Version 1.4. Cette version est entièrement compatible avec les derniers correctifs et mises à jour pour corriger les failles et les risques de sécurité ainsi que les problèmes affectant GKE On-Prem. Reportez-vous aux notes de version pour plus de détails. Il ne s'agit pas de la version la plus récente.

Utiliser plusieurs projets Google Cloud

Cette page explique comment utiliser des projets Google Cloud distincts pour différents aspects d'Anthos clusters on VMware (GKE On-Prem).

Le fichier de configuration GKE On-Prem comporte plusieurs champs dans lesquels vous pouvez spécifier un ID de projet Google Cloud.

...
usercluster:
  usagemetering:
    bigqueryprojectid: ""
...
gkeconnect:
  projectid: ""
...
stackdriver:
  projectid: ""
...
cloudauditlogging:
  projectid: ""

L'idée est de pouvoir disposer d'un projet dédié à la connexion à GKE On-Prem, d'un autre dédié à la journalisation et la surveillance, etc.

Toutefois, vous n'avez pas besoin d'utiliser des ID de projet distincts. Vous pouvez, par exemple, utiliser le même projet pour la connexion et la journalisation. Si vous le souhaitez, vous pouvez très bien utiliser le même projet pour différentes fonctionnalités.

Projet de mesure de l'utilisation

Si vous activez la mesure de l'utilisation de GKE pour un cluster d'utilisateur, GKE On-Prem stocke les données d'utilisation dans un ensemble de données BigQuery associé au projet Cloud de votre choix.

Dans votre fichier de configuration GKE On-Prem, définissez usercluster.usagemetering.bigqueryprojectid sur l'ID du projet Cloud dans lequel vous souhaitez stocker les données d'utilisation.

Activer des API dans votre projet de mesure de l'utilisation

Pour activer les API requises dans votre projet de mesure de l'utilisation :

Linux et macOS

gcloud services enable --project [PROJECT_ID] \
    bigquery.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

[PROJECT_ID] correspond à l'ID de votre projet de mesure de l'utilisation.

Windows

gcloud services enable --project [PROJECT_ID] ^
    bigquery.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

[PROJECT_ID] correspond à l'ID de votre projet de mesure de l'utilisation.

Attribuer des rôles aux comptes de service sur votre projet de mesure de l'utilisation

Votre compte de service de mesure de l'utilisation doit disposer de certains rôles sur votre projet de mesure de l'utilisation.

Pour en savoir plus, consultez la section Compte de service de mesure de l'utilisation.

Projet Connect

Lorsque vous créez un cluster d'utilisateur, GKE On-Prem utilise Connect pour enregistrer le cluster avec le projet Cloud de votre choix. Une fois le cluster enregistré, vous pouvez l'afficher et le gérer dans ce projet dans Google Cloud Console.

Connect utilise un déploiement appelé agent Connect pour établir une connexion entre votre cluster GKE On-Prem et votre projet Cloud.

Dans le fichier de configuration GKE On-Prem, définissez gkeconnect.projectid sur l'ID du projet Cloud dans lequel vous souhaitez afficher et gérer le cluster.

Activer des API dans votre projet Connect

Pour activer les API requises dans votre projet Connect :

Linux et macOS

gcloud services enable --project [PROJECT_ID] \
    cloudresourcemanager.googleapis.com \
    container.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

[PROJECT_ID] correspond à l'ID de votre projet Connect.

Windows

gcloud services enable --project [PROJECT_ID] ^
    cloudresourcemanager.googleapis.com ^
    container.googleapis.com ^
    gkeconnect.googleapis.com ^
    gkehub.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

[PROJECT_ID] correspond à l'ID de votre projet Connect.

Attribuer des rôles aux comptes de service sur votre projet Connect

Votre compte de service connect-register et votre compte de service connect-agent doivent disposer de certains rôles sur votre projet Connect.

Pour en savoir plus, consultez les pages Compte de service connect-register et Compte de service connect-agent.

Projet de journalisation et de surveillance

Dans un cluster d'utilisateur, les agents de journalisation et de métriques collectent des données et les mettent à la disposition de Cloud Logging et Cloud Monitoring. Pour afficher les journaux et les métriques de votre cluster, vous devez spécifier un projet Cloud associé.

Dans le fichier de configuration de votre cluster utilisateur, définissez stackdriver.projectID sur l'ID du projet Cloud que vous souhaitez associer à la journalisation et à la surveillance. Il s'agit du projet dans lequel vous allez afficher les journaux et les métriques du cluster. Vous devez créer un espace de travail Monitoring dans ce projet.

Activer des API dans votre projet de journalisation et de surveillance

Pour activer les API requises dans votre projet de journalisation et de surveillance :

Linux et macOS

gcloud services enable --project [PROJECT_ID] \
    stackdriver.googleapis.com \
    monitoring.googleapis.com \
    logging.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

[PROJECT_ID] est l'ID de votre projet de journalisation et de surveillance.

Windows

gcloud services enable --project [PROJECT_ID] ^
    stackdriver.googleapis.com ^
    monitoring.googleapis.com ^
    logging.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

[PROJECT_ID] est l'ID de votre projet de journalisation et de surveillance.

Attribuer des rôles aux comptes de service de votre projet de journalisation et de surveillance

Vous devez attribuer certains rôles à votre compte de service de journalisation et de surveillance sur votre projet de journalisation et de surveillance.

Pour en savoir plus, consultez la section Compte de service de journalisation et de surveillance.

Projet de journalisation d'audit

Si vous activez les journaux d'audit Cloud pour GKE On-Prem, les entrées du journal d'audit du serveur d'API Kubernetes de votre cluster sont envoyées à Google Cloud. Vous pouvez consulter les entrées du journal d'audit dans le projet Cloud de votre choix.

Dans le fichier de configuration GKE On-Prem, définissez cloudauditlogging.projectid sur l'ID du projet Cloud dans lequel vous souhaitez consulter les journaux d'audit.

Activer des API dans votre projet de journalisation d'audit

Pour activer les API requises dans votre projet de journalisation d'audit :

Linux et macOS

gcloud services enable --project [PROJECT_ID] \
    anthosgke.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

[PROJECT_ID] correspond à l'ID de votre projet de journalisation d'audit.

Windows

gcloud services enable --project [PROJECT_ID] ^
    anthosgke.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

[PROJECT_ID] correspond à l'ID de votre projet de journalisation d'audit.

Attribuer des rôles aux comptes de service sur votre projet de journalisation d'audit

Votre compte de service de journalisation d'audit doit disposer de certains rôles sur votre projet de journalisation d'audit.

Pour en savoir plus, consulter la section Compte de service de journalisation d'audit.

Projet parent de votre compte de service d'accès au composant

Pour installer Anthos clusters on VMware, vous devez disposer des éléments suivants :

  • Création d'un projet Cloud.

  • Dans votre projet Cloud, vous avez créé un compte de service que GKE On-Prem peut utiliser pour télécharger des composants à partir de Container Registry. Ce compte de service est appelé compte de service d'accès au composant.

  • Activation de l'API Anthos. L'activation de cette API peut entraîner des frais. Pour en savoir plus, consultez le guide des tarifs.

Le projet Cloud dans lequel vous avez créé votre compte de service d'accès au composant est appelé le parent de votre compte de service d'accès au composant. Ce projet peut être l'un des projets que vous spécifiez dans votre fichier de configuration de GKE On-Prem ou bien un projet différent.

Pour activer les API requises pour le projet parent de votre compte de service d'accès au composant, procédez comme suit :

Linux et macOS

gcloud services enable --project [PROJECT_ID] \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

[PROJECT_ID] correspond à l'ID du projet parent de votre compte de service d'accès au composant.

Windows

gcloud services enable --project [PROJECT_ID] ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

[PROJECT_ID] correspond à l'ID du projet parent de votre compte de service d'accès au composant.

Étape suivante

Découvrez les comptes de service et les clés pour GKE On-Prem.