Créer des clusters d'administrateur dans une configuration multicluster

Dans les clusters Anthos sur Bare Metal, vous configurez des clusters d'administrateur pour gérer les autres clusters de manière sécurisée. Vous pouvez créer, mettre à jour ou supprimer des clusters d'utilisateur à partir de clusters d'administrateur. Les clusters d'utilisateur exécutent des charges de travail séparément des tâches administratives, de sorte que les informations sensibles sont protégées.

Les clusters d'administrateur qui gèrent des charges de travail multiclusters peuvent garantir une disponibilité élevée. Dans un cluster à haute disponibilité, si un nœud du plan de contrôle échoue, les autres nœuds continuent de fonctionner.

Un cluster d'administrateur dans un environnement multicluster fournit le meilleur niveau de sécurité de base. Étant donné que l'accès aux données d'administration est distinct des charges de travail, les utilisateurs qui accèdent aux charges de travail d'utilisateur n'ont pas accès aux données d'administration sensibles, telles que les clés SSH et les données de compte de service. Par conséquent, il existe un compromis entre sécurité et ressources requises, car un cluster d'administration distinct nécessite des ressources dédiées pour la gestion et les charges de travail.

Pour créer un cluster d'administrateur, utilisez la commande bmctl. Après avoir créé un cluster d'administrateur, vous devez créer des clusters d'utilisateur pour exécuter des charges de travail.

Prérequis :

  • La dernière version de bmctl est téléchargée (gs://anthos-baremetal-release/bmctl/1.8.9/linux-amd64/bmctl) à partir de Cloud Storage.
  • Le poste de travail qui exécute bmctl dispose d'une connectivité réseau à tous les nœuds dans les clusters d'utilisateurs cibles.
  • Le poste de travail qui exécute bmctl dispose d'une connectivité réseau au serveur d'API du cluster (adresse IP virtuelle du plan de contrôle).
  • La clé SSH utilisée pour créer le cluster d'administration est disponible depuis la racine ou l'utilisateur dispose d'un accès sudo à tous les nœuds du cluster d'administrateur cible.
  • Le compte de service "connect-register" est configuré pour une utilisation avec Connect.

Consultez le guide de démarrage rapide des clusters Anthos sur Bare Metal pour obtenir des instructions détaillées sur la création d'un cluster hybride. La création d'un cluster d'administrateur s'apparente à la création d'un cluster hybride, à la différence que vous n'exécutez pas de charges de travail sur le cluster d'administrateur.

Activer SELinux

Si vous souhaitez activer SELinux pour sécuriser vos conteneurs, vous devez vous assurer que SELinux est activé sur les machines hôtes en mode Enforced avant d'installer les clusters Anthos sur solution Bare Metal. SELinux est activé par défaut sur les systèmes RHEL et CentOS. Si SELinux est désactivé dans vos clusters ou si vous n'êtes pas sûr, consultez la section Sécuriser vos conteneurs à l'aide de SELinux. pour savoir comment l'activer.

Les clusters Anthos sur solution Bare Metal ne sont compatibles avec SELinux que dans les systèmes RHEL et CentOS.

Se connecter à gcloud CLI et créer un fichier de configuration de cluster d'administrateur

  1. Définissez les identifiants par défaut que les clusters Anthos sur Bare Metal peuvent utiliser pour créer le cluster à l'aide de la commande suivante :

    gcloud auth application-default login
    
  2. Pour utiliser les fonctionnalités automatiques d'activation des API et de création de compte de service sur cette page, attribuez le rôle Propriétaire de projet à cette entité principale. Si l'entité ne peut pas avoir le rôle Propriétaire de projet, passez à l'étape suivante.

  3. Pour garantir la réussite de la création du cluster sans attribuer le rôle Propriétaire de projet, ajoutez les rôles IAM suivants à l'entité principale :

    • Administrateur de compte de service
    • Administrateur de clés de compte de service
    • Administrateur de projet IAM
    • Lecteur de Compute
    • Administrateur Service Usage

    Si l'entité est un compte de service doté de ces rôles, vous pouvez exécuter la commande suivante :

    export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
    

    Remplacez JSON_KEY_FILE par le chemin d'accès au fichier de clé JSON de votre compte de service.

  4. Obtenez l'ID de votre projet Google Cloud et stockez-le dans une variable d'environnement pour l'utiliser pour la création de clusters :

    export CLOUD_PROJECT_ID=$(gcloud config get-value project)
    

Créer une configuration de cluster d'administrateur avec bmctl

Une fois que vous vous êtes connecté à gcloud et que votre projet est configuré, vous pouvez créer le fichier de configuration de cluster à l'aide de la commande bmctl.

Dans l'exemple suivant, tous les comptes de service sont automatiquement créés par la commande bmctl create config :

bmctl create config -c ADMIN_CLUSTER_NAME --enable-apis \
    --create-service-accounts --project-id=CLOUD_PROJECT_ID

Remplacez les éléments suivants :

  • ADMIN_CLUSTER_NAME : nom du nouveau cluster
  • CLOUD_PROJECT_ID : ID de votre projet Google Cloud ou variable d'environnement $CLOUD_PROJECT_ID.

Voici un exemple de création d'un fichier de configuration pour un cluster d'administrateur appelé admin1 associé à l'ID de projet my-gcp-project :

bmctl create config -c admin1 --create-service-accounts --enable-apis --project-id=my-gcp-project

Le fichier est écrit dans bmctl-workspace/admin1/admin1.yaml..

Au lieu d'activer des API et de créer des comptes de service automatiquement, vous pouvez également fournir à vos comptes de service existants les autorisations IAM appropriées. Vous pouvez ainsi ignorer la création automatique de compte de service décrite à l'étape précédente dans la commande bmctl :

bmctl create config -c admin1

Modifier le fichier de configuration de cluster

Maintenant que vous disposez d'un fichier de configuration de cluster, vous pouvez y apporter les modifications suivantes :

  1. Fournissez la clé privée SSH pour accéder aux nœuds du cluster d'administrateur :

    # bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes
    # resource, this section can only be included when using bmctl to
    # create the initial admin/admin cluster. Afterwards, when creating user clusters by directly
    # applying the cluster and node pool resources to the existing cluster, you must remove this
    # section.
    gcrKeyPath:
    /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
    sshPrivateKeyPath: /path/to/your/ssh_private_key
    gkeConnectAgentServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
    gkeConnectRegisterServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
    cloudOperationsServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
    
  2. Pour les versions 1.7.0 et ultérieures, vous devez enregistrer vos clusters avec Connect à l'environnement de votre projet.

    • Si vous avez créé votre fichier de configuration à l'aide des fonctionnalités d'activation automatique des API et de création de compte de service, vous pouvez ignorer cette étape.
    • Si vous avez créé le fichier de configuration sans utiliser les fonctionnalités d'activation automatique des API et de création de compte de service, faites référence aux clés JSON du compte de service téléchargées dans les champs gkeConnectAgentServiceAccountKeyPath et gkeConnectRegisterServiceAccountKeyPath correspondants du fichier de configuration de cluster.
  3. Assurez-vous que la configuration spécifie bien le type de cluster admin (valeur par défaut) :

    spec:
      # Cluster type. This can be:
      #   1) admin:  to create an admin cluster. This can later be used to create user clusters.
      #   2) user:   to create a user cluster. Requires an existing admin cluster.
      #   3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads.
      #   4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters.
      type: admin
    
  4. Modifiez le fichier de configuration pour spécifier un plan de contrôle à haute disponibilité contenant plusieurs nœuds. Spécifiez un nombre impair de nœuds pour disposer d'un quorum majoritaire pour la haute disponibilité :

      # Control plane configuration
      controlPlane:
        nodePoolSpec:
          nodes:
          # Control plane node pools. Typically, this is either a single machine
          # or 3 machines if using a high availability deployment.
          - address: 10.200.0.4
          - address: 10.200.0.5
          - address: 10.200.0.6
    
  5. Spécifiez la densité du pod des nœuds de cluster et l'environnement d'exécution du conteneur :

    ....
    # NodeConfig specifies the configuration that applies to all nodes in the cluster.
    nodeConfig:
      # podDensity specifies the pod density configuration.
      podDensity:
        # maxPodsPerNode specifies at most how many pods can be run on a single node.
        maxPodsPerNode: 250
      # containerRuntime specifies which container runtime to use for scheduling containers on nodes.
      # containerd and docker are supported.
      containerRuntime: containerd
    ....
    

    Pour les clusters d'administration, les valeurs autorisées pour maxPodsPerNode sont 32-250 pour les clusters haute disponibilité et 64-250 pour les clusters non haute disponibilité. La valeur par défaut est 110 si elle n'est pas spécifiée. Une fois le cluster créé, cette valeur ne peut pas être mise à jour.

    La densité des pods est également limitée par les ressources IP disponibles de votre cluster. Pour plus de détails, consultez la section Mise en réseau de pods.

Créer le cluster d'administrateur avec la configuration du cluster

Utilisez la commande bmctl pour déployer le cluster :

bmctl create cluster -c ADMIN_CLUSTER_NAME

ADMIN_CLUSTER_NAME spécifie le nom du cluster créé dans la section précédente.

Vous trouverez ci-dessous un exemple de la commande permettant de créer un cluster appelé admin1 :

bmctl create cluster -c admin1

Exemple de configuration complète d'un cluster d'administrateur

Voici un exemple de fichier de configuration de cluster d'administrateur créé par la commande bmctl. Notez que dans cet exemple de configuration, des noms de clusters, des adresses et des adresses IP virtuelles intégrant des espaces réservés sont utilisés. Il est possible qu'ils ne fonctionnent pas sur votre réseau.

gcrKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
sshPrivateKeyPath: /bmctl/bmctl-workspace/.ssh/id_rsa
gkeConnectAgentServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
gkeConnectRegisterServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
cloudOperationsServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
---
apiVersion: v1
kind: Namespace
metadata:
  name: cluster-admin1
---
apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: admin1
  namespace: cluster-admin1
spec:
  # Cluster type. This can be:
  #   1) admin:  to create an admin cluster. This can later be used to create user clusters.
  #   2) user:   to create a user cluster. Requires an existing admin cluster.
  #   3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads.
  #   4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters.
  type: admin
  # Anthos cluster version.
  anthosBareMetalVersion: 1.8.9
  # GKE connect configuration
  gkeConnect:
    projectID: $GOOGLE_PROJECT_ID
  # Control plane configuration
  controlPlane:
    nodePoolSpec:
      nodes:
      # Control plane node pools. Typically, this is either a single machine
      # or 3 machines if using a high availability deployment.
      - address: 10.200.0.4
      - address: 10.200.0.5
      - address: 10.200.0.6
  # Cluster networking configuration
  clusterNetwork:
    # Pods specify the IP ranges from which pod networks are allocated.
    pods:
      cidrBlocks:
      - 192.168.0.0/16
    # Services specify the network ranges from which service virtual IPs are allocated.
    # This can be any RFC 1918 range that does not conflict with any other IP range
    # in the cluster and node pool resources.
    services:
      cidrBlocks:
      - 10.96.0.0/20
  # Load balancer configuration
  loadBalancer:
    # Load balancer mode can be either 'bundled' or 'manual'.
    # In 'bundled' mode a load balancer will be installed on load balancer nodes during cluster creation.
    # In 'manual' mode the cluster relies on a manually-configured external load balancer.
    mode: bundled
    # Load balancer port configuration
    ports:
      # Specifies the port the load balancer serves the Kubernetes control plane on.
      # In 'manual' mode the external load balancer must be listening on this port.
      controlPlaneLBPort: 443
    # There are two load balancer virtual IP (VIP) addresses: one for the control plane
    # and one for the L7 Ingress service. The VIPs must be in the same subnet as the load balancer nodes.
    # These IP addresses do not correspond to physical network interfaces.
    vips:
      # ControlPlaneVIP specifies the VIP to connect to the Kubernetes API server.
      # This address must not be in the address pools below.
      controlPlaneVIP: 10.200.0.71
      # IngressVIP specifies the VIP shared by all services for ingress traffic.
      # Allowed only in non-admin clusters.
      # This address must be in the address pools below.
      # ingressVIP: 10.0.0.2
    # AddressPools is a list of non-overlapping IP ranges for the data plane load balancer.
    # All addresses must be in the same subnet as the load balancer nodes.
    # Address pool configuration is only valid for 'bundled' LB mode in non-admin clusters.
    # addressPools:
    # - name: pool1
    #   addresses:
    #   # Each address must be either in the CIDR form (1.2.3.0/24)
    #   # or range form (1.2.3.1-1.2.3.5).
    #   - 10.0.0.1-10.0.0.4
    # A load balancer node pool can be configured to specify nodes used for load balancing.
    # These nodes are part of the Kubernetes cluster and run regular workloads as well as load balancers.
    # If the node pool config is absent then the control plane nodes are used.
    # Node pool configuration is only valid for 'bundled' LB mode.
    # nodePoolSpec:
    #  nodes:
    #  - address: <Machine 1 IP>
  # Proxy configuration
  # proxy:
  #   url: http://[username:password@]domain
  #   # A list of IPs, hostnames or domains that should not be proxied.
  #   noProxy:
  #   - 127.0.0.1
  #   - localhost
  # Logging and Monitoring
  clusterOperations:
    # Cloud project for logs and metrics.
    projectID: $GOOGLE_PROJECT_ID
    # Cloud location for logs and metrics.
    location: us-central1
    # Whether collection of application logs/metrics should be enabled (in addition to
    # collection of system logs/metrics which correspond to system components such as
    # Kubernetes control plane or cluster management agents).
    # enableApplication: false
  # Storage configuration
  storage:
    # lvpNodeMounts specifies the config for local PersistentVolumes backed by mounted disks.
    # These disks need to be formatted and mounted by the user, which can be done before or after
    # cluster creation.
    lvpNodeMounts:
      # path specifies the host machine path where mounted disks will be discovered and a local PV
      # will be created for each mount.
      path: /mnt/localpv-disk
      # storageClassName specifies the StorageClass that PVs will be created with. The StorageClass
      # is created during cluster creation.
      storageClassName: local-disks
    # lvpShare specifies the config for local PersistentVolumes backed by subdirectories in a shared filesystem.
    # These subdirectories are automatically created during cluster creation.
    lvpShare:
      # path specifies the host machine path where subdirectories will be created on each host. A local PV
      # will be created for each subdirectory.
      path: /mnt/localpv-share
      # storageClassName specifies the StorageClass that PVs will be created with. The StorageClass
      # is created during cluster creation.
      storageClassName: local-shared
      # numPVUnderSharedPath specifies the number of subdirectories to create under path.
      numPVUnderSharedPath: 5
  # NodeConfig specifies the configuration that applies to all nodes in the cluster.
  nodeConfig:
    # podDensity specifies the pod density configuration.
    podDensity:
      # maxPodsPerNode specifies at most how many pods can be run on a single node.
      maxPodsPerNode: 250
    # containerRuntime specifies which container runtime to use for scheduling containers on nodes.
    # containerd and docker are supported.
    containerRuntime: containerd
  # KubeVirt configuration, uncomment this section if you want to install kubevirt to the cluster
  # kubevirt:
  #   # if useEmulation is enabled, hardware accelerator (i.e relies on cpu feature like vmx or svm)
  #   # will not be attempted. QEMU will be used for software emulation.
  #   # useEmulation must be specified for KubeVirt installation
  #   useEmulation: false
  # Authentication; uncomment this section if you wish to enable authentication to the cluster with OpenID Connect.
  # authentication:
  #   oidc:
  #     # issuerURL specifies the URL of your OpenID provider, such as "https://accounts.google.com". The Kubernetes API
  #     # server uses this URL to discover public keys for verifying tokens. Must use HTTPS.
  #     issuerURL: <URL for OIDC Provider; required>
  #     # clientID specifies the ID for the client application that makes authentication requests to the OpenID
  #     # provider.
  #     clientID: <ID for OIDC client application; required>
  #     # clientSecret specifies the secret for the client application.
  #     clientSecret: <Secret for OIDC client application; optional>
  #     # kubectlRedirectURL specifies the redirect URL (required) for the gcloud CLI, such as
  #     # "http://localhost:[PORT]/callback".
  #     kubectlRedirectURL: <Redirect URL for the gcloud CLI; optional, default is "http://kubectl.redirect.invalid">
  #     # username specifies the JWT claim to use as the username. The default is "sub", which is expected to be a
  #     # unique identifier of the end user.
  #     username: <JWT claim to use as the username; optional, default is "sub">
  #     # usernamePrefix specifies the prefix prepended to username claims to prevent clashes with existing names.
  #     usernamePrefix: <Prefix prepended to username claims; optional>
  #     # group specifies the JWT claim that the provider will use to return your security groups.
  #     group: <JWT claim to use as the group name; optional>
  #     # groupPrefix specifies the prefix prepended to group claims to prevent clashes with existing names.
  #     groupPrefix: <Prefix prepended to group claims; optional>
  #     # scopes specifies additional scopes to send to the OpenID provider as a comma-delimited list.
  #     scopes: <Additional scopes to send to OIDC provider as a comma-separated list; optional>
  #     # extraParams specifies additional key-value parameters to send to the OpenID provider as a comma-delimited
  #     # list.
  #     extraParams: <Additional key-value parameters to send to OIDC provider as a comma-separated list; optional>
  #     # proxy specifies the proxy server to use for the cluster to connect to your OIDC provider, if applicable.
  #     # Example: https://user:password@10.10.10.10:8888. If left blank, this defaults to no proxy.
  #     proxy: <Proxy server to use for the cluster to connect to your OIDC provider; optional, default is no proxy>
  #     # deployCloudConsoleProxy specifies whether to deploy a reverse proxy in the cluster to allow Google Cloud
  #     # Console access to the on-premises OIDC provider for authenticating users. If your identity provider is not
  #     # reachable over the public internet, and you wish to authenticate using Google Cloud console, then this field
  #     # must be set to true. If left blank, this field defaults to false.
  #     deployCloudConsoleProxy: <Whether to deploy a reverse proxy for Google Cloud console authentication; optional>
  #     # certificateAuthorityData specifies a Base64 PEM-encoded certificate authority certificate of your identity
  #     # provider. It's not needed if your identity provider's certificate was issued by a well-known public CA.
  #     # However, if deployCloudConsoleProxy is true, then this value must be provided, even for a well-known public
  #     # CA.
  #     certificateAuthorityData: <Base64 PEM-encoded certificate authority certificate of your OIDC provider; optional>
  # Node access configuration; uncomment this section if you wish to use a non-root user
  # with passwordless sudo capability for machine login.
  # nodeAccess:
  #   loginUser: <login user name>