Google-Dienste aktivieren und Dienstkonten konfigurieren

Bevor Sie mit der Migration beginnen können, müssen Sie die Schritte unten in den Abschnitten ausführen:

Cloud SDK und erforderliche Dienste aktivieren

Alle Nutzer von Migrate for Anthos and GKE müssen das Cloud SDK konfigurieren und die erforderlichen Google-Dienste aktivieren.

Cloud SDK vorbereiten

So bereiten Sie gcloud vor:

  1. Installieren und initialisieren Sie das Cloud SDK.
  2. Aktualisieren Sie das Cloud SDK:
    gcloud components update
  3. Prüfen Sie, ob das Cloud SDK die Berechtigung für den Zugriff auf Ihre Daten und Dienste hat:
    gcloud auth login

    Ein neuer Browsertab wird geöffnet und Sie werden aufgefordert, ein Konto auszuwählen.

  4. Legen Sie die Anmeldedaten fest, die für den Zugriff auf einen Cloud Storage-Bucket erforderlich sind.

    Verwenden Sie für einen einzelnen Nutzer den folgenden gcloud-Befehl:

    gcloud auth application-default login

    Ein neuer Browsertab wird geöffnet und Sie werden aufgefordert, ein Konto auszuwählen.

    Wenn Sie stattdessen ein Dienstkonto verwenden, legen Sie die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS auf den Pfad zur JSON-Datei fest, die Ihren Dienstkontoschlüssel enthält:

    export GOOGLE_APPLICATION_CREDENTIALS="[PATH]"

Erforderliche Dienste aktivieren

Für Migrate for Anthos and GKE müssen Sie die folgenden Google-Dienste aktivieren:

Name Titel
servicemanagement.googleapis.com Service Management API
servicecontrol.googleapis.com Service Control API
cloudresourcemanager.googleapis.com Cloud Resource Manager API
compute.googleapis.com Compute Engine API
container.googleapis.com Kubernetes Engine API
containerregistry.googleapis.com Google Container Registry API
cloudbuild.googleapis.com Cloud Build API

Mit dem folgenden Befehl bestätigen Sie, dass die erforderlichen Dienste aktiviert sind:

gcloud services list

Wenn die erforderlichen Dienste nicht aufgeführt sind, müssen Sie sie aktivieren:

gcloud services enable servicemanagement.googleapis.com servicecontrol.googleapis.com cloudresourcemanager.googleapis.com compute.googleapis.com container.googleapis.com containerregistry.googleapis.com cloudbuild.googleapis.com

Weitere Informationen zu den gcloud-Diensten finden Sie unter gcloud-Dienste.

Dienstkonten konfigurieren

Ein Dienstkonto ist ein spezieller Kontotyp, der nicht von einer Person, sondern von einer Anwendung oder einer VM-Instanz verwendet wird. Anwendungen verwenden Dienstkonten für autorisierte API-Aufrufe.

Eine Compute Engine-VM kann beispielsweise als Dienstkonto ausgeführt werden, dem Berechtigungen für den Zugriff auf benötigte Ressourcen zugewiesen sind. Damit ist das Dienstkonto die Identität des Dienstes und die Berechtigungen des Dienstkontos bestimmen, auf welche Ressourcen der Dienst zugreifen kann.

Bei der Verwendung von Migrate for Anthos and GKE erstellen Sie zwei Dienstkonten:

Best Practices für die Verwendung von Dienstkonten

Erstellen Sie nach Möglichkeit ein separates Dienstkonto im selben Projekt, das Sie auch für Migrate for Anthos and GKE verwenden. Weisen Sie dann dem Dienstkonto nur die Berechtigungen zu, die zum Ausführen des erforderlichen Vorgangs benötigt werden. Auf diese Weise beschränken Sie die Berechtigungen, die mit dem Dienstkonto verknüpft sind.

Dienstkonto für den Zugriff auf Container Registry und Cloud Storage erstellen

Erstellen Sie ein Dienstkonto mit der Rolle storage.admin und übergeben Sie es bei der Installation von Migrate for Anthos and GKE-Komponenten:

  1. Erstellen Sie das Dienstkonto m4a-install:

    gcloud iam service-accounts create m4a-install \
     --project=PROJECT_ID
  2. Weisen Sie dem Dienstkonto die Rolle storage.admin zu.

    gcloud projects add-iam-policy-binding PROJECT_ID  \
     --member="serviceAccount:m4a-install@PROJECT_ID.iam.gserviceaccount.com" \
     --role="roles/storage.admin"
  3. Laden Sie die Schlüsseldatei für das Dienstkonto herunter:

    gcloud iam service-accounts keys create m4a-install.json \
     --iam-account=m4a-install@PROJECT_ID.iam.gserviceaccount.com \
     --project=PROJECT_ID 

Nachdem Sie den Dienstkontoschlüssel als JSON-Datei heruntergeladen haben, können Sie Migrate for Anthos and GKE auf dem Google Kubernetes Engine-Zielcluster installieren. Gehen Sie dazu wie unter Migrate for Anthos and GKE installieren beschrieben vor.

Dienstkonto zur Verwendung von Compute Engine als Migrationsquelle erstellen

Wenn Sie Compute Engine als Migrationsquelle verwenden möchten, erstellen Sie ein Dienstkonto mit den Rollen compute.viewer und compute.storageAdmin:

  1. Erstellen Sie das Dienstkonto m4a-ce-src:

    gcloud iam service-accounts create m4a-ce-src \
     --project=PROJECT_ID
  2. Weisen Sie dem Dienstkonto die Rolle compute.viewer zu.

    gcloud projects add-iam-policy-binding PROJECT_ID  \
     --member="serviceAccount:m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com" \
     --role="roles/compute.viewer"
  3. Weisen Sie dem Dienstkonto die Rolle compute.storageAdmin zu.

    gcloud projects add-iam-policy-binding PROJECT_ID  \
     --member="serviceAccount:m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com" \
     --role="roles/compute.storageAdmin"
  4. Laden Sie die Schlüsseldatei für das Dienstkonto herunter:

    gcloud iam service-accounts keys create m4a-ce-src.json \
     --iam-account=m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com \
     --project=PROJECT_ID 

Nachdem Sie den Dienstkontoschlüssel als JSON-Datei heruntergeladen haben, können Sie eine Quelle für die Migration von Compute Engine-Arbeitslasten erstellen. Siehe Migrationsquelle hinzufügen.

Nächste Schritte