Criar clusters híbridos

Nos clusters do Anthos em bare metal, os clusters híbridos executam o papel duplo de um cluster de administrador e de um cluster de usuário. Eles executam cargas de trabalho e, ao mesmo tempo, gerenciam outros clusters e eles próprios.

Os clusters híbridos eliminam a necessidade de executar um cluster de administrador separado em cenários com recursos restritos e fornecem confiabilidade de alta disponibilidade (HA). Em um cluster híbrido de HA, se um nó falhar, outros assumirão seu lugar.

Os clusters híbridos são diferentes dos clusters autônomos porque também podem gerenciar outros clusters. Clusters autônomos não podem criar ou gerenciar outros clusters.

Porém, ao criar clusters híbridos, há certa compensação entre flexibilidade e segurança. Como os clusters híbridos se autogerenciam, executar cargas de trabalho no mesmo cluster aumenta o risco de exposição à segurança de dados administrativos confidenciais, como chaves SSH.

Use o comando bmctl para criar um cluster híbrido com um plano de controle de alta disponibilidade. O comando bmctl pode ser executado em uma estação de trabalho separada ou em um dos nós do cluster híbrido.

Pré-requisitos

  • O último bmctl é transferido por download (gs://anthos-baremetal-release/bmctl/1.11.8/linux-amd64/bmctl) do Cloud Storage.
  • A estação de trabalho que executa bmctl tem conectividade de rede com todos os nós no cluster híbrido de destino.
  • A estação de trabalho que executa bmctl tem conectividade de rede com o VIP do plano de controle do cluster híbrido de destino.
  • A chave SSH usada para criar o cluster híbrido disponível para a raiz ou acesso de usuário SUDO em todos os nós no cluster híbrido de destino.
  • A conta de serviço do Connect-register é configurada para uso com o Connect.

Consulte o guia de início rápido dos clusters do Anthos em bare metal para ver instruções passo a passo expandidas sobre como criar um cluster híbrido.

Ativar o SELinux

Se você quiser ativar o SELinux para proteger seus contêineres, verifique se o SELinux está ativado no modo Enforced em todas as máquinas host. A partir dos clusters do Anthos na versão Bare Metal 1.9.0 ou posterior, é possível ativar ou desativar o SELinux antes ou depois da criação do cluster ou dos upgrades do cluster. O SELinux é ativado por padrão no Red Hat Enterprise Linux (RHEL) e no CentOS. Se o SELinux estiver desativado em suas máquinas host ou se você não tiver certeza, consulte Como proteger seus contêineres usando o SELinux para instruções sobre como ativá-lo.

Os clusters do Anthos em bare metal são compatíveis com o SELinux apenas em sistemas RHEL e CentOS.

Fazer login no gcloud e criar um arquivo de configuração de cluster híbrido

  1. Faça login no gcloud como um usuário com o login gcloud auth application-default:
  2. gcloud auth application-default login
    
    Você precisa ter um papel de proprietário/editor do projeto para usar os recursos automáticos de ativação da API e de criação de contas de serviço, descritos abaixo. Também é possível adicionar os seguintes papéis de IAM ao usuário:
    • Administrador da conta de serviço
    • Administrador da chave da conta de serviço
    • Administrador de projetos do IAM
    • Leitor do Compute
    • Administrador do Service Usage
    Como alternativa, se você já tiver uma conta de serviço com esses papéis, execute:
    export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
    
    JSON_KEY_FILE especifica o caminho para o arquivo de chave JSON da sua conta de serviço.
  3. Receba o ID do projeto do Cloud para usar com a criação do cluster:
  4. export CLOUD_PROJECT_ID=$(gcloud config get-value project)
    

Crie o cluster híbrido com bmctl

Depois de fazer login no gcloud e configurar o projeto, será possível criar o arquivo de configuração do cluster com o comando bmctl. Observe que, neste exemplo, todas as contas de serviço são criadas automaticamente pelo comando bmctl create config:

bmctl create config -c HYBRID_CLUSTER_NAME --enable-apis \
    --create-service-accounts --project-id=CLOUD_PROJECT_ID

Veja a seguir um exemplo de criação de um arquivo de configuração para um cluster híbrido chamado hybrid1 associado ao ID do projeto my-gcp-project:

bmctl create config -c hybrid1 --create-service-accounts --project-id=my-gcp-project

O arquivo é gravado em bmctl-workspace/hybrid1/hybrid1.yaml.

Outra opção para ativar automaticamente APIs e criar contas de serviço é fornecer as contas de serviço atuais com permissões adequadas do IAM. Isso significa que é possível ignorar a criação automática de conta de serviço na etapa anterior no comando bmctl:

bmctl create config -c hybrid1

Editar o arquivo de configuração do cluster

Agora que você tem um arquivo de configuração de cluster, edite-o para fazer as alterações a seguir:

  1. Forneça a chave privada SSH para acessar os nós do cluster híbrido:

    # bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes
    # resource, this section can only be included when using bmctl to
    # create the initial admin/hybrid cluster. Afterwards, when creating user clusters by directly
    # applying the cluster and node pool resources to the existing cluster, you must remove this
    # section.
    gcrKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
    sshPrivateKeyPath: /path/to/your/ssh_private_key
    gkeConnectAgentServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
    gkeConnectRegisterServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
    cloudOperationsServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
    
  2. É necessário registrar seus clusters com o Connect da frota do projeto.

    • Se você tiver criado o arquivo de configuração usando os recursos automáticos de ativação da API e de criação de contas de serviço, pule esta etapa.
    • Se você criou o arquivo de configuração sem usar os recursos de ativação e de criação automática de contas de serviço da API, faça referência às chaves JSON da conta de serviço baixadas nos campos gkeConnectAgentServiceAccountKeyPath e gkeConnectRegisterServiceAccountKeyPath correspondentes do arquivo de configuração do cluster.
  3. Altere a configuração para especificar um tipo de cluster de hybrid em vez de admin:

    spec:
      # Cluster type. This can be:
      #   1) admin:  to create an admin cluster. This can later be used to create user clusters.
      #   2) user:   to create a user cluster. Requires an existing admin cluster.
      #   3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads.
      #   4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters.
      type: hybrid
    
  4. Altere a configuração para especificar um plano de controle com vários nós e de alta disponibilidade. Você quer especificar um número ímpar de nós para ter uma maioria de quórum para alta disponibilidade:

      # Control plane configuration
      controlPlane:
        nodePoolSpec:
          nodes:
          # Control plane node pools. Typically, this is either a single machine
          # or 3 machines if using a high availability deployment.
          - address: 10.200.0.4
          - address: 10.200.0.5
          - address: 10.200.0.6
    
  5. Especifique a densidade do pod dos nós do cluster e o ambiente de execução do contêiner:

    ....
    # NodeConfig specifies the configuration that applies to all nodes in the cluster.
    nodeConfig:
      # podDensity specifies the pod density configuration.
      podDensity:
        # maxPodsPerNode specifies at most how many pods can be run on a single node.
        maxPodsPerNode: 250
      # containerRuntime specifies which container runtime to use for scheduling containers on nodes.
      # containerd and docker are supported.
      containerRuntime: containerd
    ....
    

    Para clusters híbridos, os valores permitidos para maxPodsPerNode são 32-250 para clusters de alta disponibilidade e 64-250 para clusters que não são de alta disponibilidade. O valor padrão de maxPodsPerNode se não for especificado será 110. Depois que o cluster é criado, esse valor não pode ser atualizado.

    O ambiente de execução padrão do contêiner é o contêiner. Se preferir, use o Docker. Para mais informações sobre como alterar o ambiente de execução, consulte nosso guia de ambiente de execução do contêiner.

    A densidade de pods também é limitada pelos recursos de IP disponíveis do cluster. Para detalhes, consulte Rede de pod.

Criar o cluster híbrido com a configuração do cluster

Use o comando bmctl para implantar o cluster:

bmctl create cluster -c CLUSTER_NAME

CLUSTER_NAME especifica o nome do cluster que você criou na seção anterior.

Veja a seguir um exemplo do comando para criar um arquivo de configuração para um cluster chamado hybrid1:

bmctl create cluster -c hybrid1

Exemplos de configurações de cluster híbrido

Para exemplos de configurações de cluster híbridos, consulte Clusters híbridos nas amostras de configuração do cluster.