本页面介绍了 GKE on VMware 用户集群配置文件中的字段。
生成配置文件模板
如果您使用 gkeadm
创建管理员工作站,则 gkeadm
会为您的用户集群配置文件生成一个模板。此外,gkeadm
还为您填写了一些字段。
如果您未使用 gkeadm
创建管理员工作站,则可以使用 gkectl
为用户集群配置文件生成模板。
如需为用户集群配置文件生成模板,请运行以下命令:
gkectl create-config cluster --config=OUTPUT_FILENAME --gke-on-prem-version=VERSION
替换以下内容:
OUTPUT_FILENAME
:您为生成的模板选择的路径。如果省略此标志,则 gkectl
将该文件命名为 user-cluster.yaml
,并将其放在当前目录中。
VERSION
:所需的版本号。例如:gkectl create-config cluster --gke-on-prem-version=1.10.0-gke.8
。
模板
填写配置文件
在配置文件中,按照以下部分的说明输入字段值。
name
必需
字符串
您为用户集群选择的名称。该名称必须:
- 最多包含 40 个字符
- 只能包含小写字母数字字符或连字符 (
-
) - 以字母字符开头
- 以字母数字字符结尾
示例:
name: "my-user-cluster"
gkeOnPremVersion
必需
可变
字符串
您的用户集群的 GKE on VMware 版本。
示例:
gkeOnPremVersion: "1.14.0-gke.1"
preparedSecrets.namespace
如果您想使用准备好的凭据,请填写此字段。否则,请移除此字段或将其注释掉。
可选
不可变
字符串
可能的值:以“gke-onprem-secrets-”开头的字符串
管理员集群中 Kubernetes 命名空间的名称,其中为用户集群保留了准备好的 Secret。
示例:
preparedSecrets: namespace: "gke-onprem-secrets-alice"
enableControlplaneV2
可选
不可变
布尔值
预填充值:true
默认值:true
如果您要创建启用了 Controlplane V2 的用户集群,请将此字段设置为 true
。否则,请将其设置为 false
。
示例:
enableControlplaneV2: true
vCenter
本部分包含有关您的 vSphere 环境以及与 vCenter Server 的连接的信息。
如果您希望本部分中的某字段与您为管理员集群指定的字段相同,请移除该字段或将其注释掉。
如果您希望某字段与您为管理员集群指定的字段不同,请在这里填写该字段。您在 vCenter
部分中填写的任何字段都将覆盖管理员集群配置文件中的相应字段。
vCenter.address
可选
不可变
字符串
默认值:继承自管理员集群
要用于用户集群的 vCenter Server 实例的 IP 地址或主机名。
如需了解详情,请参阅查找 vCenter 服务器地址。
如果您指定的值与管理员集群使用的 vCenter Server 实例不同,则必须启用 Controlplane V2
,并且您必须提供 network.vCenter.networkName
的值以及 vCenter
部分中所有必填字段的值。
示例:
vCenter: address: "203.0.113.101"
vCenter: address: "my-vcenter-server-2.my-domain.example"
vCenter.datacenter
可选
不可变
字符串
默认值:继承自管理员集群
vSphere 数据中心的相对路径。
如果为此字段指定了值,则还必须指定:
vCenter.networkName
vCenter.datastore
或vCenter.storagePolicyName
。vCenter.cluster
或vCenter.resourcePool
。
您指定的值相对于名为 /
的根文件夹。
如果数据中心位于根文件夹中,则该值是数据中心的名称。
示例:
vCenter: datacenter: "my-uc-data-center"
否则,该值是相对路径,其中包含一个或多个文件夹以及数据中心的名称。
示例:
vCenter: datacenter: "data-centers/data-center-2"
vCenter.cluster
可选
不可变
字符串
默认值:继承自管理员集群
vSphere 集群的相对路径,表示您的用户集群虚拟机将在其中运行的 ESXi 主机。此 vSphere 集群代表 vCenter 数据中心内的物理 ESXi 主机的一部分。
如果为此字段指定了值,则还必须指定:
vCenter.networkName
vCenter.datacenter
vCenter.datastore
或vCenter.storagePolicyName
。
您指定的值相对于 /.../DATA_CENTER/vm/
。
如果 vSphere 集群位于 /.../DATA_CENTER/vm/
文件夹中,则该值是 vSphere 集群的名称
示例:
vCenter: cluster: "my-uc-vsphere-cluster"
否则,该值是相对路径,其中包含一个或多个文件夹以及 vSphere 集群的名称。
示例:
vCenter: cluster: "clusters/vsphere-cluster-2"
vCenter.resourcePool
可选
不可变
字符串
默认值:继承自管理员集群
您的用户集群虚拟机的 vCenter 资源池。
如果您要使用默认资源池,请将此字段设置为 VSPHERE_CLUSTER/Resources
。
示例:
vCenter: resourcePool: "my-uc-vsphere-cluster/Resources"
您指定的值相对于 /.../DATA_CENTER/host/.../VSPHERE_CLUSTER/Resources/
如果资源池是 /.../DATA_CENTER/host/.../VSPHERE_CLUSTER/Resources/
的直接子级,则该值是资源池的名称。
示例:
vCenter: resourcePool: "my-uc-resource-pool"
否则,该值是相对路径,其中包含两个或更多个资源池。
示例:
vCenter: resourcePool: "uc-resource-pool-1/uc-resource-pool-2"
vCenter.datastore
可选
不可变
字符串
默认值:继承自管理员集群
您的用户集群的 vSphere 数据存储区的名称。
您指定的值必须是名称,而不是路径。请勿在值中包含任何文件夹。
示例:
vCenter: datastore: "my-uc-datastore"
如果为此字段指定了值,则请勿为 vCenter.storagePolicyName
指定值。
vCenter.storagePolicyName
可选
字符串
集群节点的虚拟机存储政策的名称。
您还可以为特定节点池中的节点指定虚拟机存储政策。但是,此处指定的政策适用于没有自己的政策的任何节点池。
如需了解详情,请参阅配置存储政策。
如果为此字段指定了值,则请勿为 vCenter.datastore
指定值。
vCenter.caCertPath
可选
可变
字符串
默认值:继承自管理员集群
您的 vCenter 服务器的 CA 证书的路径。 如需了解详情,请参阅获取 vCenter CA 证书。
示例:
vCenter: caCertPath: "/usr/local/google/home/me/certs/vcenter-ca-cert-2.pem"
如需了解如何更新此字段,请参阅更新 vCenter 证书引用。
vCenter.credentials.fileRef.path
可选
可变
字符串
默认值:继承自管理员集群
如果您为 preparedSecrets.namespace 提供了值,则请不要为此字段提供值。而是为 vCenter.credentials.secretRef.version 提供值。
凭据配置文件的路径,该文件包含您的 vCenter 用户账号的用户名和密码。用户账号必须具有 Administrator 角色或同等特权。请参阅 vSphere 要求。
您可以使用 gkectl update credentials
在现有集群中更新此字段。如需了解详情,请参阅轮替服务账号密钥。
如需了解如何更新 vCenter 凭据,请参阅更新集群凭据。
示例:
vCenter: credentials: fileRef: path: "my-config-directory/my-credentials-2.yaml"
vCenter.credentials.fileRef.entry
可选
可变
字符串
默认值:继承自管理员集群
凭据配置文件中的凭据块名称,该文件包含您的 vCenter 用户账号的用户名和密码。
示例:
vCenter: credentials: fileRef: entry: "vcenter-credentials-2"
vCenter.credentials.secretRef.version
如果您为 preparedSecrets.namespace 提供了值,则为必需
字符串
可能的值:整数字符串或“latest”
默认值:“latest”
如果您为 preparedSecrets.namespace 提供了值,请填写此字段。否则,请移除此字段或将其注释掉。
管理员集群中准备好的 Secret 的版本,其中包含您要用于用户集群的 vCenter Server 实例的用户名和密码。
示例:
vCenter: credentials: secretRef: version: "1"
vCenter.folder
可选
不可变
字符串
默认值:继承自管理员集群
您已创建的 vSphere 文件夹的相对路径。此文件夹用于存放用户集群虚拟机。
如果未指定值,则用户集群虚拟机将放在 /.../DATA_CENTER/vm/
中。
如果指定了值,则它相对于 /.../DATA_CENTER/vm/
。
该值可以是文件夹的名称。
示例:
vCenter: folder: "my-uc-folder"
或者,该值可以是相对路径,其中包含多个文件夹。
示例:
vCenter: folder: "folders/folder-2"
componentAccessServiceAccountKeyPath
可选
可变
字符串
默认值:继承自管理员集群
组件访问服务账号的 JSON 密钥文件的路径。
示例:
componentAccessServiceAccountKeyPath: "my-key-folder/uc-access-key.json"
componentAccessServiceAccountKey.secretRef.version
可选
可变
字符串
可能的值:整数字符串或“latest”
默认值:“latest”
管理员集群中准备好的 Secret 的版本,其中包含组件访问服务账号的 JSON 密钥。
示例:
componentAccessServiceAccountKey: secretRef: version: "1"
privateRegistry
仅当管理员集群使用私有注册表并且您希望用户集群使用其他私有注册表时,才填写此部分。否则,请移除此部分或将其注释掉。
如果您希望配置一些与管理员集群设置不同的设置:
用户名、密码、证书不同
(仅适用于控制平面 V2)不同的私有注册表地址
填写此处的 privateRegistry
字段。在集群创建和更新期间,系统会获取新设置。
privateRegistry.address
对于私有注册表是必需的
不可变
字符串
默认值:继承自管理员集群
运行您的私有 Docker 注册表的机器的 IP 地址或 FQDN(完全限定域名)。
示例:
privateRegistry: address: "203.0.113.10"
privateRegistry: address: "fqdn.example.com"
privateRegistry.credentials.fileRef.path
对于私有注册表是必需的
可变
字符串
默认值:继承自管理员集群
如果您打算将准备好的 Secret 用于私有注册表,请勿为此字段提供值。而是为 privateRegistry.credentials.secretRef.version 提供值。
凭据配置文件的路径,该文件包含 GKE on VMware 可用于访问您的私有 Docker 注册表的账号的用户名和密码。
示例:
privateRegistry: credentials: fileRef: path: "my-config-folder/admin-creds.yaml"
privateRegistry.credentials.fileRef.entry
对于私有注册表是必需的
可变
字符串
默认值:继承自管理员集群
凭据配置文件中的凭据块名称,该文件包含您的私有 Docker 注册表账号的用户名和密码。
privateRegistry: credentials: fileRef: entry: "private-registry-creds"
privateRegistry.credentials.secretRef.version
如果您想要将准备好的 Secret 用于私有注册表,则为必需
字符串
可能的值:整数字符串或“latest”
默认值:“latest”
如果您为 preparedSecrets.namespace 提供了值,并且想要将准备好的 Secret 用于私有注册表,请填写此字段。否则,请移除此字段或将其注释掉。
管理员集群中准备好的 Secret 的版本,其中包含您要用于用户集群的 vCenter Server 实例的用户名和密码。
示例:
privateRegistry: credentials: secretRef: version: "1"
privateRegistry.caCertPath
对于私有注册表是必需的
可变
字符串
默认值:继承自管理员集群
当 Docker 从您的私有注册表中拉取映像时,该注册表必须通过提供证书来证明其身份。注册表的证书由证书授权机构 (CA) 签名。Docker 使用 CA 的证书来验证该注册表的证书。
将此字段设置为 CA 证书的路径。
示例:
privateRegistry: caCertPath: "my-cert-folder/registry-ca.crt"
network
本部分包含有关用户集群网络的信息。
network.hostConfig
本部分包含有关集群节点虚拟机使用的 NTP 服务器、DNS 服务器和 DNS 搜索网域的信息。如果您使用的是 Seesaw 负载均衡器,则此信息也适用于 Seesaw 虚拟机。
如果符合以下一个或多个条件,则此部分是必需的:
- 将
network.ipMode.type
设置为static
enableControlplaneV2
设置为true
或允许默认为true
。- 将
loadBalancer.kind
设置为"Seesaw"
network.hostConfig.dnsServers
必需
不可变
字符串数组。
数组中的元素数量上限为 3。
虚拟机的 DNS 服务器的地址。
示例:
network: hostConfig: dnsServers: - "172.16.255.1" - "172.16.255.2"
network.hostConfig.ntpServers
必需
不可变
字符串数组
供虚拟机使用的时间服务器地址。
示例:
network: hostConfig: ntpServers: - "216.239.35.0"
network.hostConfig.searchDomainsForDNS
可选
不可变
字符串数组
供主机使用的 DNS 搜索域。这些网域会用作网域搜索列表的一部分。
示例:
network: hostConfig: searchDomainsForDNS: - "my.local.com"
network.ipMode.type
必需
不可变
字符串
预填充值:“dhcp”
默认值:“dhcp”
如果您希望集群节点从 DHCP 服务器获取其 IP 地址,请将此设置为 "dhcp"
。如果您希望集群节点从您提供的列表中选择静态 IP 地址,请将此设置为 "static"
。
示例:
network: ipMode: type: "static"
network.ipMode.ipBlockFilePath
必需(如果 network.ipMode.type
= static
)
不可变
字符串
集群的 IP 地址块文件的路径。
示例:
network: ipMode: ipBlockFilePath: "/my-config-folder/user-cluster-ipblock.yaml"
network.serviceCIDR
必需
不可变
字符串
预填充值:“10.96.0.0/20”
用于集群中 Service 的 IP 地址范围(采用 CIDR 格式)。范围必须至少为 /24。
示例:
network: serviceCIDR: "10.96.0.0/20"
network.podCIDR
必需
不可变
字符串
预填充值:“192.168.0.0/16”
默认值:“192.168.0.0/16”
用于集群中 Pod 的 IP 地址范围(采用 CIDR 格式)。范围必须至少为 /18。
示例:
network: podCIDR: "192.168.0.0/16"
Service 范围不得与 Pod 范围重叠。
Service 和 pod 范围不得与您要从集群内部访问的任何集群外部地址重叠。
例如,假设您的 Service 范围为 10.96.232.0/24,您的 Pod 范围为 192.168.0.0/16。从 Pod 发送到上述任一范围中的地址的任何流量都将被视为集群内的流量,并且不会到达集群外部的任何目的地。
具体来说,Service 和 pod 范围不得与以下各项重叠:
任何集群中节点的 IP 地址
负载均衡器使用的 IP 地址
控制平面节点和负载均衡器使用的 VIP 地址
vCenter 服务器、DNS 服务器和 NTP 服务器的 IP 地址
我们建议您的 Service 和 Pod 范围位于 RFC 1918 地址空间中。
以下是建议使用 RFC 1918 地址的一个原因。假设您的 Pod 或 Service 范围包含外部 IP 地址。从 Pod 发送到其中一个外部地址的任何流量都将被视为集群内流量,并且不会到达外部目标。
network.vCenter.networkName
如果 vCenter.address
与您用于管理员集群的 vCenter 地址不同,则为必填字段。
不可变
字符串
您的用户集群节点所在的 vSphere 网络的名称。
示例:
network: vCenter: networkName: "my-network"
如果名称中包含特殊字符,您必须对其使用转义序列。
特殊字符 | 转义序列 |
---|---|
正斜杠 (/ ) |
%2f |
反斜杠 (\ ) |
%5c |
百分号 (% ) |
%25 |
如果网络名称在数据中心内不是唯一的,则可以指定完整路径。
示例:
network: vCenter: networkName: "/my-uc-datacenter/network/my-network"
network.additionalNodeInterfaces
如果将 multipleNetworkInterfaces
设置为 true
,请填写此部分。
否则,请移除此部分或将其注释掉。
不可更改
对象数组,其中每个对象都描述一个可用于全部或部分集群节点的网络接口。
network.additionalNodeInterfaces[i].networkName
必需(如果 multipleNetworkInterfaces
= true
)
不可变
字符串
此额外的节点接口将连接到的 vSphere 网络的名称。
示例:
network: additionalNodeInterfaces: - networkName: "my-node-interface-1"
network.additionalNodeInterfaces[i].type
必需(如果 multipleNetworkInterfaces
= true
)
不可变
字符串
示例:
network: additionalNodeInterfaces: - name: "my-node-interface-1" type: "static"
network.additionalNodeInterfaces[i].ipBlockFilePath
必需(如果 network.additionalNodeInterfaces[i].type
= static
)
不可变
字符串
IP 地址块文件的路径,该文件包含在具有此网络接口的节点上用于此网络接口的 IP 地址。
示例:
network: additionalNodeInterfaces: - name: "my-node-interface-1" type: "static" ipBlockFilePath: "my-ipblock-file-1"
network.controlPlaneIPBlock
如果将 enableControlplaneV2
设置为 true
,请填写此部分。否则,请移除此部分或将其注释掉。
network.controlPlaneIPBlock.netmask
必需(如果 enableControlplaneV2
= true
)
不可变
字符串
示例:
network: controlPlaneIPBlock: netmask: "255.255.255.0"
network.controlPlaneIPBlock.gateway
必需(如果 enableControlplaneV2
= true
)
不可变
字符串
示例:
network: controlPlaneIPBlock: gateway: "172.16.21.1"
network.controlPlaneIPBlock.ips
必需(如果 enableControlplaneV2
= true
)
不可变
对象数组,其中每个对象都具有 IP 地址和可选主机名。
对于高可用性 (HA) 用户集群,该数组有三个元素。对于非 HA 用户集群,该数组有一个元素。
示例:
network: controlPlaneIPBlock: ips: - ip: "172.16.21.6" hostname: "cp-vm-1" - ip: "172.16.21.7" hostname: "cp-vm-2" - ip: "172.16.21.8" hostname: "cp-vm-3"
loadBalancer
本部分包含有关用户集群的负载均衡器的信息。
loadBalancer.vips.controlPlaneVIP
必需
不可变
字符串
您已选择在负载均衡器上为用户集群的 Kubernetes API 服务器配置的 IP 地址。
示例:
loadBalancer: vips: controlplaneVIP: "203.0.113.3"
loadBalancer.vips.ingressVIP
必需
不可变
字符串
您选择在负载均衡器上为入站流量代理配置的 IP 地址。
示例:
loadBalancer: vips: ingressVIP: "203.0.113.4"
loadBalancer.kind
必需
不可变
字符串
预填充值:“MetalLB”
请将此设置为 "ManualLB"
、"F5BigIP"
、"Seesaw"
或 "MetalLB"
。
示例:
loadBalancer: kind: "MetalLB"
loadBalancer.manualLB
如果将 loadbalancer.kind
设置为 "manualLB"
,请填写此部分。否则,请移除此部分或将其注释掉。
loadBalancer.manualLB.ingressHTTPNodePort
必需(如果 loadBalancer.kind
= ManualLB
)
不可变
整数
预填充值:30243
用户集群中的入站流量代理由 LoadBalancer
类型的 Kubernetes Service 公开。该 Service 具有用于 HTTP 的 ServicePort。您必须为 HTTP ServicePort 选择 nodePort
值。
将此字段设置为 nodePort
值。
示例:
loadBalancer: manualLB: ingressHTTPNodePort: 32527
loadBalancer.manualLB.ingressHTTPSNodePort
必需(如果 loadBalancer.kind
= ManualLB
)
不可变
整数
预填充值:30879
用户集群中的入站流量代理由 LoadBalancer 类型的 Service 公开。该 Service 具有用于 HTTPS 的 ServicePort。您必须为 HTTPS ServicePort 选择 nodePort
值。
将此字段设置为 nodePort
值。
示例:
loadBalancer: manualLB: ingressHTTPSNodePort: 30139
loadBalancer.manualLB.controlPlaneNodePort
必需(如果 loadBalancer.kind
= ManualLB
且 enableControlplaneV2
= false
)
不可变
整数
预填充值:30562
在管理员集群中运行并由 LoadBalancer
类型的 Service 公开的用户集群的 Kubernetes API 服务器。您必须为 Service 选择 nodePort
值。
将此字段设置为 nodePort
值。
示例:
loadBalancer: manualLB: controlPlaneNodePort: 30968
loadBalancer.manualLB.konnectivityServerNodePort
必需(如果 loadBalancer.kind
= ManualLB
且 enableControlplaneV2
= false
)
不可变
整数
预填充值:30563
使用 kubeception 的用户集群的 Kubernetes API 服务器在管理员集群中运行,并由 LoadBalancer
类型的 Service 公开。Konnectivity 服务器会使用不同的 nodePort
值重复使用此服务。您必须为 Konnectivity 服务器选择 nodePort
值。
将此字段设置为 Konnectivity 服务器的 nodePort
值。
示例:
loadBalancer: manualLB: konnectivityServerNodePort: 30969
loadBalancer.f5BigIP
如果将 loadbalancer.kind
设置为 "f5BigIP"
,请填写此部分。否则,请移除此部分或将其注释掉。
loadBalancer.f5BigIP.address
如果 loadBalancer.kind
= "f5BigIP"
,则为必需
字符串
F5 BIG-IP 负载均衡器的地址。
示例:
loadBalancer: f5BigIP: address: "203.0.113.2"
loadBalancer.f5BigIP.credentials.fileRef.path
如果 loadBalancer.kind
= "f5BigIP"
,则为必需
字符串
凭据文件的路径,该文件包含 GKE on VMware 可用于连接到 F5 BIG-IP 负载均衡器的帐号的用户名和密码。
用户帐号必须具有用户角色,并且拥有足够权限设置和管理负载均衡器。管理员角色或资源管理员角色足够。
如需了解如何更新 F5 BIG-IP 凭据,请参阅更新集群凭据。
示例:
loadBalancer: f5BigIP: credentials: fileRef: path: ""my-config-folder/user-creds.yaml"
loadBalancer.f5BigIP.credentials.fileRef.entry
如果 loadBalancer.kind
= "f5BigIP"
,则为必需
字符串
凭据配置文件中的凭据块名称,该文件包含 F5 BIG-IP 账号的用户名和密码。
示例:
loadBalancer: f5BigIP: credentials: fileRef: entry: "f5-creds"
loadBalancer.f5BigIP.partition
如果 loadBalancer.kind
= "f5BigIP"
,则为必需
字符串
您为用户集群创建的 BIG-IP 分区的名称。
示例:
loadBalancer: f5BigIP: partition: "my-f5-user-partition"
loadBalancer.f5BigIP.snatPoolName
如果 loadBalancer.kind
= "f5BigIP"
并且您使用 SNAT,则为必需
字符串
SNAT 池的名称。
示例:
loadBalancer: f5BigIP: snatPoolName: "my-snat-pool"
loadBalancer.seesaw
如果将 loadbalancer.kind
设置为 "Seesaw"
,请填写此部分。否则,请移除此部分或将其注释掉。
注意以下限制:
- 如果此用户集群由高可用性管理员集群管理,则此用户集群无法使用 Seesaw 负载平衡器。
- 已启用 Controlplane V2 的用户集群无法使用 Seesaw 负载均衡器。
如需了解如何设置 Seesaw 负载均衡器,请参阅 Seesaw 负载均衡器快速入门和使用 Seesaw 进行捆绑式负载均衡。
loadBalancer.seesaw.ipBlockFilePath
必需(如果 loadBalancer.kind
= Seesaw
)
不可变
字符串
您的 Seesaw 虚拟机的 IP 地址块文件的路径。
示例:
loadBalancer: seesaw: ipBlockFilePath: "config-folder/user-seesaw-ipblock.yaml"
loadBalancer.seesaw.vrid
必需(如果 loadBalancer.kind
= Seesaw
)
不可变
整数
可能的值:1 - 255
预填充值:0
您的 Seesaw 虚拟机的虚拟路由器标识符。此标识符(您选择的整数)在 VLAN 中必须是唯一的。
示例:
loadBalancer: seesaw: vrid: 125
loadBalancer.seesaw.masterIP
必需(如果 loadBalancer.kind
= Seesaw
)
不可变
字符串
主 Seesaw 虚拟机上配置的虚拟 IP 地址。
示例:
loadBalancer: seesaw: masterIP: 172.16.20.21
loadBalancer.seesaw.cpus
必需(如果 loadBalancer.kind
= Seesaw
)
可变
整数
预填充值:4
每个 Seesaw 虚拟机的 CPU 数量。
示例:
loadBalancer: seesaw: cpus: 8
loadBalancer.seesaw.memoryMB
必需(如果 loadBalancer.kind
= Seesaw
)
可变
整数
预填充值:3072
每个 Seesaw 虚拟机的内存大小(以 MiB 为单位)。
示例:
loadBalancer: seesaw: memoryMB: 8192
注意:此字段指定内存兆比字节 (MiB) 数,而不是兆字节 (MB) 数。1 MiB 为 2^20 = 1048576 字节。1 MB 为 10^6 = 100 万字节。
loadBalancer.seesaw.vCenter.networkName
可选
不可变
字符串
默认值:与集群节点相同
包含 Seesaw 虚拟机的 vCenter 网络的名称。
示例:
loadBalancer: seesaw: vCenter: networkName: "my-seesaw-network"
loadBalancer.seesaw.enableHA
可选
不可变
相关(如果 loadBalancer.kind
= Seesaw
)
布尔值
预填充值:false
默认值:false
如果要创建高可用性 (HA) Seesaw 负载均衡器,请将此值设置为 true
。否则,请将其设置为 false
。HA Seesaw 负载均衡器使用(主、备份)对虚拟机。
示例:
loadBalancer: seesaw: enableHA: true
loadBalancer.seesaw.disableVRRPMAC
可选
不可变
相关(如果 loadBalancer.kind
= Seesaw
)
布尔值
预填充值:true
默认值:true
如果将此值设置为 true
,则 Seesaw 负载均衡器不会使用 MAC 学习进行故障切换,而是会使用免费 ARP。如果将其设置为 false
,则 Seesaw 负载均衡器会使用 MAC 学习。我们建议您将此值设置为 true
。如果您使用的是 vSphere 7 或更高版本,并且具有高可用性 Seesaw 负载均衡器,则必须将此值设置为 true
。
示例:
loadBalancer: seesaw: disableVRRPMAC: true
loadBalancer.metalLB
如果将 loadbalancer.kind
设置为 "MetalLB"
,请填写此部分。否则,请移除此部分或将其注释掉。
如需了解详情,请参阅使用 MetalLB 进行捆绑式负载均衡。
loadBalancer.metalLB.addressPools
必需(如果 loadBalancer.kind
=“MetalLB”)
可变
对象数组,每个对象都保存有关 MetalLB 负载均衡器要使用的地址池的信息。
loadBalancer.metalLB.addressPools[i].name
必需(如果 loadBalancer.kind
= MetalLB
)
可变
字符串
您为地址池选择的名称。
示例:
loadBalancer: metalLB: addressPools: - name: "my-address-pool-1"
loadBalancer.metalLB.addressPools[i].addresses
必需(如果 loadBalancer.kind
= MetalLB
)
可变
字符串数组,其中每个字符串都是一个地址范围。每个范围都必须采用 CIDR 格式或带连字符的范围格式。
示例:
loadBalancer: metalLB: addressPools: - name: "my-address-pool-1" addresses: - "192.0.2.0/26" - "192.0.2.64-192.0.2.72"
loadBalancer.metalLB.addressPools[i].avoidBuggyIPs
可选
相关(如果 loadBalancer.kind
= MetalLB
)
可变
布尔值
预填充值:false
默认值:false
如果将该字段设置为 true
,则 MetalLB 控制器不会将以 .0 或 .255 结尾的 IP 地址分配给 Service。这样可以避免有问题的用户设备错误地丢弃发送到这些特殊 IP 地址的流量。
示例:
loadBalancer: metalLB: addressPools: - name: "my-address-pool-1" - "192.0.2.0/26" - "192.0.2.64-192.0.2.72" avoidBuggyIPs: true
loadBalancer.metalLB.addressPools[i].manualAssign
可选
相关(如果 loadBalancer.kind
= MetalLB
)
可变
布尔值
预填充值:false
默认值:false
如果您不希望 MetalLB 控制器自动将此池中的 IP 地址分配给 Service,请将该字段设置为 true
。之后,开发者便可以创建 LoadBalancer
类型的 Service 并手动指定池中的一个地址。
否则,请将其设置为 false
。
示例:
loadBalancer: metalLB: addressPools: - name: "my-address-pool-1" manualAssign: true
enableDataplaneV2
可选
不可变
布尔值
预填充值:true
默认值:false
如果要启用 Dataplane V2 或者想要使用 Controlplane V2,请将其设置为 true
。否则,请将其设置为 false
。
示例:
enableDataplaneV2: true
如需了解问题排查步骤,请参阅数据平面 V2 问题排查。
dataplaneV2.lbMode
可选
不可变
字符串
可能的值:“snat”,“dsr”
预填充值:“snat”
默认值:“snat”
启用了 Dataplane V2 的集群的负载均衡模式。
使用来源网络地址转换 (SNAT) 模式时,数据包在从负载均衡器节点转发到后端 Pod 时会进行 SNAT 转换。Pod 无法查看原始来源 IP 地址,并且返回数据包必须通过负载均衡器节点。
使用直接服务器返回 (DSR) 模式时,数据包在从负载均衡器节点转发到后端 Pod 时会保留其原始来源 IP 地址。Pod 可以查看原始来源 IP 地址,返回数据包直接发送到客户端,而无需通过负载均衡器节点。
示例:
dataplaneV2: lbMode: "dsr"
multipleNetworkInterfaces
可选
不可变
布尔值
预填充值:false
默认值:false
如果要为 Pod 启用多个网络接口,请将此值设置为 true
。否则,请将其设置为 false
。
如需了解详情,请参阅为 Pod 配置多个网络接口。
示例:
multipleNetworkInterfaces: true
advancedNetworking
可选
不可变
布尔值
预填充值:false
默认值:false
如果您计划创建出站 NAT 网关,请将此字段设置为 true
。否则,请将其设置为 false
。
如果您将此字段设置为 true
,则还必须将 enableDataplaneV2
设置为 true
。
示例:
advancedNetworking: true
disableBundledIngress
如果要为集群停用捆绑式入站流量,请将此值设置为 true
。否则,请将其设置为 false
。
可选
布尔值
可变
预填充值:false
默认值:false
示例:
disableBundledIngress: true
storage.vSphereCSIDisabled
如果要停用 vSphere CSI 组件的部署,请将此字段设置为 true
。否则,请将其设置为 false
。
可选
可变
布尔值
预填充值:false
默认值:false
示例:
storage: vSphereCSIDisabled: false
masterNode
本部分包含有关此用户集群的控制平面节点的信息。
masterNode.cpus
可选
可变
整数
预填充值:4
默认值:4
用作此用户集群控制平面的每个节点的 CPU 数量。
示例:
masterNode: cpus: 8
masterNode.memoryMB
可选
可变
整数
预填充值:8192
默认值:8192
用作此用户集群控制平面的每个节点的内存大小(以 MiB 为单位)。必须是 4 的倍数。
示例:
masterNode: memoryMB: 8192
注意:此字段指定内存兆比字节 (MiB) 数,而不是兆字节 (MB) 数。1 MiB 为 2^20 = 1048576 字节。1 MB 为 10^6 = 100 万字节。
masterNode.replicas
可选
不可变
整数
可能的值:1 或 3
预填充值:1
默认值:1
此用户集群的控制平面节点数量。创建集群后,此数字便无法更改。如果您希望稍后更新副本数量,则必须重新创建用户集群。
示例:
masterNode: replicas: 3
masterNode.autoResize.enabled
可选
可变
布尔值
预填充值:false
默认值:false
将此字段设置为 true
以启用用户集群控制平面节点的自动大小调整功能。否则,请将其设置为 false
。
如需了解详情,请参阅为用户集群的控制平面节点启用节点大小调整。
示例:
masterNode: autoResize: enabled: true
masterNode.vsphere.datastore
可选
不可变
字符串
默认值:vCenter.datastore
的值
将在其中创建此用户集群的控制平面节点的数据存储区。
示例:
masterNode: vSphere: datastore: "control-plane-datastore"
如果为此字段指定了值,则请勿为 masterNode.vsphere.storagePolicyName
指定值。
masterNode.vsphere.storagePolicyName
可选
不可变
字符串
默认值:vCenter.storagePolicyName
的值
控制平面节点的虚拟机存储政策的名称。
如需了解详情,请参阅配置存储政策。
示例:
masterNode: vSphere: storagePolicyName: "control-plane-storage-policy"
如果为此字段指定了值,则请勿为 masterNode.vsphere.datastore
指定值。
nodePools
必需
可变
对象数组,其中每个对象描述了一个节点池。
如需了解详情,请参阅创建和管理节点池。
nodePools[i].name
必需
不可变
字符串
您为节点池选择的名称。该名称必须:
- 最多包含 40 个字符
- 只能包含小写字母数字字符或连字符 (
-
) - 以字母字符开头
- 以字母数字字符结尾
示例:
nodePools: - name: "my-node-pool-1"
nodePools[i].gkeOnPremVersion
升级用户集群时,您可以指定所选节点池保持先前版本。
如果您希望此节点池保持先前版本,请将此字段设置为先前版本。否则,请移除此字段或将其设置为空字符串。如需了解详情,请参阅升级节点池。
可选
可变
字符串
默认值:集群 gkeOnPremVersion
示例:
nodePools: - name: "my-node-pool" gkeOnPremVersion: "1.13.0-gke.16"
nodePools[i].cpus
必需
可变
整数
预填充值:4
池中每个节点的 vCPU 数量。
示例:
nodePools" - name: "my-node-pool" cpus: 8
nodePools[i].memoryMB
必需
可变
整数
预填充值:8192
池中每个节点的内存大小(以 MiB 为单位)。必须是 4 的倍数。
示例:
nodePools" - name: "my-node-pool" memoryMB: 8192
注意:此字段指定内存兆比字节 (MiB) 数,而不是兆字节 (MB) 数。1 MiB 为 2^20 = 1048576 字节。1 MB 为 10^6 = 100 万字节。
nodePools[i].replicas
必需
可变
整数
预填充值:3
可能的值:集群的所有节点池中未污染的节点总数必须至少为 3。
池中的节点数。
示例:
nodePools: - name: "my-node-pool" replicas: 5
nodePools[i].bootDiskSizeGB
可选
可变
整数
预填充值:40
默认值:40
池中每个节点的启动磁盘的大小(以吉比字节为单位)。
示例:
nodePools - name: "my-node-pool" bootDiskSizeGB: 40
nodePools[i].osImageType
可选
可变
字符串
可能的值:“ubuntu_containerd”“cos”“windows”
预填充值:“ubuntu_containerd”
默认值:“ubuntu_containerd”
要在节点池中的虚拟机上运行的操作系统映像类型。
示例:
nodePools - name: "my-node-pool" osImageType: "ubuntu_containerd"
nodePools[i].osImage
必需(如果 nodePools[i].osImageType
= windows
)
可变
字符串
Windows 虚拟机模板的名称。该模板必须基于具有 en-US 语言/区域标记的 Windows Server 2019 ISO。
如需了解详情,请参阅 Windows Server 操作系统节点池用户指南。
nodePools[i].labels
可选
可变
映射
要应用于池中每个 Kubernetes 节点对象的标签。
示例:
nodePools: - name: "my-node-pool" labels: environment: "production" tier: "cache"
出于安全考虑,kubelet 无法在某些命名空间中为自身应用标签。
预留的节点标签命名空间为:kubernetes.io
、k8s.io
、googleapis.com
。
nodePools[i].taints
可选
可变
对象数组,其中每个对象描述应用于池中每个节点的一个 Kubernetes 污点。污点是与 effect
相关联的键值对。污点可与容忍设置一起用来进行 Pod 调度。为 effect
指定以下其中一项:NoSchedule
、PreferNoSchedule
、NoExecute
。
示例:
nodePools: - name: "my-node-pool" taints: - key: "staging" value: "true" effect: "NoSchedule"
nodePools[i].vsphere.datastore
可选
可变
字符串
默认值:vCenter.datastore
的值
将在其中创建节点的 vCenter 数据存储区的名称。
示例:
nodePools: - name: "my-node-pool" vsphere: datastore: "my-datastore"
如果为此字段指定了值,则请勿为 nodePools[i].vsphere.storagePolicyName
指定值。
nodePools[i].vsphere.storagePolicyName
可选
可变
字符串
默认值:vCenter.storagePolicyName
的值
池中节点的虚拟机存储政策的名称。
如需了解详情,请参阅配置存储政策。
示例:
nodePools: - name: "my-node-pool" vsphere: storagePolicyName: "my-storage-policy"
如果为此字段指定了值,则请勿为 nodePools[i].vsphere.datastore
指定值。
nodePools[i].vsphere.tags
可选
可变
对象数组,每个对象都描述一个要放置在节点池中虚拟机的 vSphere 标记。
每个标记都有一个类别和名称。
示例:
nodePools: - name: "my-node-pool" vsphere: tags: - category: "purpose" name: "testing"
如果要将标记附加到节点池中的所有虚拟机,您的 vCenter 用户账号必须具有以下 vSphere 标记权限:
- vSphere 标记。分配或取消分配 vSphere 标记
- vSphere 标记。在对象上分配或取消分配 vSphere 标记 (vSphere 7)
nodePools[i].vsphere.hostgroups
如果您要将集群配置为使用虚拟机主机亲和性,请填写此部分。
可选
可变
字符串数组,其中每个字符串都是主机 DRS 组的名称。
此数组只能有一个元素。
nodePools[i].vsphere.hostgroups[j].hostgroup
可选
可变
字符串
现有主机 DRS 组的名称
nodePools: - name: "my-node-pool" vsphere: hostgroups: - "my-hostgroup"
nodePools[i].autoscaling
可选
可变
如果要为节点池启用自动扩缩功能,请填写此部分。否则,请移除此部分或将其注释掉。
nodePools[i].autoscaling.minReplicas
可选
可变
整数
可能的值:大于或等于 1
预填充值:0
自动扩缩器可以为池设置的最小节点数。
示例:
nodePools: - name: "my-node-pool" autoscaling: minReplicas: 5
nodePools[i].autoscaling.maxReplicas
可选
可变
整数
预填充值:0
自动扩缩器可以为池设置的最大节点数。
示例:
nodePools: - name: "my-node-pool" autoscaling: maxReplicas: 10
nodePools[i].enableLoadBalancer
可选
相关(如果 loadBalancer.kind
= "MetalLB"
)
可变
布尔值
预填充值:true
默认值:false
如果要允许 MetalLB speaker 在池中的节点上运行,请将此值设置为 true
。否则,请将其设置为 false
。
如需了解详情,请参阅使用 MetalLB 进行捆绑式负载均衡。
示例:
nodePools: - name: "my-node-pool" enableLoadBalancer: true
antiAffinityGroups.enabled
可选
可变
布尔值
预填充值:true
将此值设为 true
可启用 DRS 规则创建。否则,请将其设置为 false
。
示例:
antiAffinityGroups: enabled: true
如果此字段为 true
,则 GKE on VMware 会为您的用户集群节点创建 VMware 分布式资源调度器 (DRS) 反亲和性规则,使其分布到数据中心内的至少三个物理 ESXi 主机上。
为了使用此功能,您的 vSphere 环境必须满足以下条件:
VMware DRS 已启用。VMware DRS 需要 vSphere Enterprise Plus 许可版本。
您的 vSphere 用户帐号具有
Host.Inventory.Modify cluster
权限。至少有四个 ESXi 主机可用。
即使该规则要求群集节点分布在三个 ESXi 主机上,我们强烈建议您至少有四个可用的 ESXi 主机。
回想一下,如果您拥有 vSphere Standard 许可,则无法启用 VMware DRS。
如果您未启用 DRS,或没有至少四个主机可供安排 vSphere 虚拟机,请将 antiAffinityGroups.enabled
设置为 false
。
enableVMTracking
预览版
可选
不可变
预填充值:false
将此值设为 true
以启用基于 vSphere 标记的虚拟机跟踪。否则,请将其设置为 false
。
如需了解详情,请参阅启用虚拟机跟踪。
示例:
enableVMTracking: true
nodePoolUpdatePolicy.maximumConcurrentNodePoolUpdate
可选
整数
可能的值:0 或 1
预填充值:0
一次要更新的节点池数。值 1
指定一次可以更新一个节点池。值 0
指定一次可以更新无限数量的节点池。
示例:
nodePoolUpdatePolicy: maximumConcurrentNodePoolUpdate: 1
authentication
本部分包含有关如何对集群用户进行身份验证和授权的信息。
authentication.oidc
请勿使用本部分。请改为在创建集群后,按照使用 OIDC 为 Anthos Identity Service 配置集群中所述修改 ClientConfig 自定义资源。
authentication.sni
可选
如果要为集群的 Kubernetes API 服务器提供其他服务证书,请填写此部分。否则,请移除此部分或将其注释掉。
authentication.sni.certPath
可选
字符串
Kubernetes API 服务器服务证书的路径。
示例:
authentication: sni: certPath: "my-cert-folder/example.com.crt"
authentication.sni.keyPath
可选
字符串
证书私钥文件的路径。
示例:
authentication: sni: keyPath: "my-cert-folder/example.com.key"
gkeConnect
必需
不可变
本部分包含您在向 Google Cloud 舰队注册您的集群时,需要用到的 Google Cloud 项目和服务账号的信息。
gkeConnect.projectID
必需
不可变
字符串
舰队宿主项目的 ID。
对于新集群,此项目 ID 必须与 stackdriver.projectID
和 cloudAuditLogging.projectID
中设置的 ID 相同。如果项目 ID 不同,集群创建将失败。此要求不适用于现有集群。
示例:
gkeConnect: projectID: "my-fleet-host-project"
gkeConnect.registerServiceAccountKeyPath
必需
可变
字符串
连接和注册服务账号的 JSON 密钥文件的路径。
要更新此字段的值,请使用 gkectl update cluster
。
如需了解如何更改连接和注册服务账号密钥,请参阅轮替服务账号密钥。
示例:
gkeConnect: registerServiceAccountKeyPath: "my-key-folder/connect-register-key.json"
gkeConnect.registerServiceAccountKey.secretRef.version
必需(如果使用准备好的凭据)
可变
字符串
可能的值:整数字符串或“latest”
默认值:“latest”
管理员集群中准备好的 Secret 的版本,其中包含连接注册服务账号的 JSON 密钥。
示例:
gkeConnect: registerServiceAccountKey: secretRef: version: "1"
gkeOnPremAPI
可选
在 1.16 及更高版本中,如果您的 Google Cloud 项目中启用了 GKE On-Prem API,则项目中的所有集群都会自动在 stackdriver.clusterLocation
中配置的区域中注册到 GKE On-Prem API。
如果要在 GKE On-Prem API 中注册项目中的所有集群,请务必执行准备工作中的步骤,以在项目中激活并使用 GKE On-Prem API。
如果您不想在 GKE On-Prem API 中注册集群,请添加此部分并将
gkeOnPremAPI.enabled
设置为false
。如果您不想在项目中注册任何集群,请在项目中停用gkeonprem.googleapis.com
(GKE On-Prem API 的服务名称)。如需查看相关说明,请参阅停用服务。
通过在 GKE On-Prem API 中注册用户集群,您可以使用标准工具(Google Cloud 控制台、Google Cloud CLI 和 Terraform)来管理集群的生命周期。此外,注册集群后,您可以使用控制台或 gcloud CLI 来查看集群详细信息。例如,您可以运行 gcloud
命令来获取有关用户集群的信息。
添加此部分并创建或更新集群后,如果后续您移除此部分并更新集群,更新将失败。
gkeOnPremAPI.enabled
如果添加了 gkeOnPremAPI
部分,则此字段是必须的。
可变
布尔值
默认值:true
默认情况下,如果您的项目中启用了 GKE On-Prem API,则集群会在 GKE On-Prem API 中注册。如果您不想注册集群,请设置为 false
。
在 GKE On-Prem API 中注册集群后,如果您需要取消注册集群,请进行以下更改,然后更新集群:
gkeOnPremAPI: enabled: false
gkeOnPremAPI.location
如果添加了 gkeOnPremAPI
部分,则此字段是必须的。
不可变
字符串
默认值:stackdriver.clusterLocation
运行 GKE On-Prem API 并存储集群元数据的 Google Cloud 区域。选择一个支持的区域。您必须使用在 stackdriver.clusterLocation
和 cloudAuditLogging.clusterLocation
中配置的同一区域。如果 gkeOnPremAPI.enabled
为 false
,请勿添加此字段。
stackdriver
默认为必需
可变
如果要为集群启用 Cloud Logging 和 Cloud Monitoring,请填写此部分的信息。否则,请移除此部分或将其注释掉。
默认情况下,此部分是必需的。也就是说,如果您不包括此部分,则必须在运行 gkectl create cluster
时添加 --skip-validation-stackdriver
标志。
如果您要在 Google Cloud 控制台中管理用户集群的生命周期,则此部分在用户集群中是必需的。
stackdriver.projectID
对于 Logging 和 Monitoring 是必需的
不可变
字符串
舰队宿主项目的 ID。
对于新集群,此项目 ID 必须与 gkeConnect.projectID
和 cloudAuditLogging.projectID
中设置的 ID 相同。如果项目 ID 不同,集群创建将失败。此要求不适用于现有集群。
如果需要,您可以在此项目中配置日志路由器,以将日志路由到另一个项目中的日志存储桶。如需了解如何配置日志路由器,请参阅支持的目标位置。
示例:
stackdriver: projectID: "my-fleet-host-project"
stackdriver.clusterLocation
对于 Logging 和 Monitoring 是必需的
不可变
字符串
预填充值:“us-central1”
您要在其中存储日志的 Google Cloud 区域。建议选择一个靠近您的本地数据中心的区域。
对于新集群,如果您在配置文件中添加 gkeOnPremAPI
和 cloudAuditLogging
部分,则您在此处设置的区域必须与您在 gkeOnPremAPI.location
和 cloudAuditLogging.clusterLocation
中设置的区域相同。如果区域不相同,集群创建将失败。
示例:
stackdriver: clusterLocation: "us-central1"
stackdriver.enableVPC
可选
不可变
布尔值
预填充值:false
如果集群的网络由 VPC 控制,请将此字段设置为 true
。这样可以确保所有遥测流都通过 Google 的受限 IP 地址。否则,请将其设置为 false
。
示例:
stackdriver: enableVPC: false
stackdriver.serviceAccountKeyPath
对于 Logging 和 Monitoring 是必需的
可变
字符串
您的日志记录和监控服务账号的 JSON 密钥文件的路径。
要更新此字段的值,请使用 gkectl update cluster
。
如需了解如何更改日志记录和监控服务账号密钥,请参阅轮替服务账号密钥。
示例:
stackdriver: serviceAccountKeyPath: "my-key-folder/log-mon-key.json"
stackdriver.serviceAccountKey.secretRef.version
必需(如果使用准备好的凭据)
可变
字符串
可能的值:整数字符串或“latest”
默认值:“latest”
管理员集群中准备好的 Secret 的版本,其中包含日志记录监控服务账号的 JSON 密钥。
示例:
stackdriver: serviceAccountKey: secretRef: version: "1"
stackdriver.disableVsphereResourceMetrics
可选
可变
布尔值
预填充值:false
默认值:false
将此属性设置为 true
可停用从 vSphere 收集指标。否则,请将其设置为 false
。
示例:
stackdriver: disableVsphereResourceMetrics: true
usageMetering
预览版
不可变
可选
如果要为集群启用用量计量功能,请填写此部分。否则,请移除此部分或将其注释掉。
usageMetering.bigQueryProjectID
预览版
对于用量计量是必需的
不可变
字符串
您要在其中存储用量计量数据的 Google Cloud 项目的 ID。
示例:
usageMetering: bigQueryProjectID: "my-bq-project"
usageMetering.bigQueryDatasetID
预览版
对于用量计量是必需的
不可变
字符串
您要在其中存储用量计量数据的 BigQuery 数据集的 ID。示例:
usageMetering: bigQueryDatasetID: "my-bq-dataset"
usageMetering.bigQueryServiceAccountKeyPath
预览版
对于用量计量是必需的
不可变
字符串。
BigQuery 服务账号的 JSON 密钥文件的路径。
要更新此字段的值,请使用 gkectl update cluster
。
如需了解如何更改 BigQuery 服务账号密钥,请参阅轮替服务账号密钥。
示例:
usageMetering: bigQueryServiceAccountKeyPath: "my-key-folder/bq-key.json"
usageMetering.bigQueryServiceAccountKey.secretRef.version
必需(如果使用准备好的凭据)
可变
字符串
可能的值:整数字符串或“latest”
默认值:“latest”
管理员集群中准备好的 Secret 的版本,其中包含 BigQuery 服务账号的 JSON 密钥。
示例:
gkeConnect: bigQueryServiceAccountKey: secretRef: version: "1"
usageMetering.enableConsumptionMetering
预览版
对于用量计量是必需的
不可变
布尔值
预填充值:false
如果要启用基于消耗量的计量功能,请将此值设置为 true
。否则,请将其设置为 false。
示例:
usageMetering: enableConsumptionMetering: true
cloudAuditLogging
如果要将集群的 Kubernetes API 服务器中的审核日志与 Cloud Audit Logs 集成,请填写此部分。否则,请移除此部分或将其注释掉。
cloudAuditLogging.projectID
对于 Cloud Audit Logs 是必需的
不可变
字符串
舰队宿主项目的 ID。对于新集群,此项目 ID 必须与 gkeConnect.projecID
和 stackdriver.projectID
中设置的 ID 相同。如果项目 ID 不同,集群创建将失败。此要求不适用于现有集群。
如果需要,您可以在此项目中配置日志路由器,以将日志路由到另一个项目中的日志存储桶。如需了解如何配置日志路由器,请参阅支持的目标位置。
示例:
cloudAuditLogging: projectID: "my-fleet-host-project"
cloudAuditLogging.clusterLocation
对于 Cloud Audit Logs 是必需的
不可变
字符串
您要在其中存储审核日志的 Google Cloud 区域。建议选择一个靠近您的本地数据中心的区域
对于新集群,如果您在配置文件中添加 gkeOnPremAPI
和 stackdriver
部分,则您在此处设置的区域必须与您在 gkeOnPremAPI.location
和 stackdriver.clusterLocation
中设置的区域相同。如果区域不相同,集群创建将失败。
示例:
cloudAuditLogging: clusterLocation: "us-central1"
cloudAuditLogging.serviceAccountKeyPath
对于 Cloud Audit Logs 是必需的
可变
字符串
审核日志记录服务账号的 JSON 密钥文件的路径。
要更新此字段的值,请使用 gkectl update cluster
。
如需了解如何更改审核和日志记录服务账号密钥,请参阅轮替服务账号密钥。
示例:
cloudAuditLogging: serviceAccountKeyPath: "my-key-folder/audit-log-key.json"
cloudAuditLogging.serviceAccountKey.secretRef.version
可选
可变
字符串
可能的值:整数字符串或“latest”
默认值:“latest”
管理员集群中准备好的 Secret 的版本,其中包含审核日志记录服务账号的 JSON 密钥。
示例:
cloudAuditLogging: serviceAccountKey: secretRef: version: "1"
autoRepair.enabled
可选
可变
布尔值
预填充值:true
将此属性设置为 true
以启用节点自动修复。否则,请将其设置为 false
。
示例:
autoRepair: enabled: true
secretsEncryption
如果您想加密 Secret 而无需外部 KMS(密钥管理服务)或任何其他依赖项,请填写此部分。否则,请移除此部分或将其注释掉。
secretsEncryption.mode
对于 Secret 加密是必需的
不可变
字符串
可能的值:“GeneratedKey”
预填充值:“GeneratedKey”
Secret 加密模式。
secretsEncryption: mode: "GeneratedKey"
secretsEncryption.generatedKey.keyVersion
对于 Secret 加密是必需的
可变
整数
预填充值:1
您选择用于密钥版本号的整数。我们建议您从 1
开始。
如需了解如何为现有集群更新此字段,请参阅始终开启的 Secret 加密。
示例:
secretsEncryption: generatedKey: keyVersion: 1
secretsEncryption.generatedKey.disabled
对于 Secret 加密是可选的
可变
布尔值
预填充值:false
将此值设置为 true
以停用 Secret 加密。否则,请将其设置为 false
。
如需了解如何为现有集群更新此字段,请参阅始终开启的 Secret 加密。
示例:
secretsEncryption: generatedKey: disabled: false