Habilita servicios de Google y configura cuentas de servicio
Antes de comenzar una migración, debes realizar los pasos que se describen a continuación en las secciones:
Habilita la CLI de Google Cloud y los servicios obligatorios
Todos los usuarios de Migrate for Anthos y GKE deben configurar la CLI de Google Cloud y habilitar los servicios de Google requeridos.
Prepara la CLI de Google Cloud
Para preparar gcloud
, sigue estos pasos:
- Instala e inicializa la CLI de gcloud.
- Actualiza la CLI de gcloud:
gcloud components update
- Asegúrate de que la CLI de gcloud esté autorizada para acceder a tus datos y servicios:
gcloud auth login
Se abrirá una pestaña nueva del navegador y se te solicitará que elijas una cuenta.
Configura las credenciales necesarias para acceder a un bucket de Cloud Storage.
Usa el siguiente comando de gcloud para un usuario individual:
gcloud auth application-default login
Se abrirá una pestaña nueva del navegador y se te solicitará que elijas una cuenta.
Como alternativa, si usas una cuenta de servicio, configura la variable de entorno GOOGLE_APPLICATION_CREDENTIALS en la ruta del archivo JSON que contiene la clave de la cuenta de servicio:
export GOOGLE_APPLICATION_CREDENTIALS="[PATH]"
Habilita los servicios obligatorios
Migrate for Anthos and GKE requiere que habilites los siguientes servicios de Google:
Nombre | Cargo |
---|---|
servicemanagement.googleapis.com |
API de Administración de servicios |
servicecontrol.googleapis.com |
API de Control de servicios |
cloudresourcemanager.googleapis.com |
API de Cloud Resource Manager |
compute.googleapis.com |
API de Compute Engine |
container.googleapis.com |
API de Kubernetes Engine |
containerregistry.googleapis.com |
API de Google Container Registry |
cloudbuild.googleapis.com |
API de Cloud Build |
Para confirmar que los servicios obligatorios están habilitados, ejecuta el siguiente comando:
gcloud services list
Si no ves los servicios necesarios que se incluyeron en la lista, habilítalos:
gcloud services enable servicemanagement.googleapis.com servicecontrol.googleapis.com cloudresourcemanager.googleapis.com compute.googleapis.com container.googleapis.com containerregistry.googleapis.com cloudbuild.googleapis.com
Para obtener más información sobre los servicios de gcloud
, consulta Servicios de gcloud
.
Configura cuentas de servicio
Una cuenta de servicio es un tipo especial de cuenta que usa una aplicación o una instancia de máquina virtual (VM), no una persona. Las aplicaciones usan cuentas de servicio para realizar llamadas a la API autorizadas.
Por ejemplo, una VM de Compute Engine puede ejecutarse como una cuenta de servicio y esa cuenta puede obtener permisos para acceder a los recursos que necesita. De esta forma, la cuenta de servicio es la identidad del servicio y los permisos de la cuenta de servicio controlan los recursos a los que tiene acceso el servicio.
Cuando usas Migrate for Anthos and GKE, debes crear dos cuentas de servicio:
Una cuenta de servicio que se usa en Migrate for Anthos and GKE para acceder a Container Registry y Cloud Storage. Esta cuenta de servicio es necesaria para que los componentes de Migrate for Anthos and GKE puedan acceder a Container Registry y a un bucket de Cloud Storage. Si no usas estos repositorios de datos, no tienes que definir esta cuenta de servicio. Consulta Definición de repositorios de datos para obtener más información.
Una cuenta de servicio para usar Compute Engine como fuente de migración. Esta cuenta de servicio se usa para acceder a los recursos de Compute Engine cuando se migran VM de Compute Engine. Si no usas Compute Engine como fuente de migración, puedes omitir esta cuenta de servicio.
Prácticas recomendadas para el uso de las cuentas de servicio
Como práctica recomendada, crea una cuenta de servicio distinta en el mismo proyecto que usas para Migrate for Anthos and GKE. Luego, asigna a la cuenta de servicio solo los permisos necesarios para realizar la operación necesaria. De esa manera, limitarás los permisos asociados con la cuenta de servicio.
Crea una cuenta de servicio para acceder a Container Registry y Cloud Storage
Crea una cuenta de servicio con la función storage.admin y pásala cuando instales componentes de Migrate for Anthos and GKE:
Crea la cuenta de servicio
m4a-install
:gcloud iam service-accounts create m4a-install \ --project=PROJECT_ID
Otorga la función
storage.admin
a la cuenta de servicio:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:m4a-install@PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/storage.admin"
Descarga el archivo de claves para la cuenta de servicio:
gcloud iam service-accounts keys create m4a-install.json \ --iam-account=m4a-install@PROJECT_ID.iam.gserviceaccount.com \ --project=PROJECT_ID
Después de descargar la clave de la cuenta de servicio como un archivo JSON, puedes instalar Migrate for Anthos and GKE en el clúster de destino de Google Kubernetes Engine mediante el procedimiento descrito en Instala Migrate for Anthos and GKE.
Crea una cuenta de servicio con Compute Engine como fuente de migración
Para usar Compute Engine como fuente de migración, crea una cuenta de servicio con las funciones compute.viewer y compute.storageAdmin:
Crea la cuenta de servicio
m4a-ce-src
:gcloud iam service-accounts create m4a-ce-src \ --project=PROJECT_ID
Otorga la función
compute.viewer
a la cuenta de servicio:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/compute.viewer"
Otorga la función
compute.storageAdmin
a la cuenta de servicio:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/compute.storageAdmin"
Descarga el archivo de claves para la cuenta de servicio:
gcloud iam service-accounts keys create m4a-ce-src.json \ --iam-account=m4a-ce-src@PROJECT_ID.iam.gserviceaccount.com \ --project=PROJECT_ID
Después de descargar la clave de la cuenta de servicio como un archivo JSON, puedes crear una fuente para migrar cargas de trabajo de Compute Engine. Consulta Agrega una fuente de migración.
Usa Migrate for Compute Engine como fuente de migración
Prepara Migrate for Compute Engine como fuente de migración
Para usar Migrate for Compute Engine 5.0 como fuente de migración, primero debes habilitar los servicios de Migrate for Compute Engine y, luego, instalar el conector, como se describe en los siguientes pasos:
Especifica la cuenta de servicio de Migrate for Compute Engine
Para usar Migrate for Compute Engine como fuente de migración, crea una cuenta de servicio con el rol vmmigration.admin
vinculado al proyecto de servicio:
Crea la cuenta de servicio
m2c-m4ce-src-service
:gcloud iam service-accounts create m2c-m4ce-src-service --project=PROJECT_ID
Otorga la función
vmmigration.admin
a la cuenta de servicio:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:m2c-m4ce-src-service@PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/vmmigration.admin"
Descarga el archivo de claves para la cuenta de servicio:
gcloud iam service-accounts keys create m2c-m4ce-src-service.json \ --iam-account=m2c-m4ce-src-service@PROJECT_ID.iam.gserviceaccount.com \ --project=PROJECT_ID
Especifica la cuenta de servicio del proyecto de destino de Migrate for Compute Engine
Para usar Migrate for Compute Engine como fuente de migración, crea una cuenta de servicio con los roles compute.instanceAdmin.v1
y compute.storageAdmin
vinculados al proyecto de destino:
Crea la cuenta de servicio
m2c-m4ce-src-gce
:gcloud iam service-accounts create m2c-m4ce-src-gce --project=PROJECT_ID
Otorga la función
compute.instanceAdmin.v1
a la cuenta de servicio:gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \ --member="serviceAccount:m2c-m4ce-src-gce@PROJECT_ID.iam.gserviceaccount.com --role="roles/compute.instanceAdmin.v1"
Otorga la función
compute.storageAdmin
a la cuenta de servicio:gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \ --member="serviceAccount:m2c-m4ce-src-gce@PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/compute.storageAdmin"
Descarga el archivo de claves para la cuenta de servicio:
gcloud iam service-accounts keys create m2c-m4ce-src-gce.json \ --iam-account=m2c-m4ce-src-gce@PROJECT_ID.iam.gserviceaccount.com \ --project=PROJECT_ID
Después de descargar la clave de la cuenta de servicio como un archivo JSON, puedes crear una fuente para migrar cargas de trabajo de Compute Engine. Consulta Agrega una fuente de migración.