Questo documento descrive i prerequisiti per l'importazione e l'esportazione di immagini su Compute Engine.
Puoi condividere istanze di macchine virtuali (VM), file di dischi virtuali e immagini macchina da altri ambienti cloud o dal tuo ambiente on-premise importando ed esportando le immagini da Cloud Storage. Il seguente elenco di controllo riassume i requisiti che devi soddisfare prima di importare ed esportare le immagini:
- Configurare l'accesso a un bucket Cloud Storage
- Concedi i ruoli richiesti al tuo account utente
- Concedi i ruoli richiesti all'account di servizio Cloud Build
- Concedi i ruoli richiesti all'account di servizio Compute Engine
Prima di iniziare
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è la procedura mediante la quale la tua identità viene verificata per l'accesso alle API e ai servizi Google Cloud.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
Se esporti un'immagine, lo strumento di esportazione carica l'immagine nel bucket Cloud Storage.
Se importi un'immagine, devi prima caricarla nel bucket Cloud Storage. Lo strumento di importazione scarica il file dal bucket Cloud Storage in Compute Engine, quindi crea un'immagine in Compute Engine da quel file del disco.
- Account utente. L'account da cui stai eseguendo i comandi di importazione ed esportazione.
- Account di servizio Cloud Build. Un account di servizio Cloud Build predefinito creato quando lo strumento di importazione o esportazione attiva l'API Cloud Build.
- Account di servizio Compute Engine. Un account di servizio Compute Engine predefinito o personalizzato necessario per il flusso di lavoro di importazione ed esportazione.
- Ruolo Amministratore archiviazione (
roles/storage.admin
) - Ruolo Visualizzatore (
roles/viewer
) - Ruolo Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin
) - Ruolo Editor Cloud Build (
roles/cloudbuild.builds.editor
) Vai alla pagina IAM e amministrazione del progetto o dell'organizzazione.
Individua il tuo account e fai clic su
Modifica.Nell'elenco Seleziona un ruolo, seleziona i seguenti ruoli:
- Cloud Storage > Amministratore dello spazio di archiviazione
- Progetto > Visualizzatore
- Resource Manager > Amministratore IAM del progetto
- Cloud Build > Editor di Cloud Build
Salva le modifiche.
Concedi il ruolo
roles/storage.admin
:gcloud projects add-iam-policy-binding PROJECT_ID \ --member='MEMBER' \ --role='roles/storage.admin'
Sostituisci quanto segue:
PROJECT_ID
: il ID progetto Google Cloud per il tuo progettoMEMBER
: l'account che esegue i comandi di importazione ed esportazione, ad esempiouser:export-user@gmail.com
Concedi il ruolo
roles/viewer
:gcloud projects add-iam-policy-binding PROJECT_ID \ --member='MEMBER' \ --role='roles/viewer'
Concedi il ruolo
roles/resourcemanager.projectIamAdmin
:gcloud projects add-iam-policy-binding PROJECT_ID \ --member='MEMBER' \ --role='roles/resourcemanager.projectIamAdmin'
Concedi il ruolo
roles/cloudbuild.builds.editor
:gcloud projects add-iam-policy-binding PROJECT_ID \ --member='MEMBER' \ --role='roles/cloudbuild.builds.editor'
Leggi il criterio esistente con il metodo
getIamPolicy
della risorsa. Per i progetti, utilizza il metodoprojects.getIamPolicy
.POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy
Sostituisci
PROJECT_ID
con l'ID progetto, ad esempiomy-project-1
.Per concedere i ruoli richiesti al tuo account, modifica il criterio con un editor di testo.
Ad esempio, per concedere il ruolo richiesto al tuo account
user:export-user@gmail.com
, aggiungi la seguente associazione al criterio:{ { "role":"roles/storage.admin", "member":[ "user:export-user@gmail.com" ] } { "roles":"roles/viewer", "member":[ "user:export-user@gmail.com" ] } { "roles":"roles/resourcemanager.projectIamAdmin", "member":[ "user:export-user@gmail.com" ] } { "roles":"roles/cloudbuild.builds.editor", "member":[ "user:export-user@gmail.com" ] } }
Per scrivere il criterio aggiornato, utilizza il metodo
setIamPolicy
.Ad esempio, per impostare un criterio a livello di progetto, utilizza il metodo
project.setIamPolicy
. Nel corpo della richiesta, fornisci il criterio IAM aggiornato del passaggio precedente.POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy
- Ruolo Creatore token account di servizio
(
roles/iam.serviceAccountTokenCreator
) - Ruolo Utente account di servizio
(
roles/iam.serviceAccountUser
) - Ruolo Amministratore Compute (
roles/compute.admin
)Per evitare di dover concedere il ruolo Amministratore Compute, puoi creare un ruolo personalizzato con le seguenti autorizzazioni IAM di Compute Engine e concederlo all'account di servizio Cloud Build:
- Ruolo Utente di rete Compute (
roles/compute.networkUser
)Questo ruolo è obbligatorio solo quando importi o esporti immagini che utilizzano VPC condiviso.
Nel progetto VPC condiviso, concedi il ruolo Utente di rete Compute all'account di servizio Cloud Build che si trova nel progetto in cui importi o esporti le immagini.
Dopo aver attivato l'API Cloud Build, vai alla pagina IAM e amministrazione per il progetto o l'organizzazione.
Individua l'account di servizio Cloud Build e fai clic su
Modifica.Se i ruoli richiesti non sono elencati, svolgi i seguenti passaggi:
- Fai clic su Aggiungi un altro ruolo.
Nell'elenco Seleziona un ruolo, seleziona i ruoli richiesti che vuoi aggiungere:
- Account di servizio > Creatore token account di servizio
- Account di servizio > Utente account di servizio
Compute Engine > Amministratore Compute
In alternativa, puoi selezionare il ruolo Personalizzato. Consulta la sezione Autorizzazioni richieste per il ruolo personalizzato di questo documento.
Fai clic su Salva per salvare le modifiche.
(Facoltativo) Se importi o esporti immagini che utilizzano il VPC condiviso, seleziona il ruolo Utente di rete Compute nel progetto VPC condiviso:
- Dal selettore dei progetti nella parte superiore della console, seleziona il progetto host VPC condiviso.
- Nella pagina IAM e amministrazione, fai clic su Concedi l'accesso.
- Nel campo Nuove entità, inserisci l'indirizzo email dell'account di servizio Cloud Build:
SostituisciPROJECT_NUMBER@cloudbuild.gserviceaccount.com'
PROJECT_NUMBER
con il numero unico del progetto in cui importi o esporti le immagini. - Nell'elenco Seleziona un ruolo, seleziona il ruolo Compute Engine > Utente rete Compute.
- Fai clic su Salva per salvare le modifiche.
Concedi il ruolo
roles/compute.admin
all'account di servizio Cloud Build. Per evitare di concedere il ruoloroles/compute.admin
, puoi creare un ruolo personalizzato con le autorizzazioni richieste e poi concederlo all'account di servizio Cloud Build. Consulta la sezione Autorizzazioni richieste per il ruolo personalizzato in questo documento.gcloud projects add-iam-policy-binding PROJECT_ID \ --member='serviceAccount:PROJECT_NUMBER@cloudbuild.gserviceaccount.com' \ --role='roles/compute.admin'
Sostituisci quanto segue:
PROJECT_ID
: l'ID progetto Google Cloud del tuo progettoPROJECT_NUMBER
: il numero del progetto Google Cloud per il tuo progetto
Concedi il ruolo
roles/iam.serviceAccountUser
:gcloud projects add-iam-policy-binding PROJECT_ID \ --member='serviceAccount:PROJECT_NUMBER@cloudbuild.gserviceaccount.com' \ --role='roles/iam.serviceAccountUser'
Concedi il ruolo
roles/iam.serviceAccountTokenCreator
:gcloud projects add-iam-policy-binding PROJECT_ID \ --member='serviceAccount:PROJECT_NUMBER@cloudbuild.gserviceaccount.com' \ --role='roles/iam.serviceAccountTokenCreator'
(Facoltativo) Se esporti o importi immagini che utilizzano VPC condiviso, concedi il ruolo
roles/compute.networkUser
:gcloud projects add-iam-policy-binding HOST_PROJECT_ID \ --member='serviceAccount:PROJECT_NUMBER@cloudbuild.gserviceaccount.com' \ --role='roles/compute.networkUser'
Sostituisci quanto segue:
HOST_PROJECT_ID
: l'ID del progetto host in cui si trova il VPC condivisoPROJECT_NUMBER
: il numero univoco del progetto in cui importi o esporti le immagini
Leggi il criterio esistente con il metodo
getIamPolicy
della risorsa. Per i progetti, utilizza il metodoprojects.getIamPolicy
.POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy
Sostituisci
PROJECT_ID
con l'ID progetto, ad esempiomy-project-1
.Per concedere i ruoli richiesti al tuo account, modifica il criterio con un editor di testo.
Ad esempio, per concedere i ruoli richiesti a
serviceAccount:12345@cloudbuild.gserviceaccount.com
, aggiungi la seguente associazione al criterio:{ { "role":"roles/compute.admin", "member":[ "serviceAccount:12345@cloudbuild.gserviceaccount.com" ] } { "roles":"roles/iam.serviceAccountUser", "member":[ "serviceAccount:12345@cloudbuild.gserviceaccount.com" ] } { "roles":"roles/iam.serviceAccountTokenCreator", "member":[ "serviceAccount:12345@cloudbuild.gserviceaccount.com" ] } }
Per evitare di concedere il ruolo
roles/compute.admin
, puoi creare un ruolo personalizzato con le autorizzazioni richieste e poi concederlo all'account di servizio Cloud Build. Consulta la sezione Autorizzazioni richieste per il ruolo personalizzato in questo documento.(Facoltativo) Se esporti o importi immagini che utilizzano il VPC condiviso, concedi il ruolo
roles/compute.networkUser
nel progetto VPC condiviso.POST https://cloudresourcemanager.googleapis.com/v1/projects/HOST_PROJECT_ID:getIamPolicy
Sostituisci
HOST_PROJECT_ID
con l'ID del progetto VPC condiviso.Aggiungi la seguente associazione IAM all'account di servizio Cloud Build:
{ { "roles":"roles/compute.networkUser", "member":[ "serviceAccount:12345@cloudbuild.gserviceaccount.com" ] } }
Per scrivere il criterio aggiornato, utilizza il metodo
setIamPolicy
.Ad esempio, per impostare un criterio a livello di progetto, utilizza il metodo
project.setIamPolicy
. Nel corpo della richiesta, fornisci il criterio IAM aggiornato del passaggio precedente.POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy
- Ruolo Amministratore archiviazione Compute
(
roles/compute.storageAdmin
): obbligatorio sia per l'esportazione sia per l'importazione di immagini VM - Ruolo Visualizzatore oggetti Storage
(
roles/storage.objectViewer
): obbligatorio per l'importazione delle immagini VM - Ruolo Amministratore oggetti Storage
(
roles/storage.objectAdmin
): obbligatorio per l'esportazione delle immagini VM Vai alla pagina IAM e amministrazione del progetto o dell'organizzazione.
Individua l'account di servizio Compute Engine e fai clic su
Modifica.Nell'elenco Seleziona un ruolo, seleziona i seguenti ruoli:
- Compute Engine > Amministratore dello spazio di archiviazione Compute
- Cloud Storage > Visualizzatore oggetti Storage
- Cloud Storage > Storage Object Admin
Salva le modifiche.
Concedi il ruolo
roles/compute.storageAdmin
:gcloud projects add-iam-policy-binding PROJECT_ID \ --member='serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com' \ --role='roles/compute.storageAdmin'
Se importi un'immagine, concedi il ruolo
roles/storage.objectViewer
:gcloud projects add-iam-policy-binding PROJECT_ID \ --member='serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com' \ --role='roles/storage.objectViewer'
Se esporti un'immagine, concedi il ruolo
roles/storage.objectAdmin
:gcloud projects add-iam-policy-binding PROJECT_ID \ --member='serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com' \ --role='roles/storage.objectAdmin'
Leggi il criterio esistente con il metodo
getIamPolicy
della risorsa. Per i progetti, utilizza il metodoprojects.getIamPolicy
.POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy
Sostituisci
PROJECT_ID
con l'ID progetto, ad esempiomy-project-1
.Per concedere i ruoli richiesti al tuo account, modifica il criterio con un editor di testo.
Ad esempio, per concedere i ruoli richiesti a
serviceAccount:12345-compute@developer.gserviceaccount.com
per l'importazione di un'immagine, aggiungi la seguente associazione al criterio:{ { "role":"roles/compute.storageAdmin", "member":[ "serviceAccount:12345-compute@developer.gserviceaccount.com" ] } { "roles":"roles/storage.objectViewer", "member":[ "serviceAccount:12345-compute@developer.gserviceaccount.com" ] } }
Per scrivere il criterio aggiornato, utilizza il metodo
setIamPolicy
.Ad esempio, per impostare un criterio a livello di progetto, utilizza il metodo
project.setIamPolicy
. Nel corpo della richiesta, fornisci il criterio IAM aggiornato del passaggio precedente.POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy
- Importazione di dischi virtuali con account di servizio personalizzati
- Importazione di appliance virtuali con account di servizio personalizzati
- Importazione di immagini macchina da appliance virtuali con account di servizio personalizzati
- Esportazione di immagini personalizzate con account di servizio personalizzati
- Esporta le immagini personalizzate in Cloud Storage.
- Condividi le tue immagini nei progetti.
- Scegli un metodo di importazione.
- Importazione di dischi virtuali
- Importazione di appliance virtuali
- Importazione di immagini macchina da appliance virtuali
REST
Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.
Configurare l'accesso a un bucket Cloud Storage
Devi avere accesso a un bucket Cloud Storage che possa essere utilizzato dallo strumento di importazione o esportazione. Se non hai un bucket Cloud Storage, consulta Creare un bucket Cloud Storage.
Per configurare l'accesso al bucket Cloud Storage, consulta Concedere i ruoli necessari al tuo account e Account di servizio Compute Engine.
Concedi i ruoli IAM richiesti
Lo strumento di importazione ed esportazione delle immagini VM richiede i seguenti account per eseguire l'operazione per suo conto:
Concedi i ruoli richiesti al tuo account utente
Per importare o esportare immagini, il tuo account utente richiede i seguenti ruoli:
Console
gcloud
Nei passaggi seguenti, utilizzerai il comando
gcloud projects add-iam-policy-binding
per concedere i ruoli richiesti a livello di progetto.REST
Concedi i ruoli richiesti all'account di servizio Cloud Build
Quando utilizzi la console Google Cloud o gcloud CLI per importare o esportare immagini per la prima volta, lo strumento tenta di attivare l'API Cloud Build e concedere i ruoli richiesti all'account di servizio Cloud Build.
Tuttavia, puoi concedere manualmente questi ruoli per assicurarti che le autorizzazioni richieste siano attive:
Console
gcloud
Nei passaggi che seguono, utilizzerai il comando
gcloud projects add-iam-policy-binding
per concedere i ruoli richiesti a livello di progetto.REST
Per ulteriori informazioni sulla gestione dell'accesso alle risorse, consulta l'articolo Concessione, modifica e revoca dell'accesso alle risorse.
Concedi i ruoli richiesti all'account di servizio Compute Engine
Quando utilizzi la console Google Cloud o gcloud CLI per importare o esportare immagini per la prima volta, lo strumento tenta di concedere i ruoli richiesti all'account di servizio Compute Engine predefinito.
A seconda della configurazione dei criteri dell'organizzazione, all'account di servizio predefinito potrebbe essere assegnato automaticamente il ruolo Editor nel progetto. Ti consigliamo vivamente di disattivare la concessione automatica dei ruoli applicando il vincolo
iam.automaticIamGrantsForDefaultServiceAccounts
delle norme dell'organizzazione. Se hai creato la tua organizzazione dopo il 3 maggio 2024, questo vincolo viene applicato per impostazione predefinita.Se disattivi la concessione automatica dei ruoli, devi decidere quali ruoli concedere agli account di servizio predefiniti, quindi concedere personalmente questi ruoli.
Se l'account di servizio predefinito ha già il ruolo Editor, ti consigliamo di sostituire il ruolo Editor con ruoli meno permissivi. Per modificare in sicurezza i ruoli dell'account di servizio, utilizza Policy Simulator per vedere l'impatto della modifica, quindi concedi e revoca i ruoli appropriati.
Il tuo account di servizio Compute Engine deve avere i seguenti ruoli:
Console
gcloud
Nei passaggi seguenti, utilizzerai il comando
gcloud projects add-iam-policy-binding
per concedere i ruoli richiesti a livello di progetto.REST
Se non vuoi utilizzare l'account di servizio Compute Engine predefinito, puoi specificare un account di servizio gestito dall'utente utilizzando il flag
--compute-service-account
nei comandi di importazione ed esportazionegcloud
. Per ulteriori informazioni sull'utilizzo dell'account servizio Compute Engine personalizzato, consulta le seguenti risorse:Passaggi successivi
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-12-19 UTC.
-