概览
如需连接集群,您需要向 Google Cloud 舰队管理注册集群并在其中安装 GKE 连接的集群软件,从而将该集群连接到 Google Cloud。
您可以使用 gcloud CLI 或 Terraform 连接集群。如需了解如何使用 Terraform 创建和连接 EKS 集群,请参阅 GKE 关联集群的示例 GitHub 代码库。
如需使用 gcloud 连接 EKS 集群,请执行以下步骤。
前提条件
确保集群符合集群要求。
关联集群时,必须指定以下内容:
- 一个受支持的 Google Cloud 管理区域,以及
- 一个平台版本。
管理区域是要从其中管理所关联集群的 Google Cloud 区域。您可以选择任何受支持的区域,但最好是选择地理上离您的集群最近的区域。管理区域中不会存储任何用户数据。
平台版本是要安装到集群上的 GKE 关联集群的版本。您可以通过运行以下命令列出所有支持的版本:
gcloud container attached get-server-config \
--location=GOOGLE_CLOUD_REGION
将 GOOGLE_CLOUD_REGION 替换为要从其中管理集群的 Google Cloud 位置的名称。
平台版本编号
这些文档将 GKE 关联集群的版本称为平台版本,以与 Kubernetes 版本区分开来。GKE 关联集群使用与 GKE 相同的版本编号惯例,例如 1.21.5-gke.1。关联或更新集群时,您必须选择次要版本与集群的 Kubernetes 版本相同或低一个版本的平台版本。例如,您可以将运行 Kubernetes v1.22.* 的集群与 GKE 关联集群平台版本 1.21.* 或 1.22.* 相关联。
这样,您就可以在升级 GKE 关联集群之前先将集群升级到下一个次要版本。
关联 EKS 集群
如需将 EKS 集群连接到 Google Cloud 舰队管理,请执行以下步骤:
确保您的 kubeconfig 文件包含要附加的集群的条目:
aws eks update-kubeconfig --region AWS_REGION \ --name CLUSTER_NAME
使用以下命令检索 OIDC 颁发者网址:
aws eks describe-cluster \ --region AWS_REGION \ --name CLUSTER_NAME \ --query "cluster.identity.oidc.issuer" \ --output text
此命令的输出是您的 OIDC 颁发者的网址。保存此值以便稍后使用。
运行以下命令以提取集群的 kubeconfig 上下文并将其存储在
KUBECONFIG_CONTEXT
环境变量中:KUBECONFIG_CONTEXT=$(kubectl config current-context)
使用
gcloud container attached clusters register
命令注册集群:gcloud container attached clusters register CLUSTER_NAME \ --location=GOOGLE_CLOUD_REGION \ --fleet-project=PROJECT_NUMBER \ --platform-version=PLATFORM_VERSION \ --distribution=eks \ --issuer-url=ISSUER_URL \ --context=KUBECONFIG_CONTEXT \ --kubeconfig=KUBECONFIG_PATH
您需要在其中:
- AWS_REGION:您的 EKS 集群所在的 AWS 区域
- CLUSTER_NAME:您的集群的名称
- GOOGLE_CLOUD_REGION:要用于管理集群的 Google Cloud 区域
- PLATFORM_VERSION:要用于集群的 GKE 关联集群版本
- PROJECT_NUMBER:将在其中注册集群的舰队宿主项目
- ISSUER_URL:在上文检索到的颁发者网址
- KUBECONFIG_CONTEXT:kubeconfig 中用于访问 EKS 集群的上下文,如前所述
KUBECONFIG_PATH:kubeconfig 的路径
向 Cloud Logging/Cloud Monitoring 授权
为了让 GKE 关联集群创建系统日志和指标并将其上传到 Google Cloud,必须授权该集群。
要授权 Kubernetes 工作负载身份 gke-system/gke-telemetry-agent
将日志写入 Google Cloud Logging,并将指标写入 Google Cloud Monitoring,请运行以下命令:
gcloud projects add-iam-policy-binding GOOGLE_PROJECT_ID \
--member="serviceAccount:GOOGLE_PROJECT_ID.svc.id.goog[gke-system/gke-telemetry-agent]" \
--role=roles/gkemulticloud.telemetryWriter
将 GOOGLE_PROJECT_ID
替换为集群的 Google Cloud 项目 ID。
此 IAM 绑定授予 Google Cloud 项目中所有集群上传日志和指标的访问权限。您只需在为项目创建第一个集群后运行此命令。
除非您的 Google Cloud 项目中至少创建了一个集群,否则添加此 IAM 绑定将失败。这是因为,其引用的工作负载身份池 (GOOGLE_PROJECT_ID.svc.id.goog
) 不会在创建集群之前进行预配。