Cet article explique comment configurer manuellement les autorisations requises pour la migration des VM. Il est destiné à ceux qui souhaitent mieux comprendre ou contrôler l'attribution des autorisations dans le cadre du processus de migration et des charges de travail migrées.
Cette page décrit le processus de création de rôle pour la migration vers :
- Un seul projet Google Cloud
- Plusieurs projets Google Cloud
Avant de commencer
Pour effectuer les migrations, Migrate for Compute Engine nécessite la création de deux comptes de service.
Pour plus d'informations sur chacun de ces comptes de service et sur les rôles associés, consultez la page Configurer Google Cloud.
Pour en savoir plus sur les commandes gcloud et leurs paramètres, consultez la documentation de gcloud CLI.
- Vous devez installer le SDK Google Cloud.
- Créez un projet Google Cloud afin d'héberger l'infrastructure Migrate for Compute Engine sur GCP.
Nous désignerons ce projet par projet d'infrastructure. Utilisez ce projet chaque fois que
project-IDapparaît. - Activez les API suivantes sur votre projet d'infrastructure.
gcloud services enable iam.googleapis.com --project project-ID gcloud services enable cloudresourcemanager.googleapis.com --project project-ID gcloud services enable compute.googleapis.com --project project-ID gcloud services enable storage-component.googleapis.com --project project-ID gcloud services enable logging.googleapis.com --project project-ID gcloud services enable monitoring.googleapis.com --project project-ID
Pour continuer, indiquez si vous effectuez une migration vers un ou plusieurs projets.
Projet unique
Cette section décrit comment créer les comptes de service requis pour un seul projet autonome et attribuer les rôles appropriés à ces comptes de service.
Créer des comptes de service
Créez le compte de service
migration-managerdans Google Cloud.gcloud config set project project-ID gcloud iam service-accounts create "migration-manager" --display-name "migration-manager"
Attribuez des rôles au compte de service
migration-manager.gcloud projects add-iam-policy-binding project-ID --member \ serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role "roles/cloudmigration.inframanager" \ --no-user-output-enabled --quiet gcloud projects add-iam-policy-binding project-ID --member \ serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role "roles/cloudmigration.storageaccess" \ --no-user-output-enabled --quiet gcloud projects add-iam-policy-binding project-ID --member \ serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role "roles/iam.serviceAccountUser" \ --no-user-output-enabled --quiet gcloud projects add-iam-policy-binding project-ID --member \ serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role "roles/logging.logWriter" \ --no-user-output-enabled --quiet gcloud projects add-iam-policy-binding project-ID --member \ serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role "roles/monitoring.metricWriter" \ --no-user-output-enabled --quiet gcloud projects add-iam-policy-binding project-ID --member \ serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role "roles/monitoring.viewer" \ --no-user-output-enabled --quiet gcloud iam service-accounts add-iam-policy-binding \ "migration-manager@project-ID.iam.gserviceaccount.com" \ --member=serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role=roles/iam.serviceAccountTokenCreator --project project-ID
Créez le compte de service
migration-cloud-extensiondans Google Cloud. Créez ce compte dans le projet dans lequel vous prévoyez de déployer l'extension cloud Migrate for Compute Engine.gcloud iam service-accounts create "migration-cloud-extension" \ --display-name "migration-cloud-extension"
Attribuez des rôles au compte de service
migration-cloud-extension.gcloud projects add-iam-policy-binding project-ID \ --member serviceAccount:"migration-cloud-extension@project-ID.iam.gserviceaccount.com" \ --role "roles/cloudmigration.storageaccess" \ --no-user-output-enabled --quiet gcloud projects add-iam-policy-binding project-ID \ --member serviceAccount:"migration-cloud-extension@project-ID.iam.gserviceaccount.com" \ --role "roles/logging.logWriter" \ --no-user-output-enabled --quiet gcloud projects add-iam-policy-binding project-ID \ --member serviceAccount:"migration-cloud-extension@project-ID.iam.gserviceaccount.com" \ --role "roles/monitoring.metricWriter" \ --no-user-output-enabled --quiet
Projets multiples
Cette section explique comment créer les rôles requis pour les migrations vers plusieurs projets et les attribuer aux comptes de service.
Créer des comptes de service et leur attribuer des rôles
Créez le compte de service
migration-managerdans Google Cloud. Bien que le compte de servicemigration-managerpuisse être créé dans n'importe lequel de vos projets, il est préférable de créer ce service dans le projet hôte pour simplifier la configuration.gcloud config set project project-ID gcloud iam service-accounts create "migration-manager" \ --display-name "migration-manager"
Attribuez des rôles au compte de service
migration-manager.gcloud organizations add-iam-policy-binding organization-ID --member \ serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role "roles/cloudmigration.inframanager" \ --no-user-output-enabled --quiet gcloud projects add-iam-policy-binding project-ID --member \ serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role "roles/cloudmigration.storageaccess" \ --no-user-output-enabled --quiet gcloud organizations add-iam-policy-binding organization-ID --member \ serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role "roles/iam.serviceAccountUser" \ --no-user-output-enabled --quiet gcloud projects add-iam-policy-binding project-ID --member \ serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role "roles/logging.logWriter" \ --no-user-output-enabled --quiet gcloud projects add-iam-policy-binding project-ID --member \ serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role "roles/monitoring.metricWriter" \ --no-user-output-enabled --quiet gcloud projects add-iam-policy-binding project-ID --member \ serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role "roles/monitoring.viewer" \ --no-user-output-enabled --quiet gcloud iam service-accounts add-iam-policy-binding \ "migration-manager@project-ID.iam.gserviceaccount.com" \ --member=serviceAccount:"migration-manager@project-ID.iam.gserviceaccount.com" \ --role=roles/iam.serviceAccountTokenCreator --project project-ID
Créez le compte de service
migration-cloud-extensiondans Google Cloud. Créez ce compte dans le projet dans lequel vous prévoyez de déployer l'extension cloud Migrate for Compute Engine.gcloud iam service-accounts create "migration-cloud-extension" \ --display-name "migration-cloud-extension"
Attribuez des rôles au compte de service
migration-cloud-extension.gcloud projects add-iam-policy-binding project-ID \ --member serviceAccount:"migration-cloud-extension@project-ID.iam.gserviceaccount.com" \ --role "roles/cloudmigration.storageaccess" \ --no-user-output-enabled --quiet gcloud projects add-iam-policy-binding project-ID \ --member serviceAccount:"migration-cloud-extension@project-ID.iam.gserviceaccount.com" \ --role "roles/logging.logWriter" \ --no-user-output-enabled --quiet gcloud projects add-iam-policy-binding project-ID \ --member serviceAccount:"migration-cloud-extension@project-ID.iam.gserviceaccount.com" \ --role "roles/monitoring.metricWriter" \ --no-user-output-enabled --quiet