ニフクラ Catalog:Anthos(GKE Enterprise)テンプレート利用時におけるGoogle Cloudの設定
利用者は、ニフクラ CatalogのAnthos(GKE Enterprise)テンプレートによる初期設定前に、Google Cloud: Google Cloudリソースの設定に記載されているGoogle Cloudの設定が必要です。
- ニフクラ Catalogで利用するサービスカウントキーは1つのみとなります。
ニフクラ Catalogで利用する単一のサービスカウントキーは、以下ロールおよび権限を付与してください。- Anthos clusters on bare metal(GKE on bare metal)の利用に必要なすべてのロール
- Cloud Service Meshも利用する場合は、Google Cloud: Cloud Service Meshのインストールに必要なロールに記載されているロール
- ニフクラCatalogによるGoogle Cloudリソースの検証に示す権限
- クラスターの作成やアップグレード操作時にGoogle Cloudの設定を確認するために利用します。
ニフクラ CatalogによるGoogle Cloudリソースの検証
サービスアカウントに次のロールを付与するか、記載されている必要な権限を含めたカスタムロールを作成して付与してください。
必要な権限 | この権限が含まれるロール |
---|---|
resourcemanager.projects.getIamPolicy |
roles/iam.roleViewer |
serviceusage.services.list |
roles/serviceusage.serviceUsageViewer |
上記権限を利用し、クラスター作成時、およびアップグレード操作時に下記の検証をします。
- サービスアカウントに必要なロールが付与されていること
- 必要なAPIがプロジェクトで有効になっていること
検証は、指定されたサービスアカウントキーを用いて下記のAPIを実行し、実施されます。
API | メソッド | 用途 |
---|---|---|
Resource Manager API | projects.getIamPolicy |
サービスアカウントに付与されているロールの取得 |
Service Usage API | services.list |
プロジェクトで有効化されているAPIの取得 |
Google Cloudリソース検証の詳細
クラスター作成時およびアップグレード実行時に、以下のロールがサービスアカウントへ付与されていること、およびAPIが有効化されていることを検証します。
Anthos(GKE Enterprise)バージョン: 1.29, 1.30
サービスアカウントに付与されているべきロール
roles/gkehub.connect
roles/gkehub.admin
roles/logging.logWriter
roles/monitoring.metricWriter
roles/stackdriver.resourceMetadata.writer
roles/opsconfigmonitoring.resourceMetadata.writer
roles/monitoring.dashboardEditor
roles/monitoring.viewer
roles/serviceusage.serviceUsageViewer
roles/kubernetesmetadata.publisher
roles/compute.viewer
プロジェクトで有効になっているべきAPI
anthos.googleapis.com
anthosaudit.googleapis.com
anthosgke.googleapis.com
cloudresourcemanager.googleapis.com
compute.googleapis.com
connectgateway.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
gkeonprem.googleapis.com
iam.googleapis.com
kubernetesmetadata.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage.googleapis.com
また、Cloud Service Mesh有効時には以下の検証も追加されます。
Cloud Service Meshバージョン: 1.22, 1.23, 1.24
サービスアカウントに付与されているべきロール
roles/gkehub.admin
roles/container.admin
roles/meshconfig.admin
roles/resourcemanager.projectIamAdmin
roles/iam.serviceAccountAdmin
roles/servicemanagement.admin
roles/serviceusage.serviceUsageAdmin
プロジェクトで有効になっているべきAPI
mesh.googleapis.com
フィードバック
サービス利用中のトラブルは、ニフクラサポート窓口にお願いします。
フィードバックにご協力を