Bereitstgestellte Ressourcen in Infrastructure Manager importieren

In dieser Anleitung wird gezeigt, wie Sie Google Cloud Ressourcen in ein Infrastructure Manager-Deployment importieren. Sie können nur Ressourcen importieren, die mit Terraform bereitgestellt wurden.

Wenn Sie eine Terraform-Konfiguration haben und sie noch nicht in Google Cloudbereitgestellt haben, lesen Sie den Artikel Infrastruktur mit Infrastructure Manager bereitstellen.

In dieser Anleitung wird zuerst eine Virtual Private Cloud (VPC) mit der Terraform CLI in Google Cloud bereitgestellt. Anschließend wird gezeigt, wie Sie diese bereitgestellten Ressourcen in Infrastructure Manager importieren, damit sie als Infrastructure Manager-Deployment verwaltet werden können.

Anhand des Beispiels in dieser Anleitung können Sie nachvollziehen, wie Sie andere Google Cloud Ressourcen in Infrastructure Manager importieren. Damit Sie das Deployment in Infrastructure Manager importieren können, muss die Terraform-Konfiguration, mit der die Ressourcen bereitgestellt wurden, den Einschränkungen entsprechen und die Ressourcen müssen mit einer unterstützten Terraform-Version bereitgestellt worden sein.

Kosten

In dieser Anleitung werden die folgenden kostenpflichtigen Komponenten von Google Cloudverwendet:

Hinweis

Melden Sie sich bei Ihrem Google-Konto an.

Wenn Sie noch kein Konto haben, melden Sie sich hier für ein neues Konto an.

Installieren Sie die Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Erstellen Sie ein neues Projekt oder wählen Sie ein vorhandenes Projekt Google Cloud aus.

Erforderliche Rollen zum Auswählen oder Erstellen eines Projekts

Projekt auswählen: Für die Auswahl eines Projekts ist keine bestimmte IAM-Rolle erforderlich. Sie können ein beliebiges Projekt auswählen, für das Ihnen eine Rolle zugewiesen wurde.
Projekt erstellen: Zum Erstellen eines Projekts benötigen Sie die Rolle „Projektersteller“ (roles/resourcemanager.projectCreator), die die resourcemanager.projects.create Berechtigung enthält. Rollen zuweisen.

Erstellen Sie ein Google Cloud Projekt in:
```
gcloud projects create PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch einen Namen für das Google Cloud Projekt, das Sie erstellen.
Wählen Sie das Google Cloud Projekt aus, das Sie erstellt haben:
```
gcloud config set project PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch Ihren Google Cloud Projektnamen.

Prüfen Sie, ob für Ihr Google Cloud Projekt die Abrechnung aktiviert ist.

Aktivieren Sie die Infrastructure Manager API:

Erforderliche Rollen zum Aktivieren von APIs

Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Rollen zuweisen.

gcloud services enable config.googleapis.com

Richten Sie die Authentifizierung ein:

Sie benötigen die IAM-Rolle „Dienstkonto-Ersteller“ (roles/iam.serviceAccountCreator) und die Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin). Rollen zuweisen.
Erstellen Sie das Dienstkonto:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
Ersetzen Sie SERVICE_ACCOUNT_NAME durch einen Namen für das Dienstkonto.
Weisen Sie dem Dienstkonto die IAM Rolle zu:roles/config.agent
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=roles/config.agent
```
Dabei gilt:
- SERVICE_ACCOUNT_NAME: der Name des Dienstkontos
- PROJECT_ID: die Projekt-ID, unter der Sie das Dienstkonto erstellt haben
Hinweis: Das --role Flag hat Einfluss darauf, auf welche Ressourcen in Ihrem Projekt das Dienstkonto zugreifen kann. Sie können diese Rollen später widerrufen oder zusätzliche Rollen erteilen.

Installieren Sie die Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Erstellen Sie ein neues Projekt oder wählen Sie ein vorhandenes Projekt Google Cloud aus.

Erforderliche Rollen zum Auswählen oder Erstellen eines Projekts

Projekt auswählen: Für die Auswahl eines Projekts ist keine bestimmte IAM-Rolle erforderlich. Sie können ein beliebiges Projekt auswählen, für das Ihnen eine Rolle zugewiesen wurde.
Projekt erstellen: Zum Erstellen eines Projekts benötigen Sie die Rolle „Projektersteller“ (roles/resourcemanager.projectCreator), die die resourcemanager.projects.create Berechtigung enthält. Rollen zuweisen.

Erstellen Sie ein Google Cloud Projekt in:
```
gcloud projects create PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch einen Namen für das Google Cloud Projekt, das Sie erstellen.
Wählen Sie das Google Cloud Projekt aus, das Sie erstellt haben:
```
gcloud config set project PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch Ihren Google Cloud Projektnamen.

Prüfen Sie, ob für Ihr Google Cloud Projekt die Abrechnung aktiviert ist.

Aktivieren Sie die Infrastructure Manager API:

Erforderliche Rollen zum Aktivieren von APIs

gcloud services enable config.googleapis.com

Richten Sie die Authentifizierung ein:

Sie benötigen die IAM-Rolle „Dienstkonto-Ersteller“ (roles/iam.serviceAccountCreator) und die Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin). Rollen zuweisen.
Erstellen Sie das Dienstkonto:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
Ersetzen Sie SERVICE_ACCOUNT_NAME durch einen Namen für das Dienstkonto.
Weisen Sie dem Dienstkonto die IAM Rolle zu:roles/config.agent
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=roles/config.agent
```
Dabei gilt:
- SERVICE_ACCOUNT_NAME: der Name des Dienstkontos
- PROJECT_ID: die Projekt-ID, unter der Sie das Dienstkonto erstellt haben
Hinweis: Das --role Flag hat Einfluss darauf, auf welche Ressourcen in Ihrem Projekt das Dienstkonto zugreifen kann. Sie können diese Rollen später widerrufen oder zusätzliche Rollen erteilen.

Installieren Sie eine unterstützte Version von Terraform.

Ressourcen inbereitstellen Google Cloud

Die Google Cloud Ressource, die Sie in dieser Anleitung bereitstellen, ist eine VPC. In diesem Abschnitt wird gezeigt, wie Sie die Ressource bereitstellen, um sie als Beispiel für den Import bereitgestellter Ressourcen in Infrastructure Manager zu verwenden.

In dieser Anleitung wird die Region us-central1 verwendet. Wenn Sie eine andere Region verwenden möchten, können Sie einen beliebigen Standort verwenden, an dem Infrastructure Manager ausgeführt wird. Eine Liste der gültigen Standorte finden Sie unter Infrastructure Manager-Standorte.

Berechtigungen für Ressourcen in der Konfiguration erteilen

Sie haben die Berechtigungen erteilt, die zum Ausführen von Infrastructure Manager erforderlich sind. Sie müssen aber auch Berechtigungen erteilen, die für die Ressourcen spezifisch sind, die in der Konfiguration beschrieben sind, die Sie bereitstellen.

Erteilen Sie Berechtigungen, um das VPC-Netzwerk erstellen zu können. Das ist die Ressource, die in der Terraform-Konfiguration definiert ist:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/compute.networkAdmin

Dabei gilt:

SERVICE_ACCOUNT_NAME: der Name des Dienstkontos.
PROJECT_ID: Ihre Projekt-ID.

Ressourcen mit der Terraform CLI bereitstellen

Erstellen Sie mit der folgenden Terraform-Konfiguration ein VPC-Netzwerk. Dazu führen Sie den folgenden Befehl aus:

mkdir vpc_to_import
cd vpc_to_import
cat <<EOF > main.tf
variable "project_id" {
  type = string
}

resource "google_compute_network" "vpc_network" {
  name = "my-custom-mode-network"
  project = var.project_id
}
EOF

Stellen Sie die Konfiguration mit der Terraform CLI bereit. Verwenden Sie dazu den folgenden Befehl:

terraform init
echo "**************  TERRAFORM APPLY  ******************"
terraform apply -var="project_id=PROJECT_ID" -auto-approve
cd ..

Wenn die VPC bereitgestellt wurde, sehen Sie eine Ausgabe, die mit dem Text Creation complete beginnt.

Die in der Terraform-Konfiguration definierte VPC wird jetzt inbereitgestellt Google Cloud. Terraform erstellt eine Zustandsdatei, die sich im Dateisystem neben der Datei main.tf befindet.

Platzhalter-Deployment in Infrastructure Manager erstellen

Wenn Sie Ressourcen in Infrastructure Manager importieren möchten, benötigen Sie ein vorhandenes Deployment in Infrastructure Manager.

In dieser Anleitung wird ein Storage-Bucket zum Speichern der Terraform-Konfiguration verwendet. Wenn Sie diese Anleitung verwenden, um zu erfahren, wie Sie andere Deployments in Infrastructure Manager importieren, können Sie die Terraform-Konfiguration in einem Storage-Bucket, einem öffentlichen Git-Repository oder auf Ihrem lokalen Computer speichern.

Fügen Sie dem Storage-Bucket eine leere Terraform-Konfiguration hinzu:

gcloud storage buckets create gs://import-deployment-configuration --project=PROJECT_ID

mkdir placeholder_deployment
cd placeholder_deployment
cat <<EOF > main.tf
EOF

gcloud storage cp main.tf gs://import-deployment-configuration
cd ..

Erstellen Sie ein Deployment mit Infrastructure Manager.

gcloud infra-manager deployments apply projects/PROJECT_ID/locations/us-central1/deployments/import-deployment \
--gcs-source gs://import-deployment-configuration \
--input-values project_id=PROJECT_ID \
--service-account projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT

Wenn das Deployment abgeschlossen ist, sehen Sie Folgendes:

Creating the deployment...done

Sie haben jetzt ein Infrastructure Manager-Deployment. Als Nächstes müssen Sie dieser Bereitstellung die Zustandsdatei und die Terraform-Konfiguration hinzufügen, damit die VPC von dieser Bereitstellung verwaltet wird.

Zustandsdatei und Terraform-Konfiguration importieren

Wenn Sie die bereitgestellte Ressource (die VPC) mit Infrastructure Manager verwalten möchten, müssen Sie die Zustandsdatei und die Terraform-Konfiguration in Infrastructure Manager hinzufügen.

Deployment sperren

Sperren Sie das Infrastructure Manager-Deployment, damit Sie Änderungen am Status vornehmen können.

LOCK_ID=$(gcloud infra-manager deployments lock projects/PROJECT_ID/locations/us-central1/deployments/import-deployment --format="get(lockId)")

Terraform-Zustandsdatei in Infrastructure Manager importieren

Importieren Sie die Zustandsdatei für Ihre bereitgestellten Ressourcen. Diese Zustandsdatei wurde von Terraform erstellt, als Sie die VPC mit der Terraform CLI bereitgestellt haben.

Laden Sie die Terraform-Zustandsdatei in das Infrastructure Manager-Deployment hoch.

SIGNED_STATE_UPLOAD_URL=$(gcloud infra-manager deployments import-statefile projects/PROJECT_ID/locations/us-central1/deployments/import-deployment --lock-id ${LOCK_ID} --format="get(signedUri)")
cd vpc_to_import
curl -s -X PUT --upload-file terraform.tfstate $SIGNED_STATE_UPLOAD_URL

Terraform-Konfiguration in den Cloud Storage-Bucket hochladen

Nachdem Sie die Terraform-Zustandsdatei hochgeladen haben, müssen Sie auch die Terraform-Konfiguration hochladen, die Sie zum Erstellen des VPC-Netzwerk verwendet haben. Infrastructure Manager benötigt die Terraform-Zustandsdatei, damit bei einer Infrastructure Manager-Vorschau keine Änderungen an den Ressourcen gefunden werden.

Laden Sie die Terraform-Konfiguration mit dem folgenden Befehl in Cloud Storage hoch:

gcloud storage cp main.tf gs://import-deployment-configuration

Deployment entsperren

Wenn Sie diese Anleitung verwenden, um zu erfahren, wie Sie Ressourcen in Infrastructure Manager importieren, müssen Sie darauf achten, dass sich die Zustandsdatei und die Terraform-Konfiguration nicht unterscheiden. Wenn es Unterschiede zwischen der Zustandsdatei und der Terraform-Konfiguration gibt, muss die Zustandsdatei die Ressourcen beschreiben, die Sie bereitstellen möchten. Wenn Sie das Deployment entsperren und es Unterschiede zwischen der Zustandsdatei und der Terraform-Konfiguration gibt, erstellt oder löscht Infrastructure Manager Ressourcen, damit sie mit der Zustandsdatei übereinstimmen.

Sie müssen das Deployment entsperren, um die Ressourcen mit Infrastructure Manager verwalten zu können. In dieser Anleitung beschreiben die Zustandsdatei und die Terraform-Konfiguration dieselbe Konfiguration. Daher erstellt oder löscht Infrastructure Manager keine Ressourcen.

Entfernen Sie die Sperre aus dem Deployment, indem Sie Folgendes ausführen.

gcloud infra-manager deployments unlock projects/PROJECT_ID/locations/us-central1/deployments/import-deployment \
--project PROJECT_ID \
--location us-central1 \
--lock-id ${LOCK_ID}

Nachdem die Zustandsdatei und die Terraform-Konfiguration Ihrem Infrastructure Manager-Deployment hinzugefügt wurden, haben Sie die bereitgestellten Ressourcen importiert. Die bereitgestellte VPC wird jetzt von Infrastructure Manager verwaltet.

Ressourcenänderungen in der Vorschau ansehen

Führen Sie eine Vorschau des Deployments aus, um zu bestätigen, dass der Terraform Status und die inbereitgestellten Ressourcen synchron sind. Google Cloud

Erstellen Sie mit dem folgenden Befehl eine Vorschau:

gcloud infra-manager previews create projects/PROJECT_ID/locations/us-central1/previews/IMPORT_DEPLOYMENT_PREVIEW_NAME \
--gcs-source gs://import-deployment-configuration \
--deployment projects/PROJECT_ID/locations/us-central1/deployments/import-deployment \
--service-account projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
--location us-central1

Rufen Sie die Details der Vorschau ab, um sicherzustellen, dass sie erfolgreich abgeschlossen wurde.

gcloud infra-manager previews describe projects/PROJECT_ID/locations/us-central1/previews/IMPORT_DEPLOYMENT_PREVIEW_NAME

Exportieren Sie die Vorschau, um die Änderungen zu überprüfen.

SIGNED_BIN_PLAN_URL=$(gcloud infra-manager previews export projects/PROJECT_ID/locations/us-central1/previews/IMPORT_DEPLOYMENT_PREVIEW_NAME --format "get(result.binarySignedUri)")
curl -X GET --output tfplan.out $SIGNED_BIN_PLAN_URL

Prüfen Sie mit dem folgenden Befehl, ob die Konfiguration lokal vorhanden und initialisiert ist:
```
terraform init
```
Führen Sie `terraform show` aus, um die Änderungen zwischen dem Infrastructure Manager-Deploymentstatus und der Konfiguration zu überprüfen.
```
terraform show tfplan.out
```

Wenn die VPC-Ressource on Google Cloud und die Zustandsdatei in sync sind, gibt terraform show Folgendes aus. Dadurch wird bestätigt, dass Infrastructure Manager keine Änderungen zwischen dem Deploymentstatus und der Konfiguration erkennt. Sie sehen eine Ausgabe ähnlich der folgenden:

No changes. Your infrastructure matches the configuration.

Terraform has compared your real infrastructure against your configuration and found no differences, so no changes are needed.

Sie haben jetzt die bereitgestellten Ressourcen importiert, sodass sie von Infrastructure Manager verwaltet werden. Sie können jetzt beispielsweise Infrastructure Manager verwenden, um das Deployment zu aktualisieren.

Sie können das Deployment auch aktualisieren , um zu prüfen, ob es erfolgreich in Infrastructure Manager importiert wurde.

Bereinigen

Damit Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen.

Projekt löschen

Achtung: Das Löschen von Projekten hat folgende Auswirkungen:

Alle Inhalte des Projekts werden gelöscht. Wenn Sie für die Aufgaben in diesem Dokument ein bereits bestehendes Projekt verwendet haben und dieses löschen, werden auch alle anderen im Rahmen des Projekts erstellten Daten gelöscht.
Benutzerdefinierte Projekt-IDs gehen verloren. Beim Erstellen dieses Projekts haben Sie möglicherweise eine benutzerdefinierte Projekt-ID erstellt, die Sie weiterhin verwenden möchten. Damit die URLs, die die Projekt-ID nutzen, z. B. eine appspot.com-URL, erhalten bleiben, sollten Sie ausgewählte Ressourcen innerhalb des Projekts löschen, statt das gesamte Projekt.

Wenn Sie mehrere Architekturen, Anleitungen und Kurzanleitungen durcharbeiten möchten, können Sie die Überschreitung von Projektkontingenten verhindern, indem Sie Projekte wiederverwenden.

Löschen Sie ein Google Cloud Projekt in:

gcloud projects delete PROJECT_ID

Einzelne Ressourcen löschen

Löschen Sie die VPC und die Metadaten zum Deployment:

gcloud infra-manager deployments delete projects/PROJECT_ID/locations/us-central1/deployments/quickstart-deployment

Nächste Schritte

Weitere Informationen zu Terraform mit Google Cloud.
Deployment aktualisieren.
Status eines Deployments ansehen.
Bereitgestellte Ressourcen ansehen.
Deployment löschen.