Activer les services Google et configurer les comptes de service

Avant de commencer une migration, vous devez suivre les étapes ci-dessous :

Activer Google Cloud CLI et les services requis
Configurer des comptes de service

Activer Google Cloud CLI et les services requis

Tous les utilisateurs de Migrate to Containers doivent configurer Google Cloud CLI et activer les services Google requis.

Préparer Google Cloud CLI

Pour préparer gcloud, procédez comme suit :

Installez et initialisez gcloud CLI.
Mettez à jour gcloud CLI :
```
gcloud components update
```
Assurez-vous que gcloud CLI est autorisé à accéder à vos données et services :
```
gcloud auth login
```
Un nouvel onglet de navigateur vous invite à choisir un compte.
Définissez les identifiants requis pour accéder à un bucket Cloud Storage.

Pour un utilisateur individuel, exécutez la commande gcloud suivante :
```
gcloud auth application-default login
```
Un nouvel onglet de navigateur vous invite à choisir un compte.

Si vous utilisez un compte de service, vous pouvez également définir la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS sur le chemin d'accès du fichier JSON contenant la clé de votre compte de service :
```
export GOOGLE_APPLICATION_CREDENTIALS="[PATH]"
```

Activer les services requis

Migrate to Containers nécessite l'activation des services Google suivants :

Nom	Titre
`servicemanagement.googleapis.com`	API Service Management
`servicecontrol.googleapis.com`	API Service Control
`cloudresourcemanager.googleapis.com`	API Cloud Resource Manager
`compute.googleapis.com`	API Compute Engine
`container.googleapis.com`	API Kubernetes Engine
`containerregistry.googleapis.com`	API Container Registry
`cloudbuild.googleapis.com`	API Cloud Build

Pour confirmer que les services requis sont activés, procédez comme suit :

gcloud services list

Si les services requis ne sont pas répertoriés, activez-les :

gcloud services enable servicemanagement.googleapis.com servicecontrol.googleapis.com cloudresourcemanager.googleapis.com compute.googleapis.com container.googleapis.com containerregistry.googleapis.com cloudbuild.googleapis.com

Pour en savoir plus sur les services gcloud, consultez la section Services gcloud.

Configurer des comptes de service

Un compte de service est un type particulier de compte utilisé par une application ou une instance de machine virtuelle (VM), et non par une personne. Les applications utilisent des comptes de service pour effectuer des appels d'API autorisés.

Par exemple, une VM Compute Engine peut s'exécuter en tant que compte de service, et ce compte peut recevoir les autorisations requises pour accéder aux ressources dont il a besoin. Dans ce cas, le compte de service constitue l'identité du service, tandis que les autorisations qui lui sont accordées déterminent les ressources auxquelles il peut accéder.

Lorsque vous utilisez Migrate to Containers, vous créez deux comptes de service :

Un compte de service utilisé par Migrate to Containers pour accéder à Container Registry et à Cloud Storage. Ce compte de service est nécessaire pour que les composants Migrate to Containers puissent accéder au registre Container Registry et à un bucket Cloud Storage. Si vous n'utilisez pas ces dépôts de données, il n'est pas nécessaire de définir ce compte de service. Voir Définir des dépôts de données pour plus d'informations.
Un compte de service permettant d'utiliser Compute Engine en tant que source de migration. Ce compte de service permet d'accéder aux ressources Compute Engine lors de la migration des VM Compute Engine. Si vous n'utilisez pas Compute Engine en tant que source de migration, vous pouvez omettre ce compte de service.

Bonnes pratiques à adopter lors de l'utilisation des comptes de service

Nous vous recommandons de créer un compte de service distinct dans le même projet que celui utilisé pour Migrate to Containers. Ensuite, n'attribuez au compte de service que les autorisations nécessaires pour effectuer l'opération requise. De cette façon, vous limitez les autorisations associées au compte de service.

Créer un compte de service pour accéder à Container Registry et à Cloud Storage

Créez un compte de service avec le rôle storage.admin et transmettez-le lorsque vous installez les composants de Migrate to Containers :

Créez le compte de service m4a-install :

gcloud iam service-accounts create m4a-install \
 --project=PROJECT_ID

Attribuez le rôle storage.admin au compte de service :
```
gcloud projects add-iam-policy-binding PROJECT_ID  \
 --member="serviceAccount:m4a-install@PROJECT_ID.iam.gserviceaccount.com" \
 --role="roles/storage.admin"
```
Remarque : Selon la configuration de sécurité de votre projet, vous pourriez être invité à sélectionner une condition. L'option None est souvent celle devant être sélectionnée, mais veuillez vérifier auprès de votre équipe de sécurité que c'est bien le cas.

Téléchargez le fichier de clé du compte de service :

gcloud iam service-accounts keys create m4a-install.json \
 --iam-account=m4a-install@PROJECT_ID.iam.gserviceaccount.com \
 --project=PROJECT_ID

Après avoir téléchargé la clé du compte de service sous forme de fichier JSON, vous pouvez installer Migrate to Containers sur le cluster Google Kubernetes Engine de destination en suivant la procédure décrite dans la section Installer Migrate to Containers.

Créer un compte de service avec Compute Engine en tant que source de migration

Pour utiliser Compute Engine en tant que source de migration, créez un compte de service avec les rôles compute.viewer et compute.storageAdmin :

Créez le compte de service m4a-ce-src :

gcloud iam service-accounts create m4a-ce-src \
 --project=PROJECT_ID

Attribuez le rôle compute.viewer au compte de service :
```
gcloud projects add-iam-policy-binding PROJECT_ID  \
 --member="serviceAccount:m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com" \
 --role="roles/compute.viewer"
```
Remarque : Selon la configuration de sécurité de votre projet, vous pourriez être invité à sélectionner une condition. L'option None est souvent celle devant être sélectionnée, mais veuillez vérifier auprès de votre équipe de sécurité que c'est bien le cas.

Attribuez le rôle compute.storageAdmin au compte de service :

gcloud projects add-iam-policy-binding PROJECT_ID  \
 --member="serviceAccount:m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com" \
 --role="roles/compute.storageAdmin"

Téléchargez le fichier de clé du compte de service :

gcloud iam service-accounts keys create m4a-ce-src.json \
 --iam-account=m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com \
 --project=PROJECT_ID

Après avoir téléchargé la clé de compte de service sous forme de fichier JSON, vous pouvez créer une source pour migrer les charges de travail Compute Engine. Consultez Ajouter une source de migration.

Utiliser Migrate to Virtual Machine en tant que source de migration

Préparer Migrate to Virtual Machines en tant que source de migration

Pour utiliser Migrate to Virtual Machines 5.0 en tant que source de migration, vous devez d'abord activer les services Migrate to Virtual Machines et installer le connecteur, comme décrit dans les étapes suivantes :

Spécifier le compte de service Migrate to Virtual Machines

Pour utiliser Migrate to Virtual Machines en tant que source de migration, créez un compte de service avec le rôle vmmigration.admin lié au projet de service :

Créez le compte de service m2c-m2vm-src-service :

gcloud iam service-accounts create m2c-m2vm-src-service  --project=PROJECT_ID

Attribuez le rôle vmmigration.admin au compte de service :
```
gcloud projects add-iam-policy-binding PROJECT_ID  \
--member="serviceAccount:m2c-m2vm-src-service@PROJECT_ID.iam.gserviceaccount.com" \
--role="roles/vmmigration.admin"
```
Remarque : Selon la configuration de sécurité de votre projet, vous pourriez être invité à sélectionner une condition. La valeur "None" est souvent la bonne option, mais vérifiez cela auprès de votre équipe de sécurité.
Remarque : Si vous n'avez pas l'intention de configurer un compte de service distinct pour le projet cible, vous devez ajouter tous les rôles spécifiés dans la section "Spécifier le compte de service du projet cible Migrate to VMs" ci-dessous au compte de service Migrate to VMs maintenant.

Téléchargez le fichier de clé du compte de service :

gcloud iam service-accounts keys create m2c-m2vm-src-service.json \
--iam-account=m2c-m2vm-src-service@PROJECT_ID.iam.gserviceaccount.com \
--project=PROJECT_ID

Spécifier le compte de service du projet cible pour Migrate to Virtual Machines

Pour utiliser Migrate to Virtual Machines en tant que source de migration, créez un compte de service avec les rôles compute.instanceAdmin.v1 et compute.storageAdmin liés au projet cible :

Créez le compte de service m2c-m2vm-src-gce :

gcloud iam service-accounts create m2c-m2vm-src-gce  --project=PROJECT_ID

Attribuez le rôle compute.instanceAdmin.v1 au compte de service :
```
gcloud projects add-iam-policy-binding TARGET_PROJECT_ID  \
--member="serviceAccount:m2c-m2vm-src-gce@PROJECT_ID.iam.gserviceaccount.com
--role="roles/compute.instanceAdmin.v1"
```
Remarque : Selon la configuration de sécurité de votre projet, vous pourriez être invité à sélectionner une condition. Souvent, il conviendra de sélectionner "Aucune", mais vérifiez auprès de votre équipe de sécurité que c'est bien le cas.

Attribuez le rôle compute.storageAdmin au compte de service :

gcloud projects add-iam-policy-binding TARGET_PROJECT_ID  \
--member="serviceAccount:m2c-m2vm-src-gce@PROJECT_ID.iam.gserviceaccount.com" \
--role="roles/compute.storageAdmin"

Téléchargez le fichier de clé du compte de service :

gcloud iam service-accounts keys create m2c-m2vm-src-gce.json \
--iam-account=m2c-m2vm-src-gce@PROJECT_ID.iam.gserviceaccount.com \
--project=PROJECT_ID

Après avoir téléchargé la clé de compte de service sous forme de fichier JSON, vous pouvez créer une source pour migrer les charges de travail Migrate to Virtual Machines. Consultez Ajouter une source de migration.

Étapes suivantes

Configurez un cluster Google Kubernetes Engine (GKE) ou GKE Enterprise sur Google Cloud en tant que cluster de traitement pour Linux ou Windows
Configurez un cluster Google Distributed Cloud Virtual pour Bare Metal pour Linux.
Découvrez comment accéder aux services Google Cloud avec vos identités de personnel ou d'autres identités cloud.