創建一個工作區使用帳戶控製台

本文描述了如何創建和管理工作區使用帳戶控製台。或者,您可以創建一個工作空間使用賬戶API起程拓殖

確保您理解您創建一個新的工作區之前所有配置設置。您不能修改工作區配置在嚐試創建工作區。

重要的

創建工作區,必須有一些需要穀歌賬戶權限,這可能是一個穀歌賬戶或者一個服務帳戶。看到需要的權限

創建工作區:

  1. 選擇一個新的工作區網絡類型:

  2. 作為一個磚賬戶管理,登錄到賬戶控製台並單擊工作區圖標。

  3. 點擊創建工作區

  4. 工作區名稱為該工作區字段中,輸入一個人類可讀名稱。隻有字母數字字符、下劃線和連字符是允許的,而且名稱必須3-30字符長。

  5. 地區字段中,選擇一個工作區區域的網絡和集群。支持的地區列表,請參閱磚雲層和地區

  6. 穀歌雲項目ID字段中,輸入你的穀歌雲項目ID。學習如何讓你的項目ID,明白了需求

    如果您計劃使用customer-managed VPC工作區:

    • 如果它是一個獨立的VPC,設置這個項目VPC ID。

    • 如果它是一個共享VPC,設置這個項目工作區資源的ID。

  7. 網絡設置。這一步變化基於工作空間的網絡類型。customer-managed VPC,單擊Customer-managed VPC選項卡。

    • 選擇指定自定義子網大小。如果你保留這些字段為空,磚使用缺省值。

      重要的

      配置GKE磚工作區準確使用的子網。你無法改變他們部署後,您的工作區。如果你的磚子網地址範圍太小,然後工作區耗盡其IP空間,進而導致磚工作的失敗。確定你需要的地址範圍大小,磚了子網計算器作為Microsoft Excel電子表格

      點擊高級配置指定自定義的IP範圍CIDR格式。這些字段的IP範圍不能重疊。所有的IP地址必須完全在以下範圍:10.0.0.0/8,100.64.0.0/10,172.16.0.0/12,192.168.0.0/16,240.0.0.0/4

      這些IP範圍的大小影響節點的最大數量的工作區。

      • 子網CIDR字段中,輸入IP子網範圍CIDR格式使用。集群的節點GKE來自這個IP範圍。這也是IP子網範圍GKE集群住在哪裏。必須不超過範圍/ 9不小於/ 29

      • 豆莢地址範圍CIDR格式的字段中,輸入IP範圍作為二級GKE吊艙的IP範圍。必須不超過範圍/ 9不小於/ 21

      • 服務地址範圍CIDR格式的字段中,輸入IP範圍作為二級GKE服務IP範圍。必須不超過範圍/ 16不小於/ 27日

    • 指定一個網絡配置代表你的VPC及其子網:

      • 網絡模式:設置這個Customer-managed網絡

      • 網絡配置:選擇您的網絡配置的名字。

  8. (可選)配置細節私人GKE集群。

    • 默認情況下,磚創建一個私人GKE集群而不是公共GKE集群。一個私有集群的GKE節點沒有公共IP可路由的公共網絡。這個選項需要磚創建一個額外的穀歌雲雲NAT。私人集群,您可以設置一個自定義值的IP範圍GKE主資源。點擊高級配置然後設置IP範圍GKE主資源字段。所有的IP地址必須完全在以下範圍:10.0.0.0/8,100.64.0.0/10,172.16.0.0/12,192.168.0.0/16,240.0.0.0/4。一定大小範圍/ 28

    • 相反,使用一個公共GKE集群,點擊高級配置和取消選擇使私有集群

  9. (可選)可以用私人安全工作區連接和減少數據漏出風險通過啟用Google私人服務連接(PSC)工作區。配置,點擊高級配置並選擇一個私人訪問設置對象。添加PSC配置之前,磚強烈建議閱讀這篇文章使私人服務連接您的工作區對需求和上下文。

  10. (可選)可以添加customer-managed鍵兩個不同的用例:

    配置該工作區創建期間,您可以使用兩個拾荒者選擇一個配置為每個用例創建的加密密匙。你可以選擇相同的配置如果它同時支持用例。使用帳戶控製台的詳細說明,請參閱配置customer-managed鍵使用帳戶控製台

    另外,您還可以創建一個關鍵配置在這個工作區創建一個用例流程通過點擊一個選擇器並單擊添加新的加密密鑰配置

  11. 點擊保存

  12. 如果這是第一次,您已經創建了一個工作區,穀歌彈出窗口要求你選擇你的穀歌賬戶。完成以下指令。

    重要的

    如果您沒有看到穀歌賬戶彈出:

    • 如果頁麵沒有變化,你可能會有一個彈出式窗口攔截器在您的web瀏覽器。尋找一個通知關於阻止彈出窗口。配置您的彈出式窗口攔截器從域允許彈出窗口accounts.gcp.m.eheci.com

    • 如果您沒有看到穀歌對話框但現在瀏覽器顯示工作空間的列表,繼續下一步。

    1. 在穀歌對話框中,選擇你的穀歌賬戶簽署帳戶控製台。

    2. 在下一個屏幕上,回複問你的同意請求額外的範圍。點擊允許

      同意屏幕顯示你第一次嚐試創建一個工作區。連續新工作區,穀歌同意不顯示屏幕。如果你使用穀歌賬戶工具要撤消同意授予磚,穀歌同意顯示屏幕。

  13. 確認已經成功地創建了您的工作區。工作區工作空間的列表中,點擊開放。查看工作狀態和測試工作,明白了查看工作狀態

  14. 安全工作空間的GCS桶。看到安全工作空間的GCS桶在您的項目中

    當您創建一個工作區,磚在穀歌的雲創建兩個穀歌雲存儲(GCS)桶在你的穀歌雲項目。磚強烈建議您安全這些GCS水桶,這樣他們不是從外部訪問磚在穀歌的雲。

在工作區中創建、磚能使一些要求穀歌api的項目,如果他們不是已經啟用。看到使穀歌api在工作區項目

使穀歌api在工作區項目

工作區創建期間,磚自動啟用以下要求穀歌在Google雲api項目如果他們不是已經啟用:

在工作區中刪除這些api是不會自動禁用。

工作區創建限製

您最多可以創建200個工作區每周在同一穀歌雲項目。如果你超過了這個極限,創造一個工作區失敗與錯誤信息:“創建自定義雲我的角色在項目<項目> <你的角色>拒絕。”

查看工作狀態

在您創建一個工作空間,您可以查看其狀態工作區頁麵。

  • 供應:在進步。等待幾分鍾,刷新頁麵。

  • 運行:成功的工作部署。

  • 失敗的:失敗的部署。

  • 禁止:聯係你磚的代表。

  • 取消:在這個過程中取消。

如果狀態為新工作區失敗的,單擊工作區來查看詳細的錯誤消息。如果你不理解錯誤,請聯係您的磚的代表。

你不能更新的配置失敗的工作區。您必須刪除它,創建一個新的工作區。

登錄一個工作區

  1. 賬戶控製台並單擊工作區圖標。

  2. 行與您的工作區,點擊開放

  3. 作為工作空間管理員登錄,登錄與您的帳戶所有者或帳戶管理員的電子郵件地址和密碼。如果你配置單點登錄(SSO),單擊單點登錄按鈕。

安全工作空間的GCS桶在您的項目中

當您創建一個工作區,磚在穀歌的雲創建兩個穀歌雲存儲GCS桶在你GCP項目:

  • GCS桶存儲係統的數據生成時使用各種磚等特性創建筆記本。這個桶包括筆記本修訂,工作運行細節,命令的結果,並引發日誌。

  • 另一個gc桶存儲您的工作空間的根的存儲磚文件係統(DBFS)。DBFS根鬥不是用於生產存儲客戶數據。創建其他數據源的生產和存儲客戶數據的額外GCS桶。您可以選擇安裝額外的GCS桶的磚(DBFS)掛載文件係統。看到穀歌雲存儲

磚強烈建議您安全這些GCS水桶,這樣他們不是從外部訪問磚在穀歌的雲。

為了保障這些GCS桶:

  1. 在瀏覽器中去GCP雲控製台

  2. 選擇穀歌雲主機磚工作區項目。

  3. 去那個項目的存儲服務頁麵。

  4. 找的桶新工作區。他們的名字是:

    • 磚——<工作區id >

    • 磚——<工作區id >係統

  5. 對於每一個鬥:

    1. 單擊桶查看細節。

    2. 單擊權限選項卡。

    3. 審查所有成員列表的條目和確定訪問預計為每一個成員。

    4. 檢查我的條件列。一些權限,比如那些名為“磚服務占工作區”,我條件限製他們特定的桶。穀歌雲控製台界麵不評價條件,所以它可能顯示角色不能夠訪問桶。

      特別注意角色沒有任何我的條件。考慮添加限製:

      • 當添加存儲在項目級別或以上權限,使用我條件排除磚桶或隻允許特定的桶。

      • 選擇所需的權限的最小集合。例如,如果隻需要讀訪問,指定存儲觀眾而不是存儲管理。

        警告

        不使用基本的角色,因為他們是太過寬泛。

    5. 使穀歌雲數據訪問審計日誌記錄。磚強烈建議您啟用數據訪問審計日誌記錄的GCS桶磚製造。這使得更快地調查任何可能出現的問題。請注意,數據訪問審計日誌記錄可以增加GCP的使用成本。說明,請參閱配置數據訪問審計日誌

如果你有問題關於保護這些GCS桶,請聯係您的磚的代表。