Auf dieser Seite wird erläutert, wie Sie separate Google Cloud-Projekte für verschiedene Aspekte von GKE On-Prem verwenden.
Die GKE On-Prem-Konfigurationsdatei enthält mehrere Felder, in denen Sie eine Google Cloud-Projekt-ID angeben können:
...
usercluster:
usagemetering:
bigqueryprojectid: ""
...
gkeconnect:
projectid: ""
...
stackdriver:
projectid: ""
...
cloudauditlogging:
projectid: ""
Die Idee ist, dass Sie ein Projekt für die Verbindung zu GKE On-Prem, ein anderes Projekt für Logging und Monitoring usw. haben können.
Sie müssen keine separaten Projekt-IDs verwenden. Sie können beispielsweise dasselbe Projekt für die Verbindung und für das Logging verwenden. Wenn Sie möchten, können Sie dasselbe Projekt für alles verwenden.
Projekt zur Nutzungsmessung
Wenn Sie die GKE-Nutzungsmessung für einen Nutzercluster aktivieren, speichert GKE On-Prem Nutzungsdaten in einem BigQuery-Dataset, das einem Google Cloud-Projekt Ihrer Wahl zugeordnet ist.
Legen Sie in der GKE On-Prem-Konfigurationsdatei usercluster.usagemetering.bigqueryprojectid auf die ID des Google Cloud-Projekts fest, in dem Sie Nutzungsdaten speichern möchten.
APIs im Projekt zur Nutzungsmessung aktivieren
So aktivieren Sie die erforderlichen APIs in Ihrem Nutzungsmessungsprojekt:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \
bigquery.googleapis.com \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des Nutzungsmessungsprojekts.
Windows
gcloud services enable --project [PROJECT_ID] ^
bigquery.googleapis.com ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des Nutzungsmessungsprojekts.
Den Dienstkonten für das Projekt zur Nutzungsmessung Rollen zuweisen
Ihrem Dienstkonto zur Nutzungsmessung müssen bestimmte Rollen im Projekt zur Nutzungsmessung zugewiesen sein.
Weitere Informationen finden Sie unter Dienstkonto zur Nutzungsmessung.
Verbindungsprojekt
Wenn Sie einen Nutzercluster erstellen, verwendet GKE On-Prem Connect, um den Cluster bei einem Google Cloud-Projekt Ihrer Wahl zu registrieren. Nach der Registrierung des Clusters können Sie ihn mithilfe der Google Cloud Console verwalten.
Connect verwendet ein Deployment namens Connect Agent, um eine Verbindung zwischen Ihrem lokalen GKE-Cluster und Ihrem Google Cloud-Projekt herzustellen.
Legen Sie in der GKE On-Prem-Konfigurationsdatei gkeconnect.projectid auf die ID des Google Cloud-Projekts fest, in dem Ihr Cluster registriert werden soll.
APIs im Verbindungsprojekt aktivieren
So aktivieren Sie die erforderlichen APIs im Verbindungsprojekt:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \
cloudresourcemanager.googleapis.com \
container.googleapis.com \
gkeconnect.googleapis.com \
gkehub.googleapis.com \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des Verbindungsprojekts.
Windows
gcloud services enable --project [PROJECT_ID] ^
cloudresourcemanager.googleapis.com ^
container.googleapis.com ^
gkeconnect.googleapis.com ^
gkehub.googleapis.com ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des Verbindungsprojekts.
Den Dienstkonten für das Verbindungsprojekt Rollen zuweisen
Dem Connect-Register-Dienstkonto und dem Connect-Agent-Dienstkonto müssen bestimmte Rollen im Verbindungsprojekt gewährt werden.
Weitere Informationen finden Sie unter Connect-Register-Dienstkonto und Connect-Agent-Dienstkonto.
Logging-Monitoring-Projekt
Cloud Logging und Cloud Monitoring erfassen Daten aus Ihrem GKE On-Prem-Cluster und stellen sie Google Cloud zur Verfügung. Zum Aufrufen von Logs und Messwerten aus dem Cluster müssen Sie ein verknüpftes Google Cloud-Projekt angeben.
Legen Sie in der GKE On-Prem-Konfigurationsdatei stackdriver.projectid auf die ID des Google Cloud-Projekts fest, das Sie mit Logging und Monitoring verknüpfen möchten.
APIs im Logging-Monitoring-Projekt aktivieren
So aktivieren Sie die erforderlichen APIs im Logging-Monitoring-Projekt:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \
stackdriver.googleapis.com \
monitoring.googleapis.com \
logging.googleapis.com \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des Verbindungsprojekts.
Windows
gcloud services enable --project [PROJECT_ID] ^
stackdriver.googleapis.com ^
monitoring.googleapis.com ^
logging.googleapis.com ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des Verbindungsprojekts.
Den Dienstkonten für das Logging-Monitoring-Projekt Rollen zuweisen
Dem Logging-Monitoring-Dienstkonto müssen bestimmte Rollen im Logging-Monitoring-Projekt zugewiesen sein.
Weitere Informationen finden Sie unter Logging-Monitoring-Dienstkonto.
Audit-Logging-Projekt
Wenn Sie Cloud-Audit-Logs für GKE On-Prem aktivieren, werden die Audit-Logeinträge des Kubernetes API-Servers Ihres Clusters an Google Cloud gesendet. Sie können sich die Audit-Logeinträge in einem Google Cloud-Projekt Ihrer Wahl ansehen.
Legen Sie in der GKE On-Prem-Konfigurationsdatei cloudauditlogging.projectid auf die ID des Google Cloud-Projekts fest, in dem Sie Audit-Logs aufrufen möchten.
APIs im Audit-Logging-Projekt aktivieren
So aktivieren Sie die erforderlichen APIs im Audit-Logging-Projekt:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \
anthosgke.googleapis.com \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.com
[PROJECT_ID] ist die ID des Audit-Logging-Projekts.
Windows
gcloud services enable --project [PROJECT_ID] ^
anthosgke.googleapis.com ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.com
[PROJECT_ID] ist die ID des Audit-Logging-Projekts.
Den Dienstkonten für das Audit-Logging-Projekt Rollen zuweisen
Dem Audit-Logging-Dienstkonto müssen bestimmte Rollen für Ihr Audit-Logging-Projekt zugewiesen werden.
Weitere Informationen finden Sie unter Audit-Logging-Dienstkonto.
Übergeordnetes Projekt Ihres Dienstkontos auf der Zulassungsliste
Sie benötigen ein Anthos-Abo, um GKE On Prem zu installieren. Und wenn Sie ein Anthos-Abo haben, haben Sie Folgendes bereits getan:
Sie haben ein Google Cloud-Projekt erstellt.
In Ihrem Google Cloud-Projekt wurde ein Dienstkonto erstellt und es wurde angeordnet, dass Ihr Dienstkonto auf die Zulassungsliste gesetzt wird. Dieses Dienstkonto wird als Dienstkonto auf der Zulassungsliste bezeichnet.
Das Google Cloud-Projekt, in dem Sie ein Dienstkonto auf der Zulassungsliste erstellt haben, wird als übergeordnetes Element auf der Zulassungsliste bezeichnet. Dieses Projekt kann mit einem Projekt übereinstimmen, das Sie in Ihrer GKE On-Prem-Konfigurationsdatei angeben, oder es kann sich von allen Projekten unterscheiden, die Sie in Ihrer Konfigurationsdatei angeben.
So aktivieren Sie die erforderlichen APIs für das übergeordnete Projekt Ihres Dienstkontos auf der Zulassungsliste:
Linux und macOS
gcloud services enable --project [PROJECT_ID] \
serviceusage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des übergeordneten Projekts des Dienstkontos auf der Zulassungsliste.
Windows
gcloud services enable --project [PROJECT_ID] ^
serviceusage.googleapis.com ^
iam.googleapis.com ^
cloudresourcemanager.googleapis.com
Dabei ist [PROJECT_ID] die ID des übergeordneten Projekts des Dienstkontos auf der Zulassungsliste.
Nächste Schritte
Mehr über Dienstkonten und Schlüssel für GKE On-Prem erfahren