Sebelum melakukan tugas di virtual machine (VM) dalam Google Distributed Cloud (GDC) yang terisolasi, Anda harus memiliki peran dan izin (IAM) identitas dan akses yang tepat.
Sebelum memulai
Untuk menggunakan perintah gdcloud CLI, selesaikan langkah-langkah yang diperlukan dari bagian
antarmuka command line (CLI) gdcloud. Semua perintah untuk penggunaan Google Distributed Cloud air-gapped menggunakan CLI gdcloud atau kubectl, dan memerlukan lingkungan sistem operasi (OS).
Mendapatkan jalur file kubeconfig
Untuk menjalankan perintah terhadap server Management API, pastikan Anda memiliki resource berikut:
Login dan buat file kubeconfig untuk server Management API jika Anda belum memilikinya.
Gunakan jalur ke file kubeconfig server Management API untuk menggantikan
MANAGEMENT_API_SERVERdalam petunjuk ini.
Tentang IAM
Distributed Cloud menawarkan Identity and Access Management (IAM) untuk akses terperinci ke resource Distributed Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM beroperasi berdasarkan prinsip keamanan hak istimewa terendah dan memberikan kontrol atas siapa yang memiliki izin untuk mengakses resource tertentu menggunakan peran dan izin IAM.
Baca dokumentasi IAM di bagian
Login, yang memberikan
petunjuk untuk login ke konsol GDC atau
gdcloud CLI dan menggunakan kubectl untuk mengakses beban kerja Anda.
Peran bawaan untuk resource VM
Untuk membuat VM dan disk VM dalam project, minta izin yang sesuai dari Admin IAM Project Anda untuk project tertentu. Semua peran VM harus terikat ke namespace project tempat VM berada. Untuk mengelola virtual machine, Admin IAM Project Anda dapat memberi Anda peran bawaan berikut:
- Project VirtualMachine Admin
project-vm-admin: Mengelola VM di namespace project. - Project VirtualMachine Image Admin
project-vm-image-admin: Mengelola image VM di namespace project.
Untuk mengetahui daftar semua peran bawaan untuk Operator Aplikasi (AO), lihat Deskripsi peran.
Berikut adalah peran umum bawaan untuk VM. Untuk mengetahui detail tentang peran umum, lihat Peran umum.
- Pelihat jenis VM
vm-type-viewer: memiliki akses baca ke jenis VM bawaan. - Penampil gambar publik
public-image-viewer: memiliki akses baca ke gambar yang disediakan GDC.
Untuk memberikan atau menerima akses ke resource VM, lihat Memberikan akses ke resource project.
Memverifikasi akses pengguna ke resource VM
Login sebagai pengguna yang meminta atau memverifikasi izin.
Verifikasi apakah Anda, atau pengguna, dapat membuat mesin virtual:
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECTGanti variabel dengan menggunakan definisi berikut.
Variabel Penggantian MANAGEMENT_API_SERVERFile kubeconfig sistem dari gdcloud auth login.PROJECTNama project untuk membuat image VM. - Jika outputnya adalah
yes, Anda memiliki izin untuk membuat VM di projectPROJECT. - Jika outputnya adalah
no, berarti Anda tidak memiliki izin. Hubungi Admin IAM Project Anda dan minta penetapan ke peran Project VirtualMachine Admin (project-vm-admin) di namespace project tempat VM berada.
- Jika outputnya adalah
Opsional: Verifikasi apakah pengguna memiliki akses ke image VM tingkat project. Misalnya, jalankan perintah berikut untuk memverifikasi apakah mereka dapat membuat dan menggunakan resource
VirtualMachineImagedi tingkat project:kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECTkubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECTGanti variabel dengan menggunakan definisi berikut.
Variabel Penggantian MANAGEMENT_API_SERVERFile kubeconfig server Management API. PROJECTNama project tempat image VM dibuat. - Jika outputnya adalah
yes, pengguna memiliki izin untuk mengakses image VM kustom di project PROJECT. - Jika outputnya adalah
no, berarti Anda tidak memiliki izin. Hubungi peran Project IAM Admin Anda dan minta penetapan ke peran Project VirtualMachine Image Admin (project-vm-image-admin) di namespace project tempat VM berada.
- Jika outputnya adalah