与 Google 支持团队共享 GKE Enterprise 快照

如果您在使用 Google Cloud 外部的已注册集群时遇到无法自行解决的问题,系统可能会要求您创建集群快照并将其共享给支持团队。本页面介绍如何向 Google Cloud 支持共享此信息。

允许 Google Cloud 支持查看您上传的集群快照

对于某些支持请求,您可能需要截取受影响集群的快照,并提供给 Google Cloud 支持团队。您可以将文件上传到 Cloud Storage 存储桶并向支持团队共享该存储桶的访问权限,而不是通过电子邮件发送快照。如需授予对存储桶的访问权限,请查看 gcloud storage 命令的 Identity and Access Management 权限中指定的所需权限。

创建集群快照

创建快照的过程取决于您的集群类型:

  • GKE on AWS(上一代):按照创建快照中的说明操作
  • Google Distributed Cloud on VMware 部署:按照将快照上传到 Cloud Storage 存储桶中的说明创建集群快照,并将集群快照上传到 Cloud Storage 存储桶。记下输出中快照的位置。
  • Google Distributed Cloud on Bare Metal 部署:按照如何创建默认快照中的说明创建集群快照,并将集群快照上传到 Cloud Storage 存储桶。这些说明还介绍了如何向 Google Cloud 支持团队授予对此存储桶的访问权限。
  • 附加的集群:使用此脚本作为参考来创建快照。

创建 Google Cloud 服务账号

创建一个专用的 Google Cloud 服务账号,以供支持团队使用。为此,请运行以下命令:

gcloud services enable connectgateway.googleapis.com --project=PROJECT_ID
gcloud beta services identity create --service=connectgateway.googleapis.com --project=PROJECT_ID

其中:

  • PROJECT_ID 是集群快照存储桶的项目 ID。

向 Google Cloud 支持共享访问权限

向负责您请求的支持团队使用的专用 Google Cloud 服务账号授予存储桶的存储对象的只读权限。为此,请运行以下命令:

Google Distributed Cloud on Bare Metal 1.15.0 版及更高版本

如需与 Google 支持团队共享访问权限,请使用以下命令:

gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-anthossupport.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer

BUCKET_NAME 替换为快照上传到的存储桶的名称。默认情况下,存储桶名称以 anthos-snapshot- 开头。

如需撤消对存储桶的访问权限,请运行以下命令:

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-anthossupport.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer

Google Distributed Cloud on VMware 1.15.0 版及更高版本

将快照上传到 Cloud Storage 存储桶中所述,当您使用 --share-with 标志创建快照时,快照会自动与 Google 支持团队共享。无需额外命令。

手动共享对上传快照的访问权限

gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME/CLUSTER_NAME/SNAPSHOT_FILE_NAME \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-anthossupport.iam.gserviceaccount.com \
    --role=roles/storage.legacyObjectReader

其中:

  • BUCKET_NAME/CLUSTER_NAME/SNAPSHOT_FILE_NAME 是您在创建集群快照时记下的快照位置。
  • PROJECT_NUMBER 是您项目的 ID 编号,用于为支持请求服务账号创建标识符。您可以在 Google Cloud 控制台中转到 IAM 和管理设置页面,来找到该值。

支持请求关闭后,Google 将停用该服务账号。如果您想要撤消 Google 对您 Cloud Storage 存储桶的访问权限,请运行以下命令:

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME/CLUSTER_NAME/SNAPSHOT_FILE_NAME \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-anthossupport.iam.gserviceaccount.com \
    --role=roles/storage.legacyObjectReader