Membuat cluster admin

Di GKE pada Bare Metal, Anda menyiapkan cluster admin untuk mengelola cluster lain dengan aman. Anda dapat membuat, mengupdate, mengupgrade, atau menghapus cluster pengguna dari cluster admin. Cluster pengguna menjalankan workload secara terpisah dari administrasi sehingga informasi sensitif terlindungi.

Cluster admin yang mengelola workload multi-cluster dapat memberikan keandalan dengan ketersediaan tinggi (HA). Di cluster HA, jika satu node bidang kontrol gagal, node lain akan terus berfungsi.

Cluster admin dalam lingkungan multi-cluster memberikan keamanan dasar terbaik. Karena akses ke data administrasi terpisah dari beban kerja, mereka yang mengakses beban kerja pengguna tidak memiliki akses ke data administratif yang sensitif, seperti kunci SSH dan data akun layanan. Akibatnya, ada kompromi antara keamanan dan resource yang diperlukan, karena cluster admin terpisah berarti Anda memerlukan resource khusus untuk pengelolaan dan workload.

Anda membuat cluster admin menggunakan perintah bmctl. Setelah membuat cluster admin, Anda dapat membuat cluster pengguna untuk menjalankan workload.

Prasyarat:

• bmctl terbaru didownload (gs://anthos-baremetal-release/bmctl/1.16.7/linux-amd64/bmctl) dari Cloud Storage.
• Workstation yang menjalankan bmctl memiliki konektivitas jaringan ke semua node di cluster pengguna target.
• Workstation yang menjalankan bmctl memiliki konektivitas jaringan ke server API cluster (VIP bidang kontrol).
• Kunci SSH yang digunakan untuk membuat cluster Admin tersedia untuk root, atau terdapat akses pengguna SUDO pada semua node dalam cluster admin target.
• Akun layanan Connect-register dikonfigurasi untuk digunakan dengan Connect.

Lihat quickstart GKE on Bare Metal untuk mengetahui petunjuk langkah demi langkah yang diperluas tentang cara membuat cluster hibrida. Membuat cluster admin mirip dengan membuat cluster hybrid, tetapi Anda tidak menjalankan workload di cluster admin.

Aktifkan SELinux

Jika ingin mengaktifkan SELinux untuk mengamankan penampung, Anda harus memastikan bahwa SELinux diaktifkan dalam mode Enforced di semua mesin host. Mulai GKE pada rilis Bare Metal 1.9.0 atau yang lebih baru, Anda dapat mengaktifkan atau menonaktifkan SELinux sebelum atau setelah pembuatan cluster atau upgrade cluster. SELinux diaktifkan secara default di Red Hat Enterprise Linux (RHEL) dan CentOS. Jika SELinux dinonaktifkan di mesin host atau Anda tidak yakin, lihat Mengamankan container menggunakan SELinux untuk mengetahui petunjuk cara mengaktifkannya.

GKE di Bare Metal mendukung SELinux hanya di sistem RHEL dan CentOS.

Login ke gcloud CLI dan buat file konfigurasi cluster admin

1. Tetapkan kredensial default yang dapat digunakan GKE di Bare Metal untuk membuat cluster dengan perintah berikut:

   gcloud auth application-default login
   

2. Untuk menggunakan fitur pengaktifan API dan pembuatan akun layanan otomatis di halaman ini, berikan peran Project Owner kepada akun utama tersebut. Jika akun utama tidak dapat memiliki peran Project Owner, selesaikan langkah berikutnya.

3. Untuk memastikan pembuatan cluster berhasil tanpa memberikan peran Pemilik Project, tambahkan peran IAM berikut ke akun utama:

   • Service Account Admin
   • Service Account Key Admin
   • Project IAM Admin
   • Compute Viewer
   • Service Usage Admin

   Jika akun utama adalah akun layanan dengan peran tersebut, Anda dapat menjalankan:

   export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
   

   Ganti JSON_KEY_FILE dengan jalur ke file kunci JSON akun layanan Anda.

4. Dapatkan ID project Google Cloud Anda dan simpan dalam variabel lingkungan agar dapat digunakan untuk pembuatan cluster:

   export CLOUD_PROJECT_ID=$(gcloud config get-value project)
   

Membuat konfigurasi cluster admin dengan bmctl

Setelah login ke gcloud dan menyiapkan project, Anda dapat membuat file konfigurasi cluster dengan perintah bmctl.

Dalam contoh berikut, semua akun layanan otomatis dibuat oleh perintah bmctl create config:

bmctl create config -c ADMIN_CLUSTER_NAME --enable-apis \
    --create-service-accounts --project-id=CLOUD_PROJECT_ID

Ganti kode berikut:

• ADMIN_CLUSTER_NAME: nama cluster baru.
• CLOUD_PROJECT_ID: project ID Google Cloud Anda atau variabel lingkungan $CLOUD_PROJECT_ID.

Berikut adalah contoh untuk membuat file konfigurasi untuk cluster admin bernama admin1 yang terkait dengan project ID my-gcp-project:

bmctl create config -c admin1 --create-service-accounts --enable-apis --project-id=my-gcp-project

File ditulis ke bmctl-workspace/admin1/admin1.yaml.

Selain mengaktifkan API secara otomatis dan membuat akun layanan, Anda juga dapat memberikan izin IAM yang tepat untuk akun layanan yang ada. Ini berarti Anda dapat melewati pembuatan akun layanan otomatis pada contoh sebelumnya dalam perintah bmctl:

bmctl create config -c admin1 --project-id=my-gcp-project

Mengedit file konfigurasi cluster

Setelah Anda memiliki file konfigurasi cluster, edit file tersebut untuk melakukan perubahan berikut:

1. Berikan kunci pribadi SSH untuk mengakses node cluster admin:

   # bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes
   # resource, this section can only be included when using bmctl to
   # create the initial admin/admin cluster. Afterwards, when creating user clusters by directly
   # applying the cluster and node pool resources to the existing cluster, you must remove this
   # section.
   gcrKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
   sshPrivateKeyPath: /path/to/your/ssh_private_key
   gkeConnectAgentServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
   gkeConnectRegisterServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
   cloudOperationsServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
   

2. Daftarkan cluster Anda ke fleet. Project ID yang Anda tentukan dalam perintah bmctl create config otomatis ditambahkan ke kolom gkeConnect.projectID di file konfigurasi cluster. Project ini disebut sebagai project host armada.

   • Jika membuat file konfigurasi menggunakan fitur pengaktifan API otomatis dan pembuatan Akun Layanan, Anda dapat melewati langkah ini.
   • Jika Anda membuat file konfigurasi tanpa menggunakan fitur pengaktifan API dan pembuatan Akun Layanan otomatis, referensikan kunci JSON akun layanan yang didownload di kolom gkeConnectAgentServiceAccountKeyPath dan gkeConnectRegisterServiceAccountKeyPath yang sesuai dari file konfigurasi cluster.

3. Periksa untuk memastikan konfigurasi menentukan jenis cluster admin (nilai default):

   spec:
     # Cluster type. This can be:
     #   1) admin:  to create an admin cluster. This can later be used to create user clusters.
     #   2) user:   to create a user cluster. Requires an existing admin cluster.
     #   3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads.
     #   4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters.
     type: admin
   

4. Pada versi 1.16 dan yang lebih baru, jika GKE On-Prem API diaktifkan di project Google Cloud Anda, semua cluster dalam project akan terdaftar di GKE On-Prem API secara otomatis di region yang dikonfigurasi di clusterOperations.location.

   • Jika ingin mendaftarkan semua cluster dalam project di GKE On-Prem API, pastikan Anda melakukan langkah-langkah di Sebelum memulai untuk mengaktifkan dan menggunakan GKE On-Prem API dalam project.

   • Jika Anda tidak ingin mendaftarkan cluster di GKE On-Prem API, sertakan bagian ini dan tetapkan gkeOnPremAPI.enabled ke false. Jika Anda tidak ingin mendaftarkan cluster apa pun dalam project, nonaktifkan gkeonprem.googleapis.com (nama layanan untuk GKE On-Prem API) di project tersebut. Untuk mengetahui petunjuknya, lihat Menonaktifkan layanan.

5. Ubah file konfigurasi untuk menentukan bidang kontrol ketersediaan tinggi dengan beberapa node. Tentukan jumlah ganjil node agar memiliki kuorum mayoritas untuk HA:

     # Control plane configuration
     controlPlane:
       nodePoolSpec:
         nodes:
         # Control plane node pools. Typically, this is either a single machine
         # or 3 machines if using a high availability deployment.
         - address: 10.200.0.4
         - address: 10.200.0.5
         - address: 10.200.0.6
   

6. Tentukan kepadatan pod node cluster:

   ....
   # NodeConfig specifies the configuration that applies to all nodes in the cluster.
   nodeConfig:
     # podDensity specifies the pod density configuration.
     podDensity:
       # maxPodsPerNode specifies at most how many pods can be run on a single node.
       maxPodsPerNode: 250
   ....
   

   Untuk cluster admin, nilai yang diizinkan untuk maxPodsPerNode adalah 32-250 untuk cluster dengan ketersediaan tinggi (HA) dan 64-250 untuk cluster non-HA. Nilai default jika tidak ditentukan adalah 110. Setelah cluster dibuat, nilai ini tidak dapat diperbarui.

   Kepadatan pod juga dibatasi oleh resource IP cluster yang tersedia. Untuk mengetahui detailnya, lihat Jejaring pod.

Membuat cluster admin dengan konfigurasi cluster

Gunakan perintah bmctl untuk men-deploy cluster:

bmctl create cluster -c ADMIN_CLUSTER_NAME

ADMIN_CLUSTER_NAME menentukan nama cluster yang dibuat di bagian sebelumnya.

Berikut ini contoh perintah untuk membuat cluster yang disebut admin1:

bmctl create cluster -c admin1

Contoh konfigurasi cluster admin

Untuk mengetahui contoh konfigurasi cluster admin, lihat Cluster Admin dalam contoh konfigurasi Cluster.