Compartilhar snapshots do GKE Enterprise com o Suporte do Google

Se você tiver um problema com clusters registrados fora do Google Cloud que não possa resolver, talvez seja necessário criar um snapshot do cluster e compartilhá-lo com a equipe. Esta página explica como compartilhar essas informações com o Suporte do Google Cloud.

Permitir que o Suporte do Google Cloud visualize o snapshot do cluster enviado

Em alguns casos de suporte, pode ser necessário enviar um snapshot do cluster afetado para a equipe de suporte do Google Cloud. Em vez de enviá-lo por e-mail, você pode fazer upload do arquivo em um bucket do Cloud Storage e compartilhar o acesso ao bucket com a equipe. Para conceder acesso a um bucket de armazenamento, consulte as permissões necessárias especificadas em Permissões de gerenciamento de identidade e acesso para comandos gcloud storage.

Criar snapshot do cluster

O processo para criar um snapshot depende do tipo de cluster:

  • GKE na AWS (geração anterior): siga as instruções em Criar um snapshot
  • Implantações do Google Distributed Cloud no VMware: siga as instruções em Fazer upload de snapshots para um bucket do Cloud Storage para criar um snapshot do cluster e fazer upload dele em um bucket do Cloud Storage. Anote o local do snapshot na saída.
  • Implantações do Google Distributed Cloud em bare metal: siga as instruções em Como criar um snapshot padrão para criar um snapshot do cluster e fazer upload dele em um bucket do Cloud Storage. Estas instruções também mostram como conceder acesso ao Suporte do Google Cloud ao bucket.
  • Clusters anexados: use este script como referência para criar um snapshot.

Criar uma conta de serviço do Google Cloud.

Crie uma conta de serviço dedicada do Google Cloud para uso da equipe de suporte. Para isso, execute o seguinte comando:

gcloud services enable connectgateway.googleapis.com --project=PROJECT_ID
gcloud beta services identity create --service=connectgateway.googleapis.com --project=PROJECT_ID

Em que:

  • PROJECT_ID é o ID do projeto do bucket de armazenamento do snapshot do cluster.

Compartilhar acesso com o Suporte do Google Cloud

Conceda acesso somente leitura do objeto de armazenamento do bucket à conta de serviço dedicada do Google Cloud usada pela equipe de suporte para seu caso. Para isso, execute o seguinte comando:

Google Distributed Cloud em bare metal versão 1.15.0 e mais recentes

Para compartilhar o acesso com o Suporte do Google, use o seguinte comando:

gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-anthossupport.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer

Substitua BUCKET_NAME pelo nome do bucket em que foi feito o upload do snapshot. Por padrão, o nome do bucket começa com anthos-snapshot-.

Para revogar o acesso ao seu bucket:

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-anthossupport.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer

Google Distributed Cloud on VMware versão 1.15.0 e mais recentes

Conforme descrito em Fazer upload de snapshots para um bucket do Cloud Storage, quando você cria um snapshot com a sinalização --share-with, ele é compartilhado automaticamente com o Suporte do Google. Nenhum comando adicional é necessário.

Compartilhar manualmente o acesso a um snapshot enviado

gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME/CLUSTER_NAME/SNAPSHOT_FILE_NAME \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-anthossupport.iam.gserviceaccount.com \
    --role=roles/storage.legacyObjectReader

Em que:

  • BUCKET_NAME/CLUSTER_NAME/SNAPSHOT_FILE_NAME é o local do snapshot que você anotou quando criou o snapshot do cluster.
  • PROJECT_NUMBER é o número do ID do projeto, usado para criar um identificador para a conta de serviço do caso de suporte. Para visualizar esse valor no console do Google Cloud, acesse a página de configurações do IAM e do administrador.

Após o encerramento do caso de suporte, o Google vai desativar a conta de serviço. Se você quiser revogar a permissão do Google para acessar o bucket do Cloud Storage, execute o seguinte comando:

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME/CLUSTER_NAME/SNAPSHOT_FILE_NAME \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-anthossupport.iam.gserviceaccount.com \
    --role=roles/storage.legacyObjectReader