Visão geral dos pré-requisitos de instalação

Os clusters do Anthos em bare metal tem os seguintes conjuntos de pré-requisitos de instalação:

  • Os pré-requisitos da máquina de estação de trabalho que executam a ferramenta bmctl.
  • Os pré-requisitos para as máquinas de nós que fazem parte dos clusters do Anthos na implantação bare metal.
  • Os pré-requisitos para as máquinas do balanceador de carga.
  • Os pré-requisitos do projeto do Google Cloud.
  • Os pré-requisitos para suas contas de serviço.

Se você usar a máquina da estação de trabalho como uma máquina de nó de cluster, ela precisará atender aos pré-requisitos para ambos.

Antes de começar

Durante a instalação, forneça as seguintes credenciais:

  • As chaves SSH particulares necessárias para acessar as máquinas de nó do cluster.
  • Se você não estiver usando root, o nome de login da máquina do nó de cluster.
  • As chaves da conta de serviço do Google Cloud. Acesse Como criar e gerenciar chaves de conta de serviço para saber mais.

Verifique se você tem todas as credenciais necessárias antes de tentar instalar os clusters so Anthos no bare metal.

Como fazer login no gcloud

  1. Faça login no gcloud como um usuário com o login gcloud auth application-default:
  2. gcloud auth application-default login
    
    Você precisa ter um papel de proprietário/editor do projeto para usar os recursos automáticos de ativação da API e de criação de contas de serviço, descritos abaixo. Também é possível adicionar os seguintes papéis de IAM ao usuário:
    • Administrador da conta de serviço
    • Administrador da chave da conta de serviço
    • Administrador de projetos do IAM
    • Leitor do Compute
    • Administrador do Service Usage
    Como alternativa, se você já tiver uma conta de serviço com esses papéis, execute:
    export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
    
    JSON_KEY_FILE especifica o caminho para o arquivo de chave JSON da sua conta de serviço.
  3. Receba o ID do projeto do Google Cloud para usar com a criação do cluster:
  4. export CLOUD_PROJECT_ID=$(gcloud config get-value project)
    

Pré-requisitos da estação de trabalho

A estação de trabalho bmctl precisa atender aos pré-requisitos a seguir:

  • O sistema operacional é a mesma distribuição Linux compatível em execução nas máquinas de nó do cluster.
  • Docker versão 19.03 ou posterior instalada.
  • Um usuário que não é raiz é membro do grupo docker. Para ver instruções, acesse Gerenciar o Docker como um usuário não raiz.
  • gcloud instalado.
  • Mais de 50 GB de espaço livre em disco.
  • Conectividade L3 com todas as máquinas de nó do cluster.
  • Acesso a todas as máquinas de nó de cluster por SSH por meio de chaves privadas com acesso raiz sem senha. O acesso pode ser direto ou por meio de sudo.
  • Acesse o VIP do plano de controle.

Pré-requisitos da máquina no nó

As máquinas de nó têm os seguintes pré-requisitos:

  • O sistema operacional é uma das distribuições Linux compatíveis.
  • Atenda aos requisitos mínimos de hardware.
  • Acesso à Internet
  • Conectividade L3 com todas as outras máquinas de nós.
  • Acesse o VIP do plano de controle.
  • Servidores de nomes de DNS configurados corretamente.
  • Nenhum nome de host duplicado.
  • Um dos seguintes serviços NTP está ativado e funcionando:
    • Chrony
    • ntp
    • ntpdate
    • sincronizado pelo sistema
  • Um gerenciador de pacotes ativo: apt, dnf etc.
  • SELinuxInativa Configure SELINUX=disabled ou SELINUX=permissive no arquivo /etc/selinux/config e reinicie a máquina.
  • No CentOS/RHEL, o firewalld está inativo. Execute systemctl disable firewalld para desativá-lo.
  • No Ubuntu, o AppArmor e o Firewall não oficial (UFW) estão inativos. Execute systemctl stop apparmor ufw para desativá-los.
  • Se você não tiver o Docker instalado nas máquinas de nó ou tiver uma versão mais antiga instalada, o Anthos em bare metal instalará o Docker 19.03.13 ou posterior ao criar clusters.
  • Verifique se os arquivos de sistema que executam os seguintes diretórios têm a capacidade necessária e estão abaixo de 90% de utilização sempre que você instalar ou reinstalar os clusters do Anthos em bare metal: Observe que o processo de instalação criará esses diretórios, se necessário:
    • /var/lib/docker: 30 GiB
    • /var/lib/kubelet: 30 GiB
    • /mnt/anthos-system: 30 GiB
    • /: 20 GiB
    • /var/lib/etcd: 20 GiB (aplicável somente aos nós do plano de controle)
  • Os diretórios /var/lib/etcd e /etc/kubernetes não existem ou estão vazios.

Além dos pré-requisitos para instalar e executar clusters do Anthos em bare metal, os clientes precisam estar em conformidade com os padrões relevantes que regem o setor ou segmento de negócios, como requisitos do PCI DSS para empresas que processam cartões de crédito ou os guias de implementação técnica de segurança (STIGs, na sigla em inglês) para empresas do setor de defesa.

Pré-requisitos das máquinas do balanceador de carga

Quando sua implantação não tiver um pool de nós de balanceador de carga especializado, os nós de worker ou de plano de controle poderão criar um pool de nós de balanceador de carga. Nesse caso, eles têm pré-requisitos adicionais:

  • As máquinas estão na mesma sub-rede L2.
  • Todos os VIPs estão na sub-rede de nós do balanceador de carga e são roteáveis do gateway da sub-rede.
  • O gateway da sub-rede do balanceador de carga precisa ouvir os ARPs gratuitos para encaminhar pacotes para o balanceador de carga mestre.

Pré-requisitos do projeto do Google Cloud

Antes de instalar os clusters do Anthos no bare metal, ative os seguintes serviços para seu projeto associado do GCP:

  • anthos.googleapis.com
  • anthosgke.googleapis.com
  • cloudresourcemanager.googleapis.com
  • container.googleapis.com
  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • serviceusage.googleapis.com
  • stackdriver.googleapis.com
  • monitoring.googleapis.com
  • logging.googleapis.com

Também é possível usar a ferramenta bmctl para ativar esses serviços.

Pré-requisitos das contas de serviço

Em ambientes de produção, você precisa criar contas de serviço separadas para diferentes finalidades. Os clusters do Anthos em bare metal precisa dos seguintes tipos de contas de serviço do Google Cloud, dependendo da finalidade:

  • Para acessar o Container Registry (gcr.io), não é necessário um papel especial.
  • Para registrar um cluster em uma frota, conceda o papel roles/gkehub.admin do IAM à conta de serviço no projeto do Google Cloud.
  • Para se conectar a frotas, conceda o papel roles/gkehub.connect do IAM à conta de serviço no projeto do Google Cloud.
  • Para enviar registros e métricas ao conjunto de operações do Google Cloud, conceda os seguintes papéis de IAM à conta de serviço no seu projeto do Google Cloud:

    • roles/logging.logWriter
    • roles/monitoring.metricWriter
    • roles/stackdriver.resourceMetadata.writer
    • roles/monitoring.dashboardEditor

Também é possível usar a ferramenta bmctl para criar essas contas de serviço.