In Anthos-Cluster on Bare Metal richten Sie Administratorcluster ein, um andere Cluster sicher zu verwalten. Sie können Nutzercluster aus Administratorclustern erstellen, aktualisieren und löschen. Die Nutzercluster führen Arbeitslasten getrennt von der Verwaltung aus, sodass vertrauliche Informationen geschützt sind.
Administratorcluster, die Multi-Cluster-Arbeitslasten verwalten, können Hochverfügbarkeit (HA) bieten. Wenn in einem HA-Cluster ein Knoten der Steuerungsebene ausfällt, funktionieren andere Knoten weiterhin.
Ein Administratorcluster in einer Multi-Cluster-Umgebung bietet die beste grundlegende Sicherheit. Da der Zugriff auf Verwaltungsdaten von den Arbeitslasten getrennt ist, haben Personen, die auf Nutzerarbeitslasten zugreifen, keinen Zugriff auf sensible administrative Daten wie SSH-Schlüssel und Dienstkontodaten. Deshalb ist ein Kompromiss zwischen Sicherheit und Ressourcen erforderlich, da für einen separaten Administratorcluster spezielle Ressourcen für Verwaltung und Arbeitslasten benötigt werden.
Sie erstellen einen Administratorcluster mit dem Befehl bmctl
. Nachdem Sie den Administratorcluster erstellt haben, erstellen Sie Nutzercluster, um Arbeitslasten auszuführen.
Voraussetzungen:
- Die neueste
bmctl
wird aus Cloud Storage heruntergeladen (gs://anthos-baremetal-release/bmctl/1.8.9/linux-amd64/bmctl
). - Die Workstation, auf der
bmctl
ausgeführt wird, hat eine Netzwerkverbindung zu allen Knoten in den Ziel-Nutzerclustern. - Die Workstation, auf der
bmctl
ausgeführt wird, hat eine Netzwerkverbindung zum Cluster API-Server (VIP der Steuerungsebene). - Der SSH-Schlüssel, der zum Erstellen des Administratorclusters verwendet wird, ist Root, oder es gibt SUSE-Nutzerzugriff auf alle Knoten im Zieladministratorcluster.
- Das Connect-Register-Dienstkonto ist für die Verwendung mit Connect konfiguriert.
Eine ausführliche Schritt-für-Schritt-Anleitung zum Erstellen eines Hybridclusters finden Sie in der Kurzanleitung zu Anthos-Cluster on Bare Metal. Das Erstellen eines Administratorclusters ist mit dem Erstellen eines Hybridclusters vergleichbar, mit dem Unterschied, dass Sie keine Arbeitslasten auf dem Administratorcluster ausführen.
SELinux aktivieren
Wenn Sie SELinux zum Schutz Ihrer Container aktivieren möchten, muss SELinux auf den Hostmaschinen im Enforced
-Modus aktiviert sein, bevor Sie Anthos-Cluster on Bare Metal installieren. SELinux ist auf RHEL- und CentOS-Systemen standardmäßig aktiviert. Wenn SELinux in Ihren Clustern deaktiviert ist oder Sie sich nicht sicher sind, lesen Sie die Informationen zur Aktivierung unter Container mit SELinux sichern.
Anthos-Cluster on Bare Metal unterstützt SELinux nur in RHEL- und CentOS-Systemen.
Bei gcloud-CLI anmelden und eine Administratorcluster-Konfigurationsdatei erstellen
Legen Sie die Standardanmeldedaten fest, mit denen Anthos-Cluster on Bare-Metal den Cluster erstellen kann. Verwenden Sie dazu den folgenden Befehl:
gcloud auth application-default login
Wenn Sie die automatischen Features für die API-Aktivierung und Dienstkontoerstellungs auf dieser Seite verwenden möchten, weisen Sie diesem Hauptkonto die Rolle "Projektinhaber" zu. Wenn das Hauptkonto die Rolle "Projektinhaber" nicht haben kann, führen Sie den nächsten Schritt aus.
Damit der Cluster erfolgreich erstellt werden kann, ohne die Rolle "Projektinhaber" zuzuweisen, fügen Sie dem Hauptkonto die folgenden IAM-Rollen hinzu:
- Dienstkontoadministrator
- Zentraler Dienstkontoadministrator
- Projekt-IAM-Administrator
- Compute-Betrachter
- Service Usage-Administrator
Wenn das Hauptkonto ein Dienstkonto mit diesen Rollen ist, können Sie Folgendes ausführen:
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
Ersetzen Sie
JSON_KEY_FILE
durch den Pfad zur JSON-Schlüsseldatei Ihres Dienstkontos.Rufen Sie die ID Ihres Google Cloud-Projekts ab und speichern Sie sie in einer Umgebungsvariablen, um sie für die Clustererstellung zu verwenden:
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
Administratorclusterkonfiguration mit bmctl
erstellen
Nachdem Sie sich bei gcloud angemeldet und Ihr Projekt eingerichtet haben, können Sie die Cluster-Konfigurationsdatei mit dem Befehl bmctl
erstellen.
Im folgenden Beispiel werden alle Dienstkonten automatisch mit dem Befehl bmctl create config
erstellt:
bmctl create config -c ADMIN_CLUSTER_NAME --enable-apis \
--create-service-accounts --project-id=CLOUD_PROJECT_ID
Ersetzen Sie Folgendes:
- ADMIN_CLUSTER_NAME: durch den Namen des neuen Clusters.
- CLOUD_PROJECT_ID: Ihre Google Cloud-Projekt-ID oder die Umgebungsvariable
$CLOUD_PROJECT_ID
.
Das folgende Beispiel zeigt, wie Sie eine Konfigurationsdatei für einen Administratorcluster namens admin1
erstellen, der mit der Projekt-ID my-gcp-project
verknüpft ist:
bmctl create config -c admin1 --create-service-accounts --enable-apis --project-id=my-gcp-project
Die Datei wird in bmctl-workspace/admin1/admin1.yaml.
geschrieben.
Als Alternative zur automatischen Aktivierung von APIs und zum Erstellen von Dienstkonten können Sie Ihren vorhandenen Dienstkonten die entsprechenden IAM-Berechtigungen zuweisen. Sie können die automatische Erstellung des Dienstkontos im vorherigen Beispiel im Befehl bmctl
überspringen:
bmctl create config -c admin1
Cluster-Konfigurationsdatei bearbeiten
Da Sie nun eine Clusterkonfigurationsdatei haben, bearbeiten Sie sie, um folgende Änderungen vorzunehmen:
Geben Sie den privaten SSH-Schlüssel an, um auf die Administrator-Clusterknoten zugreifen zu können:
# bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes # resource, this section can only be included when using bmctl to # create the initial admin/admin cluster. Afterwards, when creating user clusters by directly # applying the cluster and node pool resources to the existing cluster, you must remove this # section. gcrKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json sshPrivateKeyPath: /path/to/your/ssh_private_key gkeConnectAgentServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json gkeConnectRegisterServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json cloudOperationsServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
Ab Version 1.7.0 müssen Sie Ihre Cluster mit Connect für Ihre Projektumgebung registrieren.
- Wenn Sie Ihre Konfigurationsdatei mithilfe der Features der automatischen API-Aktivierung und der Erstellung von Dienstkonten erstellt haben, können Sie diesen Schritt überspringen.
- Wenn Sie die Konfigurationsdatei erstellt haben, ohne die Features der automatischen API-Aktivierung und Erstellung von Dienstkonten zu verwenden, verweisen Sie auf die heruntergeladenen JSON-Schlüssel in den entsprechenden Feldern
gkeConnectAgentServiceAccountKeyPath
undgkeConnectRegisterServiceAccountKeyPath
der Cluster-Konfigurationsdatei.
Prüfen Sie, ob in der Konfiguration der Clustertyp
admin
(Standardwert) angegeben ist:spec: # Cluster type. This can be: # 1) admin: to create an admin cluster. This can later be used to create user clusters. # 2) user: to create a user cluster. Requires an existing admin cluster. # 3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads. # 4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters. type: admin
Ändern Sie die Konfigurationsdatei, um eine Steuerungsebene mit mehreren Knoten und Hochverfügbarkeit anzugeben. Geben Sie eine ungerade Anzahl von Knoten ein, die für ein Großteil des Quorums über HA geeignet sein sollen:
# Control plane configuration controlPlane: nodePoolSpec: nodes: # Control plane node pools. Typically, this is either a single machine # or 3 machines if using a high availability deployment. - address: 10.200.0.4 - address: 10.200.0.5 - address: 10.200.0.6
Geben Sie die Pod-Dichte der Clusterknoten und die Containerlaufzeit an:
.... # NodeConfig specifies the configuration that applies to all nodes in the cluster. nodeConfig: # podDensity specifies the pod density configuration. podDensity: # maxPodsPerNode specifies at most how many pods can be run on a single node. maxPodsPerNode: 250 # containerRuntime specifies which container runtime to use for scheduling containers on nodes. # containerd and docker are supported. containerRuntime: containerd ....
Zulässige Werte für Administratorcluster
maxPodsPerNode
sind32-250
für HA-Cluster und64-250
für Nicht-HA-Cluster. Der Standardwert, wenn nichts angegeben ist, lautet110
. Sobald der Cluster erstellt ist, kann dieser Wert nicht mehr aktualisiert werden.Die Pod-Dichte wird auch durch die verfügbaren IP-Ressourcen des Clusters begrenzt. Weitere Informationen finden Sie unter Pod-Netzwerk.
Administratorcluster mit Clusterkonfiguration erstellen
Stellen Sie den Cluster mit dem Befehl bmctl
bereit:
bmctl create cluster -c ADMIN_CLUSTER_NAME
ADMIN_CLUSTER_NAME gibt den im vorherigen Abschnitt erstellten Clusternamen an.
Im Folgenden sehen Sie ein Beispiel für den Befehl zum Erstellen eines Clusters mit dem Namen admin1
:
bmctl create cluster -c admin1
Beispiel für die vollständige Konfiguration eines Administratorclusters
Das folgende Beispiel zeigt eine Konfigurationsdatei für einen Administratorcluster, die mit dem Befehl bmctl
erstellt wurde.
Beachten Sie, dass in dieser Beispielkonfiguration Platzhalterclusternamen, VIPs und Adressen verwendet werden. Sie funktionieren in Ihrem Netzwerk möglicherweise nicht.
gcrKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
sshPrivateKeyPath: /bmctl/bmctl-workspace/.ssh/id_rsa
gkeConnectAgentServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
gkeConnectRegisterServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
cloudOperationsServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
---
apiVersion: v1
kind: Namespace
metadata:
name: cluster-admin1
---
apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
name: admin1
namespace: cluster-admin1
spec:
# Cluster type. This can be:
# 1) admin: to create an admin cluster. This can later be used to create user clusters.
# 2) user: to create a user cluster. Requires an existing admin cluster.
# 3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads.
# 4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters.
type: admin
# Anthos cluster version.
anthosBareMetalVersion: 1.8.9
# GKE connect configuration
gkeConnect:
projectID: $GOOGLE_PROJECT_ID
# Control plane configuration
controlPlane:
nodePoolSpec:
nodes:
# Control plane node pools. Typically, this is either a single machine
# or 3 machines if using a high availability deployment.
- address: 10.200.0.4
- address: 10.200.0.5
- address: 10.200.0.6
# Cluster networking configuration
clusterNetwork:
# Pods specify the IP ranges from which pod networks are allocated.
pods:
cidrBlocks:
- 192.168.0.0/16
# Services specify the network ranges from which service virtual IPs are allocated.
# This can be any RFC 1918 range that does not conflict with any other IP range
# in the cluster and node pool resources.
services:
cidrBlocks:
- 10.96.0.0/20
# Load balancer configuration
loadBalancer:
# Load balancer mode can be either 'bundled' or 'manual'.
# In 'bundled' mode a load balancer will be installed on load balancer nodes during cluster creation.
# In 'manual' mode the cluster relies on a manually-configured external load balancer.
mode: bundled
# Load balancer port configuration
ports:
# Specifies the port the load balancer serves the Kubernetes control plane on.
# In 'manual' mode the external load balancer must be listening on this port.
controlPlaneLBPort: 443
# There are two load balancer virtual IP (VIP) addresses: one for the control plane
# and one for the L7 Ingress service. The VIPs must be in the same subnet as the load balancer nodes.
# These IP addresses do not correspond to physical network interfaces.
vips:
# ControlPlaneVIP specifies the VIP to connect to the Kubernetes API server.
# This address must not be in the address pools below.
controlPlaneVIP: 10.200.0.71
# IngressVIP specifies the VIP shared by all services for ingress traffic.
# Allowed only in non-admin clusters.
# This address must be in the address pools below.
# ingressVIP: 10.0.0.2
# AddressPools is a list of non-overlapping IP ranges for the data plane load balancer.
# All addresses must be in the same subnet as the load balancer nodes.
# Address pool configuration is only valid for 'bundled' LB mode in non-admin clusters.
# addressPools:
# - name: pool1
# addresses:
# # Each address must be either in the CIDR form (1.2.3.0/24)
# # or range form (1.2.3.1-1.2.3.5).
# - 10.0.0.1-10.0.0.4
# A load balancer node pool can be configured to specify nodes used for load balancing.
# These nodes are part of the Kubernetes cluster and run regular workloads as well as load balancers.
# If the node pool config is absent then the control plane nodes are used.
# Node pool configuration is only valid for 'bundled' LB mode.
# nodePoolSpec:
# nodes:
# - address: <Machine 1 IP>
# Proxy configuration
# proxy:
# url: http://[username:password@]domain
# # A list of IPs, hostnames or domains that should not be proxied.
# noProxy:
# - 127.0.0.1
# - localhost
# Logging and Monitoring
clusterOperations:
# Cloud project for logs and metrics.
projectID: $GOOGLE_PROJECT_ID
# Cloud location for logs and metrics.
location: us-central1
# Whether collection of application logs/metrics should be enabled (in addition to
# collection of system logs/metrics which correspond to system components such as
# Kubernetes control plane or cluster management agents).
# enableApplication: false
# Storage configuration
storage:
# lvpNodeMounts specifies the config for local PersistentVolumes backed by mounted disks.
# These disks need to be formatted and mounted by the user, which can be done before or after
# cluster creation.
lvpNodeMounts:
# path specifies the host machine path where mounted disks will be discovered and a local PV
# will be created for each mount.
path: /mnt/localpv-disk
# storageClassName specifies the StorageClass that PVs will be created with. The StorageClass
# is created during cluster creation.
storageClassName: local-disks
# lvpShare specifies the config for local PersistentVolumes backed by subdirectories in a shared filesystem.
# These subdirectories are automatically created during cluster creation.
lvpShare:
# path specifies the host machine path where subdirectories will be created on each host. A local PV
# will be created for each subdirectory.
path: /mnt/localpv-share
# storageClassName specifies the StorageClass that PVs will be created with. The StorageClass
# is created during cluster creation.
storageClassName: local-shared
# numPVUnderSharedPath specifies the number of subdirectories to create under path.
numPVUnderSharedPath: 5
# NodeConfig specifies the configuration that applies to all nodes in the cluster.
nodeConfig:
# podDensity specifies the pod density configuration.
podDensity:
# maxPodsPerNode specifies at most how many pods can be run on a single node.
maxPodsPerNode: 250
# containerRuntime specifies which container runtime to use for scheduling containers on nodes.
# containerd and docker are supported.
containerRuntime: containerd
# KubeVirt configuration, uncomment this section if you want to install kubevirt to the cluster
# kubevirt:
# # if useEmulation is enabled, hardware accelerator (i.e relies on cpu feature like vmx or svm)
# # will not be attempted. QEMU will be used for software emulation.
# # useEmulation must be specified for KubeVirt installation
# useEmulation: false
# Authentication; uncomment this section if you wish to enable authentication to the cluster with OpenID Connect.
# authentication:
# oidc:
# # issuerURL specifies the URL of your OpenID provider, such as "https://accounts.google.com". The Kubernetes API
# # server uses this URL to discover public keys for verifying tokens. Must use HTTPS.
# issuerURL: <URL for OIDC Provider; required>
# # clientID specifies the ID for the client application that makes authentication requests to the OpenID
# # provider.
# clientID: <ID for OIDC client application; required>
# # clientSecret specifies the secret for the client application.
# clientSecret: <Secret for OIDC client application; optional>
# # kubectlRedirectURL specifies the redirect URL (required) for the gcloud CLI, such as
# # "http://localhost:[PORT]/callback".
# kubectlRedirectURL: <Redirect URL for the gcloud CLI; optional, default is "http://kubectl.redirect.invalid">
# # username specifies the JWT claim to use as the username. The default is "sub", which is expected to be a
# # unique identifier of the end user.
# username: <JWT claim to use as the username; optional, default is "sub">
# # usernamePrefix specifies the prefix prepended to username claims to prevent clashes with existing names.
# usernamePrefix: <Prefix prepended to username claims; optional>
# # group specifies the JWT claim that the provider will use to return your security groups.
# group: <JWT claim to use as the group name; optional>
# # groupPrefix specifies the prefix prepended to group claims to prevent clashes with existing names.
# groupPrefix: <Prefix prepended to group claims; optional>
# # scopes specifies additional scopes to send to the OpenID provider as a comma-delimited list.
# scopes: <Additional scopes to send to OIDC provider as a comma-separated list; optional>
# # extraParams specifies additional key-value parameters to send to the OpenID provider as a comma-delimited
# # list.
# extraParams: <Additional key-value parameters to send to OIDC provider as a comma-separated list; optional>
# # proxy specifies the proxy server to use for the cluster to connect to your OIDC provider, if applicable.
# # Example: https://user:password@10.10.10.10:8888. If left blank, this defaults to no proxy.
# proxy: <Proxy server to use for the cluster to connect to your OIDC provider; optional, default is no proxy>
# # deployCloudConsoleProxy specifies whether to deploy a reverse proxy in the cluster to allow Google Cloud
# # Console access to the on-premises OIDC provider for authenticating users. If your identity provider is not
# # reachable over the public internet, and you wish to authenticate using Google Cloud console, then this field
# # must be set to true. If left blank, this field defaults to false.
# deployCloudConsoleProxy: <Whether to deploy a reverse proxy for Google Cloud console authentication; optional>
# # certificateAuthorityData specifies a Base64 PEM-encoded certificate authority certificate of your identity
# # provider. It's not needed if your identity provider's certificate was issued by a well-known public CA.
# # However, if deployCloudConsoleProxy is true, then this value must be provided, even for a well-known public
# # CA.
# certificateAuthorityData: <Base64 PEM-encoded certificate authority certificate of your OIDC provider; optional>
# Node access configuration; uncomment this section if you wish to use a non-root user
# with passwordless sudo capability for machine login.
# nodeAccess:
# loginUser: <login user name>