作为 hub 管理员,您可以为特定用户授予在与 hub 关联的其他项目中创建 spoke 的权限,并保留对 hub 中接受的 spoke 的完全控制权。Spoke 在您明确接受之前不会变为活跃状态。您也可以根据需要随时拒绝 spoke。
如需为其他用户授予在与 hub 关联的其他项目中创建 spoke 的权限,您可以向该用户授予 roles/networkconnectivity.groupUser
角色。具有 hub 的 groupUser
角色的用户会通过 Identity and Access Management (IAM) 资源层次结构自动让所有群组在此 hub 中具有该角色。作为 hub 管理员,您还可以撤消用户的访问权限。
须知事项
开始之前,请查看以下部分。
创建或选择项目
为了更轻松地配置 Network Connectivity Center,请先确定有效项目。
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
如果您使用的是 Google Cloud CLI,请使用
gcloud config set
命令设置项目 ID。gcloud config set project PROJECT_ID
将
PROJECT_ID
替换为您的唯一项目 ID。此页面上的 gcloud CLI 说明假定您已设置项目 ID。
如需确认您正确设置了项目 ID,请使用
gcloud config list
命令。gcloud config list --format='text(core.project)'
启用 Network Connectivity API
您必须先启用 Network Connectivity API,然后才能使用 Network Connectivity Center 执行任何任务。
控制台
如要启用 Network Connectivity API,请执行以下操作:
在 Google Cloud 控制台中,转到 Network Connectivity Center 页面。
点击启用。
或者,您可以使用 Google Cloud 控制台 API 库来启用 API,如启用 API 中所述。
管理跨项目在 hub 中创建 spoke 的权限
以下部分介绍了如何授予、撤消或查看在与 hub 所属的不同项目中创建 spoke 的权限。
向其他用户授予 hub 的 groupUser
角色
如需向其他用户授予 hub 的 networkconnectivity.groupUser
角色,请按照以下步骤操作。
控制台
在 Google Cloud 控制台中,转到 Network Connectivity Center 页面。
在项目菜单中,选择一个项目。
点击 Hub 标签页。
在 hub 列表中,选择您要添加其访问权限的 hub。
点击权限。
在权限对话框中,点击添加主账号。
输入您要添加的管理员的用户名。
在管理角色对话框的 Network Connectivity 角色列表中,选择您要分配的角色,例如 Spoke Admin。
点击保存。
gcloud
运行 gcloud network-connectivity hubs add-iam-policy-binding
命令。
gcloud network-connectivity hubs add-iam-policy-binding HUB_NAME \ --member=MEMBER_DETAILS \ --role='roles/networkconnectivity.groupUser'
请替换以下内容:
HUB_NAME
:spoke 的 hub,例如my-hub
。MEMBER_DETAILS
:您要授予访问权限的用户的详细信息。如需详细了解标识符和格式,请参阅主账号标识符。
撤消用户对 hub 的 groupUser
角色
如需撤消用户对 hub 的 roles/networkconnectivity.groupUser
角色,请按照以下步骤操作。
gcloud
运行 gcloud network-connectivity hubs remove-iam-policy-binding
命令。
gcloud network-connectivity hubs remove-iam-policy-binding HUB_NAME \ --member=MEMBER_DETAILS \ --role='roles/networkconnectivity.groupUser'
请替换以下内容:
HUB_NAME
:spoke 的 hub,例如my-hub
。MEMBER_DETAILS
:您要移除其访问权限的用户的详细信息。如需详细了解标识符和格式,请参阅主账号标识符。
查看用户的权限
如需查看已向用户授予的 hub 的权限,请按照以下步骤操作。
gcloud
运行 gcloud network-connectivity hubs get-iam-policy
命令。
gcloud network-connectivity hubs get-iam-policy HUB_NAME
将 HUB_NAME
替换为您要查看其权限的 hub 的名称,例如 my-hub
。
后续步骤
- 如要创建 Hub 和 Spoke,请参阅使用 Hub 和 Spoke。
- 如需查看其解决方案已与 Network Connectivity Center 集成的合作伙伴列表,请参阅 Network Connectivity Center 合作伙伴。
- 如需查找常见问题的解决方案,请参阅问题排查。
- 如需获取有关 API 和
gcloud
命令的详细信息,请参阅 API 和参考。