I cluster Anthos su Bare Metal hanno i seguenti set di prerequisiti per l'installazione:
- I prerequisiti per la macchina workstation che esegue lo strumento
bmctl
. - I prerequisiti per le macchine nodo che fanno parte dei cluster Anthos sul deployment di Bare Metal.
- I prerequisiti per le macchine del bilanciatore del carico.
- I prerequisiti per il progetto Google Cloud.
- I prerequisiti per i tuoi account di servizio.
Se utilizzi una macchina come workstation come nodo nodo di cluster, deve soddisfare i prerequisiti per entrambe.
Prima di iniziare
Durante l'installazione, devi fornire le seguenti credenziali:
- Le chiavi SSH private necessarie per accedere alle macchine dei nodi del cluster.
- Se non utilizzi
root
, il nome di accesso al computer del nodo del cluster. - Le chiavi dell'account di servizio Google Cloud. Per scoprire di più, consulta la sezione Creazione e gestione delle chiavi degli account di servizio.
Assicurati di avere tutte le credenziali necessarie prima di tentare di installare cluster Anthos su Bare Metal.
Accesso a gcloud
- Accedi a gcloud come utente utilizzando
gcloud auth application-default
: - Amministratore account di servizio
- Amministratore chiavi account di servizio
- Amministratore IAM progetto
- Visualizzatore Compute
- Amministratore Service Usage
- Ottieni il tuo ID progetto Google Cloud da utilizzare con la creazione del cluster:
gcloud auth application-default login
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
Prerequisiti della workstation
La workstation bmctl
deve soddisfare i seguenti prerequisiti:
- Il sistema operativo è la stessa distribuzione Linux supportata in esecuzione sulle macchine dei nodi del cluster.
- Docker 19.03 o versioni successive installato.
- L'utente non root è membro del gruppo
docker
(per le istruzioni, vedi Gestire Docker come utente non root). - gcloud installato.
- Più di 50 GB di spazio su disco libero.
- Connettività di livello 3 a tutte le macchine dei nodi del cluster.
- Accesso a tutte le macchine dei nodi del cluster tramite SSH tramite chiavi private con accesso root senza password. L'accesso può essere diretto o sudo.
- Accedi al VIP del piano di controllo.
Prerequisiti della macchina nodo
Le macchine nodo hanno i seguenti prerequisiti:
- Il sistema operativo è una delle distribuzioni Linux supportate.
- Soddisfa i requisiti hardware minimi.
- Accesso a Internet.
- Connettività di livello 3 a tutte le altre macchine nodo.
- Accedi al VIP del piano di controllo.
- Server dei nomi DNS configurati correttamente.
- Nessun nome host duplicato.
- Uno dei seguenti servizi NTP è attivo e funziona:
- cronaca
- NTP
- ntpdate
- system-timesync
- Un gestore di pacchetti attivo: apt, dnf e così via.
- Su Ubuntu,
AppArmor
e Uncomplicated Firewall (UFW) sono inattivi. Eseguisystemctl stop apparmor ufw
per disattivarle. - Se scegli Docker come runtime del container, puoi utilizzare Docker 19.03 o versioni successive installate. Se non hai installato Docker sulle tue macchine nodo o se hai installato una versione precedente, Anthos su Bare Metal installa Docker 19.03.13 o versioni successive quando crei i cluster.
- Se utilizzi containerd come runtime, non hai bisogno di Docker e l'installazione di Docker può causare problemi. Per ulteriori informazioni, consulta i problemi noti.
- Assicurati che i file system che supportano le seguenti directory abbiano la capacità richiesta e soddisfino entrambi i seguenti requisiti ogni volta che
installi o reinstalli cluster Anthos su Bare Metal:
- Lo spazio su disco complessivo è inferiore al 90%.
- Le directory devono avere almeno 128 GiB di capacità di archiviazione gratuita. Se necessario, l'installazione crea le seguenti directory:
/var/lib/docker
: 30 GiB/var/lib/kubelet
: 10 GiB/mnt/anthos-system
: 25 GiB/
: 20 GiB/var/lib/etcd
: 20 GiB (applicabile solo ai nodi del piano di controllo)
- Le directory
/var/lib/etcd
e/etc/kubernetes
non esistono o sono vuote.
Oltre ai prerequisiti per l'installazione e l'esecuzione di cluster Anthos su Bare Metal, i clienti sono tenuti a rispettare gli standard pertinenti che regolano il loro settore o segmento di attività, come i requisiti PCI DSS per le aziende che elaborano carte di credito o STIG (Security Technical Implementation Guide) per le aziende del settore della difesa.
Prerequisiti delle macchine del bilanciatore del carico
Quando il deployment non ha un pool di nodi del bilanciatore del carico specializzato, puoi fare in modo che i nodi worker o i nodi del piano di controllo creino un pool di nodi del bilanciatore del carico. In tal caso, hanno ulteriori prerequisiti:
- Le macchine si trovano nella stessa subnet di livello 2.
- Tutti i VIP si trovano nella subnet dei nodi del bilanciatore del carico e sono instradabili dal gateway della subnet.
- Il gateway della subnet del bilanciatore del carico deve ascoltare gli ARP gratuiti per inoltrare i pacchetti al bilanciatore del carico master.
Prerequisiti del progetto Google Cloud
Prima di installare Cluster Anthos su Bare Metal, abilita i seguenti servizi per il tuo progetto GCP associato:
anthos.googleapis.com
anthosgke.googleapis.com
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
monitoring.googleapis.com
logging.googleapis.com
Puoi utilizzare lo strumento bmctl
anche per attivare questi servizi.
Prerequisiti degli account di servizio
Negli ambienti di produzione, devi creare account di servizio separati per scopi diversi. I cluster Anthos su Bare Metal richiedono i seguenti diversi tipi di account di servizio Google Cloud in base al loro scopo:
- Per accedere a Container Registry (
gcr.io
), non è richiesto alcun ruolo speciale. - Per registrare un cluster in un parco risorse, concedi il ruolo IAM
roles/gkehub.admin
all'account di servizio nel progetto Google Cloud. - Per connetterti ai parchi risorse, concedi il ruolo IAM
roles/gkehub.connect
all'account di servizio nel progetto Google Cloud. Per inviare log e metriche alla suite operativa di Google Cloud, concedi i seguenti ruoli IAM all'account di servizio nel progetto Google Cloud:
roles/logging.logWriter
roles/monitoring.metricWriter
roles/stackdriver.resourceMetadata.writer
roles/monitoring.dashboardEditor
Puoi utilizzare lo strumento bmctl
anche per creare questi account di servizio.