Nei cluster Anthos su Bare Metal hai configurato i cluster di amministrazione per gestire altri cluster in modo sicuro. Puoi creare, aggiornare, eseguire l'upgrade o eliminare i cluster utente dai cluster di amministrazione. I cluster utente eseguono i carichi di lavoro separatamente dall'amministrazione, quindi le informazioni sensibili sono protette.
I cluster di amministrazione che gestiscono carichi di lavoro multi-cluster possono fornire un'affidabilità ad alta disponibilità. In un cluster ad alta disponibilità, se un nodo del piano di controllo non funziona, gli altri nodi continueranno a funzionare.
Un cluster di amministrazione in un ambiente multi-cluster offre la migliore sicurezza di base. Poiché l'accesso ai dati di amministrazione è separato dai carichi di lavoro, gli utenti che accedono ai carichi di lavoro degli utenti non hanno accesso a dati amministrativi sensibili, come le chiavi SSH e i dati degli account di servizio. Ne consegue un certo compromesso tra la sicurezza e le risorse necessarie, dato che un cluster di amministrazione separato significa che sono necessarie risorse dedicate per la gestione e i carichi di lavoro.
Puoi creare un cluster di amministrazione utilizzando il comando bmctl
. Dopo aver creato un cluster di amministrazione, devi creare i cluster utente per eseguire i carichi di lavoro.
Prerequisiti:
- Scarica
bmctl
dags://anthos-baremetal-release/bmctl/1.6.2/linux-amd64/bmctl
- La workstation che esegue bmctl deve avere una connettività di rete a tutti i nodi nei cluster utente di destinazione.
- La workstation che esegue bmctl deve avere una connettività di rete al server API del cluster (VIP del piano di controllo)
- La chiave SSH utilizzata per creare il cluster di amministrazione dovrebbe essere disponibile come root, altrimenti dovresti avere l'accesso utente SUDO a tutti i nodi nel cluster di amministrazione di destinazione.
Consulta la guida rapida dei cluster Anthos su Bare Metal per istruzioni dettagliate sulla creazione di un cluster ibrido. La creazione di un cluster di amministrazione è simile alla creazione di un cluster ibrido, ad eccezione del fatto che non esegui carichi di lavoro nel cluster di amministrazione.
Accesso a gcloud e creazione di un file di configurazione del cluster di amministrazione
- Accedi a gcloud come utente utilizzando
gcloud auth application-default
: - Amministratore account di servizio
- Amministratore chiavi account di servizio
- Amministratore IAM progetto
- Visualizzatore Compute
- Amministratore Service Usage
- Recupera l'ID progetto Cloud da utilizzare per la creazione del cluster:
gcloud auth application-default loginDevi avere un ruolo di proprietario/editor del progetto per utilizzare l'abilitazione automatica delle API e le funzionalità di creazione dell'account di servizio, descritte di seguito. Puoi anche aggiungere i seguenti ruoli IAM all'utente:
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILEJSON_KEY_FILE specifica il percorso del file delle chiavi JSON dell'account di servizio.
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
Creazione di una configurazione del cluster di amministrazione con bmctl
in corso...
Dopo aver eseguito l'accesso a gcloud e aver configurato il tuo progetto, puoi creare il file di configurazione del cluster con il comando bmctl
. Tieni presente che in questo esempio tutti gli account di servizio vengono creati automaticamente con il comando bmctl create config
:
bmctl create config -c ADMIN_CLUSTER_NAME --enable-apis \ --create-service-accounts --project-id=CLOUD_PROJECT_ID
ADMIN_CLUSTER_NAME è il nome del cluster e CLOUD_PROJECT_ID è il tuo ID progetto.
Ecco un esempio per creare un file di configurazione per un cluster di amministrazione denominato admin1
associato all'ID progetto my-gcp-project
:
bmctl create config -c admin1 --create-service-accounts --enable-apis --project-id=my-gcp-project
Il file è scritto in bmctl-workspace/admin1/admin1.yaml.
In alternativa all'abilitazione automatica delle API e alla creazione di account di servizio, puoi anche fornire agli account di servizio esistenti le autorizzazioni IAM appropriate. Ciò significa che puoi saltare la creazione automatica dell'account di servizio
nel passaggio precedente del comando bmctl
:
bmctl create config -c admin1
Modifica il file di configurazione del cluster
Ora che hai un file di configurazione del cluster, modificalo per apportare le seguenti modifiche:
- Fornisci la chiave privata SSH per accedere ai nodi del cluster di amministrazione:
- Verifica che la configurazione specifichi un tipo di cluster
admin
(valore predefinito): - Modifica il file di configurazione per specificare un piano di controllo multinodo, ad alta disponibilità. Specifica un numero dispari di nodi per avere un quorum di maggioranza per l'alta disponibilità:
# bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes # resource, this section can only be included when using bmctl to # create the initial admin/admin cluster. Afterwards, when creating user clusters by directly # applying the cluster and node pool resources to the existing cluster, you must remove this # section. gcrKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json sshPrivateKeyPath: /path/to/your/ssh_private_key gkeConnectAgentServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json gkeConnectRegisterServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json cloudOperationsServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
spec: # Cluster type. This can be: # 1) admin: to create an admin cluster. This can later be used to create user clusters. # 2) user: to create a user cluster. Requires an existing admin cluster. # 3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads. # 4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters. type: admin
# Control plane configuration controlPlane: nodePoolSpec: nodes: # Control plane node pools. Typically, this is either a single machine # or 3 machines if using a high availability deployment. - address: 10.200.0.4 - address: 10.200.0.5 - address: 10.200.0.6
Crea il cluster di amministrazione con la configurazione del cluster
Utilizza il comando bmctl
per eseguire il deployment del cluster:
bmctl create cluster -c ADMIN_CLUSTER_NAME
ADMIN_CLUSTER_NAME specifica il nome del cluster creato nella sezione precedente.
Di seguito è riportato un esempio del comando per creare un cluster denominato admin1
:
bmctl create cluster -c admin1
Esempio di configurazione completa del cluster di amministrazione
Di seguito è riportato un file di configurazione del cluster di amministrazione di esempio creato dal comando bmctl
.
Nota che in questa configurazione di esempio vengono utilizzati nomi di cluster segnaposto, VIP e indirizzi. Potrebbero non funzionare per la tua rete.
gcrKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json sshPrivateKeyPath: /bmctl/bmctl-workspace/.ssh/id_rsa gkeConnectAgentServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json gkeConnectRegisterServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json cloudOperationsServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json --- apiVersion: v1 kind: Namespace metadata: name: cluster-admin1 --- apiVersion: baremetal.cluster.gke.io/v1 kind: Cluster metadata: name: admin1 namespace: cluster-admin1 spec: # Cluster type. This can be: # 1) admin: to create an admin cluster. This can later be used to create user clusters. # 2) user: to create a user cluster. Requires an existing admin cluster. # 3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads. # 4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters. type: admin # Anthos cluster version. anthosBareMetalVersion: v1.6.2 # GKE connect configuration gkeConnect: projectID: $GOOGLE_PROJECT_ID # Control plane configuration controlPlane: nodePoolSpec: nodes: # Control plane node pools. Typically, this is either a single machine # or 3 machines if using a high availability deployment. - address: 10.200.0.4 - address: 10.200.0.5 - address: 10.200.0.6 # Cluster networking configuration clusterNetwork: # Pods specify the IP ranges from which Pod networks are allocated. pods: cidrBlocks: - 192.168.0.0/16 # Services specify the network ranges from which service VIPs are allocated. # This can be any RFC 1918 range that does not conflict with any other IP range # in the cluster and node pool resources. services: cidrBlocks: - 10.96.0.0/12 # Load balancer configuration loadBalancer: # Load balancer mode can be either 'bundled' or 'manual'. # In 'bundled' mode a load balancer will be installed on load balancer nodes during cluster creation. # In 'manual' mode the cluster relies on a manually-configured external load balancer. mode: bundled # Load balancer port configuration ports: # Specifies the port the LB serves the kubernetes control plane on. # In 'manual' mode the external load balancer must be listening on this port. controlPlaneLBPort: 443 # There are two load balancer VIPs: one for the control plane and one for the L7 Ingress # service. The VIPs must be in the same subnet as the load balancer nodes. vips: # ControlPlaneVIP specifies the VIP to connect to the Kubernetes API server. # This address must not be in the address pools below. controlPlaneVIP: 10.200.0.71 # IngressVIP specifies the VIP shared by all services for ingress traffic. # Allowed only in non-admin clusters. # This address must be in the address pools below. # ingressVIP: 10.0.0.2 # AddressPools is a list of non-overlapping IP ranges for the data plane load balancer. # All addresses must be in the same subnet as the load balancer nodes. # Address pool configuration is only valid for 'bundled' LB mode in non-admin clusters. # addressPools: # - name: pool1 # addresses: # # Each address must be either in the CIDR form (1.2.3.0/24) # # or range form (1.2.3.1-1.2.3.5). # - 10.0.0.1-10.0.0.4 # A load balancer nodepool can be configured to specify nodes used for load balancing. # These nodes are part of the kubernetes cluster and run regular workloads as well as load balancers. # If the node pool config is absent then the control plane nodes are used. # Node pool configuration is only valid for 'bundled' LB mode. # nodePoolSpec: # nodes: # - address: <Machine 1 IP> # Proxy configuration # proxy: # url: http://[username:password@]domain # # A list of IPs, hostnames or domains that should not be proxied. # noProxy: # - 127.0.0.1 # - localhost # Logging and Monitoring clusterOperations: # Cloud project for logs and metrics. projectID: <Google Project ID>$GOOGLE_PROJECT_ID # Cloud location for logs and metrics. location: us-central1 # Whether collection of application logs/metrics should be enabled (in addition to # collection of system logs/metrics which correspond to system components such as # Kubernetes control plane or cluster management agents). # enableApplication: false # Storage configuration storage: # lvpNodeMounts specifies the config for local PersistentVolumes backed by mounted disks. # These disks need to be formatted and mounted by the user, which can be done before or after # cluster creation. lvpNodeMounts: # path specifies the host machine path where mounted disks will be discovered and a local PV # will be created for each mount. path: /mnt/localpv-disk # storageClassName specifies the StorageClass that PVs will be created with. The StorageClass # is created during cluster creation. storageClassName: local-disks # lvpShare specifies the config for local PersistentVolumes backed by subdirectories in a shared filesystem. # These subdirectories are automatically created during cluster creation. lvpShare: # path specifies the host machine path where subdirectories will be created on each host. A local PV # will be created for each subdirectory. path: /mnt/localpv-share # storageClassName specifies the StorageClass that PVs will be created with. The StorageClass # is created during cluster creation. storageClassName: local-shared # numPVUnderSharedPath specifies the number of subdirectories to create under path. numPVUnderSharedPath: 5 # Authentication; uncomment this section if you wish to enable authentication to the cluster with OpenID Connect. # authentication: # oidc: # # issuerURL specifies the URL of your OpenID provider, such as "https://accounts.google.com". The Kubernetes API # # server uses this URL to discover public keys for verifying tokens. Must use HTTPS. # issuerURL: <URL for OIDC Provider; required> # # clientID specifies the ID for the client application that makes authentication requests to the OpenID # # provider. # clientID: <ID for OIDC client application; required> # # clientSecret specifies the secret for the client application. # clientSecret: <Secret for OIDC client application; optional> # # kubectlRedirectURL specifies the redirect URL (required) for the gcloud CLI, such as # # "http://localhost:[PORT]/callback". # kubectlRedirectURL: <Redirect URL for the gcloud CLI; optional default is "http://kubectl.redirect.invalid" # # username specifies the JWT claim to use as the username. The default is "sub", which is expected to be a # # unique identifier of the end user. # username: <JWT claim to use as the username; optional, default is "sub"> # # usernamePrefix specifies the prefix prepended to username claims to prevent clashes with existing names. # usernamePrefix: <Prefix prepended to username claims; optional> # # group specifies the JWT claim that the provider will use to return your security groups. # group: <JWT claim to use as the group name; optional> # # groupPrefix specifies the prefix prepended to group claims to prevent clashes with existing names. # groupPrefix: <Prefix prepended to group claims; optional> # # scopes specifies additional scopes to send to the OpenID provider as a comma-delimited list. # scopes: Additional scopes to send to OIDC provider as a comma-separated list; optional> # # extraParams specifies additional key-value parameters to send to the OpenID provider as a comma-delimited # # list. # extraParams: Additional key-value parameters to send to OIDC provider as a comma-separated list; optional> # # certificateAuthorityData specifies a Base64 PEM-encoded certificate authority certificate of your identity # # provider. It's not needed if your identity provider's certificate was issued by a well-known public CA. # certificateAuthorityData: Base64 PEM-encoded certificate authority certificate of your OIDC provider; optional> # Node access configuration; uncomment this section if you wish to use a non-root user # with passwordless sudo capability for machine login. # nodeAccess: # loginUser: login user name