Bevor Sie Aufgaben auf virtuellen Maschinen (VMs) in einer GDC-Appliance (Google Distributed Cloud) mit Air Gap ausführen, benötigen Sie die entsprechenden IAM-Rollen (Identity and Access Management) und -Berechtigungen.
Die GDC-Air-Gap-Appliance bietet Identity and Access Management (IAM) für den detaillierten Zugriff auf bestimmte GDC-Air-Gap-Appliance-Ressourcen und verhindert unerwünschten Zugriff auf andere Ressourcen. IAM basiert auf dem Sicherheitsprinzip der geringsten Berechtigung und bietet Kontrolle darüber, wer (Identität) welche Berechtigungen (Rollen) für welche Ressourcen hat. Sie benötigen die erforderlichen Rollen und Berechtigungen, bevor Sie mit virtuellen Maschinen (VMs) arbeiten können.
Hinweise
Wenn Sie gdcloud-CLI-Befehle verwenden möchten, führen Sie die erforderlichen Schritte aus den Abschnitten zur gdcloud-Befehlszeile aus. Für alle Befehle für die Google Distributed Cloud Air-Gapped Appliance wird die CLI gdcloud
oder kubectl
verwendet und es ist eine Betriebssystemumgebung (OS) erforderlich.
kubeconfig-Dateipfade abrufen
Führen Sie
gdcloud auth login
auf dem Management API-Server aus.Notieren Sie sich den Pfad zur generierten Datei. Hier ein Beispiel für den Pfad zum Datensatz:
/tmp/admin-kubeconfig-with-user-identity.yaml
.Verwenden Sie den Pfad, um
MANAGEMENT_API_SERVER
in dieser Anleitung zu ersetzen.
Informationen zu IAM
Die GDC-Air-Gap-Appliance bietet Identity and Access Management (IAM) für den detaillierten Zugriff auf bestimmte GDC-Air-Gap-Appliance-Ressourcen und verhindert unerwünschten Zugriff auf andere Ressourcen. IAM basiert auf dem Sicherheitsprinzip der geringsten Berechtigung und bietet mithilfe von IAM-Rollen und ‑Berechtigungen die Möglichkeit, zu steuern, wer die Berechtigung für bestimmte Ressourcen hat.
Lesen Sie die IAM-Dokumentation unter Anmelden. Dort finden Sie eine Anleitung zum Anmelden in der GDC Console oder der gdcloud CLI und zum Verwenden von kubectl
für den Zugriff auf Ihre Arbeitslasten.
Vordefinierte Rollen für VM-Ressourcen
Wenn Sie VMs und VM-Laufwerke in einem Projekt erstellen möchten, fordern Sie die entsprechenden Berechtigungen für das jeweilige Projekt von Ihrem Projekt-IAM-Administrator an. Um virtuelle Maschinen zu verwalten, kann Ihr Projekt-IAM-Administrator Ihnen die folgenden vordefinierten Rollen zuweisen:
- Project VirtualMachine Admin: Verwaltet VMs im Projekt-Namespace.
- Project VirtualMachine Image Admin: Verwaltet VM-Images im Projekt-Namespace.
Eine Liste aller vordefinierten Rollen für Anwendungsoperatoren (AO) finden Sie unter Rollenbeschreibungen.
Im Folgenden finden Sie vordefinierte allgemeine Rollen für VMs. Weitere Informationen zu gängigen Rollen finden Sie unter Gängige Rollen.
- VM-Typ-Betrachter: Hat Lesezugriff auf vordefinierte VM-Typen.
- Public Image Viewer: Hat Lesezugriff auf Bilder, die von der GDC-Appliance mit Air Gap bereitgestellt werden.
Informationen zum Gewähren oder Erhalten des Zugriffs auf VM-Ressourcen finden Sie unter Zugriff auf Projektressourcen gewähren.
Nutzerzugriff auf VM-Ressourcen bestätigen
Melden Sie sich als der Nutzer an, der Berechtigungen anfordert oder bestätigt.
Prüfen Sie, ob Sie oder der Nutzer virtuelle Maschinen erstellen können:
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
Ersetzen Sie die Variablen durch die folgenden Definitionen.
Variable Ersetzen MANAGEMENT_API_SERVER
Der Management API-Serverpfad kubeconfig
ausgdcloud auth login
PROJECT
beim Erstellen von VM-Images Wenn die Ausgabe
yes
lautet, haben Sie die Berechtigung, eine VM im ProjektPROJECT
zu erstellen.
Wenn die Ausgabeno
ist, haben Sie keine Berechtigungen. Wenden Sie sich an Ihren Projekt-IAM-Administrator und bitten Sie ihn, Ihnen die Rolle „Projekt-VM-Administrator“ (project-vm-admin
) zuzuweisen.Optional: Prüfen Sie, ob Nutzer Zugriff auf VM-Images auf Projektebene haben und ob sie
VirtualMachineImage
-Ressourcen auf Projektebene erstellen und verwenden können:kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
Ersetzen Sie die Variablen durch die folgenden Definitionen.
Variable Ersetzen MANAGEMENT_API_SERVER
Der kubeconfig
-Pfad des Management API-ServersPROJECT
Der Projektname, in dem VM-Images erstellt werden - Wenn die Ausgabe
yes
ist, hat der Nutzer die Berechtigungen für den Zugriff auf benutzerdefinierte VM-Images im Projekt PROJECT. - Wenn die Ausgabe
no
ist, haben Sie keine Berechtigungen. Wenden Sie sich an Ihren Projekt-IAM-Administrator und bitten Sie ihn, Ihnen die Rolle „Projekt-VM-Image-Administrator“ (project-vm-image-admin
) zuzuweisen.
- Wenn die Ausgabe