Versão 1.4. Esta versão é totalmente compatível, oferecendo os patches e as atualizações mais recentes para vulnerabilidades de segurança, exposições e problemas que afetam o GKE On-Prem. Consulte as notas da versão para saber mais detalhes. Esta não é a versão mais recente.

Como usar vários projetos do Google Cloud

Nesta página, mostramos como usar projetos separados do Google Cloud para diferentes aspectos dos clusters do Anthos no VMware (GKE no local).

O arquivo de configuração do GKE On-Prem tem vários campos para especificar um ID do projeto do Google Cloud.

...
usercluster:
  usagemetering:
    bigqueryprojectid: ""
...
gkeconnect:
  projectid: ""
...
stackdriver:
  projectid: ""
...
cloudauditlogging:
  projectid: ""

A ideia é ter um projeto para se conectar ao GKE On-Prem, outro para geração de registros e monitoramento e assim por diante.

Não é necessário usar IDs de projeto separados. Por exemplo, é possível usar o mesmo projeto para se conexão e geração de registros. Se quiser, use o mesmo projeto para tudo.

Projeto de medição de uso

Se você ativar a medição de uso do GKE para um cluster de usuário, o GKE On-Prem armazenará dados de uso em um conjunto de dados do BigQuery associado a um projeto do Cloud de sua escolha.

No arquivo de configuração no GKE On-Prem, defina usercluster.usagemetering.bigqueryprojectid como o ID do projeto do Cloud em que serão armazenados os dados de uso.

Como ativar APIs no projeto de medição de uso

Para ativar as APIs necessárias no seu projeto de medição de uso:

Linux e macOS

gcloud services enable --project [PROJECT_ID] \
    bigquery.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

[PROJECT_ID] é o ID do projeto de medição de uso.

Windows

gcloud services enable --project [PROJECT_ID] ^
    bigquery.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

[PROJECT_ID] é o ID do projeto de medição de uso.

Como atribuir papéis a contas de serviço no projeto de medição de uso

Sua conta de serviço de medição de uso precisa receber determinados papéis no projeto de medição de uso.

Para detalhes, consulte a conta de serviço de medição de uso.

Projeto connect

Quando você cria um cluster de usuário, o GKE On-Prem usa o Connect para registrar o cluster em um projeto do Cloud de sua escolha. Depois que o cluster for registrado, você poderá vê-lo e gerenciá-lo neste projeto no Console do Google Cloud.

O Connect usa uma implantação (em inglês) denominada agente do Connect para estabelecer uma conexão entre o cluster do GKE On-Prem e o projeto do Cloud.

No arquivo de configuração local do GKE, defina gkeconnect.projectid como o ID do projeto do Cloud em que você quer visualizar e gerenciar o cluster.

Como ativar APIs no projeto connect

Para ativar as APIs necessárias no projeto connect:

Linux e macOS

gcloud services enable --project [PROJECT_ID] \
    cloudresourcemanager.googleapis.com \
    container.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

[PROJECT_ID] é o ID do projeto connect.

Windows

gcloud services enable --project [PROJECT_ID] ^
    cloudresourcemanager.googleapis.com ^
    container.googleapis.com ^
    gkeconnect.googleapis.com ^
    gkehub.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

[PROJECT_ID] é o ID do projeto connect.

Como atribuir papéis a contas de serviço no projeto connect

A conta de serviço connect-register e a conta de serviço connect-agent precisam receber determinados papéis no projeto connect.

Para detalhes, consulte Conta de serviço connect-register e Conta de serviço connect-agent.

Projeto logging-monitoring

Em um cluster de usuário, os agentes de geração de registros e métricas coletam dados e os disponibilizam no Cloud Logging e no Cloud Monitoring. Para ver registros e métricas do cluster, especifique um projeto do Cloud associado.

No arquivo de configuração do cluster do usuário, defina stackdriver.projectID como o código do projeto do Cloud que você quer associar ao Logging e ao Monitoring. Esse é o projeto em que você verá os registros e as métricas do cluster. É necessário criar um espaço de trabalho do Monitoring neste projeto.

Como ativar APIs no projeto logging-monitoring

Para ativar as APIs necessárias no projeto logging-monitoring:

Linux e macOS

gcloud services enable --project [PROJECT_ID] \
    stackdriver.googleapis.com \
    monitoring.googleapis.com \
    logging.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

[PROJECT_ID] é o ID do projeto logging-monitoring.

Windows

gcloud services enable --project [PROJECT_ID] ^
    stackdriver.googleapis.com ^
    monitoring.googleapis.com ^
    logging.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

[PROJECT_ID] é o ID do projeto logging-monitoring.

Como conceder papéis a contas de serviço no projeto logging-monitoring

Sua conta de serviço logging-monitoring precisa receber determinados papéis no projeto logging-monitoring.

Para detalhes, consulte Conta de serviço logging-monitoring.

Projeto de registro de auditoria

Se você ativar os registros de auditoria do Cloud para o GKE On-Prem, as entradas correspondentes do servidor da API Kubernetes do cluster serão enviadas ao Google Cloud. É possível ver as entradas de registro de auditoria em um projeto do Cloud de sua escolha.

No arquivo de configuração do GKE On-Prem, defina cloudauditlogging.projectid como o ID do projeto do Cloud em que você quer ver os registros de auditoria.

Como ativar APIs no projeto de registro de auditoria

Para ativar as APIs necessárias no projeto de registro de auditoria:

Linux e macOS

gcloud services enable --project [PROJECT_ID] \
    anthosgke.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

[PROJECT_ID] é o ID do projeto de registro de auditoria.

Windows

gcloud services enable --project [PROJECT_ID] ^
    anthosgke.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

[PROJECT_ID] é o ID do projeto de registro de auditoria.

Como conceder papéis a contas de serviço no projeto de registro de auditoria

Sua conta de serviço de registro de auditoria precisa receber determinados papéis do projeto de registro de auditoria.

Para detalhes, consulte Conta de serviço de registro de auditoria.

Projeto pai da sua conta de serviço de acesso a componentes

Para instalar clusters do Anthos no VMware, você precisa ter:

  • criado um projeto do Cloud;

  • No projeto do Cloud, você criou uma conta de serviço que o GKE On-Prem pode usar para fazer o download de componentes do Container Registry. Essa conta é chamada de conta de serviço de acesso a componentes.

  • ativado a API Anthos. A ativação desta API pode gerar cobranças. Para mais informações, consulte o guia de preços;

O projeto do Cloud em que você criou a conta de serviço de acesso conjunto é chamado de pai da conta de serviço de acesso a componentes. Esse projeto pode ser igual a um dos projetos especificados no arquivo de configuração do GKE On-Prem ou pode ser diferente de todos os projetos especificados no arquivo de configuração.

Para ativar as APIs necessárias para o projeto pai da conta de serviço de acesso a componentes:

Linux e macOS

gcloud services enable --project [PROJECT_ID] \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

em que [PROJECT_ID] é o ID do projeto pai da sua conta de serviço de acesso a componentes.

Windows

gcloud services enable --project [PROJECT_ID] ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

em que [PROJECT_ID] é o ID do projeto pai da sua conta de serviço de acesso a componentes.

A seguir

Saiba mais sobre contas de serviço e chaves do GKE On-Prem.