Activer les services Google et configurer les comptes de service
Avant de commencer une migration, vous devez suivre les étapes ci-dessous :
Activer Google Cloud CLI et les services requis
Tous les utilisateurs de Migrate to Containers doivent configurer Google Cloud CLI et activer les services Google requis.
Préparer Google Cloud CLI
Pour préparer gcloud
, procédez comme suit :
- Installez et initialisez gcloud CLI.
- Mettez à jour gcloud CLI :
gcloud components update
- Assurez-vous que gcloud CLI est autorisé à accéder à vos données et services :
gcloud auth login
Un nouvel onglet de navigateur vous invite à choisir un compte.
Définissez les identifiants requis pour accéder à un bucket Cloud Storage.
Pour un utilisateur individuel, exécutez la commande gcloud suivante :
gcloud auth application-default login
Un nouvel onglet de navigateur vous invite à choisir un compte.
Si vous utilisez un compte de service, vous pouvez également définir la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS sur le chemin d'accès du fichier JSON contenant la clé de votre compte de service :
export GOOGLE_APPLICATION_CREDENTIALS="[PATH]"
Activer les services requis
Migrate to Containers nécessite l'activation des services Google suivants :
Nom | Titre |
---|---|
servicemanagement.googleapis.com |
API Service Management |
servicecontrol.googleapis.com |
API Service Control |
cloudresourcemanager.googleapis.com |
API Cloud Resource Manager |
compute.googleapis.com |
API Compute Engine |
container.googleapis.com |
API Kubernetes Engine |
containerregistry.googleapis.com |
API Container Registry |
cloudbuild.googleapis.com |
API Cloud Build |
Pour confirmer que les services requis sont activés, procédez comme suit :
gcloud services list
Si les services requis ne sont pas répertoriés, activez-les :
gcloud services enable servicemanagement.googleapis.com servicecontrol.googleapis.com cloudresourcemanager.googleapis.com compute.googleapis.com container.googleapis.com containerregistry.googleapis.com cloudbuild.googleapis.com
Pour en savoir plus sur les services gcloud
, consultez la section Services gcloud
.
Configurer des comptes de service
Un compte de service est un type particulier de compte utilisé par une application ou une instance de machine virtuelle (VM), et non par une personne. Les applications utilisent des comptes de service pour effectuer des appels d'API autorisés.
Par exemple, une VM Compute Engine peut s'exécuter en tant que compte de service, et ce compte peut recevoir les autorisations requises pour accéder aux ressources dont il a besoin. Dans ce cas, le compte de service constitue l'identité du service, tandis que les autorisations qui lui sont accordées déterminent les ressources auxquelles il peut accéder.
Lorsque vous utilisez Migrate to Containers, vous créez deux comptes de service :
Un compte de service utilisé par Migrate to Containers pour accéder à Container Registry et à Cloud Storage. Ce compte de service est nécessaire pour que les composants Migrate to Containers puissent accéder au registre Container Registry et à un bucket Cloud Storage. Si vous n'utilisez pas ces dépôts de données, il n'est pas nécessaire de définir ce compte de service. Voir Définir des dépôts de données pour plus d'informations.
Un compte de service permettant d'utiliser Compute Engine en tant que source de migration. Ce compte de service permet d'accéder aux ressources Compute Engine lors de la migration des VM Compute Engine. Si vous n'utilisez pas Compute Engine en tant que source de migration, vous pouvez omettre ce compte de service.
Bonnes pratiques à adopter lors de l'utilisation des comptes de service
Nous vous recommandons de créer un compte de service distinct dans le même projet que celui utilisé pour Migrate to Containers. Ensuite, n'attribuez au compte de service que les autorisations nécessaires pour effectuer l'opération requise. De cette façon, vous limitez les autorisations associées au compte de service.
Créer un compte de service pour accéder à Container Registry et à Cloud Storage
Créez un compte de service avec le rôle storage.admin et transmettez-le lorsque vous installez les composants de Migrate to Containers :
Créez le compte de service
m4a-install
:gcloud iam service-accounts create m4a-install \ --project=PROJECT_ID
Attribuez le rôle
storage.admin
au compte de service :gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:m4a-install@PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/storage.admin"
Téléchargez le fichier de clé du compte de service :
gcloud iam service-accounts keys create m4a-install.json \ --iam-account=m4a-install@PROJECT_ID.iam.gserviceaccount.com \ --project=PROJECT_ID
Après avoir téléchargé la clé du compte de service sous forme de fichier JSON, vous pouvez installer Migrate to Containers sur le cluster Google Kubernetes Engine de destination en suivant la procédure décrite dans la section Installer Migrate to Containers.
Créer un compte de service avec Compute Engine en tant que source de migration
Pour utiliser Compute Engine en tant que source de migration, créez un compte de service avec les rôles compute.viewer et compute.storageAdmin :
Créez le compte de service
m4a-ce-src
:gcloud iam service-accounts create m4a-ce-src \ --project=PROJECT_ID
Attribuez le rôle
compute.viewer
au compte de service :gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/compute.viewer"
Attribuez le rôle
compute.storageAdmin
au compte de service :gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/compute.storageAdmin"
Téléchargez le fichier de clé du compte de service :
gcloud iam service-accounts keys create m4a-ce-src.json \ --iam-account=m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com \ --project=PROJECT_ID
Après avoir téléchargé la clé de compte de service sous forme de fichier JSON, vous pouvez créer une source pour migrer les charges de travail Compute Engine. Consultez Ajouter une source de migration.
Utiliser Migrate to Virtual Machine en tant que source de migration
Préparer Migrate to Virtual Machines en tant que source de migration
Pour utiliser Migrate to Virtual Machines 5.0 en tant que source de migration, vous devez d'abord activer les services Migrate to Virtual Machines et installer le connecteur, comme décrit dans les étapes suivantes :
Spécifier le compte de service Migrate to Virtual Machines
Pour utiliser Migrate to Virtual Machines en tant que source de migration, créez un compte de service avec le rôle vmmigration.admin
lié au projet de service :
Créez le compte de service
m2c-m2vm-src-service
:gcloud iam service-accounts create m2c-m2vm-src-service --project=PROJECT_ID
Attribuez le rôle
vmmigration.admin
au compte de service :gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:m2c-m2vm-src-service@PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/vmmigration.admin"
Téléchargez le fichier de clé du compte de service :
gcloud iam service-accounts keys create m2c-m2vm-src-service.json \ --iam-account=m2c-m2vm-src-service@PROJECT_ID.iam.gserviceaccount.com \ --project=PROJECT_ID
Spécifier le compte de service du projet cible pour Migrate to Virtual Machines
Pour utiliser Migrate to Virtual Machines en tant que source de migration, créez un compte de service avec les rôles compute.instanceAdmin.v1
et compute.storageAdmin
liés au projet cible :
Créez le compte de service
m2c-m2vm-src-gce
:gcloud iam service-accounts create m2c-m2vm-src-gce --project=PROJECT_ID
Attribuez le rôle
compute.instanceAdmin.v1
au compte de service :gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \ --member="serviceAccount:m2c-m2vm-src-gce@PROJECT_ID.iam.gserviceaccount.com --role="roles/compute.instanceAdmin.v1"
Attribuez le rôle
compute.storageAdmin
au compte de service :gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \ --member="serviceAccount:m2c-m2vm-src-gce@PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/compute.storageAdmin"
Téléchargez le fichier de clé du compte de service :
gcloud iam service-accounts keys create m2c-m2vm-src-gce.json \ --iam-account=m2c-m2vm-src-gce@PROJECT_ID.iam.gserviceaccount.com \ --project=PROJECT_ID
Après avoir téléchargé la clé de compte de service sous forme de fichier JSON, vous pouvez créer une source pour migrer les charges de travail Migrate to Virtual Machines. Consultez Ajouter une source de migration.
Étapes suivantes
- Configurez un cluster Google Kubernetes Engine (GKE) ou GKE Enterprise sur Google Cloud en tant que cluster de traitement pour Linux ou Windows
- Configurez un cluster Google Distributed Cloud Virtual pour Bare Metal pour Linux.
- Découvrez comment accéder aux services Google Cloud avec vos identités de personnel ou d'autres identités cloud.