1.8.4.5. GCP에서 서비스 계정 생성
OpenShift Container Platform에는 Google API의 데이터에 액세스하기 위한 인증 및 승인을 제공하는 GCP(Google Cloud Platform) 서비스 계정이 필요합니다. 프로젝트에 필요한 역할이 포함된 기존 IAM 서비스 계정이 없으면 새로 생성해야 합니다.
사전 요구 사항
- 클러스터를 호스팅할 프로젝트 생성을 완료했습니다.
프로세스
- OpenShift Container Platform 클러스터를 호스팅하는 데 사용하는 프로젝트에 서비스 계정을 생성합니다. GCP 문서의 서비스 계정 생성 단원을 참조하십시오.
서비스 계정에 적절한 권한을 부여합니다. 뒤따르는 개별 권한을 부여하거나
Owner역할을 할당할 수 있습니다. 서비스 계정에 특정 리소스에 대한 역할 부여를 참조하십시오.참고서비스 계정을 프로젝트 소유자로 지정하는 것은 가장 쉽게 필요한 권한을 얻는 방법이며, 서비스 계정으로 프로젝트를 완전히 제어할 수 있음을 의미합니다. 해당 권한을 제공하는 데 따른 위험이 수용 가능한 수준인지 확인해봐야 합니다.
JSON 형식으로 서비스 계정 키를 생성합니다. GCP 문서의 서비스 계정 키 생성 단원을 참조하십시오.
클러스터를 생성하기 위해서는 서비스 계정 키가 필요합니다.
1.8.4.5.1. 필요한 GCP 권한
생성하는 서비스 계정에 Owner 역할을 연결하면 OpenShift Container Platform 설치에 필요한 권한을 포함하여 모든 권한이 해당 서비스 계정에 부여됩니다. OpenShift Container Platform 클러스터를 배포하려면 서비스 계정에 다음과 같은 권한이 필요합니다. 기존 VPC에 클러스터를 배포할 때는 다음 목록에 제시된 특정 네트워킹 권한이 서비스 계정에 필요하지 않습니다.
설치 프로그램에 필요한 역할
- 컴퓨팅 관리자
- 보안 관리자
- 서비스 계정 관리자
- 서비스 계정 사용자
- 스토리지 관리자
설치 과정에서 네트워크 리소스를 생성하는 데 필요한 역할
- DNS 관리자
사용자 프로비저닝 GCP 인프라에 필요한 역할
- 배포 관리자 편집자
- 서비스 계정 키 관리자
선택적 역할
운영자를 위한 제한적 자격 증명을 새로 생성하는 클러스터의 경우 다음 역할을 추가합니다.
- 서비스 계정 키 관리자
컨트롤 플레인 및 컴퓨팅 시스템이 사용하는 서비스 계정에 적용되는 역할입니다.
표 1.27. GCP 서비스 계정 권한
| 계정 | 역할 |
|---|---|
| 컨트롤 플레인 |
|
|
| |
|
| |
|
| |
|
| |
| 컴퓨팅 |
|
|
|
