Sie betrachten die Dokumentation für eine frühere Version von GKE On-Prem. Sehen Sie sich die aktuelle Dokumentation an.

Dienstkonten und Schlüssel erstellen

Auf dieser Seite erfahren Sie, wie Sie die Google Cloud-Dienstkonten und -Schlüssel erstellen, die Sie zum Installieren von GKE On-Prem benötigen.

SSH-Verbindung zur Administrator-Workstation herstellen

Stellen Sie eine SSH-Verbindung zu Ihrer Administrator-Workstation her:

ssh -i ~/.ssh/vsphere_workstation ubuntu@[IP_ADDRESS]

Dabei ist [IP_ADDRESS] die IP-Adresse der Administrator-Workstation.

Führen Sie alle verbleibenden Schritte in diesem Thema auf Ihrer Administrator-Workstation aus.

Anmeldung

Melden Sie sich mit Ihren Kontoanmeldedaten in Google Cloud an:

gcloud auth login

Übersicht über Dienstkonten

Bevor Sie GKE On-Prem installieren, müssen Sie in Ihrem Google Cloud-Projekt vier Dienstkonten erstellen. Außerdem müssen Sie für jedes Dienstkonto einen JSON-Schlüssel erstellen. Dies sind die Dienstkonten, die Sie benötigen:

  • Dienstkonto auf der Zulassungsliste
  • Connect-Dienstkonto
  • Dienstkonto registrieren
  • Dienstkonto der Operations-Suite von Google Cloud

Listen Sie Ihre Dienstkonten auf:

gcloud iam service-accounts list

Die Ausgabe zeigt die E-Mail-Adressen Ihrer Dienstkonten:

whitelisted-service-account@my-gcp-project.iam.gserviceaccount.com
some-other-service-account@my-gcp-project.iam.gserviceaccount.com
...

Notieren Sie sich die E-Mail-Adressen der einzelnen Konten.

Dienstkonto auf der Zulassungsliste

Sie haben bereits ein Dienstkonto auf der Zulassungsliste.

Erstellen Sie einen Schlüssel für das Dienstkonto auf der Zulassungsliste:

gcloud iam service-accounts keys create whitelisted-key.json \
   --iam-account [ALLOWLISTED_SERVICE_ACCOUNT_EMAIL]

Dabei ist [ALLOWLISTED_SERVICE_ACCOUNT_EMAIL] die E-Mail-Adresse Ihres Dienstkontos auf der Zulassungsliste.

Connect-Dienstkonto

Connect nutzt dieses Dienstkonto, um eine dauerhafte Verbindung zwischen GKE On-Prem und Google Cloud herzustellen.

Erstellen Sie das Connect-Dienstkonto:

gcloud iam service-accounts create connect-service-account

Erstellen Sie einen Schlüssel für das Connect-Dienstkonto:

gcloud iam service-accounts keys create connect-key.json \
   --iam-account [Connect_SERVICE_ACCOUNT_EMAIL]

Dabei ist [Connect_SERVICE_ACCOUNT_EMAIL] die E-Mail-Adresse des Connect-Dienstkontos.

Dienstkonto registrieren

Connect verwendet dieses Dienstkonto, um Ihre GKE On-Prem-Cluster bei der Google Cloud Console zu registrieren.

Erstellen Sie das Registrierungsdienstkonto:

gcloud iam service-accounts create register-service-account

Erstellen Sie einen Schlüssel für das Registrierungsdienstkonto:

gcloud iam service-accounts keys create register-key.json \
   --iam-account [REGISTER_SERVICE_ACCOUNT_EMAIL]

Dabei ist [REGISTER_SERVICE_ACCOUNT_EMAIL] die E-Mail-Adresse des Registrierungsdienstkontos.

Dienstkonto der Operations-Suite von Google Cloud

Connect verwendet dieses Dienstkonto, um Clusterlogs über Ihr GCP-Projekt aus Clustern in Stackdriver zu exportieren.

Erstellen Sie das Dienstkonto der Operations-Suite von Google Cloud:

gcloud iam service-accounts create stackdriver-service-account

Erstellen Sie einen Schlüssel für das Dienstkonto der Operations-Suite von Google Cloud:

gcloud iam service-accounts keys create stackdriver-key.json \
   --iam-account [Google Cloud's operations suite_SERVICE_ACCOUNT_EMAIL]

Dabei ist [Google Cloud's operations suite_SERVICE_ACCOUNT_EMAIL] die E-Mail-Adresse des Dienstkontos der Operations-Suite von Google Cloud.

Sie haben jetzt vier Dienstkonten in Ihrem Google Cloud-Projekt und einen JSON-Schlüssel für jedes Dienstkonto auf Ihrer Administratorworkstation erstellt.

Cloud Identity and Access Management-Rollen den Dienstkonten zuweisen

Jedes Ihrer Dienstkonten muss bestimmte IAM-Rollen haben. Es empfiehlt sich, jedem Dienstkonto die erforderlichen Mindestrollen zuzuweisen.

Listen Sie zuerst die Dienstkonten in Ihrem Google Cloud-Projekt auf:

gcloud iam service-accounts list

Die Ausgabe zeigt die E-Mail-Adressen Ihrer Dienstkonten:

whitelisted-service-account@my-gcp-project.iam.gserviceaccount.com
register-service-account@my-gcp-project.iam.gserviceaccount.com
connect-service-account@my-gcp-project.iam.gserviceaccount.com
stackdriver-service-account@my-gcp-project.iam.gserviceaccount.com

Notieren Sie sich die E-Mail-Adressen der einzelnen Konten. Geben Sie für jeden der folgenden Abschnitte die E-Mail-Adresse des entsprechenden Kontos an.

Dienstkonto registrieren

Weisen Sie dem Dienstkonto für Registrierung die Rollen gkehub.admin und serviceuseage.serviceUsageViewer zu:

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL]" \
--role "roles/gkehub.admin"
gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL]" \
--role "roles/serviceusage.serviceUsageViewer"

Dienstkonto verbinden

Weisen Sie dem Connect-Dienstkonto die Rolle gkehub.connect zu:

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[Connect_SERVICE_ACCOUNT_EMAIL]" \
--role "roles/gkehub.connect"

Dienstkonto der Operations-Suite von Google Cloud

Weisen Sie dem Dienstkonto der Operations-Suite von Google Cloud die Rollen stackdriver.resourceMetadata.writer, logging.logWriter und monitoring.metricWriter zu:

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[Google Cloud's operations suite_SERVICE_ACCOUNT_EMAIL]" \
--role "roles/stackdriver.resourceMetadata.writer"
gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[Google Cloud's operations suite_SERVICE_ACCOUNT_EMAIL]" \
--role "roles/logging.logWriter"
gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[Google Cloud's operations suite_SERVICE_ACCOUNT_EMAIL]" \
--role "roles/monitoring.metricWriter"