IAM 권한 준비

Google Distributed Cloud (GDC) 오프라인에서 가상 머신 (VM) 작업을 실행하려면 적절한 ID 및 액세스(IAM) 역할과 권한이 있어야 합니다.

시작하기 전에

gdcloud CLI 명령어를 사용하려면 gdcloud 명령줄 인터페이스 (CLI) 섹션의 필수 단계를 완료하세요. Google Distributed Cloud 에어 갭의 모든 명령어는 gdcloud 또는 kubectl CLI를 사용하며 운영체제 (OS) 환경이 필요합니다.

kubeconfig 파일 경로 가져오기

관리 API 서버에 대해 명령어를 실행하려면 다음 리소스가 있어야 합니다.

  1. 관리 API 서버의 kubeconfig 파일이 없는 경우 로그인 및 생성합니다.

  2. 관리 API 서버의 kubeconfig 파일 경로를 사용하여 이 안내의 MANAGEMENT_API_SERVER를 바꿉니다.

IAM 정보

Distributed Cloud는 특정 Distributed Cloud 리소스에 대한 세분화된 액세스를 위한 Identity and Access Management (IAM)를 제공하고 다른 리소스에 대한 무단 액세스를 방지합니다. IAM은 최소 권한의 보안 원칙에 따라 작동하며 IAM 역할과 권한을 사용하여 특정 리소스에 대한 권한이 있는 사용자를 제어합니다.

로그인의 IAM 문서를 읽어보세요. 여기에는 GDC 콘솔 또는 gdcloud CLI에 로그인하고 kubectl를 사용하여 워크로드에 액세스하는 방법이 설명되어 있습니다.

VM 리소스에 대한 사전 정의된 역할

프로젝트에서 VM과 VM 디스크를 만들려면 특정 프로젝트의 프로젝트 IAM 관리자에게 적절한 권한을 요청하세요. 모든 VM 역할은 VM이 상주하는 프로젝트의 네임스페이스에 바인드되어야 합니다. 가상 머신을 관리하려면 프로젝트 IAM 관리자가 다음 사전 정의된 역할을 할당해야 합니다.

  • 프로젝트 VirtualMachine 관리자 project-vm-admin: 프로젝트 네임스페이스의 VM을 관리합니다.
  • 프로젝트 VirtualMachine 이미지 관리자 project-vm-image-admin: 프로젝트 네임스페이스의 VM 이미지를 관리합니다.

애플리케이션 운영자 (AO)의 사전 정의된 역할 목록은 역할 설명을 참고하세요.

다음은 VM의 사전 정의된 일반적인 역할입니다. 일반적인 역할에 대한 자세한 내용은 일반적인 역할을 참고하세요.

  • VM 유형 뷰어 vm-type-viewer: 사전 정의된 VM 유형에 대한 읽기 액세스 권한이 있습니다.
  • 공개 이미지 뷰어 public-image-viewer: GDC에서 제공하는 이미지에 대한 읽기 액세스 권한이 있습니다.

VM 리소스에 대한 액세스 권한을 부여하거나 받으려면 프로젝트 리소스에 대한 액세스 권한 부여를 참고하세요.

VM 리소스에 대한 사용자 액세스 권한 확인

  1. 권한을 요청하거나 확인하는 사용자로 로그인합니다.

  2. 본인 또는 사용자가 가상 머신을 만들 수 있는지 확인합니다.

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
    

    다음 정의를 사용하여 변수를 바꿉니다.

    변수 대체
    MANAGEMENT_API_SERVER gdcloud auth login의 시스템 kubeconfig 파일입니다.
    PROJECT VM 이미지를 만들 프로젝트 이름입니다.
    • 출력이 yes이면 프로젝트 PROJECT에서 VM을 만들 권한이 있습니다.
    • 출력이 no이면 권한이 없는 것입니다. 프로젝트 IAM 관리자에게 문의하여 VM이 있는 프로젝트의 네임스페이스에서 프로젝트 VirtualMachine 관리자(project-vm-admin) 역할에 할당해 달라고 요청하세요.
  3. 선택사항: 사용자에게 프로젝트 수준 VM 이미지에 대한 액세스 권한이 있는지 확인합니다. 예를 들어 다음 명령어를 실행하여 프로젝트 수준에서 VirtualMachineImage 리소스를 만들고 사용할 수 있는지 확인합니다.

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
    
    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
    

    다음 정의를 사용하여 변수를 바꿉니다.

    변수 대체
    MANAGEMENT_API_SERVER 관리 API 서버 kubeconfig 파일입니다.
    PROJECT VM 이미지가 생성되는 프로젝트 이름입니다.
    • 출력이 yes이면 사용자에게 PROJECT 프로젝트의 커스텀 VM 이미지에 액세스할 권한이 있습니다.
    • 출력이 no이면 권한이 없는 것입니다. 프로젝트 IAM 관리자 역할에 문의하여 VM이 있는 프로젝트의 네임스페이스에서 프로젝트 VirtualMachine 이미지 관리자 (project-vm-image-admin) 역할에 할당해 달라고 요청하세요.