Esta página foi traduzida pela API Cloud Translation.

Criar clusters híbridos

No Google Distributed Cloud, os clusters híbridos desempenham o papel duplo de um cluster de administrador e um cluster de usuário. Eles executam cargas de trabalho e, ao mesmo tempo, gerenciam outros clusters, e a si mesmos.

Os clusters híbridos eliminam a necessidade de executar um cluster de administrador separado em cenários com recursos limitados e podem fornecer confiabilidade altamente disponível (HA, na sigla em inglês). Em um cluster híbrido de alta disponibilidade, se um nó falhar, outros vão aparecer.

Os clusters híbridos são diferentes dos clusters autônomos porque também podem gerenciar outros clusters. Clusters independentes não podem criar ou gerenciar outros clusters.

Porém, ao criar clusters híbridos, há certa compensação entre flexibilidade e segurança. Como os clusters híbridos se gerenciam, a execução de cargas de trabalho no mesmo cluster aumenta o risco de exposição de segurança a dados administrativos confidenciais, como chaves SSH.

Você cria um cluster híbrido com um plano de controle de alta disponibilidade (HA, na sigla em inglês) usando o comando bmctl. O comando bmctl pode ser executado em uma estação de trabalho separada ou em um dos nós do cluster híbrido.

Pré-requisitos

O último bmctl é transferido por download (gs://anthos-baremetal-release/bmctl/1.29.100-gke.251/linux-amd64/bmctl) do Cloud Storage.
A estação de trabalho que executa bmctl tem conectividade de rede com todos os nós no cluster híbrido de destino.
A estação de trabalho que executa bmctl tem conectividade de rede com o plano de controle VIP do cluster híbrido de destino.
A chave SSH usada para criar o cluster híbrido disponível para a raiz ou acesso de usuário SUDO em todos os nós no cluster híbrido de destino.
A conta de serviço connect-register está configurada para ser usada com o Connect.

Consulte o guia de início rápido do Google Distributed Cloud para instruções detalhadas para criar um cluster híbrido.

Ativar o SELinux

Se você quiser ativar o SELinux para proteger seus contêineres, verifique se o SELinux está ativado no modo Enforced em todas as máquinas host. A partir da versão 1.9.0 ou mais recente do Google Distributed Cloud, é possível ativar ou desativar o SELinux antes ou depois da criação ou dos upgrades do cluster. O SELinux é ativado por padrão no Red Hat Enterprise Linux (RHEL). Se o SELinux estiver desativado em suas máquinas host ou se você não tiver certeza, consulte Como proteger seus contêineres usando o SELinux para instruções sobre como ativá-lo.

O Google Distributed Cloud oferece suporte ao SELinux apenas em sistemas RHEL.

Fazer login na gcloud e criar um arquivo de configuração de cluster

Faça login na CLI gcloud como um usuário usando gcloud auth application-default login:
```
gcloud auth application-default login
```
Você precisa ter um papel de proprietário ou editor do projeto para usar os recursos de ativação automática da API e de criação de conta de serviço, descritos nas seções a seguir.

Também é possível adicionar os seguintes papéis de IAM ao usuário:
- Administrador da conta de serviço
- Administrador da chave da conta de serviço
- Administrador de projetos do IAM
- Leitor do Compute
- Administrador do Service Usage
Como alternativa, se você já tiver uma conta de serviço com esses papéis, execute:
```
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
```
Substitua JSON_KEY_FILE pelo caminho do arquivo de chave JSON da conta de serviço.
Receba o ID do projeto do Google Cloud para usar com a criação do cluster:
```
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
```

Crie o arquivo de configuração do cluster com `bmctl`

Depois de fazer login na CLI gcloud e configurar o projeto, é possível criar o arquivo de configuração do cluster com o comando bmctl.

Para criar um arquivo de configuração de cluster:

Execute o comando a seguir para criar o arquivo de configuração do cluster e todas as contas de serviço necessárias, além de ativar todas as APIs necessárias:
```
bmctl create config -c CLUSTER_NAME</var> --enable-apis \
    --create-service-accounts --project-id=CLOUD_PROJECT_ID
```
Substitua:
- CLUSTER_NAME: o nome do cluster que você está criando.
- CLOUD_PROJECT_ID: o ID do seu projeto do Google Cloud.
Por padrão, o arquivo de configuração é gravado em bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME.yaml.

Se você já ativou APIs e criou contas de serviço, poderá criar arquivos de configuração sem ativar APIs e criar contas de serviço. Também não é necessário usar a sinalização --project-id. No entanto, será necessário especificar as credenciais manualmente no arquivo de configuração.

Para mais informações sobre opções de comando, consulte Criar configuração.

Editar o arquivo de configuração do cluster

Agora que você tem um arquivo de configuração de cluster, edite-o para fazer as seguintes alterações:

Forneça a chave privada SSH para acessar os nós do cluster híbrido:

# bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes
# resource, this section can only be included when using bmctl to
# create the initial admin/hybrid cluster. Afterwards, when creating user clusters by directly
# applying the cluster and node pool resources to the existing cluster, you must remove this
# section.
gcrKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
sshPrivateKeyPath: /path/to/your/ssh_private_key
gkeConnectAgentServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
gkeConnectRegisterServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
cloudOperationsServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json

Registre os clusters em uma frota. O ID do projeto que você especificou no comando bmctl create config é adicionado automaticamente ao campo gkeConnect.projectID no arquivo de configuração do cluster. Esse projeto é chamado de projeto host da frota.
- Se você criou o arquivo de configuração usando os recursos de ativação automática da API e de criação de conta de serviço, pule esta etapa.
- Se você criou o arquivo de configuração sem usar a ativação automática da API e os recursos de criação de conta de serviço, faça referência às chaves JSON da conta de serviço baixadas nos campos gkeConnectAgentServiceAccountKeyPath e gkeConnectRegisterServiceAccountKeyPath correspondentes do arquivo de configuração do cluster.

Altere a configuração para especificar um tipo de cluster de hybrid em vez de admin:

spec:
  # Cluster type. This can be:
  #   1) admin:  to create an admin cluster. This can later be used to create user clusters.
  #   2) user:   to create a user cluster. Requires an existing admin cluster.
  #   3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads.
  #   4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters.
  type: hybrid

Altere a configuração para especificar um plano de controle com vários nós e de alta disponibilidade. Você quer especificar um número ímpar de nós para ter uma maioria de quórum para alta disponibilidade:
```
  # Control plane configuration
  controlPlane:
    nodePoolSpec:
      nodes:
      # Control plane node pools. Typically, this is either a single machine
      # or 3 machines if using a high availability deployment.
      - address: 10.200.0.4
      - address: 10.200.0.5
      - address: 10.200.0.6
```
Observação: se você tiver um número par de nós temporariamente ao adicionar ou remover nós para manutenção ou substituição, sua implantação manterá a alta disponibilidade enquanto houver quórum suficiente.
Especifica a densidade de pods dos nós do cluster:
```
....
# NodeConfig specifies the configuration that applies to all nodes in the cluster.
nodeConfig:
  # podDensity specifies the pod density configuration.
  podDensity:
    # maxPodsPerNode specifies at most how many pods can be run on a single node.
    maxPodsPerNode: 250
....
```
Para clusters híbridos, os valores permitidos para maxPodsPerNode são 32-250 para clusters de alta disponibilidade e 64-250 para clusters que não são de alta disponibilidade. O valor padrão de maxPodsPerNode se não for especificado será 110. Depois que o cluster é criado, esse valor não pode ser atualizado.

A densidade de pods também é limitada pelos recursos de IP disponíveis do cluster. Para detalhes, consulte Rede de pod.

Criar o cluster híbrido com a configuração do cluster

Use o comando bmctl para criar o cluster:

bmctl create cluster -c CLUSTER_NAME

Substitua CLUSTER_NAME pelo nome usado ao criar o arquivo de configuração do cluster na seção anterior.

Veja a seguir um exemplo do comando para criar um cluster chamado hybrid1:

bmctl create cluster -c hybrid1

Exemplos de configurações de cluster híbrido

Para exemplos de configurações de cluster híbridos, consulte Clusters híbridos nas amostras de configuração do cluster.