Activer les services Google et configurer les comptes de service

Avant de commencer une migration, vous devez suivre les étapes ci-dessous :

Activer le SDK Cloud et les services requis

Tous les utilisateurs de Migrate for Anthos and GKE doivent configurer le SDK Cloud et activer les services Google requis.

Préparer le SDK Cloud

Pour préparer gcloud, procédez comme suit :

  1. Installez et initialisez le SDK Cloud.
  2. Mettez à jour le SDK Cloud :
    gcloud components update
  3. Assurez-vous que le SDK Cloud est autorisé à accéder à vos données et services :
    gcloud auth login

    Un nouvel onglet de navigateur vous invite à choisir un compte.

  4. Définissez les identifiants requis pour accéder à un bucket Cloud Storage.

    Pour un utilisateur individuel, exécutez la commande gcloud suivante :

    gcloud auth application-default login

    Un nouvel onglet de navigateur vous invite à choisir un compte.

    Si vous utilisez un compte de service, vous pouvez également définir la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS sur le chemin d'accès du fichier JSON contenant la clé de votre compte de service :

    export GOOGLE_APPLICATION_CREDENTIALS="[PATH]"

Activer les services requis

Migrate for Anthos and GKE nécessitent l'activation des services Google suivants :

Nom Titre
servicemanagement.googleapis.com API Service Management
servicecontrol.googleapis.com API Service Control
cloudresourcemanager.googleapis.com API Cloud Resource Manager
compute.googleapis.com API Compute Engine
container.googleapis.com API Kubernetes Engine
containerregistry.googleapis.com API Google Container Registry
cloudbuild.googleapis.com API Cloud Build

Pour confirmer que les services requis sont activés, procédez comme suit :

gcloud services list

Si les services requis ne sont pas répertoriés, activez-les :

gcloud services enable servicemanagement.googleapis.com servicecontrol.googleapis.com cloudresourcemanager.googleapis.com compute.googleapis.com container.googleapis.com containerregistry.googleapis.com cloudbuild.googleapis.com

Pour en savoir plus sur les services gcloud, consultez la section Services gcloud.

Configurer des comptes de service

Un compte de service est un type particulier de compte utilisé par une application ou une instance de machine virtuelle (VM), et non par une personne. Les applications utilisent des comptes de service pour effectuer des appels d'API autorisés.

Par exemple, une VM Compute Engine peut s'exécuter en tant que compte de service, et ce compte peut recevoir les autorisations requises pour accéder aux ressources dont il a besoin. Dans ce cas, le compte de service constitue l'identité du service, tandis que les autorisations qui lui sont accordées déterminent les ressources auxquelles il peut accéder.

Lorsque vous utilisez Migrate for Anthos and GKE, vous créez deux comptes de service :

Bonnes pratiques à adopter lors de l'utilisation des comptes de service

Nous vous recommandons de créer un compte de service distinct dans le même projet que celui utilisé pour Migrate for Anthos and GKE. Ensuite, n'attribuez au compte de service que les autorisations nécessaires pour effectuer l'opération requise. De cette façon, vous limitez les autorisations associées au compte de service.

Créer un compte de service pour accéder à Container Registry et à Cloud Storage

Créez un compte de service avec le rôle storage.admin et transmettez-le lorsque vous installez les composants Migrate for Anthos and GKE :

  1. Créez le compte de service m4a-install :

    gcloud iam service-accounts create m4a-install \
     --project=PROJECT_ID
  2. Attribuez le rôle storage.admin au compte de service :

    gcloud projects add-iam-policy-binding PROJECT_ID  \
     --member="serviceAccount:m4a-install@PROJECT_ID.iam.gserviceaccount.com" \
     --role="roles/storage.admin"
  3. Téléchargez le fichier de clé du compte de service :

    gcloud iam service-accounts keys create m4a-install.json \
     --iam-account=m4a-install@PROJECT_ID.iam.gserviceaccount.com \
     --project=PROJECT_ID 

Après avoir téléchargé la clé de compte de service sous forme de fichier JSON, vous pouvez installer Migrate for Anthos and GKE sur le cluster Google Kubernetes Engine de destination en suivant la procédure décrite dans Installer Migrate for Anthos and GKE.

Créer un compte de service pour utiliser Compute Engine en tant que source de migration

Pour utiliser Compute Engine en tant que source de migration, créez un compte de service avec les rôles compute.viewer et compute.storageAdmin :

  1. Créez le compte de service m4a-ce-src :

    gcloud iam service-accounts create m4a-ce-src \
     --project=PROJECT_ID
  2. Attribuez le rôle compute.viewer au compte de service :

    gcloud projects add-iam-policy-binding PROJECT_ID  \
     --member="serviceAccount:m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com" \
     --role="roles/compute.viewer"
  3. Attribuez le rôle compute.storageAdmin au compte de service :

    gcloud projects add-iam-policy-binding PROJECT_ID  \
     --member="serviceAccount:m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com" \
     --role="roles/compute.storageAdmin"
  4. Téléchargez le fichier de clé du compte de service :

    gcloud iam service-accounts keys create m4a-ce-src.json \
     --iam-account=m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com \
     --project=PROJECT_ID 

Après avoir téléchargé la clé de compte de service sous forme de fichier JSON, vous pouvez créer une source pour migrer les charges de travail Compute Engine. Consultez Ajouter une source de migration.

Étape suivante