Dokumen ini menunjukkan cara membuat workstation admin untuk GKE di VMware, yang dapat Anda gunakan untuk membuat cluster.
Langkah-langkah dalam dokumen ini menggunakan alat command line gkeadm, yang
tersedia untuk Linux 64-bit, Windows 10, Windows Server 2019, serta macOS 10.15
dan yang lebih tinggi.
Petunjuk yang diberikan di sini sudah lengkap. Untuk pengantar yang lebih singkat mengenai cara membuat workstation admin, lihat Membuat workstation admin (panduan memulai).
Sebelum memulai
Ketahui alamat server vCenter Anda.
Ketahui jalur sertifikasi CA Anda.
Buat satu atau beberapa project Google Cloud seperti yang dijelaskan dalam artikel Menggunakan beberapa project Google Cloud.
Merencanakan akun layanan
Saat menggunakan gkeadm untuk membuat workstation admin, Anda memiliki opsi untuk mengizinkan gkeadm membuat beberapa akun layanan dan kunci untuk Anda. Dalam hal
ini, gkeadm juga memberikan peran Identity and Access Management yang sesuai ke akun
layanan.
Sebagai alternatif, Anda dapat membuat akun layanan dan kunci secara manual. Dalam hal ini, Anda harus memberikan peran IAM secara manual ke akun layanan.
Membuat akun layanan secara manual akan memberi Anda lebih banyak fleksibilitas daripada meminta gkeadm membuatnya untuk Anda:
Semua akun layanan yang dibuat secara otomatis memiliki project Google Cloud induk yang sama dengan akun layanan akses komponen Anda. Saat membuat akun layanan secara manual, Anda dapat memilih project Google Cloud induk.
Semua akun layanan yang dibuat secara otomatis diberi peran IAM pada project Google Cloud induk dari akun layanan akses komponen Anda. Tidak masalah jika itu adalah satu-satunya project Google Cloud yang dikaitkan dengan cluster Anda. Namun, jika ingin mengaitkan cluster dengan beberapa project Google Cloud, Anda memerlukan fleksibilitas untuk memberikan peran ke akun layanan pada project Google Cloud pilihan Anda.
Jika Anda memutuskan untuk membuat akun layanan sendiri, ikuti petunjuk di Akun dan kunci layanan.
Terlepas dari apakah Anda meminta gkeadm untuk membuat akun layanan
secara otomatis, ada satu akun layanan yang harus dibuat
secara manual: akun layanan akses komponen. Untuk mengetahui petunjuk cara membuat akun layanan akses komponen dan memberikan peran IAM yang sesuai, lihat Akun layanan akses komponen.
Membuat template untuk file konfigurasi
Download gkeadm ke direktori Anda saat ini.
Membuat template:
./gkeadm create config
Perintah sebelumnya membuat file ini dalam direktori Anda saat ini:
credential.yamladmin-ws-config.yaml
Mengisi credential.yaml
Di credential.yaml, isi nama pengguna dan sandi vCenter Anda. Contoh:
kind: CredentialFile items: - name: vCenter username: "my-account-name" password: "AadmpqGPqq!a"
Mengisi admin-ws-config.yaml
Beberapa kolom di admin-ws-config.yaml sudah diisi dengan nilai default atau yang dihasilkan. Anda dapat mempertahankan nilai terisi atau membuat perubahan sesuai
keinginan Anda.
Kolom yang harus diisi
Isi kolom yang wajib diisi berikut. Untuk mengetahui informasi tentang cara mengisi kolom, File konfigurasi workstation admin.
gcp:
componentAccessServiceAccountKeyPath: "Fill in"
vCenter:
credentials:
address: "Fill in"
datacenter: "Fill in"
datastore: "Fill in"
cluster: "Fill in"
network: "Fill in"
resourcePool: "Fill in"
caCertPath: "Fill in"
Jika Anda ingin membuat workstation admin di dalam folder VM vSphere, isi kolom vCenter.folder:
vCenter: folder: "Fill in"
Jika workstation admin Anda akan berada di belakang server proxy, isi kolom proxyURL:
adminWorkstation: proxyURL: "Fill in"
Jika Anda ingin workstation admin mendapatkan alamat IP-nya dari server DHCP,
tetapkan ipAllocationMode ke "dhcp", lalu hapus bagian hostconfig:
adminWorkstation:
network:
ipAllocationMode: "dhcp"
Jika Anda ingin menentukan alamat IP statis untuk workstation admin, tetapkan
ipAllocationMode ke "static", dan isi
bagian
hostconfig:
adminWorkstation:
network:
ipAllocationMode: "static"
hostconfig:
ip: "Fill in"
gateway: "Fill in"
netmask: "Fill in"
dns:
- "Fill in"
Masuk
Akun Google yang ditetapkan sebagai properti account
SDK
disebut akun SDK. Alat command line gkeadm menggunakan akun SDK
Anda untuk mendownload OVA workstation admin dan mengaktifkan layanan di
project Google Cloud Anda.
Jika Anda memilih agar gkeadm otomatis membuat akun layanan untuk Anda,
gkeadm juga akan menggunakan akun SDK Anda untuk membuat akun dan kunci layanan,
serta memberikan peran ke akun layanan.
Jadi, penting bagi Anda untuk menetapkan properti account SDK sebelum menjalankan
gkeadm untuk membuat workstation admin.
Login dengan Akun Google apa saja. Tindakan ini menetapkan properti account SDK Anda:
gcloud auth login
Pastikan properti account SDK Anda ditetapkan dengan benar:
gcloud config list
Output menunjukkan nilai properti account SDK Anda.
Contoh:
[core] account = my-name@google.com disable_usage_reporting = False Your active configuration is: [default]
Memberikan peran ke akun SDK Anda
Akun SDK Anda harus memiliki peran IAM berikut pada project Google Cloud induk dari akun layanan akses komponen Anda.
Hal ini dilakukan agar gkeadm dapat mengaktifkan layanan di project Google Cloud.
serviceUsage.serviceUsageAdmin
Jika memilih agar gkeadm otomatis membuat akun layanan untuk Anda,
akun SDK juga harus memiliki peran berikut pada project induk
akun layanan akses komponen Anda. Hal ini dilakukan agar gkeadm dapat
membuat akun layanan dan kunci.
resourcemanager.projectIamAdminiam.serviceAccountCreatoriam.serviceAccountKeyAdmin
Untuk memberikan peran pada project Google Cloud, Anda harus memiliki izin tertentu di project Google Cloud. Untuk mengetahui detailnya, lihat Memberikan, mengubah, dan mencabut akses ke resource.
Jika memiliki izin yang diperlukan, Anda dapat memberikan sendiri peran tersebut. Jika tidak, orang lain di organisasi Anda harus memberikan peran tersebut untuk Anda.
Untuk memberikan peran yang diperlukan ke akun SDK Anda:
Linux dan macOS
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:ACCOUNT" \
--role="roles/serviceusage.serviceUsageAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^
--member="user:ACCOUNT" ^
--role="roles/serviceusage.serviceUsageAdmin"
Ganti kode berikut:
PROJECT_ID: ID project Google Cloud induk dari akun layanan akses komponen AndaACCOUNT: akun SDK Anda
Untuk memberikan peran tambahan jika Anda ingin gkeadm membuat akun layanan secara otomatis"
Linux dan macOS
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:ACCOUNT" \
--role="roles/resourcemanager.projectIamAdmin"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:ACCOUNT" \
--role="roles/iam.serviceAccountCreator"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:ACCOUNT" \
--role="roles/iam.serviceAccountKeyAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^
--member="user:ACCOUNT" ^
--role="roles/resourcemanager.projectIamAdmin"
gcloud projects add-iam-policy-binding PROJECT_ID ^
--member="user:ACCOUNT" ^
--role="roles/iam.serviceAccountCreator"
gcloud projects add-iam-policy-binding PROJECT_ID ^
--member="user:ACCOUNT" ^
--role="roles/iam.serviceAccountKeyAdmin"
Ganti kode berikut:
PROJECT_ID: ID project induk dari akun layanan akses komponen AndaACCOUNT: akun SDK Anda
Membuat workstation admin
Masukkan perintah ini untuk membuat workstation admin. Jika Anda ingin
gkeadm membuat akun layanan untuk Anda, sertakan
flag --auto-create-service-accounts. Jika Anda ingin membuat akun layanan sendiri secara manual, hilangkan flag tersebut.
./gkeadm create admin-workstation [--auto-create-service-accounts]
Output tersebut memberikan informasi mendetail tentang pembuatan workstation admin Anda:
... Getting ... service account... ... ******************************************************************** Admin workstation is ready to use. Admin workstation information saved to /usr/local/google/home/me/my-admin-workstation This file is required for future upgrades SSH into the admin workstation with the following command: ssh -i /usr/local/google/home/me/.ssh/gke-admin-workstation ubuntu@172.16.5.1 ********************************************************************
Mendapatkan koneksi SSH ke workstation admin
Di dekat akhir output sebelumnya, terdapat perintah yang dapat Anda gunakan untuk mendapatkan koneksi SSH ke workstation admin. Masukkan perintah itu sekarang. Contoh:
ssh -i /usr/local/google/home/me/.ssh/gke-admin-workstation ubuntu@172.16.5.1
Cantumkan file di workstation admin:
ls -1
Dalam output, Anda dapat melihat dua file konfigurasi cluster, file sertifikat CA, dan file kunci JSON untuk akun layanan akses komponen Anda. Jika gkeadm membuat akun layanan untuk Anda, Anda juga dapat melihat file kunci JSON untuk akun layanan tersebut. Contoh:
admin-cluster.yaml user-cluster.yaml vcenter-ca-cert.pem component-access-key.json
Pastikan gkeadm mengaktifkan akun layanan akses komponen Anda di
workstation admin:
gcloud config get-value account
Menyalin file kunci JSON ke workstation admin Anda
Sebelum membuat cluster, file kunci JSON untuk akun layanan Anda harus berada di workstation admin di direktori utama.
Kunci untuk akun layanan akses komponen Anda sudah ada di workstation admin.
Jika Anda menyertakan flag --auto-create-service-accounts saat menjalankan gkeadm create admin-workstation, kunci untuk akun layanan berikut sudah ada di workstation admin di direktori utama. Jika tidak,
Anda harus menyalin kunci secara manual ke direktori utama workstation admin:
- Hubungkan akun layanan
- Akun layanan pemantauan logging
Jika membuat salah satu akun layanan berikut, Anda harus menyalin kunci untuk akun layanan tersebut secara manual ke direktori utama workstation admin:
- Akun layanan pengukuran penggunaan
- Akun layanan logging audit
- Akun layanan otorisasi biner
Memulihkan workstation admin dari file cadangan
Saat Anda mengupgrade workstation admin, perintah upgrade gkeadm juga akan menyimpan file cadangan secara default. Nantinya, jika Anda tidak lagi memiliki workstation admin, atau jika Anda kehilangan beberapa file di workstation admin yang telah diupgrade, Anda dapat menggunakan file cadangan ini untuk membuat workstation admin yang dipulihkan ke keadaan semula segera setelah upgrade.
Untuk membuat workstation admin dari file cadangan, jalankan perintah ini:
gkeadm create admin-workstation --restore-from-backup ADMIN_WORKSTATION_NAME-backup.tar.gz
Ganti ADMIN_WORKSTATION_NAME dengan nama workstation admin.