Riferimento per il campo di configurazione del cluster

anthosBareMetalVersion

Obbligatorio. Stringa. La versione del cluster. Questo valore è impostato per la creazione e gli upgrade dei cluster.

Mutabilità: questo valore non può essere modificato per i cluster esistenti. La versione può essere aggiornata solo tramite il processo di upgrade del cluster.

authentication

Questa sezione contiene le impostazioni necessarie per utilizzare OpenID Connect (OIDC). OIDC consente di utilizzare il provider di identità esistente per gestire l'autenticazione di utenti e gruppi nei cluster Anthos clusters on bare metal.

authentication.oidc.certificateAuthorityData

Facoltativo. Un certificato con codifica PEM con codifica base64 per il provider OIDC. Per creare la stringa, codifica il certificato, incluse le intestazioni, in base64. Includi la stringa risultante in certificateAuthorityData come una singola riga.

Ad esempio (esempio riportato per adattare alla tabella):

certificateAuthorityData:
        LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC
        ...k1JSUN2RENDQWFT==

authentication.oidc.clientID

Facoltativo. Stringa. L'ID dell'applicazione client che invia le richieste di autenticazione al provider OpenID.

authentication.oidc.clientSecret

Facoltativo. Stringa. Secret condiviso tra applicazione client OIDC e provider OIDC.

authentication.oidc.deployCloudConsoleProxy

Facoltativo. Booleano (true|false). Specifica se nel cluster viene eseguito il deployment di un proxy inverso per connettere la console Google Cloud a un provider di identità on-premise non accessibile pubblicamente su internet. Se il provider di identità non è raggiungibile tramite la rete Internet pubblica, imposta questo campo su true per eseguire l'autenticazione con la console Google Cloud. Per impostazione predefinita, questo valore è impostato su false.

authentication.oidc.extraParams

Facoltativo. Elenco delimitato da virgole. Parametri chiave-valore aggiuntivi da inviare al provider OpenID.

authentication.oidc.groupPrefix

Facoltativo. Stringa. Prefisso anteposto alle attestazioni dei gruppi per evitare conflitti con i nomi esistenti. Ad esempio, dati un gruppo dev e un prefisso oidc:, oidc:dev.

authentication.oidc.group

Facoltativo. Stringa. Attestazione JWT utilizzata dal provider per restituire i tuoi gruppi di sicurezza.

authentication.oidc.issuerURL

Facoltativo. Stringa URL. URL a cui vengono inviate le richieste di autorizzazione al tuo OpenID, ad esempio https://example.com/adfs. Il server API Kubernetes utilizza questo URL per trovare chiavi pubbliche per la verifica dei token. L'URL deve utilizzare HTTPS.

authentication.oidc.kubectlRedirectURL

Facoltativo. Stringa URL. L'URL di reindirizzamento utilizzato da kubectl per l'autorizzazione. Quando abiliti OIDC, devi specificare un valore kubectlRedirectURL.

authentication.oidc.proxy

Facoltativo. Stringa URL. Server proxy da utilizzare per consentire al cluster di connettersi al provider OIDC, se applicabile. Il valore deve includere un nome host/indirizzo IP e, facoltativamente, una porta, un nome utente e una password. Ad esempio: http://user:password@10.10.10.10:8888.

authentication.oidc.scopes

Facoltativo. Elenco delimitato da virgole. Ambiti aggiuntivi da inviare al provider OpenID. Microsoft Azure e Okta richiedono l'ambito offline_access.

authentication.oidc.usernamePrefix

Facoltativo. Stringa. Prefisso anteposto alle rivendicazioni del nome utente.

authentication.oidc.username

Facoltativo. Stringa. JWT dichiara di essere utilizzato come nome utente. Se non specificato, il valore predefinito è sub.

bypassPreflightCheck

Facoltativo. Valore booleano (true|false). Se impostato su true, i controlli preflight interni vengono ignorati quando applichi le risorse ai cluster esistenti. Il valore predefinito è false.

Mutabilità: questo valore può essere modificato per i cluster esistenti con il comando bmctl update.

clusterNetwork

Questa sezione contiene le impostazioni di rete per il cluster.

clusterNetwork.advancedNetworking

Valore booleano. Imposta questo campo su true per abilitare funzionalità di networking avanzate, come il bilanciamento del carico in bundle con BGP o il gateway NAT in uscita. Entrambe queste funzionalità utilizzano Anthos Network Gateway. Anthos Network Gateway è il componente chiave per abilitare le funzionalità di networking avanzate in GKE Enterprise e Google Kubernetes Engine (GKE). Uno dei principali vantaggi di Anthos Network Gateway è la possibilità di allocare dinamicamente indirizzi IP mobili da un set di indirizzi specificati in una risorsa personalizzata "NetworkGatewayGroup".

Per saperne di più su Anthos Network Gateway e sulle relative funzionalità di networking avanzate, consulta Configurare un gateway NAT in uscita e Configurare bilanciatori del carico in bundle con BGP.

clusterNetwork.bundledIngress

Valore booleano. Imposta questo campo su false per disabilitare le funzionalità di Ingress in bundle con GKE su Bare Metal. Le funzionalità Ingress in bundle per il tuo cluster supportano solo il traffico in entrata. Se esegui l'integrazione con Istio o Anthos Service Mesh per usufruire degli ulteriori vantaggi di un mesh di servizi completamente funzionale, ti consigliamo di disabilitare Ingress in bundle. Questo campo è impostato su true per impostazione predefinita. Questo campo non è presente nel file di configurazione del cluster generato. Puoi disabilitare Ingress in bundle solo per i cluster versione 1.13.0 e successive.

Per maggiori informazioni sulle funzionalità Ingress in bundle, consulta Creare un servizio e un Ingress.

clusterNetwork.flatIPv4

Valore booleano. Imposta questo campo su true per abilitare il modello di networking del cluster in modalità flat. In modalità flat, ogni pod ha un indirizzo IP univoco e univoco. I pod possono comunicare tra loro direttamente senza bisogno di un gateway intermedio o di un NAT (Network Address Translation). flatIPv4 è false per impostazione predefinita. Puoi abilitare la modalità flat solo durante la creazione del cluster. Dopo aver abilitato la modalità flat per il cluster, non puoi disabilitarla.

clusterNetwork.multipleNetworkInterfaces

Facoltativo. Valore booleano. Imposta questo campo su true per abilitare più interfacce di rete per i pod.

Per ulteriori informazioni sulla configurazione e sull'utilizzo di più interfacce di rete, consulta la documentazione sull'anteprima Configurare più interfacce di rete per i pod.

clusterNetwork.pods.cidrBlocks

Obbligatorio. Intervallo di indirizzi IPv4 in formato a blocchi CIDR. I pod specificano gli intervalli IP da cui vengono allocate le reti di pod.

• Intervallo CIDR pod minimo: valore della maschera /18, che corrisponde a una dimensione di 14 bit (16.384 indirizzi IP).
• Intervallo CIDR massimo del pod: valore della maschera /8, che corrisponde a una dimensione di 24 bit (16.777.216 indirizzi IP).

Ad esempio:

pods:
  cidrBlocks:
  - 192.168.0.0/16

clusterNetwork.sriovOperator

Facoltativo. Valore booleano. Imposta questo campo su true per abilitare il networking SR-IOV per il tuo cluster.

Per saperne di più sulla configurazione e sull'utilizzo del networking SR-IOV, consulta la documentazione sulla configurazione del networking SR-IOV.

clusterNetwork.services.cidrBlocks

Obbligatorio. Intervallo di indirizzi IPv4 in formato a blocchi CIDR. Specifica l'intervallo di indirizzi IP da cui vengono allocati gli indirizzi IP virtuali (VIP) del servizio. Gli intervalli non devono sovrapporsi ad alcuna subnet raggiungibile dalla tua rete. Per ulteriori informazioni sull'allocazione di indirizzi per Internet privati, consulta il documento RFC 1918.

• Intervallo CIDR minimo del servizio: il valore della maschera di /24, che corrisponde a una dimensione di 8 bit (256 indirizzi).
• Intervallo CIDR massimo del servizio: il valore della maschera /12, che corrisponde a una dimensione di 20 bit (1.048.576 indirizzi IP).

Ad esempio:

services:
  cidrBlocks:
  - 10.96.0.0/12

clusterOperations

Questa sezione contiene informazioni su Cloud Logging e Cloud Monitoring.

clusterOperations.enableApplication

Valore booleano. Imposta su true per raccogliere log/metriche delle applicazioni, oltre alla raccolta predefinita di log/metriche di sistema, che corrispondono ai componenti del sistema, come il piano di controllo Kubernetes o gli agenti di gestione dei cluster. Puoi modificare questo valore in qualsiasi momento.

clusterOperations.disableCloudAuditLogging

Valore booleano. Cloud Audit Logs è utile per analizzare le richieste API sospette e per raccogliere statistiche. Cloud Audit Logs è abilitato (disableCloudAuditLogging: false) per impostazione predefinita. Imposta su true per disabilitare Cloud Audit Logs.

Per maggiori informazioni, consulta la pagina Utilizzare l'audit logging.

clusterOperations.location

Stringa. Una regione Google Cloud in cui vuoi archiviare i log di Logging e le metriche di Monitoring. È una buona idea scegliere una regione vicina al tuo data center on-premise. Per maggiori informazioni, consulta la pagina Località globali.

Ad esempio:

location: us-central1

clusterOperations.projectID

Stringa. L'ID del progetto Google Cloud in cui vuoi visualizzare log e metriche.

controlPlane

Questa sezione contiene informazioni sul piano di controllo e sui suoi componenti.

controlPlane.nodePoolSpec

Questa sezione specifica gli indirizzi IP per il pool di nodi utilizzato dal piano di controllo e dai suoi componenti. La specifica del pool di nodi del piano di controllo (come la specifica del pool di nodi del bilanciatore del carico) è speciale. Questa specifica dichiara e controlla le risorse cluster critiche. L'origine canonica per questa risorsa è questa sezione nel file di configurazione del cluster. Non modificare direttamente le risorse del pool di nodi del piano di controllo di primo livello. Modifica le sezioni associate nel file di configurazione del cluster.

controlPlane.nodePoolSpec.nodes

Obbligatorio. Un array di indirizzi IP. In genere, questo array corrisponde a un indirizzo IP per una singola macchina oppure agli indirizzi IP per tre macchine per un deployment ad alta disponibilità.

Ad esempio:

controlPlane:
  nodePoolSpec:
    nodes:
    - address: 192.168.1.212
    - address: 192.168.1.213
    - address: 192.168.1.214
        

Questo campo può essere modificato ogni volta che aggiorni o esegui l'upgrade di un cluster.

gkeConnect

Questa sezione contiene informazioni sul progetto Google Cloud che vuoi utilizzare per connettere il cluster a Google Cloud.

gkeConnect.projectID

Obbligatorio: stringa. L'ID del progetto Google Cloud che vuoi utilizzare per connettere il cluster a Google Cloud. Detto anche progetto host del parco risorse.

Ad esempio:

spec:
  ...
  gkeConnect:
    projectID: "my-connect-project-123"

Questo valore non può essere modificato per i cluster esistenti.

kubevirt.useEmulation (deprecato)

Obsoleto. A partire dalla release 1.11.2, puoi abilitare o disabilitare il runtime VM su Google Distributed Cloud aggiornando solo la risorsa personalizzata VMRuntime. Valore booleano. Determina se viene utilizzata o meno l'emulazione software per eseguire le macchine virtuali. Se il nodo supporta la virtualizzazione hardware, imposta useEmulation su false per migliorare le prestazioni. Se la virtualizzazione hardware non è supportata o hai dubbi, impostala su true.

loadBalancer

Questa sezione contiene le impostazioni per il bilanciamento del carico del cluster.

loadBalancer.addressPools

oggetto. Il nome e un array di indirizzi IP per il pool del bilanciatore del carico del cluster. La configurazione del pool di indirizzi è valida solo per la modalità LB bundled nei cluster non amministrativi. Puoi aggiungere nuovi pool di indirizzi in qualsiasi momento, ma non puoi modificare o rimuovere i pool di indirizzi esistenti.

loadBalancer.addressPools.addresses

Array di intervalli di indirizzi IP. Specifica un elenco di intervalli IP non sovrapposti per il bilanciatore del carico del piano dati. Tutti gli indirizzi devono trovarsi nella stessa subnet dei nodi del bilanciatore del carico.

Ad esempio:

addressPools:
- name: pool1
  addresses:
  - 192.168.1.0-192.168.1.4
  - 192.168.1.240/28
  

loadBalancer.addressPools.name

Stringa. Il nome che scegli per il pool del bilanciatore del carico del cluster.

loadBalancer.addressPools.avoidBuggyIPs

Facoltativo. Booleano (true | false). Se true, il pool omette gli indirizzi IP che terminano con .0 e .255. Alcuni componenti hardware di rete interrompono il traffico verso questi indirizzi speciali. Puoi omettere questo campo; il valore predefinito è false.

loadBalancer.addressPools.manualAssign

Facoltativo. Booleano (true | false). Se true, gli indirizzi in questo pool non vengono assegnati automaticamente ai servizi Kubernetes. Se true, un indirizzo IP in questo pool viene utilizzato solo quando è specificato esplicitamente da un servizio. Puoi omettere questo campo. Il valore predefinito è false.

loadBalancer.mode

Obbligatorio. Stringa. Specifica la modalità di bilanciamento del carico. In modalità bundled, GKE su Bare Metal installa un bilanciatore del carico sui nodi del bilanciatore del carico durante la creazione del cluster. In modalità manual, il cluster si basa su un bilanciatore del carico esterno configurato manualmente. Per saperne di più, consulta la panoramica dei bilanciatori del carico.

Valori consentiti: bundled | manual

loadBalancer.type

Facoltativo. Stringa. Specifica il tipo di bilanciamento del carico in bundle utilizzato, il livello 2 o il protocollo BGP (Border Gateway Protocol). Se utilizzi il bilanciamento del carico standard in bundle, imposta type su layer2. Se utilizzi il bilanciamento del carico in bundle con BGP, imposta type su bgp. Se non imposti type, il valore predefinito sarà layer2.

Valori consentiti: layer2 | bgp

loadBalancer.nodePoolSpec

Facoltativo. Utilizza questa sezione per configurare un pool di nodi del bilanciatore del carico. I nodi specificati fanno parte del cluster Kubernetes ed eseguono carichi di lavoro e bilanciatori del carico normali. Se non specifichi un pool di nodi, i nodi del piano di controllo vengono utilizzati per il bilanciamento del carico. Questa sezione si applica solo quando la modalità di bilanciamento del carico è impostata su bundled.

loadBalancer.nodePoolSpec.nodes

Questa sezione contiene un array di indirizzi IP per i nodi nel pool di nodi del bilanciatore del carico.

loadBalancer.nodePoolSpec.nodes.address

Facoltativo. Stringa (indirizzo IPv4). Indirizzo IP di un nodo.

loadBalancer.ports.controlPlaneLBPort

Numero. La porta di destinazione utilizzata per il traffico inviato al piano di controllo Kubernetes (server API Kubernetes).

loadBalancer.vips.controlPlaneVIP

Obbligatorio. Specifica l'indirizzo IP virtuale (VIP) per la connessione al server API Kubernetes. Questo indirizzo non deve rientrare nell'intervallo degli indirizzi IP utilizzati per i pool di indirizzi del bilanciatore del carico, loadBalancer.addressPools.addresses.

loadBalancer.vips.ingressVIP

Facoltativo. Stringa (indirizzo IPv4). L'indirizzo IP che hai scelto di configurare sul bilanciatore del carico per il traffico in entrata.

loadBalancer.localASN

Facoltativo. Stringa. Specifica il numero di sistema autonomo (ASN) per il cluster in fase di creazione. Questo campo viene utilizzato durante la configurazione della soluzione di bilanciamento del carico in bundle che utilizza il protocollo BGP (Border Gateway Protocol). Per saperne di più, consulta Configurare bilanciatori del carico in bundle con BGP.

loadBalancer.bgpPeers

Facoltativo. Oggetto (elenco di mappature). Questa sezione specifica uno o più peer BGP (Border Gateway Protocol) dalla tua rete locale (esterna al cluster). Puoi specificare i peer BGP quando configuri il bilanciamento del carico del piano di controllo come parte della soluzione di bilanciamento del carico in bundle che utilizza BGP. Ogni peer viene specificato con una mappatura, composta da un indirizzo IP, un numero di sistema autonomo (ASN) e, facoltativamente, un elenco di uno o più indirizzi IP per i nodi del piano di controllo. La configurazione di peering BGP per il bilanciamento del carico del piano di controllo non può essere aggiornata dopo la creazione del cluster.

Ad esempio:

loadBalancer:
  mode: bundled
  type: bgp
  localASN: 65001
  bgpPeers:
  - ip: 10.0.1.254
    asn: 65002
    controlPlaneNodes:
      - 10.0.1.10
      - 10.0.1.11
  - ip: 10.0.2.254
    asn: 65002
    controlPlaneNodes:
      - 10.0.2.10
  

Per saperne di più, consulta Configurare bilanciatori del carico in bundle con BGP.

loadBalancer.bgpPeers.ip

Facoltativo. Stringa (indirizzo IPv4). L'indirizzo IP di un dispositivo di peering esterno della tua rete locale. Per saperne di più, consulta Configurare bilanciatori del carico in bundle con BGP.

loadBalancer.bgpPeers.asn

Facoltativo. Stringa. Il numero di sistema autonomo (ASN) per la rete che contiene il dispositivo peer esterno. Specifica un ASN per ogni peer BGP configurato per il bilanciamento del carico del piano di controllo, quando configuri la soluzione di bilanciamento del carico in bundle che utilizza BGP. Per saperne di più, consulta Configurare bilanciatori del carico in bundle con BGP.

loadBalancer.bgpPeers.controlPlaneNodes

Facoltativo. Array di indirizzi IP (IPv4). Uno o più indirizzi IP per i nodi del piano di controllo che si connettono al peer BGP esterno, quando configuri la soluzione di bilanciamento del carico in bundle che utilizza BGP. Se non specifichi alcun nodo del piano di controllo, tutti i nodi del piano di controllo si connetteranno al peer esterno. Se specifichi uno o più indirizzi IP, solo i nodi specificati partecipano alle sessioni di peering. Per saperne di più, consulta Configurare bilanciatori del carico in bundle con BGP.

maintenanceBlocks.cidrBlocks

Facoltativo. Un singolo indirizzo IPv4 o un intervallo di indirizzi IPv4. Specifica gli indirizzi IP per le macchine nodo che vuoi attivare in modalità di manutenzione. Per maggiori informazioni, consulta la pagina relativa all'attivazione della modalità di manutenzione dei nodi.

Ad esempio:

  maintenanceBlocks:
    cidrBlocks:
    - 192.168.1.200  # Single machine
    - 192.168.1.100-192.168.1.109  # Ten machines
  

nodeAccess.loginUser

Facoltativo. Stringa. Specifica il nome utente non root che vuoi utilizzare per l'accesso alla funzionalità SUDO senza password alle macchine nodo nel tuo cluster. La chiave SSH, sshPrivateKeyPath, deve funzionare per l'utente specificato. Le operazioni di creazione e aggiornamento del cluster verificano che sia possibile accedere alle macchine nodo con la chiave utente e SSH specificate.

osEnvironmentConfig.addPackageRepo

Facoltativo. Booleano (true|false). Specifica se aggiungere il repository dei pacchetti durante l'inizializzazione delle macchine Bare Metal.

nodeConfig

Questa sezione contiene le impostazioni per la configurazione dei nodi cluster.

nodeConfig.containerRuntime (deprecato)

Ritirato. A partire dalla release 1.13.0, GKE su Bare Metal supporta containerd solo come runtime dei container. Il campo containerRuntime è deprecato ed è stato rimosso dal file di configurazione del cluster generato. Per GKE su Bare Metal versione 1.13.0 e successive, se il file di configurazione del cluster contiene questo campo, il valore deve essere containerd.

nodeConfig.podDensity

Questa sezione specifica la configurazione della densità dei pod.

nodeConfig.podDensity.maxPodsPerNode

Facoltativo. Numero intero. Specifica il numero massimo di pod che possono essere eseguiti su un singolo nodo. Per i cluster autogestiti, i valori consentiti per maxPodsPerNode sono 32-250 per i cluster ad alta disponibilità e 64-250 per i cluster non ad alta disponibilità. Per i cluster utente, i valori consentiti per maxPodsPerNode sono 32-250. Il valore predefinito se non specificato è 110. Una volta creato il cluster, questo valore non può essere aggiornato.

Kubernetes assegna un blocco CIDR (Classless Inter-Domain Routing) a ciascun nodo in modo che ogni pod possa avere un indirizzo IP univoco. Le dimensioni del blocco CIDR corrispondono al numero massimo di pod per nodo. Per saperne di più sull'impostazione del numero massimo di pod per nodo, consulta la sezione Networking dei pod.

profile

Facoltativo. Stringa. Se profile è impostato su edge per un cluster autonomo, riduce al minimo il consumo di risorse del cluster. Il profilo perimetrale è disponibile solo per i cluster autonomi. Il profilo perimetrale ha requisiti in termini di risorse di sistema ridotti ed è consigliato per i dispositivi periferici con vincoli restrittivi per le risorse. Per i requisiti hardware associati al profilo perimetrale, consulta Requisiti delle risorse per i cluster autonomi che utilizzano il profilo perimetrale.

proxy

Se la rete è protetta da un server proxy, compila questa sezione. In caso contrario, rimuovi questa sezione.

proxy.noProxy

Stringa. Un elenco separato da virgole di indirizzi IP, intervalli di indirizzi IP, nomi host e nomi di dominio che non devono passare attraverso il server proxy. Quando GKE su Bare Metal invia una richiesta a uno di questi indirizzi, host o domini, la richiesta viene inviata direttamente.

proxy.url

Stringa. L'indirizzo HTTP del server proxy. Includi il numero di porta anche se è uguale a quella predefinita dello schema.

Ad esempio:

proxy:
  url: "http://my-proxy.example.local:80"
  noProxy: "10.151.222.0/24, my-host.example.local,10.151.2.1"
  

clusterSecurity

Questa sezione specifica le impostazioni relative alla sicurezza del cluster.

clusterSecurity.enableSeccomp (Anteprima)

Facoltativo. Booleano (true|false). Abilita/disabilita "seccomp" a livello di cluster. Quando questo campo è disabilitato, i container senza un profilo "seccomp" nel file di configurazione del cluster vengono eseguiti senza restrizioni. Quando questo campo è abilitato, gli stessi container vengono protetti tramite il profilo "seccomp" predefinito del runtime dei container. Questa funzionalità è abilitata per impostazione predefinita. Dopo la creazione del cluster, questo campo può essere attivato solo durante l'upgrade. Per saperne di più, consulta Utilizzare seccomp per limitare i contenitori.

clusterSecurity.enableRootlessContainers

Facoltativo. Booleano (true|false). Attiva/disattiva i container di sistema rootless bare metal. Quando questo campo è abilitato, i container di sistema Bare Metal vengono eseguiti come utente non root con un ID utente compreso nell'intervallo 2000-5000. Se disattivati, i container di sistema Bare Metal vengono eseguiti come utente root. Questa funzionalità è abilitata per impostazione predefinita. La disattivazione di questa funzionalità è vivamente sconsigliata, perché l'esecuzione dei container come utente root rappresenta un rischio per la sicurezza. Dopo la creazione del cluster, questo campo può essere attivato solo durante l'upgrade. Per saperne di più, consulta Non eseguire i container come utente root.

clusterSecurity.authorization

Facoltativo. L'autorizzazione configura l'accesso utente al cluster.

clusterSecurity.authorization.clusterAdmin

Facoltativo. Specifica l'amministratore del cluster per questo cluster.

clusterSecurity.authorization.clusterAdmin.gcpAccounts

Facoltativo. Il campo gcpAccounts specifica un elenco di account a cui è stato concesso il ruolo clusterrole/cluster-admin di controllo dell'accesso basato sui ruoli (RBAC) di Kubernetes. Gli account con questo ruolo hanno accesso completo a ogni risorsa nel cluster in tutti gli spazi dei nomi. Questo campo configura anche i criteri RBAC che consentono agli account specificati di utilizzare il gateway di connessione per eseguire i comandi kubectl sul cluster. Questa opzione è comoda se hai più cluster da gestire, in particolare in un ambiente ibrido con cluster GKE e on-premise.

Questi criteri RBAC consentono inoltre agli utenti di accedere alla console Google Cloud utilizzando la propria identità Google, se dispongono dei ruoli Identity and Access Management necessari per accedere alla console.

Questo campo accetta un array di nomi di account. Gli account utente e gli account di servizio sono supportati. Per gli utenti, devi specificare gli indirizzi email del loro account Google Cloud. Per gli account di servizio, specifica gli indirizzi email nel seguente formato: SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com. Ad esempio:

...
clusterSecurity:
  authorization:
    clusterAdmin:
      gcpAccounts:
      - alex@example.com
      - hao@example.com
      - my-sa@example-project-123.iam.gserviceaccount.com
...

Quando aggiorni un cluster per aggiungere un account, assicurati di includere tutti gli account nell'elenco (sia quelli esistenti sia quelli nuovi) perché il comando di aggiornamento sovrascrive l'elenco con quanto specificato nell'aggiornamento.

Questo campo si applica solo ai cluster che possono eseguire carichi di lavoro. Ad esempio, non puoi specificare gcpAccounts per i cluster di amministrazione.

storage.lvpNodeMounts.path

Obbligatorio. Stringa. Utilizza il campo path per specificare il percorso della macchina host in cui è possibile rilevare i dischi montati. Per ogni montaggio viene creato un PersistentVolume (PV) locale. Il percorso predefinito è /mnt/localpv-share. Per le istruzioni per la configurazione dei montaggi dei nodi, consulta Configurare i montaggi dei nodi LVP.

storage

Questa sezione contiene le impostazioni per l'archiviazione del cluster.

storage.lvpNodeMounts

Questa sezione specifica la configurazione (percorso) per i volumi permanenti locali supportati da dischi montati. Devi formattare e montare questi dischi autonomamente. Puoi eseguire questa attività prima o dopo la creazione del cluster. Per maggiori informazioni, consulta Montaggi dei nodi LVP.

storage.lvpShare

Questa sezione specifica la configurazione per i volumi permanenti locali supportati da sottodirectory in un file system condiviso. Queste sottodirectory vengono create automaticamente durante la creazione del cluster. Per maggiori informazioni, consulta la pagina relativa alla condivisione LVP.

storage.lvpShare.path

Obbligatorio. Stringa. Utilizza il campo path per specificare il percorso della macchina host in cui è possibile creare le sottodirectory. Per ogni sottodirectory viene creato un PersistentVolume (PV) locale. Per istruzioni su come configurare la condivisione LVP, consulta Configurazione di una condivisione LVP.

storage.lvpShare.numPVUnderSharedPath

Obbligatorio. Stringa. Specifica il numero di sottodirectory da creare in lvpShare.path. Il valore predefinito è 5. Per istruzioni su come configurare la condivisione LVP, consulta Configurazione di una condivisione LVP.

storage.lvpShare.storageClassName

Obbligatorio. Stringa. Specifica il valore di StorageClass da utilizzare per creare volumi permanenti. StorageClass viene creato durante la creazione del cluster. Il valore predefinito è local-shared. Per le istruzioni sulla configurazione della condivisione LVP, consulta Configurazione di una condivisione LVP.

type

Obbligatorio. Stringa. Specifica il tipo di cluster. Il modello di deployment standard è costituito da un singolo cluster di amministrazione e da uno o più cluster utente, gestiti dal cluster di amministrazione. GKE su Bare Metal supporta i seguenti tipi di cluster:

• Amministratore: cluster utilizzato per gestire i cluster utente.
• Utente: cluster utilizzato per eseguire carichi di lavoro.
• Ibrido: cluster singolo per amministrazione e carichi di lavoro, in grado di gestire anche cluster utente.
• Indipendente: cluster singolo che può amministrare autonomamente e che può anche eseguire carichi di lavoro, ma non può creare o gestire altri cluster utente.

Il tipo di cluster viene specificato al momento della creazione del cluster e non può essere modificato per gli aggiornamenti o gli upgrade. Per ulteriori informazioni su come creare un cluster, consulta Creazione di cluster: panoramica.

Valori consentiti: admin | user | hybrid | standalone

Questo valore non può essere modificato per i cluster esistenti.

name

Obbligatorio. Stringa. In genere, il nome dello spazio dei nomi utilizza un pattern di cluster-CLUSTER_NAME, ma il prefisso cluster- non è strettamente richiesto dalla release 1.7.2 di GKE su Bare Metal.

Questo valore non può essere modificato per i cluster esistenti.

clusterName

Stringa. Obbligatorio. Il nome del cluster a cui stai aggiungendo il pool di nodi. Crea la risorsa del pool di nodi nello stesso spazio dei nomi del cluster associato e fai riferimento al nome del cluster in questo campo. Per saperne di più, consulta Aggiungere e rimuovere pool di nodi in un cluster.

Ad esempio:

apiVersion: baremetal.cluster.gke.io/v1
kind: NodePool
metadata:
  name: node-pool-new
  namespace: cluster-my-cluster
spec:
  clusterName: my-cluster
  nodes:
  - address:  10.200.0.10
  - address:  10.200.0.11
  - address:  10.200.0.12

nodes

Facoltativo. Array di indirizzi IP (IPv4). Questo definisce il pool di nodi per i nodi worker.

nodes.address

Facoltativo. Stringa (indirizzo IPv4). Uno o più indirizzi IP per i nodi che costituiscono il pool per i nodi worker.

taints

Facoltativo. oggetto. Un'incompatibilità dei nodi consente di contrassegnare un nodo in modo che lo scheduler ne eviti o ne impedisca l'utilizzo per determinati pod. Un'incompatibilità è composta da una coppia chiave-valore e da un effetto associato. I valori key e value sono stringhe utilizzate per identificare l'incompatibilità, mentre il valore effect specifica come vengono gestiti i pod per il nodo. L'oggetto taints può avere più incompatibilità.

Il campo effect può assumere uno dei seguenti valori:

• NoSchedule: nessun pod è in grado di eseguire la pianificazione sul nodo a meno che non abbia una tolleranza corrispondente.
• PreferNoSchedule: il sistema evita di posizionare un pod che non tollera l'incompatibilità sul nodo, ma non è necessario.
• NoExecute: i pod che non tollerano l'incompatibilità vengono rimossi immediatamente, mentre i pod che tollerano l'incompatibilità non vengono mai rimossi.

Per GKE su Bare Metal, le incompatibilità vengono riconciliate con i nodi del pool di nodi a meno che non venga applicata al cluster l'annotazione baremetal.cluster.gke.io/label-taint-no-sync. Per maggiori informazioni sulle incompatibilità, consulta Incompatibilità e tolleranze.

Ad esempio:

  taints:
  - key: status
    value: testpool
    effect: NoSchedule
  

labels

Facoltativo. Mappatura (coppie chiave-valore). Le etichette vengono riconciliate con i nodi del pool di nodi a meno che al cluster non venga applicata l'annotazione baremetal.cluster.gke.io/label-taint-no-sync. Per maggiori informazioni sulle etichette, consulta Etichette e selettori.

registryMirrors

Facoltativo. Utilizza questa sezione per specificare un mirror del registro da utilizzare per l'installazione dei cluster, anziché di Container Registry (gcr.io). Per ulteriori informazioni sull'utilizzo di un mirroring del registro, consulta Installazione di GKE su Bare Metal mediante un mirror del registro.

Ad esempio:

registryMirrors:
  - endpoint: https://172.18.0.20:5000
    caCertPath: /root/ca.crt
    pullCredentialConfigPath: /root/.docker/config.json
    hosts:
      - somehost.io
      - otherhost.io
     

registryMirrors.endpoint

Stringa. L'endpoint del mirror, costituito dall'indirizzo IP e dal numero di porta del server del registry. Facoltativamente, puoi utilizzare il tuo spazio dei nomi nel server del registro anziché lo spazio dei nomi principale. Senza uno spazio dei nomi, il formato dell'endpoint è REGISTRY_IP:PORT. Quando utilizzi uno spazio dei nomi, il formato dell'endpoint è REGISTRY_IP:PORT/v2/NAMESPACE. /v2 è obbligatorio quando si specifica uno spazio dei nomi.

Il campo endpoint è obbligatorio quando specifichi un mirror del registro. Puoi specificare più mirror/endpoint.

Ad esempio:

- endpoint: https://172.18.0.20:5000/v2/test-namespace

registryMirrors.caCertPath

Facoltativo. Stringa. Percorso del file del certificato CA (CA radice del server) se il server del registro utilizza un certificato TLS privato. Se il registro locale non richiede un certificato TLS privato, puoi omettere questo campo.

registryMirrors.pullCredentialConfigPath

Facoltativo. Stringa. Percorso del file di configurazione dell'interfaccia a riga di comando Docker, config.json. Docker salva le impostazioni di autenticazione nel file di configurazione. Questo campo si applica solo all'utilizzo dei mirror del registro. Se il server di registro non richiede un file di configurazione Docker per l'autenticazione, puoi omettere questo campo.

Ad esempio:

registryMirrors:
  - endpoint: https://172.18.0.20:5000
    caCertPath: /root/ca.crt
    pullCredentialConfigPath: /root/.docker/config.json
        

registryMirrors.hosts

Facoltativo. Un array di nomi di dominio per gli host di cui viene eseguito il mirroring localmente per il mirror del registro (endpoint). Quando il runtime dei container rileva richieste di pull per le immagini da un host specificato, controlla prima il mirror del registro locale. Per ulteriori informazioni, consulta Creare cluster dal mirror del registro.

Ad esempio:

registryMirrors:
  - endpoint: https://172.18.0.20:5000
    caCertPath: /root/ca.crt
    pullCredentialConfigPath: /root/.docker/config.json
    hosts:
    - somehost.io
    - otherhost.io
         

Credenziali

Il file di configurazione del cluster generato da bmctl per GKE su Bare Metal include campi per specificare i percorsi ai file delle credenziali e delle chiavi nel file system locale. Queste credenziali e chiavi sono necessarie per connettere i cluster tra loro e al tuo progetto Google Cloud.

Ad esempio:

gcrKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
sshPrivateKeyPath: /home/root-user/.ssh/id_rsa
gkeConnectAgentServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
gkeConnectRegisterServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
cloudOperationsServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
        

gcrKeyPath

Stringa. Il percorso della chiave dell'account di servizio di Container Registry. L'account di servizio di Container Registry è un account di servizio gestito da Google che agisce per conto di Container Registry durante l'interazione con i servizi Google Cloud.

sshPrivateKeyPath

Stringa. Il percorso della chiave privata SSH. Per l'accesso ai nodi è necessario SSH.

gkeConnectAgentServiceAccountKeyPath

Stringa. Il percorso della chiave dell'account di servizio dell'agente. GKE su Bare Metal utilizza questo account di servizio per mantenere una connessione tra GKE su Bare Metal e Google Cloud.

Per istruzioni sulla configurazione di questo account di servizio, consulta Configurazione degli account di servizio da utilizzare con Connect.

gkeConnectRegisterServiceAccountKeyPath

Stringa. Il percorso della chiave dell'account di servizio di registrazione. GKE su Bare Metal utilizza questo account di servizio per registrare i cluster utente in Google Cloud.

Per istruzioni sulla configurazione di questo account di servizio, consulta Configurazione degli account di servizio da utilizzare con Connect.

cloudOperationsServiceAccountKeyPath

Stringa. Il percorso della chiave dell'account di servizio delle operazioni. GKE su Bare Metal utilizza l'account di servizio Operations per eseguire l'autenticazione con la suite operativa di Google Cloud e accedere all'API Logging e all'API Monitoring.

Per istruzioni sulla configurazione di questo account di servizio, consulta Configurazione di un account di servizio da utilizzare con Logging e Monitoring.

ipv4

Definisce la configurazione per l'intervallo CIDR IPv4. Devi fornire almeno uno dei campi ipv4 o ipv6 per la risorsa ClusterCidrConfig.

ipv4.cidr

Stringa. Imposta il blocco CIDR del nodo IPv4. I nodi possono avere un solo intervallo per ogni famiglia. Questo blocco CIDR deve corrispondere al CIDR del pod descritto nella risorsa Cluster.

Ad esempio:

ipv4:
  cidr: "10.1.0.0/16"
         

ipv4.perNodeMaskSize

Numero intero. Definisce le dimensioni della maschera per il blocco CIDR IPv4 del nodo. Ad esempio, il valore 24 si traduce in netmask /24. Assicurati che il blocco CIDR del nodo netmask sia superiore al numero massimo di pod che kubelet può pianificare, definito nel flag --max-pods di kubelet.

ipv6

Definisce la configurazione per l'intervallo CIDR IPv6. Devi fornire almeno uno dei campi ipv4 o ipv6 per la risorsa ClusterCidrConfig.

ipv6.cidr

Stringa. Imposta il blocco CIDR del nodo IPv6. I nodi possono avere un solo intervallo per ogni famiglia.

Ad esempio:

ipv6:
  cidr: "2620:0:1000:2631:3:10:3:0/112"
         

ipv6.perNodeMaskSize

Numero intero. Definisce le dimensioni della maschera per il blocco CIDR del nodo IPv6. Ad esempio, il valore 120 si traduce in netmask /120. Assicurati che il blocco CIDR del nodo netmask sia superiore al numero massimo di pod che kubelet può pianificare, definito nel flag --max-pods di kubelet.

nodeSelector.matchLabels

Definisce a quali nodi è applicabile la configurazione CIDR. Un selettore di nodi vuoto funziona come impostazione predefinita e si applica a tutti i nodi.

Ad esempio:

nodeSelector:
  matchLabels:
    baremetal.cluster.gke.io/node-pool: "workers"