Los clústeres de Anthos en equipos físicos tienen los siguientes conjuntos de requisitos de instalación:
- Los requisitos previos para la máquina de la estación de trabajo que ejecuta la herramienta
bmctl
- Los requisitos para las máquinas de nodo que forman parte de la implementación de clústeres de Anthos en equipos físicos
- Los requisitos previos para las máquinas del balanceador de cargas
- Los requisitos previos para el proyecto de Google Cloud
- Los requisitos previos para tus cuentas de servicio
Si usas la máquina de la estación de trabajo como una máquina de nodo del clúster, esta debe cumplir con los requisitos previos para ambas.
Antes de comenzar
Durante la instalación, debes proporcionar las siguientes credenciales:
- Las claves SSH privadas necesarias para acceder a las máquinas de nodo del clúster
- Si no usas
root
, el nombre de acceso de la máquina del nodo del clúster - Las claves de la cuenta de servicio de Google Cloud. Consulta Crea y administra claves de cuentas de servicio para obtener más información
Asegúrate de tener todas las credenciales necesarias antes de instalar clústeres de Anthos en un equipo físico.
Accede a gcloud
- Accede a gcloud como un usuario con el acceso
gcloud auth application-default
. - Administrador de cuenta de servicio
- Administrador de clave de cuenta de servicio
- Administrador de IAM de proyecto
- Lector de Compute
- Administrador de Service Usage
- Obtén tu ID del proyecto de Google Cloud para usarlo con la creación del clúster:
gcloud auth application-default loginDebes tener una función de editor o propietario de proyecto para usar las funciones de habilitación automática de la API y de creación de cuentas de servicio, que se describen a continuación. También puedes agregar las siguientes funciones de IAM al usuario:
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILEJSON_KEY_FILE especifica la ruta al archivo de claves JSON de tu cuenta de servicio.
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
Requisitos previos de las estaciones de trabajo
La estación de trabajo bmctl
debe cumplir con los siguientes requisitos previos:
- El sistema operativo es la misma distribución compatible de Linux que se ejecuta en las máquinas de nodo del clúster.
- La versión de Docker 19.03 o posterior está instalada.
- El usuario no raíz es miembro del grupo
docker
(para obtener instrucciones, consulta Administra Docker como usuario no raíz). - gcloud instalado.
- Debe haber más de 50 GB de espacio libre en el disco.
- Tiene conectividad L3 para todas las máquinas de nodo de clúster.
- Tiene acceso a todas las máquinas de nodos de clúster mediante SSH a través de claves privadas con acceso raíz sin contraseña. El acceso puede ser directo o a través de sudo.
- Accede a la VIP del plano de control.
Requisitos previos de la máquina de nodo
Las máquinas de nodo tienen los siguientes requisitos previos:
- Su sistema operativo es una de las distribuciones de Linux compatibles.
- Debe cumplir con los requisitos mínimos de hardware.
- Acceso a Internet.
- Tiene conectividad L3 para todas las demás máquinas de nodo.
- Accede a la VIP del plano de control.
- Servidores de nombres DNS configurados correctamente.
- No hay nombres de host duplicados.
- Uno de los siguientes servicios NTP está habilitado y funciona:
- chrony
- ntp
- ntpdate
- systemd-timesyncd
- Un administrador de paquetes en funcionamiento: apt, dnf, etcétera.
SELinux
inactivo. ConfiguraSELINUX=disabled
oSELINUX=permissive
en el archivo/etc/selinux/config
y reinicia la máquina.- En CentOS/RHEL,
firewalld
está inactivo. Ejecutasystemctl disable firewalld
para inhabilitarlo. - En Ubuntu,
AppArmor
y el firewall sin complicaciones (UFW) están inactivos. Ejecutasystemctl stop apparmor ufw
para inhabilitarlos. - Si no tienes Docker instalado en tus máquinas de nodos o tienes una versión anterior instalada, Anthos en equipos físicos instala Docker 19.03.13 o versiones posteriores cuando creas clústeres.
- Asegúrate de que los sistemas de archivos que respaldan los siguientes directorios tengan la capacidad requerida y que el uso sea inferior al 90% cuando instales o vuelvas a instalar clústeres de Anthos en equipos físicos: Ten en cuenta que con el proceso de instalación se crearán estos directorios si es necesario:
/var/lib/docker
: 30 GiB/var/lib/kubelet
: 10 GiB/mnt/anthos-system
: 25 GiB/
: 20 GiB/var/lib/etcd
: 20 GiB (solo se aplica a los nodos de plano de control)
- Los directorios
/var/lib/etcd
y/etc/kubernetes
no existen o están vacíos.
Además de los requisitos previos para instalar y ejecutar clústeres de Anthos en equipos físicos, se espera que los clientes satisfagan los estándares relevantes que rigen su segmento de la industria o el negocio, como los requisitos de PCI DSS para empresas que procesan tarjetas de crédito, o las guías de implementación técnica (STIG) para empresas en la industria de la defensa.
Requisitos previos de las máquinas del balanceador de cargas
Cuando tu implementación no tiene un grupo de nodos de balanceador de cargas especializado, puedes hacer que los nodos trabajadores o los nodos del plano de control compilen un grupo de nodos del balanceador de cargas. En ese caso, tienen requisitos previos adicionales, como los siguientes:
- Las máquinas se encuentran en la misma subred L2.
- Todos los VIP están en la subred de nodos del balanceador de cargas y se pueden enrutar desde la puerta de enlace de la subred.
- La puerta de enlace de la subred del balanceador de cargas debe detectar los ARP injustificados para reenviar paquetes al balanceador de cargas principal.
Requisitos previos del proyecto de Google Cloud
Antes de instalar clústeres de Anthos en un equipo físico, habilita los siguientes servicios para tu proyecto de GCP asociado:
anthos.googleapis.com
anthosgke.googleapis.com
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
monitoring.googleapis.com
logging.googleapis.com
También puedes usar la herramienta de bmctl
para habilitar estos servicios.
Requisitos previos de cuentas de servicio
En entornos de producción, debes crear cuentas de servicio separadas para diferentes propósitos. Los clústeres de Anthos en equipos físicos necesitan los siguientes tipos diferentes de cuentas de servicio de Google Cloud según su propósito:
- Para acceder a Container Registry (
gcr.io
), no se requiere ninguna función especial. - Para registrar un clúster en una flota, otorga la función de IAM
roles/gkehub.admin
a la cuenta de servicio en tu proyecto de Google Cloud. - Para conectarte a las flotas, otorga la función de IAM
roles/gkehub.connect
a la cuenta de servicio en tu proyecto de Google Cloud. Para enviar registros y métricas a Google Cloud's operations suite, otorga las siguientes funciones de IAM a la cuenta de servicio en tu proyecto de Google Cloud:
roles/logging.logWriter
roles/monitoring.metricWriter
roles/stackdriver.resourceMetadata.writer
roles/monitoring.dashboardEditor
También puedes usar la herramienta de bmctl
para crear estas cuentas de servicio.