En clústeres de Anthos en equipos físicos, configura clústeres de administrador para administrar otros clústeres de manera segura. Puedes crear, actualizar, o borrar clústeres de usuario de los clústeres de administrador. Los clústeres de usuarios ejecutan cargas de trabajo por separado de la administración, por lo que la información sensible está protegida.
Los clústeres de administrador que administran cargas de trabajo de varios clústeres pueden proporcionar confiabilidad con alta disponibilidad (HA). En un clúster de HA, si un nodo del plano de control falla, otros nodos seguirán funcionando.
Un clúster de administrador en un entorno de varios clústeres proporciona la mejor seguridad básica. Debido a que el acceso a los datos de administración está separado de las cargas de trabajo, las personas que acceden a las cargas de trabajo de usuarios no tienen acceso a datos administrativos sensibles, como las claves SSH y los datos de cuentas de servicio. Como resultado, se genera una compensación entre la seguridad y los recursos requeridos, ya que un clúster de administrador independiente significa que necesitarás recursos dedicados para la administración y las cargas de trabajo.
Puedes crear un clúster de administrador con el comando bmctl
. Después de crear un clúster de administrador, debes crear clústeres de usuario para ejecutar las cargas de trabajo.
Requisitos previos:
- Se descarga la versión más reciente de
bmctl
(gs://anthos-baremetal-release/bmctl/1.8.9/linux-amd64/bmctl
) de Cloud Storage. - La estación de trabajo que ejecuta
bmctl
tiene conectividad de red a todos los nodos en los clústeres de usuario de destino. - La estación de trabajo que ejecuta
bmctl
tiene conectividad de red al servidor de la API del clúster (plano de control de VIP). - La clave SSH que se usa para crear el clúster de administrador está disponible para la raíz, o hay acceso de usuario SUDO en todos los nodos del clúster de administrador de destino.
- La cuenta de servicio del registro de Connect está configurada para usarse con Connect.
Consulta la guía de inicio rápido de los clústeres de Anthos en equipos físicos para obtener instrucciones detalladas sobre cómo crear un clúster híbrido. Crear un clúster de administrador es similar a crear un clúster híbrido, excepto que no ejecutas cargas de trabajo en el clúster de administrador.
Habilita SELinux
Si deseas habilitar SELinux para proteger tus contenedores, debes asegurarte de que SELinux esté habilitado en las máquinas anfitrión del modo Enforced
antes de instalar clústeres de Anthos en un equipo físico. SELinux está habilitado de forma predeterminada en los sistemas RHEL y CentOS. Si SELinux está inhabilitado en los clústeres o no estás seguro, consulta Proteger tus contenedores con SELinux si deseas obtener instrucciones para habilitarlo.
Los clústeres de Anthos en equipos físicos son compatibles con SELinux en sistemas RHEL y CentOS.
Accede a la CLI de gcloud y crea un archivo de configuración del clúster de administrador
Configura las credenciales predeterminadas que los clústeres de Anthos en el equipo físico pueden usar para crear el clúster con el siguiente comando:
gcloud auth application-default login
Para usar las funciones automáticas de habilitación de API y creación de cuentas de servicio en esta página, otorga la función de propietario del proyecto a ese principal. Si el principal no puede tener la función de propietario del proyecto, completa el siguiente paso.
Para asegurarte de que la creación del clúster se pueda realizar sin necesidad de otorgar la función de propietario del proyecto, agrega las siguientes funciones de IAM al principal:
- Administrador de cuenta de servicio
- Administrador de clave de cuenta de servicio
- Administrador de IAM de proyecto
- Lector de Compute
- Administrador de Service Usage
Si el principal es una cuenta de servicio con esas funciones, puedes ejecutar lo siguiente:
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
Reemplaza
JSON_KEY_FILE
por la ruta al archivo de claves JSON de tu cuenta de servicio.Obtén el ID del proyecto de Google Cloud y almacénalo en una variable de entorno para usarlo en la creación del clúster:
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
Crea una configuración del clúster de administrador con bmctl
Después de acceder a gcloud y configurar el proyecto, puedes crear el archivo de configuración del clúster con el comando bmctl
.
En el siguiente ejemplo, todas las cuentas de servicio se crean automáticamente mediante el comando bmctl create config
:
bmctl create config -c ADMIN_CLUSTER_NAME --enable-apis \
--create-service-accounts --project-id=CLOUD_PROJECT_ID
Reemplaza lo siguiente:
- ADMIN_CLUSTER_NAME es el nombre del clúster nuevo.
- CLOUD_PROJECT_ID: es el ID de tu proyecto de Google Cloud o la variable de entorno
$CLOUD_PROJECT_ID
.
A continuación, se muestra un ejemplo a fin de crear un archivo de configuración para un clúster de administrador llamado admin1
asociado con el ID del proyecto my-gcp-project
:
bmctl create config -c admin1 --create-service-accounts --enable-apis --project-id=my-gcp-project
El archivo se escribe en bmctl-workspace/admin1/admin1.yaml.
.
Como alternativa a habilitar las API y crear cuentas de servicio automáticamente, también puedes proporcionar tus cuentas de servicio existentes con los permisos de IAM adecuados. Esto significa que puedes omitir la creación automática de cuentas de servicio en el paso anterior en el comando bmctl
:
bmctl create config -c admin1
Edita el archivo de configuración del clúster
Ahora que tienes un archivo de configuración del clúster, edítalo para realizar los siguientes cambios:
Proporciona la clave privada SSH para acceder a los nodos del clúster de administrador:
# bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes # resource, this section can only be included when using bmctl to # create the initial admin/admin cluster. Afterwards, when creating user clusters by directly # applying the cluster and node pool resources to the existing cluster, you must remove this # section. gcrKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json sshPrivateKeyPath: /path/to/your/ssh_private_key gkeConnectAgentServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json gkeConnectRegisterServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json cloudOperationsServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
En el caso de las versiones 1.7.0 y posteriores, debes registrar tus clústeres con Connect en el entorno de proyecto.
- Si creaste el archivo de configuración con las funciones de habilitación automática de la API y de creación de cuentas de servicio, puedes omitir este paso.
- Si creaste el archivo de configuración sin usar las funciones automáticas de habilitación de API y de creación de cuentas de servicio, haz referencia a las claves JSON de la cuenta de servicio descargadas en los campos
gkeConnectAgentServiceAccountKeyPath
ygkeConnectRegisterServiceAccountKeyPath
correspondientes del archivo de configuración del clúster.
Asegúrate de que la configuración especifique un tipo de clúster de
admin
(el valor predeterminado):spec: # Cluster type. This can be: # 1) admin: to create an admin cluster. This can later be used to create user clusters. # 2) user: to create a user cluster. Requires an existing admin cluster. # 3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads. # 4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters. type: admin
Cambia el archivo de configuración para especificar un plano de control de varios nodos y alta disponibilidad. Especifica una cantidad impar de nodos a fin de tener la mayoría de quórum para la HA:
# Control plane configuration controlPlane: nodePoolSpec: nodes: # Control plane node pools. Typically, this is either a single machine # or 3 machines if using a high availability deployment. - address: 10.200.0.4 - address: 10.200.0.5 - address: 10.200.0.6
Especifica la densidad del Pod de los nodos del clúster y el entorno de ejecución del contenedor:
.... # NodeConfig specifies the configuration that applies to all nodes in the cluster. nodeConfig: # podDensity specifies the pod density configuration. podDensity: # maxPodsPerNode specifies at most how many pods can be run on a single node. maxPodsPerNode: 250 # containerRuntime specifies which container runtime to use for scheduling containers on nodes. # containerd and docker are supported. containerRuntime: containerd ....
En los clústeres de administrador, los valores permitidos para
maxPodsPerNode
son32-250
para los clústeres de alta disponibilidad y64-250
para los clústeres que no son HA. El valor predeterminado si no se especifica, es110
. Este valor no se puede actualizar una vez que se crea el clúster.La densidad del Pod también está limitada por los recursos IP disponibles de tu clúster. Para obtener más detalles, consulta Herramientas de redes de Pods.
Crea el clúster de administrador con la configuración del clúster
Usa el comando bmctl
para implementar el clúster:
bmctl create cluster -c ADMIN_CLUSTER_NAME
ADMIN_CLUSTER_NAME especifica el nombre del clúster creado en la sección anterior.
A continuación, se muestra un ejemplo del comando para crear un clúster llamado admin1
:
bmctl create cluster -c admin1
Configuración completa del clúster de administrador de muestra
El siguiente es un archivo de configuración del clúster de administrador de muestra creado con el comando bmctl
.
Ten en cuenta que en esta configuración de muestra, se usan nombres de clústeres, VIP y direcciones de marcadores de posición. Es posible que no funcionen con tu red.
gcrKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
sshPrivateKeyPath: /bmctl/bmctl-workspace/.ssh/id_rsa
gkeConnectAgentServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
gkeConnectRegisterServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
cloudOperationsServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
---
apiVersion: v1
kind: Namespace
metadata:
name: cluster-admin1
---
apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
name: admin1
namespace: cluster-admin1
spec:
# Cluster type. This can be:
# 1) admin: to create an admin cluster. This can later be used to create user clusters.
# 2) user: to create a user cluster. Requires an existing admin cluster.
# 3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads.
# 4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters.
type: admin
# Anthos cluster version.
anthosBareMetalVersion: 1.8.9
# GKE connect configuration
gkeConnect:
projectID: $GOOGLE_PROJECT_ID
# Control plane configuration
controlPlane:
nodePoolSpec:
nodes:
# Control plane node pools. Typically, this is either a single machine
# or 3 machines if using a high availability deployment.
- address: 10.200.0.4
- address: 10.200.0.5
- address: 10.200.0.6
# Cluster networking configuration
clusterNetwork:
# Pods specify the IP ranges from which pod networks are allocated.
pods:
cidrBlocks:
- 192.168.0.0/16
# Services specify the network ranges from which service virtual IPs are allocated.
# This can be any RFC 1918 range that does not conflict with any other IP range
# in the cluster and node pool resources.
services:
cidrBlocks:
- 10.96.0.0/20
# Load balancer configuration
loadBalancer:
# Load balancer mode can be either 'bundled' or 'manual'.
# In 'bundled' mode a load balancer will be installed on load balancer nodes during cluster creation.
# In 'manual' mode the cluster relies on a manually-configured external load balancer.
mode: bundled
# Load balancer port configuration
ports:
# Specifies the port the load balancer serves the Kubernetes control plane on.
# In 'manual' mode the external load balancer must be listening on this port.
controlPlaneLBPort: 443
# There are two load balancer virtual IP (VIP) addresses: one for the control plane
# and one for the L7 Ingress service. The VIPs must be in the same subnet as the load balancer nodes.
# These IP addresses do not correspond to physical network interfaces.
vips:
# ControlPlaneVIP specifies the VIP to connect to the Kubernetes API server.
# This address must not be in the address pools below.
controlPlaneVIP: 10.200.0.71
# IngressVIP specifies the VIP shared by all services for ingress traffic.
# Allowed only in non-admin clusters.
# This address must be in the address pools below.
# ingressVIP: 10.0.0.2
# AddressPools is a list of non-overlapping IP ranges for the data plane load balancer.
# All addresses must be in the same subnet as the load balancer nodes.
# Address pool configuration is only valid for 'bundled' LB mode in non-admin clusters.
# addressPools:
# - name: pool1
# addresses:
# # Each address must be either in the CIDR form (1.2.3.0/24)
# # or range form (1.2.3.1-1.2.3.5).
# - 10.0.0.1-10.0.0.4
# A load balancer node pool can be configured to specify nodes used for load balancing.
# These nodes are part of the Kubernetes cluster and run regular workloads as well as load balancers.
# If the node pool config is absent then the control plane nodes are used.
# Node pool configuration is only valid for 'bundled' LB mode.
# nodePoolSpec:
# nodes:
# - address: <Machine 1 IP>
# Proxy configuration
# proxy:
# url: http://[username:password@]domain
# # A list of IPs, hostnames or domains that should not be proxied.
# noProxy:
# - 127.0.0.1
# - localhost
# Logging and Monitoring
clusterOperations:
# Cloud project for logs and metrics.
projectID: $GOOGLE_PROJECT_ID
# Cloud location for logs and metrics.
location: us-central1
# Whether collection of application logs/metrics should be enabled (in addition to
# collection of system logs/metrics which correspond to system components such as
# Kubernetes control plane or cluster management agents).
# enableApplication: false
# Storage configuration
storage:
# lvpNodeMounts specifies the config for local PersistentVolumes backed by mounted disks.
# These disks need to be formatted and mounted by the user, which can be done before or after
# cluster creation.
lvpNodeMounts:
# path specifies the host machine path where mounted disks will be discovered and a local PV
# will be created for each mount.
path: /mnt/localpv-disk
# storageClassName specifies the StorageClass that PVs will be created with. The StorageClass
# is created during cluster creation.
storageClassName: local-disks
# lvpShare specifies the config for local PersistentVolumes backed by subdirectories in a shared filesystem.
# These subdirectories are automatically created during cluster creation.
lvpShare:
# path specifies the host machine path where subdirectories will be created on each host. A local PV
# will be created for each subdirectory.
path: /mnt/localpv-share
# storageClassName specifies the StorageClass that PVs will be created with. The StorageClass
# is created during cluster creation.
storageClassName: local-shared
# numPVUnderSharedPath specifies the number of subdirectories to create under path.
numPVUnderSharedPath: 5
# NodeConfig specifies the configuration that applies to all nodes in the cluster.
nodeConfig:
# podDensity specifies the pod density configuration.
podDensity:
# maxPodsPerNode specifies at most how many pods can be run on a single node.
maxPodsPerNode: 250
# containerRuntime specifies which container runtime to use for scheduling containers on nodes.
# containerd and docker are supported.
containerRuntime: containerd
# KubeVirt configuration, uncomment this section if you want to install kubevirt to the cluster
# kubevirt:
# # if useEmulation is enabled, hardware accelerator (i.e relies on cpu feature like vmx or svm)
# # will not be attempted. QEMU will be used for software emulation.
# # useEmulation must be specified for KubeVirt installation
# useEmulation: false
# Authentication; uncomment this section if you wish to enable authentication to the cluster with OpenID Connect.
# authentication:
# oidc:
# # issuerURL specifies the URL of your OpenID provider, such as "https://accounts.google.com". The Kubernetes API
# # server uses this URL to discover public keys for verifying tokens. Must use HTTPS.
# issuerURL: <URL for OIDC Provider; required>
# # clientID specifies the ID for the client application that makes authentication requests to the OpenID
# # provider.
# clientID: <ID for OIDC client application; required>
# # clientSecret specifies the secret for the client application.
# clientSecret: <Secret for OIDC client application; optional>
# # kubectlRedirectURL specifies the redirect URL (required) for the gcloud CLI, such as
# # "http://localhost:[PORT]/callback".
# kubectlRedirectURL: <Redirect URL for the gcloud CLI; optional, default is "http://kubectl.redirect.invalid">
# # username specifies the JWT claim to use as the username. The default is "sub", which is expected to be a
# # unique identifier of the end user.
# username: <JWT claim to use as the username; optional, default is "sub">
# # usernamePrefix specifies the prefix prepended to username claims to prevent clashes with existing names.
# usernamePrefix: <Prefix prepended to username claims; optional>
# # group specifies the JWT claim that the provider will use to return your security groups.
# group: <JWT claim to use as the group name; optional>
# # groupPrefix specifies the prefix prepended to group claims to prevent clashes with existing names.
# groupPrefix: <Prefix prepended to group claims; optional>
# # scopes specifies additional scopes to send to the OpenID provider as a comma-delimited list.
# scopes: <Additional scopes to send to OIDC provider as a comma-separated list; optional>
# # extraParams specifies additional key-value parameters to send to the OpenID provider as a comma-delimited
# # list.
# extraParams: <Additional key-value parameters to send to OIDC provider as a comma-separated list; optional>
# # proxy specifies the proxy server to use for the cluster to connect to your OIDC provider, if applicable.
# # Example: https://user:password@10.10.10.10:8888. If left blank, this defaults to no proxy.
# proxy: <Proxy server to use for the cluster to connect to your OIDC provider; optional, default is no proxy>
# # deployCloudConsoleProxy specifies whether to deploy a reverse proxy in the cluster to allow Google Cloud
# # Console access to the on-premises OIDC provider for authenticating users. If your identity provider is not
# # reachable over the public internet, and you wish to authenticate using Google Cloud console, then this field
# # must be set to true. If left blank, this field defaults to false.
# deployCloudConsoleProxy: <Whether to deploy a reverse proxy for Google Cloud console authentication; optional>
# # certificateAuthorityData specifies a Base64 PEM-encoded certificate authority certificate of your identity
# # provider. It's not needed if your identity provider's certificate was issued by a well-known public CA.
# # However, if deployCloudConsoleProxy is true, then this value must be provided, even for a well-known public
# # CA.
# certificateAuthorityData: <Base64 PEM-encoded certificate authority certificate of your OIDC provider; optional>
# Node access configuration; uncomment this section if you wish to use a non-root user
# with passwordless sudo capability for machine login.
# nodeAccess:
# loginUser: <login user name>