Habilita servicios de Google y configura cuentas de servicio

Antes de comenzar una migración, debes realizar los pasos que se describen a continuación en las secciones:

Habilita la CLI de Google Cloud y los servicios obligatorios
Configura cuentas de servicio

Habilita la CLI de Google Cloud y los servicios obligatorios

Todos los usuarios de Migrate for Anthos y GKE deben configurar la CLI de Google Cloud y habilitar los servicios de Google requeridos.

Prepara la CLI de Google Cloud

Para preparar gcloud, sigue estos pasos:

Instala e inicializa la CLI de gcloud.
Actualiza la CLI de gcloud:
```
gcloud components update
```
Asegúrate de que la CLI de gcloud esté autorizada para acceder a tus datos y servicios:
```
gcloud auth login
```
Se abrirá una pestaña nueva del navegador y se te solicitará que elijas una cuenta.
Configura las credenciales necesarias para acceder a un bucket de Cloud Storage.

Usa el siguiente comando de gcloud para un usuario individual:
```
gcloud auth application-default login
```
Se abrirá una pestaña nueva del navegador y se te solicitará que elijas una cuenta.

Como alternativa, si usas una cuenta de servicio, configura la variable de entorno GOOGLE_APPLICATION_CREDENTIALS en la ruta del archivo JSON que contiene la clave de la cuenta de servicio:
```
export GOOGLE_APPLICATION_CREDENTIALS="[PATH]"
```

Habilita los servicios obligatorios

Migrate for Anthos and GKE requiere que habilites los siguientes servicios de Google:

Nombre	Cargo
`servicemanagement.googleapis.com`	API de Administración de servicios
`servicecontrol.googleapis.com`	API de Control de servicios
`cloudresourcemanager.googleapis.com`	API de Cloud Resource Manager
`compute.googleapis.com`	API de Compute Engine
`container.googleapis.com`	API de Kubernetes Engine
`containerregistry.googleapis.com`	API de Google Container Registry
`cloudbuild.googleapis.com`	API de Cloud Build

Para confirmar que los servicios obligatorios están habilitados, ejecuta el siguiente comando:

gcloud services list

Si no ves los servicios necesarios que se incluyeron en la lista, habilítalos:

gcloud services enable servicemanagement.googleapis.com servicecontrol.googleapis.com cloudresourcemanager.googleapis.com compute.googleapis.com container.googleapis.com containerregistry.googleapis.com cloudbuild.googleapis.com

Para obtener más información sobre los servicios de gcloud, consulta Servicios de gcloud.

Configura cuentas de servicio

Una cuenta de servicio es un tipo especial de cuenta que usa una aplicación o una instancia de máquina virtual (VM), no una persona. Las aplicaciones usan cuentas de servicio para realizar llamadas a la API autorizadas.

Por ejemplo, una VM de Compute Engine puede ejecutarse como una cuenta de servicio y esa cuenta puede obtener permisos para acceder a los recursos que necesita. De esta forma, la cuenta de servicio es la identidad del servicio y los permisos de la cuenta de servicio controlan los recursos a los que tiene acceso el servicio.

Cuando usas Migrate for Anthos and GKE, debes crear dos cuentas de servicio:

Una cuenta de servicio que se usa en Migrate for Anthos and GKE para acceder a Container Registry y Cloud Storage. Esta cuenta de servicio es necesaria para que los componentes de Migrate for Anthos and GKE puedan acceder a Container Registry y a un bucket de Cloud Storage. Si no usas estos repositorios de datos, no tienes que definir esta cuenta de servicio. Consulta Definición de repositorios de datos para obtener más información.
Una cuenta de servicio para usar Compute Engine como fuente de migración. Esta cuenta de servicio se usa para acceder a los recursos de Compute Engine cuando se migran VM de Compute Engine. Si no usas Compute Engine como fuente de migración, puedes omitir esta cuenta de servicio.

Prácticas recomendadas para el uso de las cuentas de servicio

Como práctica recomendada, crea una cuenta de servicio distinta en el mismo proyecto que usas para Migrate for Anthos and GKE. Luego, asigna a la cuenta de servicio solo los permisos necesarios para realizar la operación necesaria. De esa manera, limitarás los permisos asociados con la cuenta de servicio.

Crea una cuenta de servicio para acceder a Container Registry y Cloud Storage

Crea una cuenta de servicio con la función storage.admin y pásala cuando instales componentes de Migrate for Anthos and GKE:

Crea la cuenta de servicio m4a-install:

gcloud iam service-accounts create m4a-install \
 --project=PROJECT_ID

Otorga la función storage.admin a la cuenta de servicio:
```
gcloud projects add-iam-policy-binding PROJECT_ID  \
 --member="serviceAccount:m4a-install@PROJECT_ID.iam.gserviceaccount.com" \
 --role="roles/storage.admin"
```
Nota: Según la configuración de seguridad de tu proyecto, es posible que se te solicite que selecciones una condición. A menudo, la selección de None es correcta, pero confírmala con tu equipo de seguridad.

Descarga el archivo de claves para la cuenta de servicio:

gcloud iam service-accounts keys create m4a-install.json \
 --iam-account=m4a-install@PROJECT_ID.iam.gserviceaccount.com \
 --project=PROJECT_ID

Después de descargar la clave de la cuenta de servicio como un archivo JSON, puedes instalar Migrate for Anthos and GKE en el clúster de destino de Google Kubernetes Engine mediante el procedimiento descrito en Instala Migrate for Anthos and GKE.

Crea una cuenta de servicio con Compute Engine como fuente de migración

Para usar Compute Engine como fuente de migración, crea una cuenta de servicio con las funciones compute.viewer y compute.storageAdmin:

Crea la cuenta de servicio m4a-ce-src:

gcloud iam service-accounts create m4a-ce-src \
 --project=PROJECT_ID

Otorga la función compute.viewer a la cuenta de servicio:
```
gcloud projects add-iam-policy-binding PROJECT_ID  \
 --member="serviceAccount:m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com" \
 --role="roles/compute.viewer"
```
Nota: Según la configuración de seguridad de tu proyecto, es posible que se te solicite que selecciones una condición. A menudo, la selección de None es correcta, pero confírmala con tu equipo de seguridad.

Otorga la función compute.storageAdmin a la cuenta de servicio:

gcloud projects add-iam-policy-binding PROJECT_ID  \
 --member="serviceAccount:m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com" \
 --role="roles/compute.storageAdmin"

Descarga el archivo de claves para la cuenta de servicio:

gcloud iam service-accounts keys create m4a-ce-src.json \
 --iam-account=m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com \
 --project=PROJECT_ID

Después de descargar la clave de la cuenta de servicio como un archivo JSON, puedes crear una fuente para migrar cargas de trabajo de Compute Engine. Consulta Agrega una fuente de migración.

Usa Migrate for Compute Engine como fuente de migración

Prepara Migrate for Compute Engine como fuente de migración

Para usar Migrate for Compute Engine 5.0 como fuente de migración, primero debes habilitar los servicios de Migrate for Compute Engine y, luego, instalar el conector, como se describe en los siguientes pasos:

Especifica la cuenta de servicio de Migrate for Compute Engine

Para usar Migrate for Compute Engine como fuente de migración, crea una cuenta de servicio con el rol vmmigration.admin vinculado al proyecto de servicio:

Crea la cuenta de servicio m2c-m4ce-src-service:

gcloud iam service-accounts create m2c-m4ce-src-service  --project=PROJECT_ID

Otorga la función vmmigration.admin a la cuenta de servicio:
```
gcloud projects add-iam-policy-binding PROJECT_ID  \
--member="serviceAccount:m2c-m4ce-src-service@PROJECT_ID.iam.gserviceaccount.com" \
--role="roles/vmmigration.admin"
```
Nota: Según la configuración de seguridad de tu proyecto, es posible que se te solicite que selecciones una condición. A menudo, Ninguna es la opción correcta, pero confírmala con tu equipo de seguridad.

Descarga el archivo de claves para la cuenta de servicio:

gcloud iam service-accounts keys create m2c-m4ce-src-service.json \
--iam-account=m2c-m4ce-src-service@PROJECT_ID.iam.gserviceaccount.com \
--project=PROJECT_ID

Especifica la cuenta de servicio del proyecto de destino de Migrate for Compute Engine

Para usar Migrate for Compute Engine como fuente de migración, crea una cuenta de servicio con los roles compute.instanceAdmin.v1 y compute.storageAdmin vinculados al proyecto de destino:

Crea la cuenta de servicio m2c-m4ce-src-gce:

gcloud iam service-accounts create m2c-m4ce-src-gce  --project=PROJECT_ID

Otorga la función compute.instanceAdmin.v1 a la cuenta de servicio:
```
gcloud projects add-iam-policy-binding TARGET_PROJECT_ID  \
--member="serviceAccount:m2c-m4ce-src-gce@PROJECT_ID.iam.gserviceaccount.com
--role="roles/compute.instanceAdmin.v1"
```
Nota: Según la configuración de seguridad de tu proyecto, es posible que se te solicite que selecciones una condición. A menudo, Ninguna es la opción correcta, pero confírmala con tu equipo de seguridad.

Otorga la función compute.storageAdmin a la cuenta de servicio:

gcloud projects add-iam-policy-binding TARGET_PROJECT_ID  \
--member="serviceAccount:m2c-m4ce-src-gce@PROJECT_ID.iam.gserviceaccount.com" \
--role="roles/compute.storageAdmin"

Descarga el archivo de claves para la cuenta de servicio:

gcloud iam service-accounts keys create m2c-m4ce-src-gce.json \
--iam-account=m2c-m4ce-src-gce@PROJECT_ID.iam.gserviceaccount.com \
--project=PROJECT_ID

Después de descargar la clave de la cuenta de servicio como un archivo JSON, puedes crear una fuente para migrar cargas de trabajo de Compute Engine. Consulta Agrega una fuente de migración.

¿Qué sigue?

Descripción general de la configuración de un clúster