In Anthos-Cluster auf Bare Metal werden eigenständige Cluster Arbeitslasten ausführen und sich selbst verwalten, jedoch keine anderen Cluster verwalten. Bei eigenständigen Clustern ist es nicht mehr erforderlich, einen separaten Administratorcluster in ressourcenbeschränkten Szenarien auszuführen.
Wenn Sie eigenständige Cluster erstellen, gibt es einige Kompromisse zwischen der Reduzierung von Ressourcen und der allgemeinen Sicherheit. Da eigenständige Cluster sich selbst verwalten, führt die Ausführung von Arbeitslasten im selben Cluster ein höheres Risiko für die Sicherheit von vertraulichen administrativen Daten wie SSH-Schlüsseln.
Mit dem Befehl bmctl
erstellen Sie einen eigenständigen Cluster mit einer einzelnen Steuerungsebene. Der Befehl bmctl
kann auf einer separaten Workstation oder einem der eigenständigen Clusterknoten ausgeführt werden. Beachten Sie, dass diese Konfiguration bei Verwendung kleinerer Ressourcen keine Hochverfügbarkeit bietet und der resultierende Cluster einen einzelnen Fehlerpunkt aufweist.
Sie können auch einen Hochverfügbarkeitscluster (HA) im eigenständigen Modus erstellen. Wenn in einem eigenständigen Cluster ein Knoten ausfällt, nehmen andere Knoten seinen Platz ein. Sie müssen mehr als einen Knoten für die Steuerungsebene angeben, um einen HA-Cluster zu erstellen.
Voraussetzungen:
bmctl
vongs://anthos-baremetal-release/bmctl/1.6.2/linux-amd64/bmctl
heruntergeladen- Die Workstation, auf der
bmctl
ausgeführt wird, sollte eine Netzwerkverbindung zu allen Knoten im eigenständigen Cluster haben. - Die Workstation, auf der
bmctl
ausgeführt wird, sollte über eine Netzwerkverbindung zur VIP der Steuerungsebene des eigenständigen Clusters verfügen. - Der zum Erstellen des eigenständigen Clusters verwendete SSH-Schlüssel sollte als Root- oder SUDO-Nutzer auf allen Knoten im eigenständigen Cluster verfügbar sein.
Bei gcloud anmelden und eine eigenständige Cluster-Konfigurationsdatei erstellen
- Melden Sie sich mit dem
gcloud auth application-default
-Log-in als Nutzer bei gcloud an: - Dienstkontoadministrator
- Zentraler Dienstkontoadministrator
- Projekt-IAM-Administrator
- Compute-Betrachter
- Service Usage-Administrator
- Rufen Sie Ihre Cloud-Projekt-ID ab, um sie bei der Clustererstellung zu verwenden:
gcloud auth application-default loginSie benötigen die Rolle „Projektinhaber/-bearbeiter“, um die Funktionen zur automatischen API-Aktivierung und zur Erstellung von Dienstkonten zu verwenden (siehe unten). Sie können dem Nutzer auch die folgenden IAM-Rollen hinzufügen:
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILEJSON_KEY_FILE gibt den Pfad zur JSON-Schlüsseldatei Ihres Dienstkontos an.
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
Eigenständige Clusterkonfigurationsdatei mit bmctl
erstellen
Nachdem Sie sich bei gcloud angemeldet und Ihr Projekt eingerichtet haben, können Sie die Cluster-Konfigurationsdatei mit dem Befehl bmctl
erstellen. Beachten Sie, dass in diesem Beispiel alle Dienstkonten automatisch mit dem Befehl bmctl create config
erstellt werden:
bmctl create config -c STANDALONE_CLUSTER_NAME --enable-apis \ --create-service-accounts --project-id=CLOUD_PROJECT_ID
Das folgende Beispiel zeigt, wie Sie eine Konfigurationsdatei für einen eigenständigen Cluster namens standalone1
erstellen, der mit Projekt-ID my-gcp-project
verknüpft ist:
bmctl create config -c standalone1 --create-service-accounts --project-id=my-gcp-project
Die Datei wird in bmctl-workspace/standalone1/standalone1.yaml
geschrieben.
Als Alternative zur automatischen Aktivierung von APIs und zum Erstellen von Dienstkonten können Sie Ihren vorhandenen Dienstkonten die entsprechenden IAM-Berechtigungen zuweisen.
Sie können die automatische Erstellung des Dienstkontos im vorherigen Schritt im Befehl bmctl
überspringen:
bmctl create config -c standalone1
Cluster-Konfigurationsdatei bearbeiten
Da Sie nun eine Clusterkonfigurationsdatei haben, bearbeiten Sie sie, um folgende Änderungen vorzunehmen:
- Geben Sie den privaten SSH-Schlüssel an, um auf die eigenständigen Clusterknoten zuzugreifen:
- Ändern Sie die Konfiguration, um den Clustertyp
standalone
anstelle vonadmin
anzugeben: - (Optional) Ändern Sie die Konfiguration, um eine Steuerungsebene mit mehreren Knoten und Hochverfügbarkeit festzulegen. Geben Sie eine ungerade Anzahl von Knoten für einen Großteil des Quorums für HA an:
# bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes # resource, this section can only be included when using bmctl to # create the initial admin/hybrid cluster. Afterwards, when creating user clusters by directly # applying the cluster and node pool resources to the existing cluster, you must remove this # section. gcrKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json sshPrivateKeyPath: /path/to/your/ssh_private_key gkeConnectAgentServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json gkeConnectRegisterServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json cloudOperationsServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
spec: # Cluster type. This can be: # 1) admin: to create an admin cluster. This can later be used to create user clusters. # 2) user: to create a user cluster. Requires an existing admin cluster. # 3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads. # 4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters. type: standalone
# Control plane configuration controlPlane: nodePoolSpec: nodes: # Control plane node pools. Typically, this is either a single machine # or 3 machines if using a high availability deployment. - address: 10.200.0.4 - address: 10.200.0.5 - address: 10.200.0.6
Eigenständigen Cluster mit der Clusterkonfiguration erstellen
Verwenden Sie den Befehl bmctl
, um den eigenständigen Cluster bereitzustellen:
bmctl create cluster -c CLUSTER_NAME
CLUSTER_NAME gibt den Namen des Clusters an, den Sie im vorherigen Abschnitt erstellt haben.
Im Folgenden sehen Sie ein Beispiel für den Befehl zum Erstellen eines Clusters mit dem Namen standalone1
:
bmctl create cluster -c standalone1
Beispiel für eine vollständige Konfiguration eines eigenständigen Clusters
Das folgende Beispiel zeigt eine eigenständige Cluster-Konfigurationsdatei, die mit dem Befehl bmctl
erstellt wurde.
Beachten Sie, dass in dieser Beispielkonfiguration Platzhalterclusternamen, VIPs und Adressen verwendet werden. Sie funktionieren in Ihrem Netzwerk möglicherweise nicht.
gcrKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json sshPrivateKeyPath: /bmctl/bmctl-workspace/.ssh/id_rsa gkeConnectAgentServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json gkeConnectRegisterServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json cloudOperationsServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json --- apiVersion: v1 kind: Namespace metadata: name: cluster-standalone1 --- apiVersion: baremetal.cluster.gke.io/v1 kind: Cluster metadata: name: standalone1 namespace: cluster-standalone1 spec: # Cluster type. This can be: # 1) admin: to create an admin cluster. This can later be used to create user clusters. # 2) user: to create a user cluster. Requires an existing admin cluster. # 3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads. # 4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters. type: standalone # Anthos cluster version. anthosBareMetalVersion: 1.6.2 # GKE connect configuration gkeConnect: projectID: $GOOGLE_PROJECT_ID # Control plane configuration controlPlane: nodePoolSpec: nodes: # Control plane node pools. Typically, this is either a single machine # or 3 machines if using a high availability deployment. - address: 10.200.0.4 # Cluster networking configuration clusterNetwork: # Pods specify the IP ranges from which Pod networks are allocated. pods: cidrBlocks: - 192.168.0.0/16 # Services specify the network ranges from which service VIPs are allocated. # This can be any RFC 1918 range that does not conflict with any other IP range # in the cluster and node pool resources. services: cidrBlocks: - 10.96.0.0/12 # Load balancer configuration loadBalancer: # Load balancer mode can be either 'bundled' or 'manual'. # In 'bundled' mode a load balancer will be installed on load balancer nodes during cluster creation. # In 'manual' mode the cluster relies on a manually-configured external load balancer. mode: bundled # Load balancer port configuration ports: # Specifies the port the LB serves the kubernetes control plane on. # In 'manual' mode the external load balancer must be listening on this port. controlPlaneLBPort: 443 # There are two load balancer VIPs: one for the control plane and one for the L7 Ingress # service. The VIPs must be in the same subnet as the load balancer nodes. vips: # ControlPlaneVIP specifies the VIP to connect to the Kubernetes API server. # This address must not be in the address pools below. controlPlaneVIP: 10.200.0.71 # IngressVIP specifies the VIP shared by all services for ingress traffic. # Allowed only in non-admin clusters. # This address must be in the address pools below. ingressVIP: 10.200.0.72 # AddressPools is a list of non-overlapping IP ranges for the data plane load balancer. # All addresses must be in the same subnet as the load balancer nodes. # Address pool configuration is only valid for 'bundled' LB mode in non-admin clusters. addressPools: - name: pool1 addresses: # Each address must be either in the CIDR form (1.2.3.0/24) # or range form (1.2.3.1-1.2.3.5). - 10.200.0.72-10.200.0.90 # A load balancer nodepool can be configured to specify nodes used for load balancing. # These nodes are part of the kubernetes cluster and run regular workloads as well as load balancers. # If the node pool config is absent then the control plane nodes are used. # Node pool configuration is only valid for 'bundled' LB mode. # nodePoolSpec: # nodes: # - address: <Machine 1 IP> # Proxy configuration # proxy: # url: http://[username:password@]domain # # A list of IPs, hostnames or domains that should not be proxied. # noProxy: # - 127.0.0.1 # - localhost # Logging and Monitoring clusterOperations: # Cloud project for logs and metrics. projectID: <Google Project ID>$GOOGLE_PROJECT_ID # Cloud location for logs and metrics. location: us-central1 # Whether collection of application logs/metrics should be enabled (in addition to # collection of system logs/metrics which correspond to system components such as # Kubernetes control plane or cluster management agents). # enableApplication: false # Storage configuration storage: # lvpNodeMounts specifies the config for local PersistentVolumes backed by mounted disks. # These disks need to be formatted and mounted by the user, which can be done before or after # cluster creation. lvpNodeMounts: # path specifies the host machine path where mounted disks will be discovered and a local PV # will be created for each mount. path: /mnt/localpv-disk # storageClassName specifies the StorageClass that PVs will be created with. The StorageClass # is created during cluster creation. storageClassName: local-disks # lvpShare specifies the config for local PersistentVolumes backed by subdirectories in a shared filesystem. # These subdirectories are automatically created during cluster creation. lvpShare: # path specifies the host machine path where subdirectories will be created on each host. A local PV # will be created for each subdirectory. path: /mnt/localpv-share # storageClassName specifies the StorageClass that PVs will be created with. The StorageClass # is created during cluster creation. storageClassName: local-shared # numPVUnderSharedPath specifies the number of subdirectories to create under path. numPVUnderSharedPath: 5 # Authentication; uncomment this section if you wish to enable authentication to the cluster with OpenID Connect. # authentication: # oidc: # # issuerURL specifies the URL of your OpenID provider, such as "https://accounts.google.com". The Kubernetes API # # server uses this URL to discover public keys for verifying tokens. Must use HTTPS. # issuerURL: <URL for OIDC Provider; required> # # clientID specifies the ID for the client application that makes authentication requests to the OpenID # # provider. # clientID: <ID for OIDC client application; required> # # clientSecret specifies the secret for the client application. # clientSecret: <Secret for OIDC client application; optional> # # kubectlRedirectURL specifies the redirect URL (required) for the gcloud CLI, such as # # "http://localhost:[PORT]/callback". # kubectlRedirectURL: <Redirect URL for the gcloud CLI; optional default is "http://kubectl.redirect.invalid" # # username specifies the JWT claim to use as the username. The default is "sub", which is expected to be a # # unique identifier of the end user. # username: <JWT claim to use as the username; optional, default is "sub"> # # usernamePrefix specifies the prefix prepended to username claims to prevent clashes with existing names. # usernamePrefix: <Prefix prepended to username claims; optional> # # group specifies the JWT claim that the provider will use to return your security groups. # group: <JWT claim to use as the group name; optional> # # groupPrefix specifies the prefix prepended to group claims to prevent clashes with existing names. # groupPrefix: <Prefix prepended to group claims; optional> # # scopes specifies additional scopes to send to the OpenID provider as a comma-delimited list. # scopes: Additional scopes to send to OIDC provider as a comma-separated list; optional> # # extraParams specifies additional key-value parameters to send to the OpenID provider as a comma-delimited # # list. # extraParams: Additional key-value parameters to send to OIDC provider as a comma-separated list; optional> # # certificateAuthorityData specifies a Base64 PEM-encoded certificate authority certificate of your identity # # provider. It's not needed if your identity provider's certificate was issued by a well-known public CA. # certificateAuthorityData: Base64 PEM-encoded certificate authority certificate of your OIDC provider; optional> # Node access configuration; uncomment this section if you wish to use a non-root user # with passwordless sudo capability for machine login. # nodeAccess: # loginUser: login user name --- # Node pools for worker nodes apiVersion: baremetal.cluster.gke.io/v1 kind: NodePool metadata: name: node-pool-1 namespace: cluster-standalone1 spec: clusterName: standalone1 nodes: - address: 10.200.0.5 - address: 10.200.0.6