Nei cluster Anthos su Bare Metal hai configurato i cluster di amministrazione per gestire altri cluster in modo sicuro. Puoi creare, aggiornare, eseguire l'upgrade o eliminare i cluster utente dai cluster di amministrazione. I cluster utente eseguono i carichi di lavoro separatamente dall'amministrazione, quindi le informazioni sensibili sono protette.
I cluster di amministrazione che gestiscono carichi di lavoro multi-cluster possono fornire un'affidabilità ad alta disponibilità. In un cluster ad alta disponibilità, se un nodo del piano di controllo non funziona, gli altri nodi continueranno a funzionare.
Un cluster di amministrazione in un ambiente multi-cluster offre la migliore sicurezza di base. Poiché l'accesso ai dati di amministrazione è separato dai carichi di lavoro, gli utenti che accedono ai carichi di lavoro degli utenti non hanno accesso a dati amministrativi sensibili, come le chiavi SSH e i dati degli account di servizio. Ne consegue un certo compromesso tra la sicurezza e le risorse necessarie, dato che un cluster di amministrazione separato significa che sono necessarie risorse dedicate per la gestione e i carichi di lavoro.
Puoi creare un cluster di amministrazione utilizzando il comando bmctl. Dopo aver creato un cluster di amministrazione, devi creare i cluster utente per eseguire i carichi di lavoro.
Prerequisiti:
- L'ultimo
bmctlè scaricato (gs://anthos-baremetal-release/bmctl/1.10.8/linux-amd64/bmctl) da Cloud Storage. - La workstation che esegue
bmctlha una connettività di rete a tutti i nodi nei cluster utente di destinazione. - La workstation che esegue
bmctlha una connettività di rete al server API del cluster (VIP del piano di controllo). - La chiave SSH utilizzata per creare il cluster di amministrazione è disponibile per il root, oppure esiste l'accesso utente SUDO su tutti i nodi nel cluster di amministrazione di destinazione.
- L'account di servizio Connect-register è configurato per l'utilizzo con Connect.
Consulta la guida rapida dei cluster Anthos su Bare Metal per istruzioni dettagliate sulla creazione di un cluster ibrido. La creazione di un cluster di amministrazione è simile alla creazione di un cluster ibrido, ad eccezione del fatto che non esegui carichi di lavoro nel cluster di amministrazione.
Abilita SELinux
Se vuoi attivare SELinux per proteggere i tuoi container, devi assicurarti che
SELinux sia abilitato in modalità Enforced su tutte le tue macchine host. A partire dai cluster Anthos su Bare Metal versione 1.9.0 o successive, puoi abilitare o disabilitare SELinux prima o dopo la creazione del cluster o gli upgrade del cluster. SELinux è abilitato per impostazione predefinita su Red Hat Enterprise Linux (RHEL) e CentOS. Se SELinux è disabilitato sulle
macchine host o non ne hai la certezza, consulta
Sicurezza dei container tramite SELinux
per le istruzioni su come abilitarlo.
I cluster Anthos su Bare Metal supportano SELinux solo in sistemi RHEL e CentOS.
Accedi all'interfaccia a riga di comando gcloud e crea un file di configurazione del cluster di amministrazione
Imposta le credenziali predefinite che i cluster Anthos su Bare Metal possono utilizzare per creare il cluster con il comando seguente:
gcloud auth application-default loginPer utilizzare l'abilitazione automatica delle API e la creazione di account di servizio in questa pagina, concedi il ruolo di proprietario del progetto a tale entità. Se il entità non può avere il ruolo di Proprietario del progetto, completa il passaggio successivo.
Per garantire che la creazione del cluster possa avere esito positivo senza concedere il ruolo di proprietario del progetto, aggiungi i seguenti ruoli IAM all'entità:
- Amministratore account di servizio
- Amministratore chiavi account di servizio
- Amministratore IAM progetto
- Visualizzatore Compute
- Amministratore Service Usage
Se l'entità è un account di servizio con tali ruoli, puoi eseguire:
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILESostituisci
JSON_KEY_FILEcon il percorso del file della chiave JSON dell'account di servizio.Recupera l'ID del tuo progetto Google Cloud e archivialo in una variabile di ambiente per utilizzarlo nella creazione del cluster:
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
Crea una configurazione del cluster di amministrazione con bmctl
Dopo aver eseguito l'accesso a gcloud e aver configurato il tuo progetto, puoi creare il file di configurazione del cluster con il comando bmctl.
Nell'esempio seguente, tutti gli account di servizio vengono creati automaticamente
dal comando bmctl create config:
bmctl create config -c ADMIN_CLUSTER_NAME --enable-apis \
--create-service-accounts --project-id=CLOUD_PROJECT_ID
Sostituisci quanto segue:
- ADMIN_CLUSTER_NAME: il nome del nuovo cluster.
- CLOUD_PROJECT_ID: il tuo ID progetto Google Cloud o la variabile di ambiente
$CLOUD_PROJECT_ID.
Ecco un esempio per creare un file di configurazione per un cluster di amministrazione denominato admin1 associato all'ID progetto my-gcp-project:
bmctl create config -c admin1 --create-service-accounts --enable-apis --project-id=my-gcp-project
Il file è scritto in bmctl-workspace/admin1/admin1.yaml.
In alternativa all'abilitazione automatica delle API e alla creazione di account di servizio, puoi anche fornire agli account di servizio esistenti le autorizzazioni IAM appropriate. Ciò significa che puoi saltare la creazione automatica dell'account di servizio
nell'esempio precedente nel comando bmctl:
bmctl create config -c admin1
Modifica il file di configurazione del cluster
Ora che hai un file di configurazione del cluster, modificalo per apportare le seguenti modifiche:
Fornisci la chiave privata SSH per accedere ai nodi del cluster di amministrazione:
# bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes # resource, this section can only be included when using bmctl to # create the initial admin/admin cluster. Afterwards, when creating user clusters by directly # applying the cluster and node pool resources to the existing cluster, you must remove this # section. gcrKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json sshPrivateKeyPath: /path/to/your/ssh_private_key gkeConnectAgentServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json gkeConnectRegisterServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json cloudOperationsServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.jsonPer le versioni 1.7.0 e successive, devi registrare i cluster con Connect all'ambiente di progetto.
- Se hai creato il file di configurazione, utilizzando l'abilitazione automatica delle API e la funzionalità di creazione dell'account di servizio, puoi saltare questo passaggio.
- Se hai creato il file di configurazione senza utilizzare l'abilitazione automatica delle API e le funzionalità di creazione dell'account di servizio, fai riferimento alle chiavi JSON dell'account di servizio scaricato nei campi
gkeConnectAgentServiceAccountKeyPathegkeConnectRegisterServiceAccountKeyPathdel file di configurazione del cluster corrispondente.
Verifica che la configurazione specifichi un tipo di cluster
admin(valore predefinito):spec: # Cluster type. This can be: # 1) admin: to create an admin cluster. This can later be used to create user clusters. # 2) user: to create a user cluster. Requires an existing admin cluster. # 3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads. # 4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters. type: adminModifica il file di configurazione per specificare un piano di controllo multinodo, ad alta disponibilità. Specifica un numero dispari di nodi per avere un quorum di maggioranza per l'alta disponibilità:
# Control plane configuration controlPlane: nodePoolSpec: nodes: # Control plane node pools. Typically, this is either a single machine # or 3 machines if using a high availability deployment. - address: 10.200.0.4 - address: 10.200.0.5 - address: 10.200.0.6Specifica la densità dei pod dei nodi del cluster e il runtime del container:
.... # NodeConfig specifies the configuration that applies to all nodes in the cluster. nodeConfig: # podDensity specifies the pod density configuration. podDensity: # maxPodsPerNode specifies at most how many pods can be run on a single node. maxPodsPerNode: 250 # containerRuntime specifies which container runtime to use for scheduling containers on nodes. # containerd and docker are supported. containerRuntime: containerd ....Per i cluster di amministrazione, i valori consentiti per
maxPodsPerNodesono32-250per i cluster ad alta disponibilità e64-250per i cluster non ad alta disponibilità. Il valore predefinito se non specificato è110. Una volta creato il cluster, questo valore non può essere aggiornato.Il runtime del container predefinito è containerd. In alternativa, puoi usare Docker. Per ulteriori informazioni sulla modifica del runtime, consulta la nostra guida per la modifica del runtime del container.
La densità dei pod è limitata anche dalle risorse IP disponibili del tuo cluster. Per maggiori dettagli, consulta la pagina relativa al networking dei pod.
Crea il cluster di amministrazione con la configurazione del cluster
Utilizza il comando bmctl per eseguire il deployment del cluster:
bmctl create cluster -c ADMIN_CLUSTER_NAME
ADMIN_CLUSTER_NAME specifica il nome del cluster creato nella sezione precedente.
Di seguito è riportato un esempio del comando per creare un cluster denominato admin1:
bmctl create cluster -c admin1
Esempi di configurazioni del cluster di amministrazione
Ad esempio, nella configurazione del cluster di amministrazione, consulta Cluster di amministrazione negli esempi di configurazione dei cluster.