Prima di eseguire attività sulle macchine virtuali (VM) nell'appliance air-gap di Google Distributed Cloud (GDC), devi disporre dei ruoli e delle autorizzazioni di Identity and Access Management (IAM) corretti.
L'appliance air-gap GDC offre Identity and Access Management (IAM) per l'accesso granulare a risorse specifiche dell'appliance air-gap GDC e impedisce l'accesso indesiderato ad altre risorse. IAM si basa sul principio di sicurezza del privilegio minimo e fornisce il controllo su chi, o identità, ha quali autorizzazioni, o ruoli, e a quali risorse. Prima di poter utilizzare le macchine virtuali (VM), devi disporre dei ruoli e delle autorizzazioni necessari.
Prima di iniziare
Per utilizzare i comandi gcloud CLI, completa i passaggi richiesti nelle sezioni
Interfaccia a riga di comando (CLI) gcloud. Tutti i comandi per l'appliance isolata di Google Distributed Cloud utilizzano la CLI gdcloud
o kubectl
e richiedono un ambiente del sistema operativo.
Recupera i percorsi dei file kubeconfig
Esegui
gdcloud auth login
sul server dell'API Management.Registra il percorso del file generato. Di seguito è riportato un esempio di percorso del record:
/tmp/admin-kubeconfig-with-user-identity.yaml
.Utilizza il percorso per sostituire
MANAGEMENT_API_SERVER
in queste istruzioni.
Informazioni su IAM
L'appliance air-gap GDC offre Identity and Access Management (IAM) per l'accesso granulare a risorse specifiche dell'appliance air-gap GDC e impedisce l'accesso indesiderato ad altre risorse. IAM opera in base al principio di sicurezza del privilegio minimo e fornisce il controllo su chi ha l'autorizzazione per determinate risorse utilizzando ruoli e autorizzazioni IAM.
Leggi la documentazione IAM in
Accedi, che fornisce
istruzioni per accedere alla console GDC o a
gcloud CLI e utilizzare kubectl
per accedere ai tuoi carichi di lavoro.
Ruoli predefiniti per le risorse VM
Per creare VM e dischi VM in un progetto, richiedi le autorizzazioni appropriate all'amministratore IAM progetto per un determinato progetto. Per gestire le macchine virtuali, l'amministratore IAM del progetto può assegnarti i seguenti ruoli predefiniti:
- Amministratore VirtualMachine progetto: gestisce le VM nello spazio dei nomi del progetto.
- Amministratore immagini macchina virtuale progetto: gestisce le immagini VM nello spazio dei nomi del progetto.
Per un elenco di tutti i ruoli predefiniti per gli operatori delle applicazioni (AO), consulta Descrizioni dei ruoli.
Di seguito sono riportati i ruoli comuni predefiniti per le VM. Per informazioni dettagliate sui ruoli comuni, vedi Ruoli comuni.
- Visualizzatore tipi di VM: dispone dell'accesso in lettura ai tipi di VM predefiniti.
- Visualizzatore di immagini pubbliche: dispone dell'accesso in lettura alle immagini fornite dall'appliance GDC con air gap.
Per concedere o ricevere l'accesso alle risorse VM, consulta Concedere l'accesso alle risorse del progetto.
Verificare l'accesso degli utenti alle risorse VM
Accedi come utente che richiede o verifica le autorizzazioni.
Verifica se tu o l'utente potete creare macchine virtuali:
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
Sostituisci le variabili utilizzando le seguenti definizioni.
Variabile Sostituzione MANAGEMENT_API_SERVER
Il percorso del server API Management kubeconfig
dagdcloud auth login
PROJECT
per creare immagini VM Se l'output è
yes
, hai le autorizzazioni per creare una VM nel progettoPROJECT
.
Se l'output èno
, non disponi delle autorizzazioni. Contatta l'amministratore IAM del progetto e richiedi l'assegnazione al ruolo Amministratore VirtualMachine del progetto (project-vm-admin
).(Facoltativo) Verifica se gli utenti hanno accesso alle immagini VM a livello di progetto e se possono creare e utilizzare risorse
VirtualMachineImage
a livello di progetto:kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
Sostituisci le variabili utilizzando le seguenti definizioni.
Variabile Sostituzione MANAGEMENT_API_SERVER
Il percorso del server API Management kubeconfig
PROJECT
Il nome del progetto in cui vengono create le immagini VM - Se l'output è
yes
, l'utente dispone delle autorizzazioni per accedere alle immagini VM personalizzate nel progetto PROJECT. - Se l'output è
no
, non disponi delle autorizzazioni. Contatta il tuo ruolo IAM Admin del progetto e richiedi l'assegnazione al ruolo Project VirtualMachine Image Admin (project-vm-image-admin
).
- Se l'output è