Questa pagina illustra alcuni passaggi da eseguire prima di installare GKE On-Prem nel tuo ambiente.
Prima di iniziare
Consulta i seguenti argomenti:
Valori segnaposto nella documentazione di GKE On-Prem
Quando utilizzi la documentazione di GKE On-Prem, puoi modificare placeholder values nei blocchi di codice facendo clic su di essi:
Enter your name: [YOUR_NAME]
Questo può essere utile se vuoi inserire i valori segnaposto prima di copiare ed eseguire i comandi.
Limitazioni
| Limitazione | Descrizione |
|---|---|
| Limiti massimi e minimi per cluster e nodi | Vedi Quote e limiti. Le prestazioni del tuo ambiente potrebbero influire su questi limiti. |
| Un cluster di amministrazione per progetto | Puoi registrare un solo cluster di amministrazione per progetto Google Cloud. Se devi eseguire più cluster di amministrazione, devi utilizzare un progetto Google Cloud separato. |
Creazione di un progetto Google Cloud
Crea un progetto Google Cloud, se non ne hai già uno. È necessario un progetto per eseguire GKE On-Prem.
Installazione degli strumenti necessari per l'interfaccia a riga di comando
- Installa Google Cloud CLI, che include
gcloud, l'interfaccia a riga di comando (CLI) in Google Cloud. - Installa govc, l'interfaccia a riga di comando per VMware vSphere.
- Installa Terraform 0.11,
che include l'interfaccia a riga di comando
terraform. Segui le istruzioni per l'installazione di Terraform per verificare l'installazione e configurare la variabilePATH.
Autorizzazione di gcloud ad accedere a Google Cloud
Dopo aver installato l'interfaccia a riga di comando gcloud, autorizza gcloud ad accedere a Google Cloud:
gcloud auth login
Impostazione di un progetto Google Cloud predefinito
L'impostazione di un'istanza di Google Cloud predefinita fa sì che tutti i comandi dell'interfaccia a riga di comando gcloud vengano eseguiti sul progetto, quindi non è necessario specificare il progetto per ogni comando. Per impostare un progetto predefinito, esegui questo comando:
gcloud config set project [PROJECT_ID]
Sostituisci [PROJECT_ID] con il tuo ID progetto.
Puoi trovare il tuo ID progetto nella console Google Cloud o eseguendo
gcloud config get-value project.
Creazione di account di servizio Google Cloud
Prima di installare GKE On-Prem per la prima volta, utilizzi gcloud
per creare quattro account di servizio Google Cloud.
GKE On-Prem utilizza questi account di servizio per completare le attività per tuo conto; le sezioni seguenti descrivono lo scopo di ciascun account.
Accedi all'account di servizio
Utilizza questo account di servizio per scaricare i programmi binari di GKE On-Prem da Cloud Storage. È l'unico account di servizio che Google consente le liste consentite.
Esegui il comando seguente per creare access-service-account:
gcloud iam service-accounts create access-service-account
Registra account di servizio
Connect utilizza questo account di servizio per registrare i tuoi cluster GKE On-Prem con Google Cloud Console.
Esegui il comando seguente per creare register-service-account:
gcloud iam service-accounts create register-service-account
Connetti account di servizio
Connect utilizza questo account di servizio per mantenere una connessione tra i cluster GKE On-Prem e Google Cloud.
Esegui il comando seguente per creare connect-service-account:
gcloud iam service-accounts create connect-service-account
Account di servizio della suite operativa di Google Cloud
Questo account di servizio consente a GKE On-Prem di scrivere dati di logging e monitoraggio nella Suite operativa di Google Cloud:
Esegui il comando seguente per creare stackdriver-service-account:
gcloud iam service-accounts create stackdriver-service-account
Aggiungere il progetto e gli account alla lista consentita
Dopo aver acquistato Anthos, Google aggiunge alla lista consentita quanto segue per concederti l'accesso a GKE On-Prem e Connect:
- Il tuo progetto Google Cloud.
- Il tuo Account Google e singoli Account Google di membri del team.
- Il tuo account di servizio di accesso.
Se vuoi utilizzare un altro progetto o account di servizio, oppure se vuoi abilitare utenti aggiuntivi, l'assistenza Google Cloud o il tuo Technical Account Manager possono aiutarti. Apri una richiesta di assistenza tramite Google Cloud Console o il Google Cloud Support Center.
Abilitazione delle API richieste nel tuo progetto in corso...
Devi attivare le seguenti API nel tuo progetto Google Cloud:
- cloudresourcemanager.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com
- gkehub.googleapis.com
- serviceusage.googleapis.com
- stackdriver.googleapis.com
- monitoring.googleapis.com
- logging.googleapis.com
Per abilitare queste API, esegui il comando seguente:
gcloud services enable \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ stackdriver.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com
Assegnazione dei ruoli di Identity and Access Management agli account di servizio
IAM concede le autorizzazioni relative agli account per chiamare le API Google Cloud. Assegna ruoli IAM dedicati a questi account di servizio per l'isolamento dei privilegi.
Elenco account di servizio' indirizzi email
Innanzitutto, elenca gli account di servizio nel progetto Google Cloud:
gcloud iam service-accounts list
Per un progetto Google Cloud denominato my-gcp-project, l'output di questo comando ha il seguente aspetto:
gcloud iam service-accounts list
NAME EMAIL
access-service-account@my-gcp-project.iam.gserviceaccount.com
register-service-account@my-gcp-project.iam.gserviceaccount.com
connect-service-account@my-gcp-project.iam.gserviceaccount.com
stackdriver-service-account@my-gcp-project.iam.gserviceaccount.com
Prendi nota di ogni indirizzo email di ogni account. Per ciascuna delle seguenti sezioni, fornisci l'account email dell'account pertinente.
Registra account di servizio
Concedi i ruoli gkehub.admin e serviceuserage.serviceUsageViewer al tuo
account di servizio di registrazione:
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member="serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL] \ --role="roles/gkehub.admin"
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member="serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL] \ --role="roles/serviceusage.serviceUsageViewer"
Connetti account di servizio
Concedi il ruolo gkehub.connect al tuo account di servizio Connect:
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member="serviceAccount:[CONNECT_SERVICE_ACCOUNT_EMAIL] \ --role="roles/gkehub.connect"
Account di servizio della suite operativa di Google Cloud
Concedi i ruoli stackdriver.resourceMetadata.writer, logging.logWriter e monitoring.metricWriter al tuo account di servizio della suite operativa di Google Cloud:
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \ --role "roles/stackdriver.resourceMetadata.writer"
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \ --role "roles/logging.logWriter"
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \ --role "roles/monitoring.metricWriter"
Configurazione di Logging e Monitoring
Stackdriver Logging e Stackdriver Monitoring sono abilitati per impostazione predefinita per GKE On-Prem.
Inserimento nella lista consentita degli indirizzi Google e HashiCorp per il proxy
Se la tua organizzazione richiede l'accesso a Internet tramite un proxy HTTP, autorizza i seguenti indirizzi Google nel proxy:
- binaryauthorization.googleapis.com
- googlecode.l.googleusercontent.com
- storage.l.googleusercontent.com
- storage.googleapis.com
Utilizzi HashiCorp Terraform 0.11 per creare una VM della workstation di amministrazione in vSphere. Per eseguire Terraform in un ambiente con un proxy o un firewall, devi inserire nella lista consentita i seguenti indirizzi di HashiCorp:
- checkpoint-api.hashicorp.com
- releases.hashicorp.com
Preparazione del bilanciatore del carico
I cluster GKE On-Prem possono essere eseguiti con una delle due modalità di bilanciamento del carico, &Integra;" e "Manual." Con la modalità integrata, i cluster GKE On-Prem vengono eseguiti con il bilanciatore del carico BIG-IP di F5. Con la modalità manuale, configuri manualmente un bilanciatore del carico diverso.
Preparazione delle partizioni F5 BIG-IP
Se scegli di utilizzare la modalità integrata, devi creare una partizione BIG-IP F5 per gestire il bilanciamento del carico per ogni cluster GKE On-Prem che intendi creare.
Inizialmente, devi creare almeno due partizioni: una per il cluster di amministrazione e una per un cluster di utenti. Devi creare una partizione prima di creare il cluster corrispondente.
Non utilizzare le partizioni del cluster per altri scopi. Ciascuno dei tuoi cluster deve avere una partizione esclusivamente a uso del cluster.
Per informazioni su come creare le partizioni, consulta la sezione Creazione di una partizione amministrativa nella documentazione di BIG-IP di F5.
Utilizzo della modalità di bilanciamento del carico manuale
La modalità di bilanciamento del carico manuale richiede più configurazione rispetto alla modalità integrata. Per maggiori dettagli, consulta Abilitare il bilanciamento del carico manuale.