本页面介绍 Anthos clusters on VMware (GKE On-Prem) 管理员集群配置文件中的字段。
生成配置文件模板
如果您使用了 gkeadm 来创建管理员工作站,则 gkeadm 为您的管理员集群配置文件生成了一个模板。此外,gkeadm 还为您填写了一些字段。
如果您未使用 gkeadm 创建管理员工作站,则可以使用 gkectl 为管理员集群配置文件生成模板。
如需为管理员集群配置文件生成模板,请运行以下命令:
gkectl create-config admin --config=OUTPUT_FILENAME --gke-on-prem-version=VERSION
将 OUTPUT_FILENAME 替换为您为生成的模板选择的路径。如果省略此标志,则 gkectl 将该文件命名为 admin-cluster.yaml,并将其放在当前目录中。
将 VERSION 替换为所需的版本号,它必须等于或小于您的 gkectl 版本。例如:gkectl create-config admin --gke-on-prem-version=1.6.2-gke.0。如果省略此标志,则生成的配置模板将填充基于最新集群版本的值。
模板
填写配置文件
在配置文件中,按照以下部分的说明输入字段值。
name
可选
字符串
默认值:前缀为“gke-admin-”的随机名称
您为集群选择的名称。
示例:
name: "my-admin-cluster"
bundlePath
必需
可变
字符串
Anthos Clusters on VMware 软件包文件的路径。
Anthos clusters on VMware 完整软件包文件中包含 Anthos clusters on VMware 特定版本的所有组件。创建管理员工作站时,该工作站会随附以下完整软件包:
/var/lib/gke/bundles/gke-onprem-vsphere-VERSION-full.tgz
示例:
bundlePath: "/var/lib/gke/bundles/gke-onprem-vsphere-1.10.0-gke.8.full.tgz"
vCenter
必需
不可变
本部分包含有关您的 vSphere 环境以及与 vCenter Server 连接的信息。
vCenter.address
必需
不可变
字符串
您的 vCenter 服务器的 IP 地址或主机名。
如需了解详情,请参阅查找 vCenter 服务器地址。
示例:
vCenter: address: "203.0.113.100"
vCenter: address: "my-vcenter-server.my-domain.example"
vCenter.datacenter
必需
不可变
字符串
具有将运行管理员集群虚拟机的物理 ESXi 主机的 vCenter 数据中心的名称。
示例:
vCenter: datacenter: "my-datacenter""
vCenter.cluster
必需
不可变
字符串
具有运行管理员集群的虚拟机的 ESXi 主机的 vSphere 集群的名称。此 vSphere 集群是一组物理 ESXi 主机,它们构成了 vCenter 数据中心内的部分物理 ESXi 主机。
示例:
vCenter: cluster: "my-vsphere-cluster"
vCenter.resourcePool
必需
不可变
字符串
您的管理员集群虚拟机的 vCenter 资源池的名称。
例如:
vCenter: resourcePool: "my-resource-pool-2"
要使用默认资源池,请将此设置为 VSPHERE_CLUSTER/Resources。
例如:
vCenter: resourcePool: "my-vsphere-cluster-2/Resources"
如需了解详情,请参阅为独立主机指定根资源池。
vCenter.datastore
必需
不可变
字符串
您的管理员集群虚拟机的 vCenter 数据存储区的名称。
示例:
vCenter: datastore: "my-datastore"
vCenter.caCertPath
必需
可变
字符串
您的 vCenter 服务器的 CA 证书的路径。
如需了解详情,请参阅获取 vCenter CA 证书。
如需了解如何为现有集群更新此字段,请参阅更新 vCenter 证书引用。
例如:
vCenter: caCertPath: "/usr/local/google/home/me/certs/vcenter-ca-cert.pem"
vCenter.credentials.fileRef.path
必需
字符串
凭据配置文件的路径,该文件包含您的 vCenter 用户帐号的用户名和密码。用户帐号应具有 Administrator 角色或同等权限。请参阅 vSphere 要求。
您可以使用 gkectl update 在现有集群中更新此字段。
如需了解如何更新 vCenter 凭据,请参阅更新集群凭据。
例如:
vCenter:
credentials:
fileRef:
path: "my-config-folder/admin-creds.yaml"
vCenter.credentials.fileRef.entry
必需
字符串
凭据配置文件中的凭据块名称,该文件包含您的 vCenter 用户帐号的用户名和密码。
您可以使用 gkectl update 在现有集群中更新此字段。
如需了解如何更新 vCenter 凭据,请参阅更新集群凭据。
示例:
vCenter:
credentials:
fileRef:
entry: "vcenter-creds"
vCenter.folder
可选
不可变
字符串
默认值:数据中心范围的文件夹
您的管理员集群虚拟机所在的 vCenter 文件夹的名称。
示例:
vCenter: folder: "my-folder"
vCenter.dataDisk
必需
不可变
字符串
Anthos clusters on VMware 会创建一个虚拟机磁盘 (VMDK) 来保存 Kubernetes 对象数据。安装程序会为您创建 VMDK,但您必须在 vCenter.dataDisk 字段中提供 VMDK 的名称。
例如:
vCenter: dataDisk: "my-disk.vmdk"
如果您使用的是 vSAN 数据存储区,则必须将 VMDK 放在文件夹中,并且必须提前手动创建该文件夹。您可以使用 govc 创建文件夹:
govc datastore.mkdir -namespace=true my-folder
然后将 vCenter.dataDisk 设置为 VMDK 的路径(包括文件夹)。
例如:
vDenter: dataDisk: "my-folder/my-disk.vmdk"
network
必需
不可变
本部分包含有关管理员集群网络的信息。
network.hostConfig
可选
不可变
本部分包含有关集群节点虚拟机使用的 NTP 服务器、DNS 服务器和 DNS 搜索网域的信息。如果您使用的是 Seesaw 负载均衡器,则此信息也适用于 Seesaw 虚拟机。
network.hostConfig.dnsServers
如果填写了 network.hostConfig 部分,则此字段是必需的。
不可变
字符串数组
数组中的元素数上限为 3。
虚拟机的 DNS 服务器的地址。
示例:
network:
hostConfig:
dnsServers:
- "172.16.255.1"
- "172.16.255.2"
network.hostConfig.ntpServers
如果填写了 network.hostConfig 部分,则此字段是必需的。
不可变
字符串数组
供虚拟机使用的时间服务器地址。
示例:
network:
hostConfig:
ntpServers:
- "216.239.35.0"
network.hostConfig.searchDomainsForDNS
可选
不可变
字符串数组
供虚拟机使用的 DNS 搜索网域。这些网域会用作网域搜索列表的一部分。
示例:
network:
hostConfig:
searchDomainsForDNS:
- "my.local.com"
network.ipMode.type
必需
不可变
字符串
预填充值:“dhcp”
默认值:“dhcp”
如果您希望集群节点从 DHCP 服务器获取其 IP 地址,请将此设置为 "dhcp"。如果您希望集群节点从您提供的列表中选择静态 IP 地址,请将此设置为 "static"。
示例:
network:
ipMode:
type: "static"
network.ipMode.ipBlockFilePath
必需(如果 network.ipMode.type = static)
不可变
字符串
集群的 IP 地址块文件的路径。
示例:
network:
ipMode:
ipBlockFilePath: "/my-config-folder/admin-cluster-ipblock.yaml"
network.serviceCIDR
必需
不可变
字符串
可能的最小范围:/24
最大可能范围:/12
预填充值:“10.96.232.0/24”
默认值:“10.96.232.0/24”
用于集群中 Service 的 IP 地址范围(采用 CIDR 格式)。
示例:
network: serviceCIDR: "10.96.232.0/24"
network.podCIDR
必需
不可变
字符串
最小可能范围:/18
最大可能范围:/8
预填充值:“192.168.0.0/16”
默认值:“192.168.0.0/16”
用于集群中 Pod 的 IP 地址范围(采用 CIDR 格式)。
例如:
network: podCIDR: "192.168.0.0/16"
Service 范围不得与 Pod 范围重叠。
Service 和 pod 范围不得与您要从集群内部访问的任何集群外部地址重叠。
例如,假设您的 Service 范围为 10.96.232.0/24,您的 Pod 范围为 192.168.0.0/16。从 Pod 发送到上述任一范围中的地址的任何流量都将被视为集群内的流量,并且不会到达集群外部的任何目的地。
具体来说,Service 和 pod 范围不得与以下各项重叠:
任何集群中节点的 IP 地址
负载均衡器使用的 IP 地址
控制平面节点和负载均衡器使用的 VIP 地址
vCenter 服务器、DNS 服务器和 NTP 服务器的 IP 地址
我们建议您的 Service 和 Pod 范围位于 RFC 1918 地址空间中。
以下是建议使用 RFC 1918 地址的一个原因。假设您的 Pod 或 Service 范围包含外部 IP 地址。从 Pod 发送到其中一个外部地址的任何流量都将被视为集群内流量,并且不会到达外部目标。
network.vCenter.networkName
必需
不可变
字符串
您的集群节点所在的 vSphere 网络的名称。
如果名称中包含特殊字符,您必须对其使用转义序列。
| 特殊字符 | 转义序列 |
|---|---|
正斜杠 (/) |
%2f |
反斜杠 (\) |
%5c |
百分号 (%) |
%25 |
如果网络名称不唯一,则可以指定网络的路径,例如 /DATACENTER/network/NETWORK_NAME。
例如:
network:
vCenter:
networkName: "my-network"
loadBalancer
本部分包含有关管理员集群的负载均衡器的信息。
loadBalancer.vips.controlPlaneVIP
必需
不可变
字符串
您选择为管理员集群的 Kubernetes API 服务器在负载均衡器上配置的 IP 地址。
示例:
loadBalancer:
vips:
controlplaneVIP: "203.0.113.3"
loadBalancer.vips.addonsVIP
可选
不可变
字符串
您选择在负载均衡器上为插件配置的 IP 地址。
示例:
loadBalancer:
vips:
addonsVIP: "203.0.113.4"
loadBalancer.kind
必需
不可变
字符串
预填充值:“Seesaw”
字符串。请将此设置为 "ManualLB"、"F5BigIP"、"Seesaw" 或 "MetalLB"
例如:
loadBalancer: kind: "MetalLB"
loadBalancer.manualLB
如果将 loadbalancer.kind 设置为 "ManualLB",请填写此部分。否则,请移除此部分。
不可变
loadBalancer.manualLB.ingressHTTPNodePort
从配置文件中移除此字段。此字段未在管理员集群中使用。
loadBalancer.manualLB.ingressHTTPSNodePort
从配置文件中移除此字段。此字段未在管理员集群中使用。
loadBalancer.manualLB.konnectivityServerNodePort
从配置文件中移除此字段。此字段未在管理员集群中使用。
loadBalancer.manualLB.controlPlaneNodePort
必需(如果 loadBalancer.kind = "ManualLB")
不可变
整数
预填充值:30968
管理员集群中的 Kubernetes API 服务器由 Kubernetes 服务公开。您必须为 Service 选择 nodePort 值。
将此字段设置为 nodePort 值。
例如:
loadBalancer:
manualLB:
contolPlaneNodePort: 30968
loadBalancer.manualLB.addonsNodePort
必需(如果 loadBalancer.kind = "ManualLB")
不可变
整数
预填充值:31405
管理员集群中的插件服务器由 Kubernetes 服务公开。您必须为 Service 选择 nodePort 值。
将此字段设置为 nodePort 值。
例如:
loadBalancer:
manualLB:
addonsNodePort: 31405
loadBalancer.f5BigIP
如果将 loadbalancer.kind 设置为 "f5BigIP",请填写此部分。否则,请移除此部分。
loadBalancer.f5BigIP.address
必需(如果 loadBalancer.kind = "f5BigIp")
不可变
字符串
F5 BIG-IP 负载均衡器的地址。例如:
loadBalancer:
f5BigIP:
address: "203.0.113.2"
loadBalancer.f5BigIP.credentials.fileRef.path
必需(如果 loadBalancer.kind = "f5BigIp")
可变
字符串
凭据配置文件的路径,该文件包含 Anthos clusters on VMware 用于连接到 F5 BIG-IP 负载均衡器的帐号的用户名和密码。
用户帐号必须拥有有充分权限设置和管理负载均衡器的用户角色。管理员角色或资源管理员角色足够。
您可以使用 gkectl update 在现有集群中更新此字段。
如需了解如何更新 F5 BIG-IP 凭据,请参阅更新集群凭据。
示例:
loadBalancer:
f5BigIP:
credentials:
fileRef:
path: ""my-config-folder/admin-creds.yaml"
loadBalancer.f5BigIP.credentialsfileRef.entry
必需(如果 loadBalancer.kind = "f5BigIp")
可变
字符串
凭据配置文件中的凭据块名称,该文件包含 F5 BIG-IP 帐号的用户名和密码。
您可以使用 gkectl update 在现有集群中更新此字段。
如需了解如何更新 F5 BIG-IP 凭据,请参阅更新集群凭据。
示例:
loadBalancer:
f5BigIP:
credentials:
fileRef:
entry: "f5-creds"
loadBalancer.f5BigIP.partition
必需(如果 loadBalancer.kind = "f5BigIp")
不可变
字符串
您为管理员集群创建的 BIG-IP 分区的名称。
示例:
loadBalancer:
f5BigIP:
partition: "my-f5-admin-partition"
loadBalancer.f5BigIP.snatPoolName
可选
相关(如果 loadBalancer.kind = "f5BigIp")
不可变
字符串
如果您使用的是 SNAT,则它是 SNAT 池的名称。如果您不使用 SNAT,请移除此字段。
例如:
loadBalancer:
f5BigIP:
snatPoolName: "my-snat-pool"
loadBalancer.seesaw
如果将 loadbalancer.kind 设置为 "Seesaw",请填写此部分。否则,请移除此部分。
不可变
如需了解如何设置 Seesaw 负载均衡器,请参阅 Seesaw 负载均衡器快速入门和使用 Seesaw 进行捆绑式负载均衡。
loadBalancer.seesaw.ipBlockFilePath
必需(如果 loadBalancer.kind = "Seesaw")
不可变
字符串
您的 Seesaw 虚拟机的 IP 地址块文件的路径。
示例:
loadBalancer:
seesaw:
ipBlockFilePath: "config-folder/admin-seesaw-ipblock.yaml"
loadBalancer.seesaw.vrid
必需(如果 loadBalancer.kind = "Seesaw")
不可变
整数
可能的值:1 - 255
您的 Seesaw 虚拟机的虚拟路由器标识符。此标识符(您选择的整数)在 VLAN 中必须是唯一的。
示例:
loadBalancer:
seesaw:
vrid: 125
loadBalancer.seesaw.masterIP
必需(如果 loadBalancer.kind = "Seesaw")
不可变
整数
字符串。主 Seesaw 虚拟机上配置的虚拟 IP 地址。
示例:
loadBalancer:
seesaw:
masterIP: 172.16.20.21
loadBalancer.seesaw.cpus
必需(如果 loadBalancer.kind = "Seesaw")
不可变
整数
预填充值:2
默认值:
每个 Seesaw 虚拟机的 CPU 数量。
示例:
loadBalancer:
seesaw:
cpus: 8
loadBalancer.seesaw.memoryMB
必需(如果 loadBalancer.kind = "Seesaw")
不可变
整数
预填充值:3072
默认值:1024
每个 Seesaw 虚拟机的内存大小(以 MB 为单位)。
示例:
loadBalancer:
seesaw:
memoryMB: 8192
loadBalancer.seesaw.vCenter.networkName
可选
相关(如果 loadBalancer.kind = "Seesaw")
不可变
字符串
包含 Seesaw 虚拟机的 vCenter 网络的名称。
示例:
loadBalancer:
seesaw:
vCenter:
networkName: "my-seesaw-network"
loadBalancer.seesaw.enableHA
可选
相关(如果 loadBalancer.kind = "Seesaw")
不可变
布尔值
预填充值:false
默认值:false
如果要创建高可用性 (HA) Seesaw 负载均衡器,请将此值设置为 true。否则,请将其设置为 false。高可用性 Seesaw 负载均衡器使用(主备)虚拟机对。
示例:
loadBalancer:
seesaw:
enableHA: true
loadBalancer.seesaw.disableVRRPMAC
可选
相关(如果 loadBalancer.kind = "Seesaw")
不可变
布尔值
预填充值:false
默认值:false
如果将此值设置为 true,则 Seesaw 负载均衡器不会使用 MAC 学习进行故障切换,而是会使用免费 ARP。如果将其设置为 false,则 Seesaw 负载均衡器会使用 MAC 学习。我们建议您将此值设置为 true。如果您使用的是 vSphere 7 或更高版本,并且具有高可用性 Seesaw 负载均衡器,则必须将此值设置为 true。
示例:
loadBalancer:
seesaw:
disableVRRPMAC: true
antiAffinityGroups.enabled
可选
可变
布尔值
预填充值:true
将此值设为 true 可启用 DRS 规则创建。否则,请将其设置为 false。
示例:
antiAffinityGroups: enabled: true
如果此字段为 true,则 Anthos Clusters on VMware 会为您的管理员集群节点创建 VMware 分布式资源调度器 (DRS) 反亲和性规则,使它们分布在数据中心的至少三个物理 ESXi 主机上。
为了使用此功能,您的 vSphere 环境必须满足以下条件:
VMware DRS 已启用。VMware DRS 需要 vSphere Enterprise Plus 许可版本。
您的 vSphere 用户帐号具有
Host.Inventory.Modify cluster特权。至少有四个 ESXi 主机可用。
即使该规则要求群集节点分布在三个 ESXi 主机上,我们强烈建议您至少有四个可用的 ESXi 主机。这样可以防止您丢失管理员集群控制平面。例如,假设您只有三个 ESXi 主机,并且您的管理员集群控制平面节点位于发生故障的 ESXi 主机上。DRS 规则将阻止控制平面节点放置在其余两个 ESXi 主机之一上。
回想一下,如果您拥有 vSphere Standard 许可,则无法启用 VMware DRS。
如果您未启用 DRS,或没有至少四个主机可供安排 vSphere 虚拟机,请将 antiAffinityGroups.enabled 设置为 false。
adminMaster
预览版
可选
不可变
如果要为管理员集群的控制平面节点指定 CPU 和内存,请填写此部分。否则,请移除此部分或将其注释掉。
adminMaster.cpus
预览版
如果填写了 adminMaster 部分,则此字段是必需的。
不可变
整数
预填充值:4
默认值:4
管理员集群的控制平面节点的 vCPU 数量。
示例:
adminMaster: cpus: 4
adminMaster.memoryMB
预览版
如果填写了 adminMaster 部分,则此字段是必需的。
不可变
整数
预填充值:16384
默认值:16384
管理员集群的控制平面节点的内存大小(以 MiB 为单位)。
示例:
adminMaster: memoryMB: 16384
addonNode.autoResize.enabled
可选
可变
布尔值
预填充值:false
默认值:false
将此值设置为 true 以启用管理员集群中插件节点的自动调整大小。否则,请将其设置为 false。
要更新此字段的值,请使用 gkectl update admin。
例如:
addonNode:
autoResize:
enabled: true
proxy
如果您的网络由代理服务器提供支持,请填写此部分。否则,请移除此部分或将其注释掉。
不可变
proxy.url
如果填写了 proxy 部分,则此字段是必需的。
不可变
字符串
代理服务器的 HTTP 地址。即使端口号与该方案的默认端口相同,也要填写此端口号。
例如:
proxy: url: "http://my-proxy.example.local:80"
您在此处指定的代理服务器会被 Anthos clusters on VMware 集群使用。此外,除非您在管理员工作站上设置 HTTPS_PROXY 环境变量,否则您的管理员工作站会自动配置为使用同一代理服务器。
如果您指定 proxy.url,则还必须指定 proxy.noProxy。
设置管理员集群的代理配置后,除非重新构建集群,否则无法修改或删除该配置。
proxy.noProxy
可选
不可变
字符串
不应通过代理服务器的 IP 地址、IP 地址范围、主机名和域名的列表(以英文逗号分隔)。当 Anthos Clusters on VMware 向其中一个地址、主机或网域发送请求时,该请求会直接发送。
例如:
proxy: noProxy: "10.151.222.0/24,my-host.example.local,10.151.2.1"
privateRegistry
如果您有一个私有 Docker 注册表,请填写此部分。否则,请移除此部分或将其注释掉。该字段不可更改。
您在 privateregistry 部分中选择的设置不仅反映到管理员集群,还会反映在用户集群中。
privateRegistry.address
必需(对于私有注册表)
不可变
字符串
运行您的私有 Docker 注册表的机器的 IP 地址或 FQDN(完全限定域名)。
示例:
privateRegistry: address: "203.0.113.10"
privateRegistry: address: "fqdn.example.com"
privateRegistry.credentials.fileRef.path
必需(对于私有注册表)
不可变
字符串
凭据配置文件的路径,该文件包含 Anthos clusters on VMware 可用于访问私有 Docker 注册表的帐号的用户名和密码。
示例:
privateRegistry:
credentials:
fileRef:
path: "my-config-folder/admin-creds.yaml"
privateRegistry.credentials.fileRef.entry
必需(对于私有注册表)
不可变
字符串
凭据配置文件中的凭据块名称,该文件包含您的私有 Docker 注册表帐号的用户名和密码。
privateRegistry:
credentials:
fileRef:
entry: "private-registry-creds"
privateRegistry.caCertPath
必需(对于私有注册表)
不可变
字符串
当 Docker 从您的私有注册表中拉取映像时,该注册表必须通过提供证书来证明其身份。注册表的证书由证书授权机构 (CA) 签名。Docker 使用 CA 的证书来验证该注册表的证书。
将此字段设置为 CA 证书的路径。
示例:
privateRegistry: caCertPath: "my-cert-folder/registry-ca.crt"
componentAccessServiceAccountKeyPath
必需
可变
字符串
组件访问服务帐号的 JSON 密钥文件的路径。
示例:
componentAccessServiceAccountKeyPath: "my-key-folder/access-key.json"
gkeConnect
可选
可变
如果您填写 gkeConnect 部分,则管理员集群会在创建后自动注册到舰队。本部分包含有关注册集群所需的 Google Cloud 项目和服务帐号的信息。
如果您要在 Google Cloud 控制台中管理用户集群的生命周期,则此部分在管理员集群中是必需的。 在创建或更新集群期间,系统会在管理员集群上配置多个 RBAC 政策。有了这些 RBAC 政策,您才能在 Google Cloud 控制台中创建用户集群。
gkeConnect.projectID
对于注册是必需的
不可变
字符串
舰队宿主项目的 ID。
示例:
gkeConnect: projectID: "my-connect-project-123"
gkeConnect.registerServiceAccountKeyPath
对于注册是必需的
可变
字符串
连接和注册服务帐号的 JSON 密钥文件的路径。
示例:
gkeConnect: registerServiceAccountKeyPath: "my-key-folder/connect-register-key.json"
stackdriver
可选
可变
如果要为集群启用 Cloud Logging 和 Cloud Monitoring,请填写此部分的信息。否则,请移除此部分。
如果您要在 Google Cloud 控制台中管理用户集群的生命周期,则此部分在管理员集群中是必需的。
stackdriver.projectID
对于 Logging 和 Monitoring 是必需的
不可变
字符串
日志记录和监控项目的 ID。这是您将在其中查看日志和指标的 Google Cloud 项目。
示例:
stackdriver: projectID: "my-logs-project"
stackdriver.clusterLocation
对于 Logging 和 Monitoring 是必需的
不可变
字符串
预填充值:“us-central1”
您要在其中存储日志的 Google Cloud 区域。建议选择一个靠近您的本地数据中心的区域。
示例:
stackdriver: clusterLocation: "us-central1"
stackdriver.enableVPC
可选
不可变
布尔值
预填充值:false
如果集群的网络由 VPC 控制,请将此字段设置为 true。这样可以确保所有遥测流都通过 Google 的受限 IP 地址。否则,请将其设置为 false。
示例:
stackdriver: enableVPC: false
stackdriver.serviceAccountKeyPath
对于 Logging 和 Monitoring 是必需的
可变
字符串
您的日志记录和监控服务帐号的 JSON 密钥文件的路径。
如需了解如何更新现有集群中的此字段,请参阅轮替服务帐号密钥。
示例:
stackdriver: serviceAccountKeyPath: "my-key-folder/log-mon-key.json"
stackdriver.disableVsphereResourceMetrics
可选
可变
相关(对于 Logging 和 Monitoring)
布尔值
预填充值:false
默认值:false
将此属性设置为 true 可停用从 vSphere 收集指标。否则,请将其设置为 false。
如果您要在 Google Cloud 控制台中管理用户集群的生命周期,则此部分在管理员集群中是必需的。
例如:
stackdriver: disableVsphereResourceMetrics: true
cloudAuditLogging
如果要将集群的 Kubernetes API 服务器中的审核日志与 Cloud Audit Logs 集成,请填写此部分。否则,请移除此部分或将其注释掉。
可变
如果您要在 Google Cloud 控制台中管理用户集群的生命周期,则此部分在管理员集群中是必需的。
cloudAuditLogging.projectID
对于 Cloud Audit Logs 是必需的
不可变
字符串
要在其中存储审核日志的 Google Cloud 项目的 ID。
示例:
cloudAuditLogging: projectID: "my-audit-project"
cloudAuditLogging.clusterLocation
对于 Cloud Audit Logs 是必需的
不可变
字符串
您要在其中存储审核日志的 Google Cloud 区域。建议选择一个靠近您的本地数据中心的区域
示例:
cloudAuditLogging: clusterLocation: "us-central1"
cloudAuditLogging.serviceAccountKeyPath
对于 Cloud Audit Logs 是必需的
可变
字符串
审核日志记录服务帐号的 JSON 密钥文件的路径。
如需了解如何更新现有集群中的此字段,请参阅轮替服务帐号密钥。
示例:
cloudAuditLogging: serviceAccountKeyPath: "my-key-folder/audit-log-key.json"
clusterBackup.datastore
预览版
可选
可变
字符串
如果要启用备份管理员集群,请将此设置为您要用于保存集群备份的 vSphere 数据存储区。
示例:
clusterBackup: datastore: "my-datastore"
autoRepair.enabled
可选
可变
布尔值
预填充值:true
将此值设置为 true 以启用节点自动修复。否则,请将其设置为 false。
要更新此字段的值,请使用 gkectl update admin。
例如:
autoRepair: enabled: true
secretsEncryption
如果您想加密 Secret 而无需外部 KMS(密钥管理服务)或任何其他依赖项,请填写此部分。否则,请移除此部分或将其注释掉。
不可变
secretsEncryption.mode
对于 Secret 加密是必需的
不可变
字符串
可能的值:“GeneratedKey”
预填充值:“GeneratedKey”
Secret 加密模式。
secretsEncryption: mode: "GeneratedKey"
secretsEncryption.generatedKey.keyVersion
对于 Secret 加密是必需的
可变
整数
预填充值:1
您选择用于密钥版本号的整数。我们建议您从 1 开始。
示例:
secretsEncryption:
generatedKey:
keyVersion: 1
secretsEncryption.generatedKey.disabled
对于 Secret 加密是可选的
可变
布尔值
预填充值:false
将此值设置为 true 以停用 Secret 加密。否则,请将其设置为 false。
示例:
secretsEncryption:
generatedKey:
disabled: false
osImageType
可选
不可变
字符串
可能的值:“ubuntu_containerd”或“cos”
预填充值:“ubuntu_containerd”
默认值:“ubuntu_containerd”
要在管理员集群节点上运行的操作系统映像的类型。
例如:
osImageType: "cos"