Tạo Service Account cho Terraform chứng thực GCP (Google Cloud Platform)

25

Tạo Service Account cho Terraform chứng thực GCP (Google Cloud Platform)Cuongquach.com | Trước khi chúng ta có thể sử dụng Terraform để cấu hình/định nghĩa /quản lý các hạ tầng trên Google Cloud Platform (GCP) thì chúng ta cần có thông tin Service Account với các quyền hạn cụ thể để chứng thực tương tác với GCP Project và GCP Resource. Trong bài viết này sẽ hướng dẫn bạn tạo Service Account trên GCP.cau-hinh-terraform-chung-thuc-gcp

1. Tạo Service Account trên GCP cho Terraform

Chúng ta sẽ tạo một Service Account với các quyền hạn về OrganizationProject. Việc phân quyền cụ thể thì các bạn có thể linh động theo từng nhu cầu quản lý của team.

Trong bài này mình giả định bạn đã có :

  • Organization
  • Project

Bạn click vào “IAM & Admin” > Service Account.

Chọn “Create Service Account“, điền tên Service Account.

Kế đến là phần phân quyền :

  • Organization Administrator
  • Storage Admin: full quyền với dịch vụ Google Cloud Storage
  • Compute Admin: full quyền với dịch vụ Compute Engine
  • Kubernetes Engine Admin: full quyền quản lý dịch vụ Kubernetes Cluster
  • Compute Network Admin: full quyền quản lý dịch vụ Networking

Sau khi “DONE” bạn sẽ có thông tin Service Account ở trang quản lý .

Bạn bấm vào tài khoản Service Account vừa khởi tạo, để tạo một key mới giúp cung cấp thông tin về tài khoản chứng thực GCP cho terraform.

Chọn định dạng file json.

Sau đấy lưu thông tin file JSON Service Account xuống máy tính của bạn.

2. Phân quyền trên Organization (phụ)

Đây là phần phụ, nếu bạn muốn tài khoản Service Account Terraform có quyền khởi tạo các Project mới, thì cần thêm quyền hạn đối với Organization Google Cloud.

Bấm vào : Organization > Identity & Organization > IAM & Admin > SET PERMISSIONS

Chọn “ADD”.

Thêm thông tin Service Account đã tạo trước đó và thêm các quyền hạn role như sau (các bạn có thể tuỳ chỉnh theo yêu cầu quản trị) :

  • Folder Admin
  • Billing Account Administrator
  • Service Usage Admin
  • Project Creator
  • Logging Admin

3. Kích hoạt các GCP API cần thiết

Bạn cần kích hoạt các API sau cho Terraform sử dụng trên Project mà bạn quản lý hạ tầng:

+ Cloud Resource Manager API

+ Cloud Billing API

+ Identity and Access Management API

+ Compute Engine API

4. Cấu hình Terraform provider GCP

Giờ thì ta sẽ cấu hình Terraform với provider gcp (Terraform Provider GCP) xem có nhận thông tin Service Account đã khởi tạo chưa nhé. Từ đó Terraform sẽ có các quyền hạn tương ứng Service Account để quản lý hạ tầng GCP.

Ta tạo thử 1 VPC GCP mặc định nhé, ở bước 1 thì ta đã thêm quyền hạn về “Compute Networking” cho Service Account rồi.

File service-account.json, lúc nãy bạn download rồi thì để cùng cấp với thư mục cấu hình Terraform nhé.

Giờ terraform initterraform plan để test thử nào.

Chạy terraform apply để khởi tạo thử 1 VPC Network mặc định nào.

Vậy là bạn đã biết cách để tạo tài khoản Service Account giúp cho Terraform của bạn có thể chứng thực GCP và tương tác khởi tạo/quản lý hạ tầng trên GCP rồi đấy.

Nguồn: https://cuongquach.com/

LEAVE A REPLY

Please enter your comment!
Please enter your name here