该任务介绍了如何使用服务帐户对 NSX Advanced Load Balancer 进行身份验证和授权。

要创建服务帐户,请执行以下操作:

前提条件

NSX Advanced Load Balancer 需要使用一个 GCP 服务帐户以对 GCP API 访问进行身份验证和授权。可以在任何 GCP 项目中创建服务帐户。

过程

  1. Google Cloud 控制台中,选择所需的项目。
  2. 导航到 IAM 和管理 > 服务帐户,然后单击创建服务帐户
  3. 可以使用以下任一方法为控制器提供服务帐户详细信息:
    1. 仅提供服务帐户电子邮件 ID。
      注:

      • 在这种情况下,必须将服务帐户附加到 GCP 中的控制器虚拟机。这是在创建控制器时完成的。

      • 只有当控制器虚拟机在 GCP 内部运行时,才可使用该选项。

    2. 将服务帐户 JSON 密钥添加到 NSX Advanced Load Balancer 云。
      注:

      • 无论控制器在何处运行(在 GCP 内部或外部),都可以使用该选项。

      • 在控制器中创建 GCP 云时,必须在 NSX Advanced Load Balancer 中指定服务帐户 JSON 密钥。

      要创建 JSON 密钥,请参阅 JSON 密钥

      将创建私钥并将其下载到您的计算机中。

  4. 正如 GCP 项目选择中提到的一样,必须在所有 GCP 项目中添加相同的服务帐户。

    将该服务帐户作为具有所需 GCP 角色的成员添加到所需的项目中。例如,将该服务帐户作为成员添加到网络项目中,并为其授予 NSX Advanced Load Balancer 角色。

    请参阅角色和权限(GCP 完全访问),以了解如何根据部署拓扑在项目中创建具有所需权限的角色。