用して、クラスタをフリートに登録します。

connect-register サービスアカウントを作成するには、次のコマンドを実行します。

gcloud iam service-accounts create connect-register-sa \
    --project PROJECT_ID

PROJECT_ID は、connect-register サービスアカウントの親に設定する Google Cloud プロジェクトの ID に置き換えます。

connect-register サービスアカウントの JSON キーを作成するには、次のコマンドを実行します。

gcloud iam service-accounts keys create connect-register-key.json \
   --iam-account SERVICE_ACCOUNT_EMAIL

SERVICE_ACCOUNT_EMAIL は、connect-register サービスアカウントのメールアドレスに置き換えます。

connect-register サービスアカウントには、フリートホストプロジェクトの gkehub.editor ロールを付与する必要があります。

connect-register サービスアカウントに gkehub.editor ロールを付与します。

gcloud projects add-iam-policy-binding FLEET_HOST_PROJECT_ID \
    --member "serviceAccount:SERVICE_ACCOUNT_EMAIL" \
    --role "roles/gkehub.editor"

logging-monitoring サービスアカウント

Google Distributed Cloud は、このサービスアカウントを使用して、クラスタから Cloud Logging と Cloud Monitoring にログと指標をエクスポートします。

logging-monitoring サービスアカウントを作成するには、次のコマンドを実行します。

gcloud iam service-accounts create logging-monitoring-sa \
    --project=PROJECT_ID

PROJECT_ID は、logging-monitoring サービスアカウントの親に設定する Google Cloud プロジェクトの ID に置き換えます。

logging-monitoring サービスアカウントの JSON キーを作成するには、次のコマンドを実行します。

gcloud iam service-accounts keys create logging-monitoring-key.json \
    --iam-account SERVICE_ACCOUNT_EMAIL

ロギングモニタリングサービスアカウントには、フリートホストプロジェクトに対する次のロールが付与されている必要があります。

opsconfigmonitoring.resourceMetadata.writer
logging.logWriter
monitoring.metricWriter
monitoring.dashboardEditor
kubernetesmetadata.publisher

必要なロールを logging-monitoring サービスアカウントに付与するには、次のコマンドを実行します。

gcloud projects add-iam-policy-binding FLEET_HOST_PROJECT_ID \
    --member "serviceAccount:SERVICE_ACCOUNT_EMAIL" \
    --role "roles/opsconfigmonitoring.resourceMetadata.writer"
gcloud projects add-iam-policy-binding FLEET_HOST_PROJECT_ID \
    --member "serviceAccount:SERVICE_ACCOUNT_EMAIL" \
    --role "roles/logging.logWriter"
gcloud projects add-iam-policy-binding FLEET_HOST_PROJECT_ID \
    --member "serviceAccount:SERVICE_ACCOUNT_EMAIL" \
    --role "roles/monitoring.metricWriter"
gcloud projects add-iam-policy-binding FLEET_HOST_PROJECT_ID \
    --member "serviceAccount:SERVICE_ACCOUNT_EMAIL" \
    --role "roles/monitoring.dashboardEditor"
gcloud projects add-iam-policy-binding FLEET_HOST_PROJECT_ID \
    --member "serviceAccount:SERVICE_ACCOUNT_EMAIL" \
    --role "roles/kubernetesmetadata.publisher"

SERVICE_ACCOUNT_EMAIL は、logging-monitoring サービスアカウントのメールアドレスに置き換えます。

オプションのサービスアカウント

監査ロギングサービスアカウント

Google Distributed Cloud は、このサービスアカウントを使用して、クラスタから Kubernetes 監査ログを Cloud Audit Logs に送信します。

監査ロギングサービスアカウントを作成するには、次のコマンドを実行します。

gcloud iam service-accounts create audit-logging-sa \
    --project PROJECT_ID

PROJECT_ID は、監査ロギングサービスアカウントの親に設定する Google Cloud プロジェクトの ID に置き換えます。

監査ロギングサービスアカウントの JSON キーを作成するには、次のコマンドを実行します。

gcloud iam service-accounts keys create audit-logging-key.json \
   --iam-account SERVICE_ACCOUNT_EMAIL

SERVICE_ACCOUNT_EMAIL は、監査ロギングサービスアカウントのメールアドレスに置き換えます。

監査ロギングサービスアカウントにロールを付与する必要はありません。

使用状況測定サービスアカウント

Google Distributed Cloud では、このサービスアカウントを使用して、BigQuery データセットに使用状況データを保存します。

使用状況測定サービスアカウントを作成するには、次のコマンドを実行します。

gcloud iam service-accounts create usage-metering-sa \
    --project PROJECT_ID

PROJECT_ID は、使用状況測定サービスアカウントの親に設定する Google Cloud プロジェクトの ID に置き換えます。

使用状況測定サービスアカウントの JSON キーを作成するには、次のコマンドを実行します。

gcloud iam service-accounts keys create usage-metering-key.json \
   --iam-account SERVICE_ACCOUNT_EMAIL

SERVICE_ACCOUNT_EMAIL は、使用状況測定サービスアカウントのメールアドレスに置き換えます。

使用状況測定サービスアカウントには、使用状況測定プロジェクトに対する bigquery.dataEditor ロールが付与されている必要があります。これは、ユーザークラスタの使用状況データを表示する Google Cloud プロジェクトです。

使用状況測定サービスアカウントに bigquery.dataEditor ロールを付与します。

gcloud projects add-iam-policy-binding USAGE_METERING_PROJECT_ID \
    --member "serviceAccount:SERVICE_ACCOUNT_EMAIL" \
    --role "roles/bigquery.dataEditor"

USAGE_METERING_PROJECT_ID は、使用量測定プロジェクトの ID に置き換えます。

Binary Authorization サービスアカウント

Google Distributed Cloud では、このサービスアカウントを使用して Binary Authorization API を呼び出します。

Binary Authorization サービスアカウントの作成については、GKE On-Prem での Binary Authorization をご覧ください。

次のステップ

管理ワークステーションを作成する。

サービス アカウントとキー

始める前に

サービス アカウントの概要

サービス アカウントと Google Cloud プロジェクトについて

サービス アカウントにロールを付与する権限

gkeadm を使用してサービス アカウントを自動的に作成する

コンポーネント アクセス サービス アカウント

コンポーネント アクセス サービス アカウントにロールを付与する

Connect-register サービス アカウント

logging-monitoring サービス アカウント

オプションのサービス アカウント

監査ロギング サービス アカウント

使用状況測定サービス アカウント

Binary Authorization サービス アカウント