Criar clusters de administrador

No Google Distributed Cloud, configure clusters de administrador para gerenciar outros clusters com segurança. É possível criar, atualizar, fazer upgrade ou excluir clusters de usuários dos clusters de administrador. Os clusters de usuário executam cargas de trabalho separadamente da administração, para que as informações sensíveis sejam protegidas.

Os clusters de administrador que gerenciam cargas de trabalho de vários clusters podem fornecer confiabilidade altamente disponível (HA, na sigla em inglês). Em um cluster de alta disponibilidade, se um nó do plano de controle falhar, outros nós continuarão funcionando.

Um cluster de administrador em um ambiente de vários clusters oferece a melhor segurança fundamental. Como o acesso aos dados de administração é separado das cargas de trabalho, quem acessa as cargas de trabalho do usuário não tem acesso a dados administrativos confidenciais, como chaves SSH e dados de conta de serviço. Como resultado, há algumas compensações entre a segurança e os recursos necessários, já que um cluster de administrador separado significa que você precisa de recursos dedicados para gerenciamento e cargas de trabalho.

Você cria um cluster de administrador usando o comando bmctl. Depois de criar um cluster de administrador, crie clusters de usuário para executar cargas de trabalho.

Pré-requisitos:

  • O último bmctl é transferido por download (gs://anthos-baremetal-release/bmctl/1.29.100-gke.251/linux-amd64/bmctl) do Cloud Storage.
  • A estação de trabalho que executa bmctl tem conectividade de rede com todos os nós nos clusters de usuários de destino.
  • A estação de trabalho que executa bmctl tem conectividade de rede com o servidor da API de cluster (plano de controle VIP).
  • A chave SSH usada para criar o cluster de administrador está disponível para root ou um usuário não raiz com privilégios sudo sem senha em todos os nós no cluster de administrador de destino.
  • A conta de serviço connect-register está configurada para uso com o Connect.

Consulte o quickstart do Google Distributed Cloud para instruções detalhadas sobre como criar um cluster híbrido. A criação de um cluster de administrador é semelhante à criação de um cluster híbrido, exceto pelo fato de que não é possível executar cargas de trabalho nele.

Ativar o SELinux

Se você quiser ativar o SELinux para proteger seus contêineres, verifique se o SELinux está ativado no modo Enforced em todas as máquinas host. A partir da versão 1.9.0 ou mais recente do Google Distributed Cloud, é possível ativar ou desativar o SELinux antes ou depois da criação ou dos upgrades do cluster. O SELinux é ativado por padrão no Red Hat Enterprise Linux (RHEL). Se o SELinux estiver desativado em suas máquinas host ou se você não tiver certeza, consulte Como proteger seus contêineres usando o SELinux para instruções sobre como ativá-lo.

O Google Distributed Cloud oferece suporte ao SELinux apenas em sistemas RHEL.

Fazer login na CLI gcloud e criar um arquivo de configuração do cluster de administrador

  1. Defina as credenciais padrão que o Google Distributed Cloud pode usar para criar o cluster com o seguinte comando:

    gcloud auth application-default login
    
  2. Para usar os recursos de ativação automática de API e criação de conta de serviço nesta página, conceda o papel de proprietário do projeto a esse principal. Se o principal não puder ter o papel de proprietário do projeto, conclua a próxima etapa.

  3. Para garantir que a criação do cluster possa ser bem-sucedida sem a concessão do papel de proprietário do projeto, adicione os seguintes papéis do IAM ao principal:

    • Administrador da conta de serviço
    • Administrador da chave da conta de serviço
    • Administrador de projetos do IAM
    • Leitor do Compute
    • Administrador do Service Usage

    Se o principal for uma conta de serviço com esses papéis, execute:

    export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
    

    Substitua JSON_KEY_FILE pelo caminho para o arquivo de chave JSON da sua conta de serviço.

  4. Consiga o ID do seu projeto do Google Cloud e armazene-o em uma variável de ambiente para usá-lo na criação do cluster:

    export CLOUD_PROJECT_ID=$(gcloud config get-value project)
    

Criar uma configuração de cluster de administrador com bmctl

Depois de fazer login na CLI gcloud e configurar o projeto, é possível criar o arquivo de configuração do cluster com o comando bmctl.

No exemplo a seguir, todas as contas de serviço são criadas automaticamente pelo comando bmctl create config:

bmctl create config -c ADMIN_CLUSTER_NAME --enable-apis \
    --create-service-accounts --project-id=CLOUD_PROJECT_ID

Substitua:

  • ADMIN_CLUSTER_NAME: o nome do novo cluster;
  • CLOUD_PROJECT_ID: o ID do projeto do Google Cloud ou a variável de ambiente $CLOUD_PROJECT_ID.

Veja um exemplo de como criar um arquivo de configuração para um cluster de administrador chamado admin1, associado ao ID do projeto my-gcp-project:

bmctl create config -c admin1 --create-service-accounts --enable-apis --project-id=my-gcp-project

O arquivo é gravado em bmctl-workspace/admin1/admin1.yaml.

Outra opção para ativar automaticamente APIs e criar contas de serviço é fornecer as contas de serviço atuais com permissões adequadas do IAM. Isso significa que é possível ignorar a criação automática de conta de serviço na etapa anterior no comando bmctl:

bmctl create config -c admin1 --project-id=my-gcp-project

Editar o arquivo de configuração do cluster

Agora que você tem um arquivo de configuração de cluster, edite-o para fazer as seguintes alterações:

  1. Forneça a chave privada SSH para acessar os nós do cluster de administrador:

    # bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes
    # resource, this section can only be included when using bmctl to
    # create the initial admin/admin cluster. Afterwards, when creating user clusters by directly
    # applying the cluster and node pool resources to the existing cluster, you must remove this
    # section.
    gcrKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
    sshPrivateKeyPath: /path/to/your/ssh_private_key
    gkeConnectAgentServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
    gkeConnectRegisterServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
    cloudOperationsServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
    
  2. Registre os clusters em uma frota. O ID do projeto que você especificou no comando bmctl create config é adicionado automaticamente ao campo gkeConnect.projectID no arquivo de configuração do cluster. Esse projeto é chamado de projeto host da frota.

    • Se você criou o arquivo de configuração usando os recursos de ativação automática da API e criação de conta de serviço, pule esta etapa.

    • Se você criou o arquivo de configuração sem usar a ativação automática da API e os recursos de criação de conta de serviço, faça referência às chaves JSON da conta de serviço baixadas nos campos gkeConnectAgentServiceAccountKeyPath e gkeConnectRegisterServiceAccountKeyPath correspondentes do arquivo de configuração do cluster.

    • Também é possível adicionar gkeConnect.location à especificação do cluster para especificar a região do Google Cloud em que a frota e os serviços do Connect são executados. A associação regional restringe o tráfego do serviço da frota à sua região. Se você incluir gkeConnect.location na especificação do cluster, a região especificada precisará ser a mesma configurada em clusterOperations.location. Se as regiões não forem as mesmas, a criação do cluster falhará.

  3. Verifique se a configuração especifica um tipo de cluster de admin (o valor padrão):

    spec:
      # Cluster type. This can be:
      #   1) admin:  to create an admin cluster. This can later be used to create user clusters.
      #   2) user:   to create a user cluster. Requires an existing admin cluster.
      #   3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads.
      #   4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters.
      type: admin
    
  4. Se a API GKE On-Prem estiver ativada no projeto do Google Cloud, todos os clusters no projeto serão registrados na API GKE On-Prem automaticamente na região configurada em clusterOperations.location.

    • Se você quiser inscrever todos os clusters do projeto na API GKE On-Prem, siga as etapas em Antes de começar para ativar e usar a API GKE On-Prem no projeto.

    • Se você não quiser registrar o cluster na API GKE On-Prem, inclua esta seção e defina gkeOnPremAPI.enabled como false. Se você não quiser registrar nenhum cluster no projeto, desative gkeonprem.googleapis.com (o nome do serviço da API GKE On-Prem) no projeto. Para instruções, consulte Como desativar serviços.

  5. Altere o arquivo de configuração para especificar um plano de controle com vários nós e de alta disponibilidade. Especifique um número ímpar de nós para poder ter uma maioria de quórum para HA:

      # Control plane configuration
      controlPlane:
        nodePoolSpec:
          nodes:
          # Control plane node pools. Typically, this is either a single machine
          # or 3 machines if using a high availability deployment.
          - address: 10.200.0.4
          - address: 10.200.0.5
          - address: 10.200.0.6
    
  6. Especifique a densidade de pods dos nós do cluster:

    ....
    # NodeConfig specifies the configuration that applies to all nodes in the cluster.
    nodeConfig:
      # podDensity specifies the pod density configuration.
      podDensity:
        # maxPodsPerNode specifies at most how many pods can be run on a single node.
        maxPodsPerNode: 250
    ....
    

    Para clusters de administrador, os valores permitidos para maxPodsPerNode são 32-250 para clusters de alta disponibilidade e 64-250 para clusters que não são de alta disponibilidade. Se não for especificado, o valor padrão será 110. Depois que o cluster for criado, esse valor não poderá ser atualizado.

    A densidade de pods também é limitada pelos recursos de IP disponíveis do cluster. Para detalhes, consulte Rede de pod.

Criar o cluster de administrador com a configuração do cluster

Use o comando bmctl para implantar o cluster:

bmctl create cluster -c ADMIN_CLUSTER_NAME

ADMIN_CLUSTER_NAME especifica o nome do cluster criado na seção anterior.

Veja a seguir um exemplo do comando para criar um cluster chamado admin1:

bmctl create cluster -c admin1

Exemplos de configurações de cluster de administrador

Para exemplos de configurações de cluster de administrador, consulte Clusters de administrador nos exemplos de configuração de cluster.