Mehrere Google Cloud-Projekte verwenden

Auf dieser Seite wird erläutert, wie Sie separate Google Cloud-Projekte für verschiedene Aspekte von GKE On-Prem verwenden.

Die GKE On-Prem-Konfigurationsdatei enthält mehrere Felder, in denen Sie eine Google Cloud-Projekt-ID angeben können:

...
usercluster:
  usagemetering:
    bigqueryprojectid: ""
...
gkeconnect:
  projectid: ""
...
stackdriver:
  projectid: ""
...
cloudauditlogging:
  projectid: ""

Die Idee ist, dass Sie ein Projekt für die Verbindung zu GKE On-Prem, ein anderes Projekt für Logging und Monitoring usw. haben können.

Sie müssen keine separaten Projekt-IDs verwenden. Sie können beispielsweise dasselbe Projekt für die Verbindung und für das Logging verwenden. Wenn Sie möchten, können Sie dasselbe Projekt für alles verwenden.

Projekt zur Nutzungsmessung

Wenn Sie die GKE-Nutzungsmessung für einen Nutzercluster aktivieren, speichert GKE On-Prem Nutzungsdaten in einem BigQuery-Dataset, das mit einem Cloud-Projekt Ihrer Wahl verknüpft ist.

Legen Sie in der GKE On-Prem-Konfigurationsdatei usercluster.usagemetering.bigqueryprojectid auf die ID des Cloud-Projekts fest, in dem Sie Nutzungsdaten speichern möchten.

APIs im Projekt zur Nutzungsmessung aktivieren

So aktivieren Sie die erforderlichen APIs in Ihrem Nutzungsmessungsprojekt:

Linux und macOS

gcloud services enable --project [PROJECT_ID] \
    bigquery.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

Dabei ist [PROJECT_ID] die ID des Nutzungsmessungsprojekts.

Windows

gcloud services enable --project [PROJECT_ID] ^
    bigquery.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Dabei ist [PROJECT_ID] die ID des Nutzungsmessungsprojekts.

Den Dienstkonten für das Projekt zur Nutzungsmessung Rollen zuweisen

Ihrem Dienstkonto zur Nutzungsmessung müssen bestimmte Rollen im Projekt zur Nutzungsmessung zugewiesen sein.

Weitere Informationen finden Sie unter Dienstkonto zur Nutzungsmessung.

Verbindungsprojekt

Wenn Sie einen Nutzercluster erstellen, verwendet GKE On-Prem Connect, um den Cluster bei einem Cloud-Projekt Ihrer Wahl zu registrieren. Nach der Registrierung des Clusters können Sie ihn mithilfe der Google Cloud Console verwalten.

Connect verwendet ein Deployment namens Connect Agent, um eine Verbindung zwischen dem GKE On-Prem-Cluster und dem Cloud-Projekt herzustellen.

Legen Sie in der GKE On-Prem-Konfigurationsdatei gkeconnect.projectid auf die ID des Cloud-Projekts fest, in dem Ihr Cluster registriert werden soll.

APIs im Verbindungsprojekt aktivieren

So aktivieren Sie die erforderlichen APIs im Verbindungsprojekt:

Linux und macOS

gcloud services enable --project [PROJECT_ID] \
    cloudresourcemanager.googleapis.com \
    container.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

Dabei ist [PROJECT_ID] die ID des Verbindungsprojekts.

Windows

gcloud services enable --project [PROJECT_ID] ^
    cloudresourcemanager.googleapis.com ^
    container.googleapis.com ^
    gkeconnect.googleapis.com ^
    gkehub.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Dabei ist [PROJECT_ID] die ID des Verbindungsprojekts.

Den Dienstkonten für das Verbindungsprojekt Rollen zuweisen

Dem Connect-Register-Dienstkonto und dem Connect-Agent-Dienstkonto müssen bestimmte Rollen im Verbindungsprojekt gewährt werden.

Weitere Informationen finden Sie unter Connect-Register-Dienstkonto und Connect-Agent-Dienstkonto.

Logging-Monitoring-Projekt

Cloud Logging und Cloud Monitoring erfassen Daten aus Ihrem GKE On-Prem-Cluster und stellen sie Google Cloud zur Verfügung. Zum Aufrufen von Logs und Messwerten aus Ihrem Cluster müssen Sie ein verknüpftes Cloud-Projekt angeben.

Legen Sie in der GKE On-Prem-Konfigurationsdatei stackdriver.projectid auf die ID des Cloud-Projekts fest, das Sie mit Logging und Monitoring verknüpfen möchten.

APIs im Logging-Monitoring-Projekt aktivieren

So aktivieren Sie die erforderlichen APIs im Logging-Monitoring-Projekt:

Linux und macOS

gcloud services enable --project [PROJECT_ID] \
    stackdriver.googleapis.com \
    monitoring.googleapis.com \
    logging.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

Dabei ist [PROJECT_ID] die ID des Verbindungsprojekts.

Windows

gcloud services enable --project [PROJECT_ID] ^
    stackdriver.googleapis.com ^
    monitoring.googleapis.com ^
    logging.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Dabei ist [PROJECT_ID] die ID des Verbindungsprojekts.

Den Dienstkonten für das Logging-Monitoring-Projekt Rollen zuweisen

Dem Logging-Monitoring-Dienstkonto müssen bestimmte Rollen im Logging-Monitoring-Projekt zugewiesen sein.

Weitere Informationen finden Sie unter Logging-Monitoring-Dienstkonto.

Audit-Logging-Projekt

Wenn Sie Cloud-Audit-Logs für GKE On-Prem aktivieren, werden die Audit-Logeinträge des Kubernetes API-Servers Ihres Clusters an Google Cloud gesendet. Sie können die Audit-Logeinträge in einem Cloud-Projekt Ihrer Wahl aufrufen.

Legen Sie in der GKE On-Prem-Konfigurationsdatei cloudauditlogging.projectid auf die ID des Cloud-Projekts fest, in dem Sie Audit-Logs aufrufen möchten.

APIs im Audit-Logging-Projekt aktivieren

So aktivieren Sie die erforderlichen APIs im Audit-Logging-Projekt:

Linux und macOS

gcloud services enable --project [PROJECT_ID] \
    anthosgke.googleapis.com \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

[PROJECT_ID] ist die ID des Audit-Logging-Projekts.

Windows

gcloud services enable --project [PROJECT_ID] ^
    anthosgke.googleapis.com ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

[PROJECT_ID] ist die ID des Audit-Logging-Projekts.

Den Dienstkonten für das Audit-Logging-Projekt Rollen zuweisen

Dem Audit-Logging-Dienstkonto müssen bestimmte Rollen für Ihr Audit-Logging-Projekt zugewiesen werden.

Weitere Informationen finden Sie unter Audit-Logging-Dienstkonto.

Übergeordnetes Projekt des Dienstkontos für Komponentenzugriff

Zum Installieren von GKE On-Prem müssen Sie bereits Folgendes getan haben:

  • Sie haben ein Cloud-Projekt erstellt.

  • In Ihrem Cloud-Projekt ein Dienstkonto erstellt haben, das GKE On-Prem verwenden kann, um Komponenten aus Container Registry herunterzuladen. Dieses Dienstkonto wird als Dienstkonto für den Komponentenzugriff bezeichnet.

  • Sie haben die Anthos API aktiviert. Das Aktivieren dieser API kann Kosten verursachen. Weitere Informationen finden Sie in der Preisübersicht.

Das Cloud-Projekt, in dem Sie das Dienstkonto für den Komponentenzugriff erstellt haben, wird als übergeordnetes Element des Dienstkontos für den Komponentenzugriff bezeichnet. Dieses Projekt kann eines der Projekte sein, die Sie in der GKE On-Prem-Konfigurationsdatei angegeben haben, oder es kann ein anderes Projekt als die in der Konfigurationsdatei angegebenen Projekte sein.

So aktivieren Sie die erforderlichen APIs für das übergeordnete Projekt des Komponentenzugriffs-Dienstkontos:

Linux und macOS

gcloud services enable --project [PROJECT_ID] \
    serviceusage.googleapis.com \
    iam.googleapis.com \
    cloudresourcemanager.googleapis.com

Dabei ist [PROJECT_ID] die ID des übergeordneten Projekts Ihres Dienstkontos für den Komponentenzugriff.

Windows

gcloud services enable --project [PROJECT_ID] ^
    serviceusage.googleapis.com ^
    iam.googleapis.com ^
    cloudresourcemanager.googleapis.com

Dabei ist [PROJECT_ID] die ID des übergeordneten Projekts Ihres Dienstkontos für den Komponentenzugriff.

Nächste Schritte

Mehr über Dienstkonten und Schlüssel für GKE On-Prem erfahren