In questa pagina viene spiegato come creare un cluster autonomo, che è un cluster autogestibile che esegue carichi di lavoro. I cluster autonomi non gestiscono altri cluster, eliminando la necessità di eseguire un cluster di amministrazione separato in scenari con risorse limitate. Inoltre, i cluster autonomi offrono due profili di installazione tra cui scegliere:
- Predefinito: il profilo predefinito ha esigenze limitate in termini di risorse.
- Dispositivo periferico: il profilo periferico presenta esigenze notevolmente limitate in termini di risorse di sistema ed è consigliato per i dispositivi periferici con vincoli di risorse elevati.
Prima di creare un cluster autonomo, valuta l'equilibrio tra la riduzione delle risorse e la sicurezza complessiva. Poiché i cluster autonomi si gestiscono da soli, l'esecuzione dei carichi di lavoro sullo stesso cluster aumenta il rischio di esporre dati amministrativi sensibili, come le chiavi SSH.
Prima di iniziare
Prima di poter creare un cluster autonomo, assicurati che:
- L'ultimo
bmctlè scaricato (gs://anthos-baremetal-release/bmctl/1.8.9/linux-amd64/bmctl) da Cloud Storage. - La workstation che esegue
bmctlha una connettività di rete a tutti i nodi nel cluster autonomo di destinazione. - La workstation che esegue
bmctlha una connettività di rete al VIP del piano di controllo del cluster autonomo di destinazione. - La chiave SSH utilizzata per creare il cluster autonomo è disponibile per il root, oppure è presente l'accesso utente SUDO su tutti i nodi nel cluster autonomo di destinazione.
- L'account di servizio Connect-register è configurato per l'utilizzo con Connect.
Abilita SELinux
Se vuoi abilitare SELinux per proteggere i tuoi container, devi assicurarti che
SELinux sia abilitato in macchine host in modalità Enforced prima di installare
Cluster Anthos su Bare Metal. SELinux è abilitato per impostazione predefinita sui sistemi RHEL e CentOS
Se SELinux è disabilitato nei tuoi cluster o hai dubbi al riguardo, consulta
Sicurezza dei container tramite SELinux
per le istruzioni su come abilitarlo.
I cluster Anthos su Bare Metal supportano SELinux solo in sistemi RHEL e CentOS.
Crea un cluster autonomo
Puoi creare un cluster autonomo che ha un singolo piano di nodo di controllo utilizzando il comando bmctl. Questo tipo di configurazione riduce il consumo di risorse ma non fornisce disponibilità elevata (HA) e il cluster risultante ha un singolo punto di errore.
Puoi anche creare un cluster autonomo ad alta disponibilità. In modalità ad alta disponibilità, se un nodo si guasta, gli altri sostituiranno la sua. Per creare un cluster autonomo ad alta disponibilità, devi specificare almeno tre nodi per il piano di controllo.
In genere, il comando bmctl può essere eseguito su una workstation separata o su uno dei nodi del cluster autonomo. Tuttavia, se crei un cluster autonomo con il profilo perimetrale abilitato e hai configurato le risorse minime richieste, ti consigliamo di eseguire bmctl su una workstation separata.
Accedi a gcloud
Accedi a
gcloudcome utente:gcloud auth application-default loginDevi disporre di un ruolo di proprietario o editor del progetto per utilizzare l'abilitazione automatica delle API e le funzionalità di creazione dell'account di servizio descritte di seguito.
Puoi anche aggiungere i seguenti ruoli IAM all'utente:
- Amministratore account di servizio
- Amministratore chiavi account di servizio
- Amministratore IAM progetto
- Visualizzatore Compute
- Amministratore Service Usage
In alternativa, se hai già un account di servizio con questi ruoli, esegui:
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILESostituisci JSON_KEY_FILE con il percorso del file della chiave JSON dell'account di servizio.
Ottieni il tuo ID progetto Google Cloud da utilizzare con la creazione del cluster:
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
Crea un file di configurazione cluster autonomo
Dopo aver eseguito l'accesso a gcloud e aver configurato il tuo progetto, puoi creare il file di configurazione del cluster con il comando bmctl. In questo esempio, tutti gli account di servizio vengono creati automaticamente con il comando bmctl create config:
bmctl create config -c STANDALONE_CLUSTER_NAME --enable-apis \
--create-service-accounts --project-id=$CLOUD_PROJECT_ID
Sostituisci quanto segue:
- STANDALONE_CLUSTER_NAME con il nome del cluster autonomo che vuoi creare.
Esempio
Il comando seguente crea un file di configurazione per un cluster autonomo denominato standalone1, associato all'ID progetto my-gcp-project:
bmctl create config -c standalone1 --create-service-accounts --project-id=my-gcp-project
Il file è scritto in bmctl-workspace/standalone1/standalone1.yaml.
In alternativa all'attivazione automatica delle API e alla creazione di account di servizio, puoi anche fornire i tuoi account di servizio esistenti se disponi delle autorizzazioni IAM appropriate.
In questo modo, puoi saltare la creazione automatica dell'account di servizio nel passaggio precedente del comando bmctl:
bmctl create config -c standalone1
Modifica il file di configurazione del cluster
Ora che hai un file di configurazione del cluster, apporta le seguenti modifiche:
Aggiungi la chiave privata SSH per accedere ai nodi del cluster autonomi:
# bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes # resource, this section can only be included when using bmctl to # create the initial admin/hybrid cluster. Afterwards, when creating user clusters by directly # applying the cluster and node pool resources to the existing cluster, you must remove this # section. gcrKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json sshPrivateKeyPath: /path/to/your/ssh_private_key gkeConnectAgentServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json gkeConnectRegisterServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json cloudOperationsServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.jsonRegistra i cluster con il tuo flotta di progetti utilizzando Connect.
- Se hai creato il file di configurazione utilizzando l'abilitazione automatica delle API e le funzionalità di creazione dell'account di servizio, puoi saltare questo passaggio.
- Se hai creato il file di configurazione senza utilizzare l'abilitazione automatica delle API e le funzionalità di creazione dell'account di servizio, fai riferimento alle chiavi JSON dell'account di servizio scaricato nei campi
gkeConnectAgentServiceAccountKeyPathegkeConnectRegisterServiceAccountKeyPathdel file di configurazione del cluster corrispondente.
Modifica la configurazione per specificare un tipo di cluster
standaloneinvece diadmin. Se vuoi abilitare il profilo perimetrale per ridurre al minimo il consumo di risorse, specificaprofile: edge:spec: # Cluster type. This can be: # 1) admin: to create an admin cluster. This can later be used to create user clusters. # 2) user: to create a user cluster. Requires an existing admin cluster. # 3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads. # 4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters. type: standalone # Edge profile minimizes the resource consumption of Anthos clusters on bare metal. It is only available for standalone clusters. profile: edge(Facoltativo) Modifica la configurazione per specificare un piano di controllo multinodo, ad alta disponibilità. Specifica un numero dispari di nodi per avere un quorum di maggioranza per l'alta disponibilità:
# Control plane configuration controlPlane: nodePoolSpec: nodes: # Control plane node pools. Typically, this is either a single machine # or 3 machines if using a high availability deployment. - address: 10.200.0.4 - address: 10.200.0.5 - address: 10.200.0.6Se hai un numero pari di nodi temporaneamente durante l'aggiunta o la rimozione di nodi per la manutenzione o la sostituzione, il tuo deployment mantiene l'alta disponibilità purché tu abbia quorum.
Specifica la densità dei pod dei nodi del cluster e il runtime del container:
.... # NodeConfig specifies the configuration that applies to all nodes in the cluster. nodeConfig: # podDensity specifies the pod density configuration. podDensity: # maxPodsPerNode specifies at most how many pods can be run on a single node. maxPodsPerNode: 250 # containerRuntime specifies which container runtime to use for scheduling containers on nodes. # containerd and docker are supported. containerRuntime: containerd ....Per i cluster autonomi, i valori consentiti per
maxPodsPerNodesono32-250per i cluster ad alta disponibilità e64-250per i cluster non ad alta disponibilità. Il valore predefinito se non specificato è110. Una volta creato il cluster, questo valore non può essere aggiornato.La densità dei pod è limitata anche dalle risorse IP disponibili del tuo cluster. Per maggiori dettagli, consulta la pagina relativa al networking dei pod.
Se abiliti il profilo perimetrale con i requisiti minimi di risorse configurati, ti consigliamo di utilizzare
containerdcome runtime del container.
Crea il cluster autonomo con la configurazione del cluster
Utilizza il comando bmctl per eseguire il deployment del cluster autonomo:
bmctl create cluster -c <var>CLUSTER_NAME</var>
Sostituisci CLUSTER_NAME con il nome del cluster che hai creato nella sezione precedente.
Di seguito è riportato un esempio del comando per creare un cluster denominato standalone1:
bmctl create cluster -c standalone1
Esempio di configurazione completa di un cluster autonomo
Di seguito è riportato un file di configurazione di un cluster autonomo di esempio creato dal comando bmctl. In questa configurazione di esempio vengono utilizzati i nomi dei cluster segnaposto, i VIP e gli indirizzi. Potrebbero non funzionare per la tua rete.
gcrKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
sshPrivateKeyPath: /bmctl/bmctl-workspace/.ssh/id_rsa
gkeConnectAgentServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
gkeConnectRegisterServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
cloudOperationsServiceAccountKeyPath: /bmctl/bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
---
apiVersion: v1
kind: Namespace
metadata:
name: cluster-standalone1
---
apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
name: standalone1
namespace: cluster-standalone1
spec:
# Cluster type. This can be:
# 1) admin: to create an admin cluster. This can later be used to create user clusters.
# 2) user: to create a user cluster. Requires an existing admin cluster.
# 3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads.
# 4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters.
type: standalone
# Anthos cluster version.
anthosBareMetalVersion: 1.8.9
# GKE connect configuration
gkeConnect:
projectID: $GOOGLE_PROJECT_ID
# Control plane configuration
controlPlane:
nodePoolSpec:
nodes:
# Control plane node pools. Typically, this is either a single machine
# or 3 machines if using a high availability deployment.
- address: 10.200.0.4
# Cluster networking configuration
clusterNetwork:
# Pods specify the IP ranges from which pod networks are allocated.
pods:
cidrBlocks:
- 192.168.0.0/16
# Services specify the network ranges from which service virtual IPs are allocated.
# This can be any RFC 1918 range that does not conflict with any other IP range
# in the cluster and node pool resources.
services:
cidrBlocks:
- 10.96.0.0/20
# Load balancer configuration
loadBalancer:
# Load balancer mode can be either 'bundled' or 'manual'.
# In 'bundled' mode a load balancer will be installed on load balancer nodes during cluster creation.
# In 'manual' mode the cluster relies on a manually-configured external load balancer.
mode: bundled
# Load balancer port configuration
ports:
# Specifies the port the load balancer serves the Kubernetes control plane on.
# In 'manual' mode the external load balancer must be listening on this port.
controlPlaneLBPort: 443
# There are two load balancer virtual IP (VIP) addresses: one for the control plane
# and one for the L7 Ingress service. The VIPs must be in the same subnet as the load balancer nodes.
# These IP addresses do not correspond to physical network interfaces.
vips:
# ControlPlaneVIP specifies the VIP to connect to the Kubernetes API server.
# This address must not be in the address pools below.
controlPlaneVIP: 10.200.0.71
# IngressVIP specifies the VIP shared by all services for ingress traffic.
# Allowed only in non-admin clusters.
# This address must be in the address pools below.
ingressVIP: 10.200.0.72
# AddressPools is a list of non-overlapping IP ranges for the data plane load balancer.
# All addresses must be in the same subnet as the load balancer nodes.
# Address pool configuration is only valid for 'bundled' LB mode in non-admin clusters.
addressPools:
- name: pool1
addresses:
# Each address must be either in the CIDR form (1.2.3.0/24)
# or range form (1.2.3.1-1.2.3.5).
- 10.200.0.72-10.200.0.90
# A load balancer node pool can be configured to specify nodes used for load balancing.
# These nodes are part of the Kubernetes cluster and run regular workloads as well as load balancers.
# If the node pool config is absent then the control plane nodes are used.
# Node pool configuration is only valid for 'bundled' LB mode.
# nodePoolSpec:
# nodes:
# - address: <Machine 1 IP>
# Proxy configuration
# proxy:
# url: http://[username:password@]domain
# # A list of IPs, hostnames or domains that should not be proxied.
# noProxy:
# - 127.0.0.1
# - localhost
# Logging and Monitoring
clusterOperations:
# Cloud project for logs and metrics.
projectID: $GOOGLE_PROJECT_ID
# Cloud location for logs and metrics.
location: us-central1
# Whether collection of application logs/metrics should be enabled (in addition to
# collection of system logs/metrics which correspond to system components such as
# Kubernetes control plane or cluster management agents).
# enableApplication: false
# Storage configuration
storage:
# lvpNodeMounts specifies the config for local PersistentVolumes backed by mounted disks.
# These disks need to be formatted and mounted by the user, which can be done before or after
# cluster creation.
lvpNodeMounts:
# path specifies the host machine path where mounted disks will be discovered and a local PV
# will be created for each mount.
path: /mnt/localpv-disk
# storageClassName specifies the StorageClass that PVs will be created with. The StorageClass
# is created during cluster creation.
storageClassName: local-disks
# lvpShare specifies the config for local PersistentVolumes backed by subdirectories in a shared filesystem.
# These subdirectories are automatically created during cluster creation.
lvpShare:
# path specifies the host machine path where subdirectories will be created on each host. A local PV
# will be created for each subdirectory.
path: /mnt/localpv-share
# storageClassName specifies the StorageClass that PVs will be created with. The StorageClass
# is created during cluster creation.
storageClassName: local-shared
# numPVUnderSharedPath specifies the number of subdirectories to create under path.
numPVUnderSharedPath: 5
# NodeConfig specifies the configuration that applies to all nodes in the cluster.
nodeConfig:
# podDensity specifies the pod density configuration.
podDensity:
# maxPodsPerNode specifies at most how many pods can be run on a single node.
maxPodsPerNode: 250
# containerRuntime specifies which container runtime to use for scheduling containers on nodes.
# containerd and docker are supported.
containerRuntime: containerd
# KubeVirt configuration, uncomment this section if you want to install kubevirt to the cluster
# kubevirt:
# # if useEmulation is enabled, hardware accelerator (i.e relies on cpu feature like vmx or svm)
# # will not be attempted. QEMU will be used for software emulation.
# # useEmulation must be specified for KubeVirt installation
# useEmulation: false
# Authentication; uncomment this section if you wish to enable authentication to the cluster with OpenID Connect.
# authentication:
# oidc:
# # issuerURL specifies the URL of your OpenID provider, such as "https://accounts.google.com". The Kubernetes API
# # server uses this URL to discover public keys for verifying tokens. Must use HTTPS.
# issuerURL: <URL for OIDC Provider; required>
# # clientID specifies the ID for the client application that makes authentication requests to the OpenID
# # provider.
# clientID: <ID for OIDC client application; required>
# # clientSecret specifies the secret for the client application.
# clientSecret: <Secret for OIDC client application; optional>
# # kubectlRedirectURL specifies the redirect URL (required) for the gcloud CLI, such as
# # "http://localhost:[PORT]/callback".
# kubectlRedirectURL: <Redirect URL for the gcloud CLI; optional, default is "http://kubectl.redirect.invalid">
# # username specifies the JWT claim to use as the username. The default is "sub", which is expected to be a
# # unique identifier of the end user.
# username: <JWT claim to use as the username; optional, default is "sub">
# # usernamePrefix specifies the prefix prepended to username claims to prevent clashes with existing names.
# usernamePrefix: <Prefix prepended to username claims; optional>
# # group specifies the JWT claim that the provider will use to return your security groups.
# group: <JWT claim to use as the group name; optional>
# # groupPrefix specifies the prefix prepended to group claims to prevent clashes with existing names.
# groupPrefix: <Prefix prepended to group claims; optional>
# # scopes specifies additional scopes to send to the OpenID provider as a comma-delimited list.
# scopes: <Additional scopes to send to OIDC provider as a comma-separated list; optional>
# # extraParams specifies additional key-value parameters to send to the OpenID provider as a comma-delimited
# # list.
# extraParams: <Additional key-value parameters to send to OIDC provider as a comma-separated list; optional>
# # proxy specifies the proxy server to use for the cluster to connect to your OIDC provider, if applicable.
# # Example: https://user:password@10.10.10.10:8888. If left blank, this defaults to no proxy.
# proxy: <Proxy server to use for the cluster to connect to your OIDC provider; optional, default is no proxy>
# # deployCloudConsoleProxy specifies whether to deploy a reverse proxy in the cluster to allow Google Cloud
# # Console access to the on-premises OIDC provider for authenticating users. If your identity provider is not
# # reachable over the public internet, and you wish to authenticate using Google Cloud console, then this field
# # must be set to true. If left blank, this field defaults to false.
# deployCloudConsoleProxy: <Whether to deploy a reverse proxy for Google Cloud console authentication; optional>
# # certificateAuthorityData specifies a Base64 PEM-encoded certificate authority certificate of your identity
# # provider. It's not needed if your identity provider's certificate was issued by a well-known public CA.
# # However, if deployCloudConsoleProxy is true, then this value must be provided, even for a well-known public
# # CA.
# certificateAuthorityData: <Base64 PEM-encoded certificate authority certificate of your OIDC provider; optional>
# Node access configuration; uncomment this section if you wish to use a non-root user
# with passwordless sudo capability for machine login.
# nodeAccess:
# loginUser: <login user name>
---
# Node pools for worker nodes
apiVersion: baremetal.cluster.gke.io/v1
kind: NodePool
metadata:
name: node-pool-1
namespace: cluster-standalone1
spec:
clusterName: standalone1
nodes:
- address: 10.200.0.5
- address: 10.200.0.6