集群配置字段参考文档

必需。字符串。集群版本。此值为集群创建和集群升级设置。

可变性：无法为现有集群修改此值。只能通过集群升级过程更新版本。

本部分包含使用 OpenID Connect (OIDC) 所需的设置。OIDC 可让您使用现有身份提供方来管理 Google Distributed Cloud 集群中的用户和群组身份验证。

可选。OIDC 提供商的 base64 编码的 PEM 编码证书。如需创建该字符串，请对证书（包括标头）进行 base64 编码。将生成的字符串作为单独的一行添加到 certificateAuthorityData 中。

例如（封装以适应表的示例）：

certificateAuthorityData:
        LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC
        ...k1JSUN2RENDQWFT==

可选。字符串。向 OpenID 提供商发出身份验证请求的客户端应用的 ID。

可选。字符串。OIDC 客户端应用和 OIDC 提供商之间的共享密钥令牌。

可选。布尔值 (true|false)。指定是否在集群中部署反向代理，以将 Google Cloud 控制台连接到无法通过互联网公开访问的本地身份提供商。如果无法通过公共互联网访问您的身份提供商，请将此字段设置为 true，以进行 Google Cloud 控制台身份验证。此值默认设置为 false。

可选。英文逗号分隔列表。要发送到 OpenID 提供商的其他键值对参数。

可选。字符串。 提供方用于返回安全群组的 JWT 声明。

可选。字符串。附加到群组声明的前缀，以防止与现有名称冲突。例如，给定一个群组 dev 和一个前缀 oidc:，则格式为 oidc:dev。

可选。网址字符串。用于向 OpenID 发送授权请求的网址，例如 https://example.com/adfs。Kubernetes API 服务器使用此网址来发现用于验证令牌的公钥。网址必须使用 HTTPS。

可选。网址字符串。kubectl 用于授权的重定向网址。启用 OIDC 时，必须指定 kubectlRedirectURL 值。

可选。网址字符串。将集群连接到您的 OIDC 提供商时使用的代理服务器（如果适用）。该值应包含主机名/IP 地址，并可根据需要选择包含端口、用户名和密码。例如：http://user:password@10.10.10.10:8888。

可选。英文逗号分隔列表。要发送到 OpenID 提供商的其他范围。Microsoft Azure 和 Okta 需要 offline_access 范围。

可选。字符串。 用作用户名的 JWT 声明。如果未指定，则默认为 sub。

可选。字符串。附加到用户名声明前面的前缀。

可选。布尔值 (true|false)。如果设置为 true，则在将资源应用于现有集群时会忽略内部预检检查。默认为 false。

可变性：可以使用 bmctl update 命令为现有集群修改此值。

字符串。运维服务账号密钥的路径。Google Distributed Cloud 使用操作服务帐号向 Google Cloud Observability 进行身份验证，以访问 Logging API 和 Monitoring API。

如需有关如何配置此服务账号的说明，请参阅配置服务账号以与 Logging 和 Monitoring 搭配使用。

字符串。必需。要向其中添加节点池的集群的名称。在关联的集群所在的同一命名空间中创建节点池资源，并在此字段中引用该集群名称。如需了解详情，请参阅在集群中添加和移除节点池。

例如：

apiVersion: baremetal.cluster.gke.io/v1
kind: NodePool
metadata:
  name: node-pool-new
  namespace: cluster-my-cluster
spec:
  clusterName: my-cluster
  nodes:
  - address:  10.200.0.10
  - address:  10.200.0.11
  - address:  10.200.0.12

本部分包含集群的网络设置。

布尔值。将此字段设置为 true 以启用高级网络功能，例如使用 BGP 的捆绑式负载均衡或出站 NAT 网关。这两项功能均使用 GDC 的网络网关。适用于 GDC 的网络网关是在 GKE Enterprise 和 Google Kubernetes Engine (GKE) 中启用高级网络功能的关键组件。适用于 GDC 的网络网关的一个主要优势是，它可以从您在 NetworkGatewayGroup 自定义资源中指定的一组地址动态分配浮动 IP 地址。

如需详细了解 GDC 的网络网关和相关高级网络功能，请参阅配置出站 NAT 网关和使用 BGP 配置捆绑的负载平衡器。

布尔值。将此字段设置为 false 可停用与 Google Distributed Cloud 捆绑的 Ingress 功能。集群的捆绑 Ingress 功能仅支持入站流量。如果您与 Istio 或 Anthos Service Mesh 集成，以获得功能全面的服务网格的额外优势，我们建议您停用捆绑式 Ingress。此字段默认设置为 true。此字段不在生成的集群配置文件中。您只能为 1.13.0 版及更高版本的集群停用捆绑式 Ingress。

如需详细了解捆绑式 Ingress 功能，请参阅创建 Service 和 Ingress。

布尔值。将此字段设置成 true 以启用平面模式集群网络模型。在平面模式下，每个 pod 都有专属的唯一 IP 地址。Pod 可以直接相互通信，而无需中间网关或网络地址转换 (NAT)。flatIPv4 的默认值为 false。您只能在创建集群期间启用平面模式。为集群启用平面模式后，无法将其停用。

可选。字符串。指定 Dataplane V2 负载均衡的网络模式。来源网络地址转换 (SNAT) 是默认网络模式。直接服务器返回 (DSR) 模式可克服 SNAT 负载均衡问题。在 DSR 模式 (forwardMode: dsr) 下，负载均衡器节点使用 IP 选项保存客户端来源地址。Dataplane V2 负载均衡的网络模式只能在创建集群时进行配置。

允许使用的值：dsr | snat

如需了解详情，请参阅配置负载均衡网络模式。

可选。布尔值。将此字段设置为 true 可为 pod 启用多个网络接口。

如需详细了解如何设置和使用多个网络接口，请参阅为 Pod 配置多个网络接口文档。

必需。采用 CIDR 地址块格式的 IPv4 地址范围。pods 指定从哪个 IP 范围分配 pod 网络。

• Pod CIDR 范围下限：/18 的掩码值，对应于 14 位（16,384 个 IP 地址）的大小。
• Pod CIDR 范围上限：/8 的掩码值，对应于 24 位（16,777,216 个 IP 地址）的大小。

例如：

pods:
  cidrBlocks:
  - 192.168.0.0/16

必需。采用 CIDR 地址块格式的 IPv4 地址范围。指定从哪个 IP 地址范围分配服务虚拟 IP (VIP) 地址。此范围不得与可从您的网络访问的任何子网重叠。如需详细了解专用互联网的地址分配，请参阅 RFC 1918。

从 Google Distributed Cloud 版本 1.15.0 开始，此字段是可变的。如果需要，您可以在创建集群后增加为服务分配的 IP 地址数量。如需了解详情，请参阅扩大服务网络范围。 您只能扩大 IPv4 服务 CIDR 的范围，网络范围无法缩小，这意味着无法增大掩码（“/”之后的值）。

• Service CIDR 范围下限：/24 的掩码值，对应于 8 位（256 个地址）的大小。
• Service CIDR 范围上限：/12 的掩码值，对应于 20 位（1,048,576 个 IP 地址）的大小。

例如：

services:
  cidrBlocks:
  - 10.96.0.0/12

可选。布尔值。将此字段设置为 true 可为您的集群启用 SR-IOV 网络。

如需详细了解如何配置和使用 SR-IOV 网络，请参阅设置 SR-IOV 网络文档。

本部分包含 Cloud Logging 和 Cloud Monitoring 的信息。

布尔值。Cloud Audit Logs 适用于调查可疑的 API 请求以及收集统计信息。Cloud Audit Logs 默认处于启用状态 (disableCloudAuditLogging: false)。设置为 true 可停用 Cloud Audit Logs。

如需了解详情，请参阅使用审核日志记录。

此字段不再使用，并且无效。Stackdriver 自定义资源中启用了应用日志记录和监控功能。如需详细了解如何启用应用日志记录和监控功能，请参阅启用应用日志记录和监控功能。

字符串。您要存储 Logging 日志和 Monitoring 指标的 Google Cloud 区域。建议选择一个靠近您的本地数据中心的区域。如需了解详情，请参阅全球位置。

例如：

location: us-central1

字符串。要在其中查看日志和指标的 Google Cloud 项目的 ID。

本部分指定与集群安全相关的设置。

可选。授权可配置用户对集群的访问权限。

可选。指定此集群的集群管理员。

可选。gcpAccounts 字段指定被授予 Kubernetes 基于角色的访问控制 (RBAC) 角色 clusterrole/cluster-admin 的账号列表。具有此角色的账号拥有对集群的所有命名空间中的每个资源的完整访问权限。此字段还会配置 RBAC 政策，以便指定的账号使用连接网关针对集群运行 kubectl 命令。如果您有多个集群需要管理（尤其是在同时具有 GKE 和本地集群的混合环境中），则此字段会很方便。

如果用户具有访问 Google Cloud 控制台所需的 Identity and Access Management 角色，那么这些 RBAC 政策还可让用户使用其 Google 身份登录 Google Cloud 控制台。

此字段接受账号名称数组。支持用户账号和服务账号。对于用户，您需要指定其 Google Cloud 账号电子邮件地址。对于服务账号，请按以下格式指定电子邮件地址： SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com。 例如：

...
clusterSecurity:
  authorization:
    clusterAdmin:
      gcpAccounts:
      - alex@example.com
      - hao@example.com
      - my-sa@example-project-123.iam.gserviceaccount.com
...

更新集群以添加账号时，请务必将列表中的所有账号（包括现有账号和新账号）包含在内，因为更新命令会用您在更新中指定的内容来覆盖此列表。

此字段仅适用于可以运行工作负载的集群。例如，您无法为管理员集群指定 gcpAccounts。

可选。布尔值 (true|false)。启用或停用无根裸金属系统容器。启用此字段后，裸金属系统容器会以用户 ID 在 2000-5000 范围内的非根用户身份运行。停用此字段后，裸金属系统容器会以根用户身份运行。此功能默认处于启用状态。强烈建议不要关闭此功能，因为以根用户身份运行容器会带来安全风险。创建集群后，只能在升级期间切换此字段。如需了解详情，请参阅不要以根用户身份运行容器。

clusterSecurity.enableSeccomp（预览版）

可选。布尔值 (true|false)。启用或停用集群范围的 seccomp。停用此字段后，集群配置文件中没有 seccomp 配置文件的容器将不受限制地运行。启用此字段后，系统将使用容器运行时的默认 seccomp 配置文件来保护这些容器。此功能默认处于启用状态。 创建集群后，只能在升级期间切换此字段。 如需了解详情，请参阅使用 seccomp 限制容器。

可选。整数。默认值为 2000。Google Distributed Cloud 中的系统容器可帮助您安装和管理集群。这些容器使用的用户 ID (UID) 和组 ID (GID) 可以通过集群规范中的 startUIDRangeRootlessContainers 字段控制。系统容器使用 startUIDRangeRootlessContainers 到 startUIDRangeRootlessContainers + 2999 范围内的 UID 和 GID，其范围默认为 2000-4999。更新 startUIDRangeRootlessContainers 时，请选择一个值，以确保系统容器使用的 UID 和 GID 空间不与分配给用户工作负载的 UID 和 GID 空间重叠。只能在升级期间更改 startUIDRangeRootlessContainers 值。

允许使用的值：1000-57000

例如：

apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: name-of-cluster
spec:
 clusterSecurity:
    startUIDRangeRootlessContainers: 5000
...

如需了解详情，请参阅不要以根用户身份运行容器。

本部分包含有关控制平面及其组件的信息。

可选。字符串数组（域名和 IP 地址）。主题备用名称 (SAN) 是 SSL 证书的一项功能，可让您定义希望证书对其有效的域名和子网域。在 GKE on Bare Metal 集群上，API 服务器证书的 SAN 默认包含控制平面节点的 IP 地址、VIP 地址以及 Kubernetes DNS 名称。使用此字段将额外的 SAN 添加到集群的 API 服务器证书。域名必须符合 RFC 1035 要求。如需了解详情，请参阅将网域添加到 API 服务器证书。

例如：

...
controlPlane:
  apiServerCertExtraSANs:
  - "demo-dns.example.com"
  - "sample-dns.com"
  nodePoolSpec:
  ...
        

您可以随时添加或更改此字段。

本部分指定控制平面及其组件所使用的节点池的 IP 地址。控制平面节点池规范（例如负载均衡器节点池规范）是特殊的。此规范可声明并控制关键集群资源。此资源的规范来源是集群配置文件中的这个部分。请勿直接修改顶级控制平面节点池资源。请改为修改集群配置文件中的相关部分。

可选。本部分包含用于在控制平面节点池中的所有节点上配置 kubelet 的字段。

例如：

controlPlane:
  nodePoolSpec:
    kubeletConfig:
      registryBurst: 15
      registryPullQPS: 10
      serializeImagePulls: false

可选。整数（非负）。指定可以添加到处理队列以处理请求高峰的映像拉取请求的最大数量。拉取开始后，就可以向队列添加新请求。默认值为 10。此字段对应于 registryBurst kubelet 配置 (v1beta1) 选项。

registryPullQPS 的值优先于此设置。例如，使用默认设置时，最多允许 10 个并发查询，但必须以每秒 5 次查询的默认速率处理。此爆发行为仅在 registryPullQPS 大于 0 时使用。

创建、更新或升级集群时可以设置此字段，并且此设置在集群升级后持续有效。如需了解详情，请参阅配置 kubelet 映像拉取设置。

可选。整数（非负）。指定 Container Registry 映像拉取查询的处理速率，单位为每秒查询次数 (QPS)。当 registryPullQPS 设置为大于 0 的值时，查询速率会限制为该值（单位为每秒查询次数）。如果 registryPullQPS 设置为 0，则对查询速率没有限制。默认值为 5。

此字段对应于 registryPullQPS kubelet 配置 (v1beta1) 选项。

创建、更新或升级集群时可以设置此字段，并且此设置在集群升级后持续有效。如需了解详情，请参阅配置 kubelet 映像拉取设置。

可选。布尔值 (true|false)。此字段指定 Container Registry 拉取是并行处理还是逐个处理。默认值为 true，指定一次处理一个拉取。设置为 false 时，kubelet 会并行拉取映像。此字段对应于 serializeImagePulls kubelet 配置 (v1beta1) 选项。

创建、更新或升级集群时可以设置此字段，并且此设置在集群升级后持续有效。如需了解详情，请参阅配置 kubelet 映像拉取设置。

必需。IP 地址数组。通常，此数组要么是单个机器的 IP 地址，要么是高可用性 (HA) 部署中三个机器的 IP 地址。

例如：

controlPlane:
  nodePoolSpec:
    nodes:
    - address: 192.168.1.212
    - address: 192.168.1.213
    - address: 192.168.1.214
        

每次更新或升级集群时都可以更改此字段。

字符串。Container Registry 服务账号密钥的路径。Container Registry 服务帐号是一个服务代理，在与 Google Cloud 服务交互时代表 Container Registry 执行操作。

本部分包含您要用于将集群连接到 Google Cloud 的 Google Cloud 项目的相关信息。

可选。字符串。默认值：global。 集群的舰队成员由舰队服务 (gkehub.googleapis.com) 和 Connect 服务 (gkeconnect.googleapis.com) 管理。舰队成员可以是全球级的，也可以是区域级的。（可选）您可以使用 gkeConnect.location 指定在哪个 Google Cloud 区域运行舰队和 Connect 服务，以便将流量限制在您的区域。

如需查看支持的区域列表，请参阅 GKE On-Prem API 支持的区域。如果未指定，系统会使用服务的全局实例。

请注意以下几点：

• 在低于 1.28 的版本下创建的集群由全局舰队和 Connect 服务管理。
• 使用 GKE On-Prem API 客户端（例如 Google Cloud 控制台、Google Cloud CLI 或 Terraform）创建的新集群使用您为 GKE On-Prem API 指定的同一区域。
• 对于新集群，如果包含此字段，则您指定的区域必须与 gkeOnPremAPI.location 中配置的区域相同。如果区域不同，则集群创建将失败。

例如：

spec:
  ...
  gkeConnect:
    projectID: "my-connect-project-123"
    location: "us-central1"

无法为现有集群修改此值。

必需：字符串。您要用于将集群连接到 Google Cloud 的 Google Cloud 项目的 ID。这也称为舰队宿主项目。

例如：

spec:
  ...
  gkeConnect:
    projectID: "my-connect-project-123"

无法为现有集群修改此值。

字符串。代理服务账号密钥的路径。Google Distributed Cloud 使用此服务帐号来维护 Google Distributed Cloud 与 Google Cloud 之间的连接。

如需有关如何配置此服务账号的说明，请参阅配置服务账号以与 Connect 搭配使用。

字符串。注册服务账号密钥的路径。Google Distributed Cloud 使用此服务帐号在 Google Cloud 中注册您的用户集群。

如需有关如何配置此服务账号的说明，请参阅配置服务账号以与 Connect 搭配使用。

在 1.16 及更高版本中，如果您的 Google Cloud 项目中启用了 GKE On-Prem API，则项目中的所有集群都会自动在 clusterOperations.location 中配置的区域中注册 GKE On-Prem API。

• 如果您要在 GKE On-Prem API 中注册项目中的所有集群，请务必执行准备工作中的步骤，以在项目中激活并使用 GKE On-Prem API。
• 如果您不想在 GKE On-Prem API 中注册集群，请添加此部分并将 gkeOnPremAPI.enabled 设置为 false。如果您不想在项目中注册任何集群，请在项目中停用 gkeonprem.googleapis.com（GKE On-Prem API 的服务名称）。如需查看相关说明，请参阅停用服务。

• 如果您要在 GKE On-Prem API 中注册项目中的所有集群，请务必执行准备工作中的步骤，以在项目中激活并使用 GKE On-Prem API。
• 如果您不想在 GKE On-Prem API 中注册集群，请添加此部分并将 gkeOnPremAPI.enabled 设置为 false。如果您不想在项目中注册任何集群，请在项目中停用 gkeonprem.googleapis.com（GKE On-Prem API 的服务名称）。如需查看相关说明，请参阅停用服务。

通过在 GKE On-Prem API 中注册管理员或用户集群，您可以使用标准工具（Google Cloud 控制台、Google Cloud CLI 或 Terraform）查看集群详细信息并管理集群生命周期。例如，您可以运行 gcloud CLI 命令来获取有关集群的信息。

GKE On-Prem API 将集群状态元数据存储在 Google Cloud 中。此元数据可让 API 管理集群生命周期。标准工具使用 GKE On-Prem API，统称为 GKE On-Prem API 客户端。

如果您将 gkeOnPremAPI.enabled 设置为 true，在使用 bmctl 创建或更新集群之前，请务必执行准备工作中的步骤，以启用并初始化 GKE On-Prem API。

添加此部分并创建或更新集群后，如果后续您移除此部分并更新集群，更新将失败。

如果您希望使用标准工具（而不是 bmctl）创建集群，请参阅以下内容：

• 使用 GKE On-Prem API 客户端创建管理员集群
• 使用 GKE On-Prem API 客户端创建集群

使用标准工具创建集群时，集群会自动注册到 GKE On-Prem API。

默认情况下，如果您的项目中启用了 GKE On-Prem API，则集群会在 GKE On-Prem API 中注册。如果您不想注册集群，请设置为 false。

在 GKE On-Prem API 中注册集群后，如果您需要取消注册集群，请进行以下更改，然后更新集群：

gkeOnPremAPI:
  enabled: false

运行 GKE On-Prem API 并存储集群元数据的 Google Cloud 区域。选择一个支持的区域。如果 gkeOnPremAPI.enabled 为 true，则必须是非空字符串。如果 gkeOnPremAPI.enabled 为 false，请勿添加此字段。

如果配置文件中未包含此部分，则此字段设置为 clusterOperations.location。

定义 IPv4 CIDR 范围的配置。必须至少为 ClusterCidrConfig 资源提供 ipv4 或 ipv6 字段之一。

字符串。设置 IPv4 节点 CIDR 地址块。节点只能有来自每个系列的一个范围。此 CIDR 地址块必须与 Cluster 资源中描述的 Pod CIDR 一致。

例如：

ipv4:
  cidr: "10.1.0.0/16"
         

整数。定义节点 IPv4 CIDR 地址块的掩码大小。例如，值 24 转换为网络掩码 /24。确保节点的 CIDR 地址块网络掩码大于 kubelet 可以调度的 Pod 数上限（在 kubelet 的 --max-pods 标志中定义）。

定义 IPv6 CIDR 范围的配置。必须至少为 ClusterCidrConfig 资源提供 ipv4 或 ipv6 字段之一。

字符串。设置 IPv6 节点 CIDR 地址块。节点只能有来自每个系列的一个范围。

例如：

ipv6:
  cidr: "2620:0:1000:2631:3:10:3:0/112"
         

整数。定义节点 IPv6 CIDR 地址块的掩码大小。例如，值 120 转换为网络掩码 /120。确保节点的 CIDR 地址块网络掩码大于 kubelet 可以调度的 Pod 数上限（在 kubelet 的 --max-pods 标志中定义）。

可选。本部分包含用于在控制平面节点池中的所有节点上配置 kubelet 的字段。

例如：

apiVersion: baremetal.cluster.gke.io/v1
kind: NodePool
metadata:
  name: node-pool-new
  namespace: cluster-my-cluster
spec:
  clusterName: my-cluster
  ...
  kubeletConfig:
    serializeImagePulls: true
    registryBurst: 20
    registryPullQPS: 10

可选。整数（非负）。指定可以添加到处理队列以处理请求高峰的映像拉取请求的最大数量。拉取开始后，就可以向队列添加新请求。默认值为 10。此字段对应于 registryBurst kubelet 配置 (v1beta1) 选项。

registryPullQPS 的值优先于此设置。例如，使用默认设置时，最多允许 10 个并发查询，但必须以每秒 5 次查询的默认速率处理。此爆发行为仅在 registryPullQPS 大于 0 时使用。

创建、更新或升级集群时可以设置此字段，并且此设置在集群升级后持续有效。如需了解详情，请参阅配置 kubelet 映像拉取设置。

可选。整数（非负）。指定 Container Registry 映像拉取查询的处理速率，单位为每秒查询次数 (QPS)。当 registryPullQPS 设置为大于 0 的值时，查询速率会限制为该值（单位为每秒查询次数）。如果 registryPullQPS 设置为 0，则对查询速率没有限制。默认值为 5。

此字段对应于 registryPullQPS kubelet 配置 (v1beta1) 选项。

创建、更新或升级集群时可以设置此字段，并且此设置在集群升级后持续有效。如需了解详情，请参阅配置 kubelet 映像拉取设置。

可选。布尔值 (true|false)。此字段指定 Container Registry 拉取是并行处理还是逐个处理。默认值为 true，指定一次处理一个拉取。设置为 false 时，kubelet 会并行拉取映像。此字段对应于 serializeImagePulls kubelet 配置 (v1beta1) 选项。

创建、更新或升级集群时可以设置此字段，并且此设置在集群升级后持续有效。如需了解详情，请参阅配置 kubelet 映像拉取设置。

已弃用。 从 1.11.2 版开始，您只能通过更新 VMRuntime 自定义资源，在 GDC 上启用或停用虚拟机运行时。布尔值。确定是否使用软件模拟来运行虚拟机。如果节点支持硬件虚拟化，请将 useEmulation 设置为 false 以获得更好的性能。如果硬件虚拟化不受支持或您不确定，请将其设置为 true。

可选。映射（键值对）。标签应用于节点池的节点，除非将 baremetal.cluster.gke.io/label-taint-no-sync 注解应用于集群。如需详细了解标签，请参阅标签和选择器。

本部分包含集群负载均衡设置。

对象。集群负载均衡器池的名称和 IP 地址数组。地址池配置仅对非管理员集群中的 bundled 负载均衡模式有效。您可以随时添加新的地址池，但无法移除现有的地址池。 只能修改现有地址池以更改 avoidBuggyIPs 和 manualAssign 字段。

IP 地址范围数组。为数据平面负载均衡器指定不重叠的 IP 范围列表。所有地址都必须与负载均衡器节点位于同一子网中。

例如：

addressPools:
- name: pool1
  addresses:
  - 192.168.1.0-192.168.1.4
  - 192.168.1.240/28
  

可选。布尔值 (true | false)。如果为 true，则该池会忽略以 .0 和 .255 结尾的 IP 地址。 某些网络硬件会丢弃流向这些特殊地址的流量。您可以省略此字段，其默认值为 false。

可选。布尔值 (true | false)。如果为 true，则此池中的地址不会自动分配给 Kubernetes Service。如果为 true，则只有在 Service 明确指定时，才使用此池中的 IP 地址。您可以省略此字段，其默认值为 false。

字符串。您为集群负载均衡器池选择的名称。

可选。对象（映射列表）。本部分指定本地网络中（集群外部）的一个或多个边界网关协议 (BGP) 对等方。在设置使用 BGP 的捆绑式负载均衡解决方案的控制平面负载均衡部分时，您可以指定 BGP 对等方。每个对等方都通过映射指定，此映射包含 IP 地址、自治系统编号 (ASN) 以及控制平面节点的一个或多个 IP 地址的列表（可选）。创建集群后，无法更新控制平面负载均衡的 BGP 对等互连配置。

例如：

loadBalancer:
  mode: bundled
  type: bgp
  localASN: 65001
  bgpPeers:
  - ip: 10.0.1.254
    asn: 65002
    controlPlaneNodes:
      - 10.0.1.10
      - 10.0.1.11
  - ip: 10.0.2.254
    asn: 65002
    controlPlaneNodes:
      - 10.0.2.10
  

如需了解详情，请参阅配置使用 BGP 的捆绑式负载均衡器。

可选。字符串。外部对等设备所属网络的自治系统编号 (ASN)。在设置使用 BGP 的捆绑式负载均衡解决方案时，为设置用于进行控制平面负载均衡的每个 BGP 对等方指定 ASN。 如需了解详情，请参阅配置使用 BGP 的捆绑式负载均衡器。

可选。IP (IPv4) 地址的数组。当您设置使用 BGP 的捆绑式负载均衡解决方案时，连接到外部 BGP 对等方的控制平面节点的一个或多个 IP 地址。如果您不指定任何控制平面节点，则所有控制平面节点都将连接到外部对等方。如果指定一个或多个 IP 地址，则只有指定的节点会参与对等互连会话。如需了解详情，请参阅配置使用 BGP 的捆绑式负载均衡器。

可选。字符串（IPv4 地址）。本地网络中的外部对等互连设备的 IP 地址。如需了解详情，请参阅配置使用 BGP 的捆绑式负载均衡器。

可选。字符串。指定正在创建的集群的自治系统编号 (ASN)。设置使用边界网关协议 (BGP) 的捆绑式负载均衡解决方案时，将使用此字段。 如需了解详情，请参阅配置使用 BGP 的捆绑式负载均衡器。

必需。字符串。指定负载均衡模式。在 bundled 模式下，Google Distributed Cloud 在创建集群期间会在负载均衡器节点上安装负载均衡器。在 manual 模式下，集群依赖于手动配置的外部负载均衡器。如需了解详情，请参阅负载均衡器概览。

允许使用的值：bundled | manual

可选。使用此部分配置负载均衡器节点池。您指定的节点是 Kubernetes 集群的一部分，并运行常规工作负载和负载均衡器。如果您未指定节点池，则控制平面节点用于进行负载均衡。本部分仅在负载均衡模式设置为 bundled 时适用。

如果要阻止工作负载在负载平衡器节点池中的节点上运行，请将以下污点添加到该节点：

node-role.kubernetes.io/load-balancer:NoSchedule

Google Distributed Cloud 会向执行负载均衡所需的 Pod 添加了针对此污点的容忍设置。

可选。本部分包含用于在控制平面节点池中的所有节点上配置 kubelet 的字段。

例如：

loadBalancer:
  nodePoolSpec:
    kubeletConfig:
      registryBurst: 15
      registryPullQPS: 10
      serializeImagePulls: false

可选。整数（非负）。指定可以添加到处理队列以处理请求高峰的映像拉取请求的最大数量。拉取开始后，就可以向队列添加新请求。默认值为 10。此字段对应于 registryBurst kubelet 配置 (v1beta1) 选项。

registryPullQPS 的值优先于此设置。例如，使用默认设置时，最多允许 10 个并发查询，但必须以每秒 5 次查询的默认速率处理。此爆发行为仅在 registryPullQPS 大于 0 时使用。

创建、更新或升级集群时可以设置此字段，并且此设置在集群升级后持续有效。如需了解详情，请参阅配置 kubelet 映像拉取设置。

可选。整数（非负）。指定 Container Registry 映像拉取查询的处理速率，单位为每秒查询次数 (QPS)。当 registryPullQPS 设置为大于 0 的值时，查询速率会限制为该值（单位为每秒查询次数）。如果 registryPullQPS 设置为 0，则对查询速率没有限制。默认值为 5。

此字段对应于 registryPullQPS kubelet 配置 (v1beta1) 选项。

创建、更新或升级集群时可以设置此字段，并且此设置在集群升级后持续有效。如需了解详情，请参阅配置 kubelet 映像拉取设置。

可选。布尔值 (true|false)。此字段指定 Container Registry 拉取是并行处理还是逐个处理。默认值为 true，指定一次处理一个拉取。设置为 false 时，kubelet 会并行拉取映像。此字段对应于 serializeImagePulls kubelet 配置 (v1beta1) 选项。

创建、更新或升级集群时可以设置此字段，并且此设置在集群升级后持续有效。如需了解详情，请参阅配置 kubelet 映像拉取设置。

本部分包含负载均衡器节点池中节点的 IP 地址数组。

可选。字符串（IPv4 地址）。节点的 IP 地址。虽然负载均衡器节点池中的节点可以运行工作负载，但它们与工作器节点池中的节点是分开的。您不能在多个节点池中添加给定集群节点。重叠的节点 IP 地址会阻止集群创建和其他集群操作。

数字。用于发送到 Kubernetes 控制平面（Kubernetes API 服务器）的流量的目标端口。

可选。字符串。指定使用的捆绑式负载均衡类型（第 2 层或边界网关协议 [BGP]）。如果您使用的是标准捆绑式负载均衡，请将 type 设置为 layer2。如果您使用的是使用 BGP 的捆绑式负载均衡，请将 type 设置为 bgp。如果未设置 type，则默认为 layer2。

允许使用的值：layer2 | bgp

必需。指定要连接到 Kubernetes API 服务器的虚拟 IP 地址 (VIP)。此地址不得位于负载均衡器地址池 loadBalancer.addressPools.addresses 所使用的任何 IP 地址的范围内。

可选。字符串（IPv4 地址）。您已选择在负载均衡器上为入站流量配置的 IP 地址。

可选。单个 IPv4 地址或 IPv4 地址范围。指定要置于维护模式的节点机器的 IP 地址。如需了解详情，请参阅将节点置于维护模式。

例如：

  maintenanceBlocks:
    cidrBlocks:
    - 192.168.1.200  # Single machine
    - 192.168.1.100-192.168.1.109  # Ten machines
  

必需。字符串。通常，命名空间名称使用 cluster-CLUSTER_NAME 格式，但自 Google Distributed Cloud 1.7.2 版起并不严格要求使用 cluster- 前缀。

无法为现有集群修改此值。

可选。字符串。指定要用于对集群中的节点机器进行无密码 SUDO 功能访问的非根用户名。您的 SSH 密钥 sshPrivateKeyPath 必须可用于指定用户。集群创建和更新操作会检查是否可以通过指定的用户和 SSH 密钥访问节点机器。

本部分包含集群节点配置的设置。

已弃用。从 1.13.0 版开始，Google Distributed Cloud 仅支持将 containerd 用作容器运行时。containerRuntime 字段已弃用，并且已从生成的集群配置文件中移除。对于 Google Distributed Cloud 1.13.0 及更高版本，如果您的集群配置文件包含此字段，则值必须为 containerd。

本部分指定 pod 密度配置。

可选。整数。指定可在单个节点上运行的最大 pod 数。对于自行管理的集群，maxPodsPerNode 的允许值为 32–250（针对高可用性 [HA] 集群）和 64-250（针对非 HA 集群）。对于用户集群，maxPodsPerNode 的允许值为 32–250。如果未指定，则默认值为 110。创建集群后，无法更新此值。

Kubernetes 会为每个节点分配一个无类别域间路由 (CIDR) 地址块，以便每个 pod 都可以有一个唯一的 IP 地址。CIDR 地址块的大小对应于每个节点的最大 pod 数。如需详细了解如何设置每个节点的最大 pod 数，请参阅 pod 网络。

可选。本部分包含用于为集群中的工作器节点池配置升级策略的设置。如需了解详情，请参阅并行升级。

可选。布尔值（0 或 1）。默认值：1。此字段指定是否同时升级集群的所有工作器节点池。默认情况下 (1)，按顺序逐个升级。如果将 concurrentNodePools 设置为 0，则同时升级集群中的每个工作器节点池。

apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: cluster1
  namespace: cluster-cluster1
spec:
  ...
  nodePoolUpgradeStrategy:
    concurrentNodePools: 0
  ...

如需了解详情，请参阅节点池升级策略。

每个工作器池中的节点都会根据其对应的 NodePool 规范中的升级策略进行升级。

可选。布尔值（true 或 false）。默认值：false。此字段指定是暂停还是恢复活跃集群升级。

将 nodePoolUpgradeStrategy.pause 值更新为 true 以暂停活跃集群升级：

apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: cluster1
  namespace: cluster-cluster1
  annotations: preview.baremetal.cluster.gke.io/upgrade-pause-and-resume
spec:
  ...
  nodePoolUpgradeStrategy:
    pause: true
  ...

如需了解详情，请参阅暂停和恢复升级。

可选。IP (IPv4) 地址的数组。这会定义工作器节点的节点池。

可选。字符串（IPv4 地址）。工作器节点池中节点的一个或多个 IP 地址。

定义 CIDR 配置适用的节点。空节点选择器是默认设置，适用于所有节点。

例如：

nodeSelector:
  matchLabels:
    baremetal.cluster.gke.io/node-pool: "workers"
         

可选。布尔值 (true | false)。指定是否使用自己的软件包代码库服务器，而不是默认的 Docker apt 代码库。如需使用您自己的软件包代码库，请将 addPackageRepo 设置为 false。使用此功能可避免向部署中的每台裸机机器添加软件包代码库。如需了解详情，请参阅使用私有软件包代码库服务器。

本部分包含定期健康检查的配置信息。在集群资源中，唯一可用于定期健康检查的设置是 enable 字段。如需了解详情，请参阅定期健康检查。

可选。布尔值 (true|false)。为集群启用或停用定期健康检查。默认情况下，所有集群都会启用定期健康检查。您可以通过将 periodicHealthCheck.enable 字段设置为 false 来为集群停用定期健康检查。如需了解详情，请参阅停用定期健康检查

可选。字符串。对于独立集群，将 profile 设置为 edge 时，它会最大限度地减少集群的资源消耗量。边缘配置文件仅适用于独立集群。边缘配置文件减少了系统资源要求，建议用于具有严格资源限制的边缘设备。如需了解与边缘配置文件相关的硬件要求，请参阅使用边缘配置文件的独立集群的资源要求。

如果您的网络由代理服务器提供支持，请填写此部分。 否则，请移除此部分。

字符串。不应通过代理服务器的 IP 地址、IP 地址范围、主机名和域名的列表（以英文逗号分隔）。当 Google Distributed Cloud 向其中一个地址、主机或网域发送请求时，请求会直接发送。

字符串。代理服务器的 HTTP 地址。即使端口号与该方案的默认端口相同，也要填写此端口号。

例如：

proxy:
  url: "http://my-proxy.example.local:80"
  noProxy: "10.151.222.0/24, my-host.example.local,10.151.2.1"
  

可选。使用此部分指定用于安装集群的注册表镜像，而不是 Container Registry (gcr.io)。如需详细了解如何使用注册表镜像，请参阅使用注册表镜像安装 Google Distributed Cloud。

例如：

registryMirrors:
  - endpoint: https://172.18.0.20:5000
    caCertPath: /root/ca.crt
    pullCredentialConfigPath: /root/.docker/config.json
    hosts:
      - somehost.io
      - otherhost.io

可选。字符串。如果您的注册表服务器使用专用 TLS 证书，则此字段为 CA 证书文件（服务器根 CA）的路径。如果您的本地注册表不需要使用专用 TLS 证书，则可以省略此字段。

字符串。镜像的端点，由注册表服务器 IP 地址和端口号组成。（可选）您可以在注册表服务器中使用您自己的命名空间，而不是根命名空间。如果没有命名空间，端点格式为 REGISTRY_IP:PORT。如果使用命名空间，端点格式为 REGISTRY_IP:PORT/v2/NAMESPACE。指定命名空间时必须包含 /v2。

指定注册表镜像时，endpoint 为必填字段。您可以指定多个镜像/端点。

例如：

- endpoint: https://172.18.0.20:5000/v2/test-namespace

可选。针对特定注册表镜像 (endpoint) 在本地镜像的主机的域名数组。当容器运行时遇到来自指定主机的映像拉取请求时，它会首先检查本地注册表镜像。如需了解详情，请参阅从注册表镜像创建集群。

例如：

registryMirrors:
  - endpoint: https://172.18.0.20:5000
    caCertPath: /root/ca.crt
    pullCredentialConfigPath: /root/.docker/config.json
    hosts:
    - somehost.io
    - otherhost.io
         

可选。字符串。Docker CLI 配置文件 config.json 的路径。Docker 会将身份验证设置保存在配置文件中。只有在使用注册表镜像时此字段才适用。如果您的注册表服务器不需要使用 Docker 配置文件即可进行身份验证，则可以省略此字段。

例如：

registryMirrors:
  - endpoint: https://172.18.0.20:5000
    caCertPath: /root/ca.crt
    pullCredentialConfigPath: /root/.docker/config.json
        

字符串。SSH 私钥的路径。必须通过 SSH 访问节点。

本部分包含集群存储空间的设置。

本部分指定由装载磁盘支持的本地永久性卷的配置（路径）。您必须自行格式化并装载这些磁盘。您可以在创建集群之前或之后执行此任务。如需了解详情，请参阅 LVP 节点装载。

必需。字符串。使用 path 字段来指定可发现已装载磁盘的宿主机路径。系统会为每个装载创建一个本地 PersistentVolume (PV)。默认路径为 /mnt/localpv-share。如需了解如何配置节点装载，请参阅配置 LVP 节点装载。

本部分指定由共享文件系统中的子目录支持的本地永久性卷的配置。创建集群时，系统会自动创建这些子目录。如需了解详情，请参阅 LVP 共享。

必需。字符串。指定要在 lvpShare.path 下创建的子目录的数量。默认值为 5。如需了解如何配置 LVP 共享，请参阅配置 LVP 共享。

必需。字符串。使用 path 字段来指定可以创建子目录的宿主机路径。将为每个子目录创建一个本地 PersistentVolume (PV)。如需了解如何配置 LVP 共享，请参阅配置 LVP 共享。

必需。字符串。指定用于创建永久性卷的 StorageClass。StorageClass 在创建集群期间创建。默认值为 local-shared。如需了解如何配置 LVP 共享，请参阅配置 LVP 共享。

可选。对象。您可以利用节点污点对节点进行标记，以使调度器避免或阻止将其用于特定 pod。污点由键值对和相关效果组成。key 和 value 值是用于标识污点的字符串，effect 值指定系统如何为节点处理 pod。taints 对象可以具有多个污点。

effect 字段可采用以下值之一：

• NoSchedule - 除非 Pod 具有匹配的容忍设置，否则任何 Pod 都无法调度到该节点上。
• PreferNoSchedule - 系统会避免在节点上放置无法容忍污点的 Pod，但这并不是必需的。
• NoExecute - 不能容忍污点的 Pod 会立即逐出，而能容忍污点的 Pod 则永远不会逐出。

对于 Google Distributed Cloud，除非对集群应用 baremetal.cluster.gke.io/label-taint-no-sync 注解，否则污点会与节点池的节点协调。如需详细了解污点，请参阅污点和容忍设置。

例如：

  taints:
  - key: status
    value: testpool
    effect: NoSchedule
  

必需。字符串。指定集群的类型。标准部署模型由单个管理员集群以及一个或多个用户集群组成，这些集群由管理员集群管理。Google Distributed Cloud 支持以下类型的集群：

• 管理员 - 用于管理用户集群的集群。
• 用户 - 用于运行工作负载的集群。
• 混合 - 用于管理员和工作负载的单个集群，还可以管理用户集群。
• 独立集群 - 可以自行管理和运行工作负载的单个集群，但不能创建或管理其他用户集群。

集群类型是在创建集群时指定的，并且无法更改以更新或升级集群类型。如需详细了解如何创建集群，请参阅创建集群：概览。

允许使用的值：admin | user | hybrid | standalone

无法为现有集群修改此值。

可选。本部分包含用于为工作器节点池中的节点配置升级策略的设置。如需了解详情，请参阅并行升级。 注意：请勿为控制平面或负载均衡器节点池添加此部分。

可选。本部分包含用于为工作器节点池配置并行节点升级的设置。在典型的默认集群升级中，每个集群节点按顺序依次升级。您可以配置工作器节点池，以便在升级集群时并行升级多个节点。并行升级节点可以显著加快集群升级速度，尤其是对于具有数百个节点的集群。

对于工作器节点池，您可以指定同时升级的节点数，并且可以为在能够整个升级过程中运行工作负载的节点数设置最小阈值。

如需了解详情，请参阅节点升级策略。

apiVersion: baremetal.cluster.gke.io/v1
kind: NodePool
metadata:
  name: np1
  namespace: cluster-cluster1
spec:
  clusterName: cluster1
  nodes:
  - address:  10.200.0.1
  ...
  upgradeStrategy:
    parallelUpgrade:
      concurrentNodes: 2
      minimumAvailableNodes: 5
        

可选。整数（正数）。默认值：1。最大值：15。默认情况下 (1)，节点会按顺序逐个升级。将 concurrentNodes 设置为大于 1 的数字时，此字段指定要并行升级的节点数。请注意 concurrentNodes 的以下限制条件：

• 该值不能超过节点池 50% 的节点数或固定数字 15 这两者中的较小值。例如，如果您的节点池有 20 个节点，则不能指定大于 10 的值。如果您的节点池有 100 个节点，则 15 是您可以指定的最大值。
• 将此字段与 minimumAvailableNodes 字段一起使用时，这两个值的和不能超过节点池中的节点总数。例如，如果您的节点池有 20 个节点，并且 minimumAvailableNodes 设置为 18，则 concurrentNodes 不能超过 2。

并行升级不遵循 Pod 中断预算 (PDB)。如果您的工作负载对中断很敏感，我们建议您指定 minimumAvailableNodes，以确保在升级过程中有一定数量的节点可用于运行工作负载。如需了解详情，请参阅并行升级。

可选。整数（非负）。默认值：取决于 concurrentNodes。如需详细了解 minimumAvailableNodes 的默认值，请参阅并行升级默认值。minimumAvailableNodes 可让您指定节点池中在整个升级过程中必须保持可用的节点数。当节点正在升级时，该节点被视为不可用。当满足以下任一条件时，节点也被视为不可用：

• 节点处于维护模式
• 节点正在协调
• 节点在升级过程中停滞

将此字段与 concurrentNodes 字段一起使用时，这两个值的和不能超过节点池中的节点总数。例如，如果您的节点池有 20 个节点，并且 concurrentNodes 设置为 10，则 minimumAvailableNodes 不能超过 10。

较大的 minimumAvailableNodes 值可最大限度地减少安排 Pod 时的容量问题，从而帮助在集群升级期间保护工作负载。但是，较大的 minimumAvailableNodes 值会增加升级停滞的风险，因为可能需要等待节点变为可用。如需了解详情，请参阅并行升级。

bmctl 为 Google Distributed Cloud 生成的集群配置文件包含用于指定本地文件系统中凭据和密钥文件的路径的字段。这些凭据和密钥是将集群相互连接以及连接到 Google Cloud 项目所需的。

例如：

gcrKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
sshPrivateKeyPath: /home/root-user/.ssh/id_rsa
gkeConnectAgentServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
gkeConnectRegisterServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
cloudOperationsServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json