Voraussetzungen für die Installation: Übersicht

Für Anthos-Cluster on Bare Metal gelten folgende Installationsanforderungen:

• Voraussetzungen für die Workstation, auf der das bmctl-Tool ausgeführt wird.
• Voraussetzungen für die Knotenmaschinen, die Teil der Bereitstellung von Anthos-Cluster on Bare Metal sind.
• Voraussetzungen Load-Balancer-Rechner.
• Voraussetzungen für das Google Cloud-Projekt.
• Voraussetzungen für Ihre Dienstkonten

Wenn Sie den Workstation-Rechner als Clusterknoten-Rechner verwenden, muss er die Voraussetzungen für beide Rechner erfüllen.

Hinweis

Während der Installation müssen Sie die folgenden Anmeldedaten angeben:

• Die privaten SSH-Schlüssel für den Zugriff auf Clusterknoten-Rechner.
• Wenn Sie root nicht verwenden: den Anmeldename des Clusterknoten-Rechners.
• Die Google Cloud-Dienstkontoschlüssel. Weitere Informationen finden Sie unter Dienstkontoschlüssel erstellen und verwalten.

Prüfen Sie, ob Sie alle erforderlichen Anmeldedaten haben, bevor Sie Anthos-Cluster on Bare Metal installieren.

Bei gcloud anmelden

1. Melden Sie sich mit dem gcloud auth application-default-Log-in als Nutzer bei gcloud an:

gcloud auth application-default login

Sie benötigen die Rolle „Projektinhaber/-bearbeiter“, um die Funktionen zur automatischen API-Aktivierung und zur Erstellung von Dienstkonten zu verwenden (siehe unten). Sie können dem Nutzer auch die folgenden IAM-Rollen hinzufügen:
• Dienstkontoadministrator
• Zentraler Dienstkontoadministrator
• Projekt-IAM-Administrator
• Compute-Betrachter
• Service Usage-Administrator
Wenn Sie bereits ein Dienstkonto mit diesen Rollen haben, führen Sie Folgendes aus:

export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE

JSON_KEY_FILE gibt den Pfad zur JSON-Schlüsseldatei Ihres Dienstkontos an.
2. Rufen Sie Ihre Google Cloud-Projekt-ID ab, um sie bei der Clustererstellung zu verwenden:

export CLOUD_PROJECT_ID=$(gcloud config get-value project)

Voraussetzungen für die Workstation

Die bmctl-Workstation muss folgende Voraussetzungen erfüllen:

• Das Betriebssystem entspricht der unterstützten Linux-Distribution, die auf den Rechnern des Clusterknotens ausgeführt wird.
• Docker-Version 19.03 oder höher muss installiert sein.
• Nutzer ohne Root-Berechtigung müssen Mitglied der Gruppe docker sein. Eine entsprechende Anleitung finden Sie unter Docker als Nutzer ohne Root-Berechtigung verwalten.
• gcloud muss installiert sein.
• Es muss mehr als 50 GB freier Speicherplatz verfügbar sein.
• Es muss eine Ebene-3-Verbindung zu allen Clusterknoten-Rechnern existieren.
• Der Zugriff auf alle Clusterknoten-Rechner muss per SSH über private Schlüssel mit passwortloser Root-Zugriff möglich sein. Der Zugriff kann direkt oder über sudo erfolgen.
• Zugriff auf die VIP der Steuerungsebene.

Voraussetzungen für Knotenrechner

Für Knotenrechner gelten folgende Voraussetzungen:

• Das Betriebssystem ist eine der unterstützten Linux-Distributionen.
• Die Mindestanforderungen an die Hardware werden erfüllen
• Internetzugriff.
• Ebene-3-Verbindung zu allen anderen Knotenmaschinen
• Zugriff auf die VIP der Steuerungsebene.
• Korrekt konfigurierte DNS-Nameserver.
• Keine doppelten Hostnamen.
• Einer der folgenden NTP-Dienste muss aktiviert sein und funktionieren:
  • chrony
  • ntp
  • ntpdate
  • systemd-timesyncd
• Ein funktionsfähiger Paketmanager: apt, dnf usw.
• Unter Ubuntu sind AppArmor und Unkomplizierte Firewall (UFW) inaktiv. Führen Sie systemctl stop apparmor ufw aus, um sie zu deaktivieren.
• Wenn Sie Docker als Containerlaufzeit auswählen, können Sie die Docker-Version 19.03 oder höher verwenden. Wenn Docker nicht auf Ihren Knotenrechnern installiert ist oder eine ältere Version installiert ist, installiert Anthos on Bare beim Erstellen von Clustern Metal-Dockers 19.03.13 oder höher.
• Wenn Sie containerd als Laufzeit verwenden, benötigen Sie Docker nicht und die Installation von Docker kann Probleme verursachen. Weitere Informationen finden Sie unter bekannten Problemen.
• Achten Sie darauf, dass die Dateisysteme, die die folgenden Verzeichnisse sichern, die erforderliche Kapazität haben und die beiden folgenden Anforderungen erfüllen, wenn Sie Anthos-Cluster on Bare-Metal installieren oder neu installieren:
  • Der gesamte Speicherplatz hat eine Auslastung von weniger als 90 %.
  • Die Verzeichnisse müssen mindestens 128 GiB freie Speicherkapazität haben. Durch die Installation werden bei Bedarf die folgenden Verzeichnisse erstellt:
  • /var/lib/docker: 30 GiB
  • /var/lib/kubelet: 10 GiB
  • /mnt/anthos-system: 25 GiB
  • /: 20 GiB
  • /var/lib/etcd: 20 GiB (nur für Knoten der Steuerungsebene)
• Die Verzeichnisse /var/lib/etcd und /etc/kubernetes sind entweder nicht vorhanden oder leer.

Zusätzlich zu den Voraussetzungen für die Installation und Ausführung von Anthos-Clustern auf Bare Metal müssen Kunden die relevanten Standards ihrer Branche oder ihres Geschäftssegments erfüllen, z. B. die PCI-DSS-Anforderungen für Unternehmen, die Kreditkarten verarbeiten, oder SISGs (Security Technical Implementation Guides) für Unternehmen in der Verteidigungsindustrie.

Voraussetzungen für Load-Balancer-Rechner

Wenn Ihre Bereitstellung über keinen speziellen Load-Balancer-Knotenpool verfügt, können Sie Worker-Knoten oder Steuerungsebenenknoten erstellen, um einen Load-Balancer-Knotenpool zu erstellen. Für diesen Fall gelten zusätzliche Voraussetzungen:

• Maschinen befinden sich im selben Ebene-2-Subnetz.
• Alle VIPs befinden sich im Subnetz des Load-Balancer-Knotens und können vom Gateway des Subnetzes aus verbunden werden.
• Das Gateway des Load-Balancer-Subnetzes sollte nicht relevante ARPs erfassen, um Pakete an den Master-Load-Balancer weiterzuleiten.

Voraussetzungen für Google Cloud-Projekte

Bevor Sie Anthos-Cluster on Bare Metal installieren, aktivieren Sie folgende Dienste für Ihr zugehöriges GCP-Projekt:

• anthos.googleapis.com
• anthosgke.googleapis.com
• cloudresourcemanager.googleapis.com
• container.googleapis.com
• gkeconnect.googleapis.com
• gkehub.googleapis.com
• serviceusage.googleapis.com
• stackdriver.googleapis.com
• monitoring.googleapis.com
• logging.googleapis.com

Sie können diese Dienste auch mit dem bmctl-Tool aktivieren.

Voraussetzungen für Dienstkonten

In Produktionsumgebungen sollten Sie separate Dienstkonten für unterschiedliche Zwecke erstellen. Anthos-Cluster auf Bare Metal-Konten erfordern je nach Zweck die folgenden Arten von Google Cloud-Dienstkonten:

• Für den Zugriff auf Container Registry (gcr.io) ist keine spezielle Rolle erforderlich.
• Zum Registrieren eines Clusters in einer Flotte weisen Sie dem Dienstkonto in Ihrem Google Cloud-Projekt die IAM-Rolle roles/gkehub.admin zu.
• Zum Herstellen einer Verbindung zu Flotten weisen Sie dem Dienstkonto in Ihrem Google Cloud-Projekt die IAM-Rolle roles/gkehub.connect zu.

• Weisen Sie dem Dienstkonto in Ihrem Google Cloud-Projekt folgende IAM-Rollen zu, um Logs und Messwerte an die Operations-Suite von Google Cloud zu senden:

  • roles/logging.logWriter
  • roles/monitoring.metricWriter
  • roles/stackdriver.resourceMetadata.writer
  • roles/monitoring.dashboardEditor

Sie können diese Dienstkonten auch mit dem bmctl-Tool erstellen.