Em clusters do Anthos em bare metal, os clusters de usuário executam suas cargas de trabalho e, em uma arquitetura de vários clusters, os clusters de usuário são criados e gerenciados por um cluster de administrador.
Depois de criar um cluster de administrador, chamar o comando bmctl create config
cria um arquivo yaml que pode ser editado para definir o cluster de usuário. Em seguida, use o comando kubectl
para aplicar essa configuração e criar o cluster de usuário.
Manter as cargas de trabalho fora do cluster de administrador protege dados administrativos confidenciais, como chaves SSH armazenadas no cluster de administrador, contra aqueles que não precisam acessar essas informações. Além disso, manter os clusters de usuários separados uns dos outros oferece uma boa segurança geral para as cargas de trabalho.
Pré-requisitos
bmctl
transferido degs://anthos-baremetal-release/bmctl/1.6.2/linux-amd64/bmctl
- cluster de administrador de trabalho com acesso ao servidor da API do cluster (o
controlPlaneVIP
). - Os nós do cluster de administrador precisam ter conectividade de rede a todos os nós no cluster do usuário de destino.
- Chave SSH usada para criar o cluster de usuário disponível para o usuário raiz ou SUDO em todos os nós do cluster do usuário.
Criar um arquivo de configuração de cluster de usuário
O arquivo de configuração para criar um cluster de usuário é quase exatamente igual ao usado para criar um cluster de administrador. A única diferença é que você remove a seção de configuração de credenciais locais para fazer com que a configuração seja um conjunto válido de recursos do Kubernetes. A seção de configuração fica na parte superior do arquivo na seção bmctl configuration variables
.
Por padrão, os clusters de usuário herdam as credenciais do cluster de administrador que as gerencia. É possível substituir parcialmente todas ou algumas dessas credenciais. Consulte o arquivo exemplo de configuração do cluster de usuário para mais detalhes.
Nas etapas abaixo, verifique novamente a edição do arquivo de configuração. Como você está criando o cluster de usuário com o comando kubectl
, há verificações limitadas de simulação na configuração do cluster de usuário.
Crie um arquivo de configuração do cluster de usuário com o comando
bmctl create config
:bmctl create config -c USER_CLUSTER_NAME
Por exemplo, emita o seguinte comando para criar um arquivo de configuração para um cluster de usuário chamado
user1
:bmctl create config -c user1
O arquivo é gravado em
bmctl-workspace/user1/user1.yaml
. O caminho genérico para o arquivo ébmctl-workspace/CLUSTER NAME/CLUSTER_NAME.yaml
Edite o arquivo de configuração com as seguintes alterações:
- Remova os caminhos do arquivo das credenciais locais da configuração. Eles não são necessários para um cluster de usuário e não funcionarão com o comando
kubectl
. Remova os seguintes itens:.... gcrKeyPath: {path to GCR service account key} sshPrivateKeyPath: (path to SSH private key, used for node access) gkeConnectAgentServiceAccountKeyPath: (path to Connect agent service account key) gkeConnectRegisterServiceAccountKeyPath: (path to Hub registration service account key) cloudOperationsServiceAccountKeyPath: (path to Cloud Operations service account key) ....
- Altere a configuração para especificar um tipo de cluster de
user
em vez deadmin
:.... spec: # Cluster type. This can be: # 1) admin: to create an admin cluster. This can later be used to create # user clusters. # 2) user: to create a user cluster. Requires an existing admin cluster. # 3) hybrid: to create a hybrid cluster that runs admin cluster # components and user workloads. # 4) standalone: to create a cluster that manages itself, runs user # workloads, but does not manage other clusters. type: user ....
- Garanta que as especificações de cluster de administrador e de usuário para os VIPs do balanceador de carga e os pools de endereços sejam complementares e não sobreponham clusters atuais. Veja abaixo um exemplo de configuração de configurações de cluster de usuário e administrador, especificando o balanceamento de carga e os pools de endereços:
.... # Sample admin cluster config for load balancer and address pools loadBalancer: vips: controlPlaneVIP: 10.200.0.49 ingressVIP: 10.200.0.50 addressPools: - name: pool1 addresses: - 10.200.0.50-10.200.0.70 .... .... # Sample user cluster config for load balancer and address pools loadBalancer: vips: controlPlaneVIP: 10.200.0.71 ingressVIP: 10.200.0.72 addressPools: - name: pool1 addresses: - 10.200.0.72-10.200.0.90 ....
Observe que o restante dos arquivos de configuração do cluster de usuários é igual ao de configuração do cluster de administrador.
- Remova os caminhos do arquivo das credenciais locais da configuração. Eles não são necessários para um cluster de usuário e não funcionarão com o comando
- Verifique novamente o arquivo de configuração do cluster do usuário. Existem clusters limitados do Anthos em verificações de simulação de metal quando você cria um cluster de usuário e eles abrangem apenas as verificações no nível da máquina (como versão do SO, versões de software conflitantes, e recursos disponíveis).
Criar o cluster de usuário
Emita o comando kubectl
para aplicar a configuração do cluster de usuário revisado e criar o cluster:
kubectl --kubeconfig ADMIN_KUBECONFIG apply -f USER_CLUSTER_CONFIG
ADMIN_KUBECONFIG
especifica o caminho para o arquivo kubeconfig do cluster de administrador e USER_CLUSTER_CONFIG
especifica o caminho para o arquivo YAML do cluster de usuário que você editou na seção anterior.
Por exemplo, para um cluster de administrador chamado admin
e uma configuração de cluster de usuário chamada user1
, o comando seria:
kubectl --kubeconfig bmctl-workspace/admin/admin-kubeconfig apply / -f bmctl-workspace/user1/user1.yaml
Esperar até que o cluster de usuários esteja pronto
Para verificar se o cluster do usuário está pronto, use o comando kubectl wait
para testar uma condição. O comando a seguir aguarda por 30 minutos para verificar se o estado do cluster terminou de reconciliar e busca o arquivo kubeconfig do cluster de usuário criado:
kubectl --kubeconfig ADMIN_KUBECONFIG wait \ cluster USER_CLUSTER_NAME -n cluster-USER_CLUSTER_NAME \ --for=condition=Reconciling=False --timeout=30m && \ kubectl --kubeconfig ADMIN_KUBECONFIG get secret USER_CLUSTER_NAME-kubeconfig \ -n cluster-USER_CLUSTER_NAME \ -o 'jsonpath={.data.value}' | base64 -d > USER_KUBECONFIG
Em que:
ADMIN_KUBECONFIG
especifica o caminho até o arquivo kubeconfig do cluster de administrador;USER_KUBECONFIG
especifica o caminho para o arquivo kubeconfig do usuário que você quer criar.USER_CLUSTER_NAME
é nome do cluster de usuário.
Por exemplo, para um cluster de administrador chamado admin
e uma configuração de cluster de usuário chamada user1
, o comando seria:
kubectl --kubeconfig bmctl-workspace/admin/admin-kubeconfig wait \ cluster user1 -n cluster-user1 --for=condition=Reconciling=False --timeout=30m && \ kubectl --kubeconfig bmctl-workspace/admin/admin-kubeconfig get secret \ user1-kubeconfig -n cluster-user1 -o 'jsonpath={.data.value}' | base64 \ -d > bmctl-workspace/user1/user1-kubeconfig
Aguardar a conclusão dos pools de nós de trabalho
Na maioria das vezes, você também precisará esperar que os pools de nós de worker estejam prontos. Normalmente, os pools de nós de trabalho são usados nos clusters de usuários para executar cargas de trabalho.
Para verificar se os pools de nós de trabalho estão prontos, use o comando kubectl wait
para testar uma condição. Nesse caso, o comando aguarda novamente 30 minutos para que os pools de nós fiquem prontos:
kubectl --kubeconfig ADMIN_KUBECONFIG wait cluster USER_CLUSTER_NAME \ -n cluster-USER_CLUSTER_NAME --for=condition=Reconciling=False --timeout=30m && \ kubectl --kubeconfig ADMIN_KUBECONFIG wait nodepool NODE_POOL_NAME \ -n cluster-USER_CLUSTER_NAME --for=condition=Reconciling=False --timeout=30m && \ kubectl --kubeconfig ADMIN_KUBECONFIG get secret \ USER_CLUSTER_NAME-kubeconfig -n cluster-USER_CLUSTER_NAME -o \ 'jsonpath={.data.value}' | base64 -d > USER_KUBECONFIG
NODE_POOL_NAME
especifica um pool de nós criado com o cluster de usuários;
Por exemplo, para um cluster de administrador chamado admin
, uma configuração de cluster de usuário chamada user1
e um pool de nós chamado node-pool-1
, o comando seria:
kubectl --kubeconfig bmctl-workspace/admin/admin-kubeconfig wait \ cluster user1 -n cluster-user1 --for=condition=Reconciling=False --timeout=30m && \ kubectl --kubeconfig bmctl-workspace/admin/admin-kubeconfig wait \ nodepool node-pool-1 -n cluster-user1 --for=condition=Reconciling=False --timeout=30m && \ kubectl --kubeconfig bmctl-workspace/admin/admin-kubeconfig get secret \ user1-kubeconfig -n cluster-user1 -o \ 'jsonpath={.data.value}' | base64 -d > bmctl-workspace/user1/user1-kubeconfig
Exemplo de configuração completa de cluster de usuário
A seguir, um exemplo de arquivo de configuração de cluster de administrador criado pelo comando bmctl
.
Observe que, nesta configuração de amostra, são usados nomes de cluster de marcador, VIPs e endereços.
Eles podem não funcionar na sua rede.
# Sample user cluster config: apiVersion: v1 kind: Namespace metadata: name: cluster-user1 --- apiVersion: baremetal.cluster.gke.io/v1 kind: Cluster metadata: name: user1 namespace: cluster-user1 spec: # Cluster type. This can be: # 1) admin: to create an admin cluster. This can later be used to create user clusters. # 2) user: to create a user cluster. Requires an existing admin cluster. # 3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads. # 4) standalone: to create a cluster that manages itself, runs user workloads, # but does not manage other clusters. type: user # Anthos cluster version. anthosBareMetalVersion: 1.6.2 # GKE connect configuration gkeConnect: projectID: GOOGLE_PROJECT_ID # To override default credentials inherited from the admin cluster: # 1. Create a new secret in the admin cluster # 2. Uncomment the section below and refer to the secret created above # # Optionally override default secret inherited from the admin cluster. # connectServiceAccountSecret: # name: GKE_CONNECT_AGENT_SA_SECRET # namespace: cluster-user1 # # Optionally override default secret inherited from the admin cluster. # registerServiceAccountSecret: # name: GKE_CONNECT_REGISTER_SA_SECRET # namespace: cluster-user1 # Control plane configuration controlPlane: nodePoolSpec: nodes: # Control plane node pools. Typically, this is either a single machine # or 3 machines if using a high availability deployment. - address: 10.200.0.4 # Cluster networking configuration clusterNetwork: # Pods specify the IP ranges from which Pod networks are allocated. pods: cidrBlocks: - 192.168.0.0/16 # Services specify the network ranges from which service VIPs are allocated. # This can be any RFC 1918 range that does not conflict with any other IP range # in the cluster and node pool resources. services: cidrBlocks: - 10.96.0.0/12 # Credentials specify the secrets that hold SSH key and image pull credential for the new cluster. # credentials: # # Optionally override default ssh key secret inherited from the admin cluster. # sshKeySecret: # name: SSH_KEY_SECRET # namespace: cluster-user1 # # Optionally override default image pull secret inherited from the admin cluster. # imagePullSecret: # name: IMAGE_PULL_SECRET # namespace: cluster-user1 # Load balancer configuration loadBalancer: # Load balancer mode can be either 'bundled' or 'manual'. # In 'bundled' mode a load balancer will be installed on load balancer nodes during cluster creation. # In 'manual' mode the cluster relies on a manually-configured external load balancer. mode: bundled # Load balancer port configuration ports: # Specifies the port the LB serves the kubernetes control plane on. # In 'manual' mode the external load balancer must be listening on this port. controlPlaneLBPort: 443 # There are two load balancer VIPs: one for the control plane and one for the L7 Ingress # service. The VIPs must be in the same subnet as the load balancer nodes. vips: # ControlPlaneVIP specifies the VIP to connect to the Kubernetes API server. # This address must not be in the address pools below. controlPlaneVIP: 10.200.0.71 # IngressVIP specifies the VIP shared by all services for ingress traffic. # Allowed only in non-admin clusters. # This address must be in the address pools below. ingressVIP: 10.200.0.72 # AddressPools is a list of non-overlapping IP ranges for the data plane load balancer. # All addresses must be in the same subnet as the load balancer nodes. # Address pool configuration is only valid for 'bundled' LB mode in non-admin clusters. addressPools: - name: pool1 addresses: # Each address must be either in the CIDR form (1.2.3.0/24) # or range form (1.2.3.1-1.2.3.5). - 10.200.0.72-10.200.0.90 # A load balancer nodepool can be configured to specify nodes used for load balancing. # These nodes are part of the kubernetes cluster and run regular workloads as well as load balancers. # If the node pool config is absent then the control plane nodes are used. # Node pool configuration is only valid for 'bundled' LB mode. # nodePoolSpec: # nodes: # - address:# Proxy configuration # proxy: # url: http://[username:password@]domain # # A list of IPs, hostnames or domains that should not be proxied. # noProxy: # - 127.0.0.1 # - localhost # Logging and Monitoring clusterOperations: # Cloud project for logs and metrics. projectID: $GOOGLE_PROJECT_ID # Cloud location for logs and metrics. location: us-central1 # Optionally override default secret inherited from the admin cluster. # serviceAccountSecret: # name: $CLOUD_OPERATIONS_SA_SECRET # namespace: cluster-user1 # Whether collection of application logs/metrics should be enabled (in addition to # collection of system logs/metrics which correspond to system components such as # Kubernetes control plane or cluster management agents). # enableApplication: false # Storage configuration storage: # lvpNodeMounts specifies the config for local PersistentVolumes backed by mounted disks. # These disks need to be formatted and mounted by the user, which can be done before or after # cluster creation. lvpNodeMounts: # path specifies the host machine path where mounted disks will be discovered and a local PV # will be created for each mount. path: /mnt/localpv-disk # storageClassName specifies the StorageClass that PVs will be created with. The StorageClass # is created during cluster creation. storageClassName: local-disks # lvpShare specifies the config for local PersistentVolumes backed by subdirectories in a shared filesystem. # These subdirectories are automatically created during cluster creation. lvpShare: # path specifies the host machine path where subdirectories will be created on each host. A local PV # will be created for each subdirectory. path: /mnt/localpv-share # storageClassName specifies the StorageClass that PVs will be created with. The StorageClass # is created during cluster creation. storageClassName: local-shared # numPVUnderSharedPath specifies the number of subdirectories to create under path. numPVUnderSharedPath: 5 # Authentication; uncomment this section if you wish to enable authentication to the cluster with OpenID Connect. # authentication: # oidc: # # issuerURL specifies the URL of your OpenID provider, such as "https://accounts.google.com". The Kubernetes API # # server uses this URL to discover public keys for verifying tokens. Must use HTTPS. # issuerURL: # # clientID specifies the ID for the client application that makes authentication requests to the OpenID # # provider. # clientID: # # clientSecret specifies the secret for the client application. # clientSecret: # # kubectlRedirectURL specifies the redirect URL (required) for the gcloud CLI, such as # # "http://localhost:[PORT]/callback". # kubectlRedirectURL: <Redirect URL for the gcloud CLI; optional, default is "http://kubectl.redirect.invalid"> # # username specifies the JWT claim to use as the username. The default is "sub", which is expected to be a # # unique identifier of the end user. # username: <JWT claim to use as the username; optional, default is "sub"> # # usernamePrefix specifies the prefix prepended to username claims to prevent clashes with existing names. # usernamePrefix: # # group specifies the JWT claim that the provider will use to return your security groups. # group: # # groupPrefix specifies the prefix prepended to group claims to prevent clashes with existing names. # groupPrefix: # # scopes specifies additional scopes to send to the OpenID provider as a comma-delimited list. # scopes: # # extraParams specifies additional key-value parameters to send to the OpenID provider as a comma-delimited # # list. # extraParams: # # certificateAuthorityData specifies a Base64 PEM-encoded certificate authority certificate of your identity # # provider. It's not needed if your identity provider's certificate was issued by a well-known public CA. # certificateAuthorityData: # Node access configuration; uncomment this section if you wish to use a non-root user # with passwordless sudo capability for machine login. # nodeAccess: # loginUser: --- # Node pools for worker nodes apiVersion: baremetal.cluster.gke.io/v1 kind: NodePool metadata: name: node-pool-1 namespace: cluster-user1 spec: clusterName: user1 nodes: - address: 10.200.0.5