File di configurazione del cluster precedente

In questa pagina vengono descritti i campi del file di configurazione del cluster utilizzato in GKE On-Prem versione 1.3 e precedenti.

In GKE On-Prem versione 1.4, i file di configurazione sono cambiati in modo significativo. I nuovi file sono denominati file di configurazione della versione 1. I file di configurazione utilizzati nelle versioni on-prem di GKE precedenti alla 1.4 sono chiamati file di configurazione 0.

Se vuoi utilizzare le nuove funzionalità introdotte nella versione 1.4 di GKE On-Prem, devi usare i file di configurazione v1.

I file di configurazione v0 sono compatibili con gli strumenti di GKE On-Prem 1.4. Ad esempio, puoi passare un file di configurazione v0 al comando gkectl create cluster in GKE On-Prem 1.4. Inoltre, puoi eseguire comandi che convertono i file di configurazione v0 in file di configurazione v1.

Conversione dei file di configurazione

GKE On-Prem 1.4 utilizza file di configurazione separati per i cluster amministratore e per gli utenti. In altri termini, utilizzi un file di configurazione per creare il cluster di amministrazione e un altro file di configurazione per creare un cluster utente.

Per convertire un file di configurazione v0 in un file di configurazione del cluster di amministrazione v1:

gkectl create-config admin --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]

dove:

• [OLD_CONFIG_PATH] è il percorso del file di configurazione v0.

• [OUTPUT_PATH] è un percorso a tua scelta per il file di configurazione del cluster di amministrazione v1 generato. Se ometti questo flag, gkectl assegna al file il nome admin-cluster.yaml e lo inserisce nella directory attuale.

Per convertire un file di configurazione v0 in un file di configurazione del cluster utente v1:

gkectl create-config cluster --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]

• [OLD_CONFIG_PATH] è il percorso del file di configurazione v0.

• [OUTPUT_PATH] è un percorso a tua scelta per il file di configurazione del cluster utente v1 generato. Se ometti questo flag, gkectl assegna al file il nome user-cluster.yaml e lo inserisce nella directory attuale.

Modello per il file di configurazione v0

# Absolute path to a GKE bundle on disk
bundlepath: ""
# Specify which vCenter resources to use for deployment
vcenter:
  # The credentials and address GKE should use to connect to vCenter
  credentials:
    address: ""
    username: ""
    password: ""
  datacenter: ""
  datastore: ""
  cluster: ""
  network: ""
  resourcepool: ""
  # Provide the name for the persistent disk to be used by the deployment (ending
  # in .vmdk). Any directory in the supplied path must be created before deployment.
  # Not required when adding additional user clusters
  datadisk: ""
  # Provide the path to vCenter CA certificate pub key for SSL verification
  cacertpath: ""
# Specify the proxy configuration.
proxy:
  # The URL of the proxy
  url: ""
  # The domains and IP addresses excluded from proxying
  noproxy: ""
# Specify admin cluster settings for a fresh GKE On-Prem deployment. Omit this section
# and use the --kubeconfig flag when adding a new user cluster to an existing deployment
admincluster:
  # In-Cluster vCenter configuration
  vcenter:
    # If specified it overwrites the network field in global vcenter configuration
    network: ""
  # # The absolute or relative path to the yaml file to use for static IP allocation.
  # # Do not include if using DHCP
  # ipblockfilepath: ""
  # # Specify pre-defined nodeports if using "manual" load balancer mode
  # manuallbspec:
  #   ingresshttpnodeport: 32527
  #   ingresshttpsnodeport: 30139
  #   controlplanenodeport: 30968
  #   addonsnodeport: 31405
  # Specify the already-existing partition and credentials to use with F5
  bigip:
    # To re-use credentials across clusters we recommend using YAML node anchors.
    # See https://yaml.org/spec/1.2/spec.html#id2785586
    credentials:
      address: ""
      username: ""
      password: ""
    partition: ""
    # # Optionally specify a pool name if using SNAT
    # snatpoolname: ""
  # The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlplanevip: ""
    # Shared by all services for ingress traffic
    ingressvip: ""
    # # Used for admin cluster addons (needed for multi cluster features). Must be the same
    # # across clusters
    # addonsvip: ""
  # The Kubernetes service CIDR range for the cluster. Must not overlap with the pod
  # CIDR range
  serviceiprange: 10.96.232.0/24
  # The Kubernetes pod CIDR range for the cluster. Must not overlap with the service
  # CIDR range
  podiprange: 192.168.0.0/16
# Specify settings when deploying a new user cluster. Used both with a fresh deployment
# or when adding a new cluster to an existing deployment.
usercluster:
  # In-Cluster vCenter configuration
  vcenter:
    # If specified it overwrites the network field in global vcenter configuration
    network: ""
  # # The absolute or relative path to the yaml file to use for static IP allocation.
  # # Do not include if using DHCP
  # ipblockfilepath: ""
  # # Specify pre-defined nodeports if using "manual" load balancer mode
  # manuallbspec:
  #   ingresshttpnodeport: 30243
  #   ingresshttpsnodeport: 30879
  #   controlplanenodeport: 30562
  #   addonsnodeport: 0
  # Specify the already-existing partition and credentials to use with F5
  bigip:
    # To re-use credentials across clusters we recommend using YAML node anchors.
    # See https://yaml.org/spec/1.2/spec.html#id2785586
    credentials:
      address: ""
      username: ""
      password: ""
    partition: ""
    # # Optionally specify a pool name if using SNAT
    # snatpoolname: ""
  # The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlplanevip: ""
    # Shared by all services for ingress traffic
    ingressvip: ""
    # # Used for admin cluster addons (needed for multi cluster features). Must be the same
    # # across clusters
    # addonsvip: ""
  # A unique name for this cluster
  clustername: ""
  # User cluster master nodes must have either 1 or 3 replicas
  masternode:
    cpus: 4
    memorymb: 8192
    # How many machines of this type to deploy
    replicas: 1
  # The number of worker nodes to deploy and their size. Min. 2 replicas
  workernode:
    cpus: 4
    memorymb: 8192
    # How many machines of this type to deploy
    replicas: 3
  # (Optional) Node pools with customizable labels, taints, etc.
  nodepools:
    - name: pool-1
      cpus: 4
      memorymb: 8192
      replicas: 5
    - name: pool-2
      cpus: 8
      memorymb: 16384
      replicas: 3
  # The Kubernetes service CIDR range for the cluster
  serviceiprange: 10.96.0.0/12
  # The Kubernetes pod CIDR range for the cluster
  podiprange: 192.168.0.0/16
  # # Uncomment this section to use OIDC authentication
  # oidc:
  #   issuerurl: ""
  #   kubectlredirecturl: ""
  #   clientid: ""
  #   clientsecret: ""
  #   username: ""
  #   usernameprefix: ""
  #   group: ""
  #   groupprefix: ""
  #   scopes: ""
  #   extraparams: ""
  #   # Set value to string "true" or "false"
  #   usehttpproxy: ""
  #   # # The absolute or relative path to the CA file (optional)
  #   # capath: ""
  # # Optionally provide an additional serving certificate for the API server
  # sni:
  #   certpath: ""
  #   keypath: ""
  # # Specify whether or not to enable the GKE usage metering feature
  # usagemetering:
  #   bigqueryprojectid: ""
  #   # The ID of the BigQuery Dataset in which the usage metering data will be stored
  #   bigquerydatasetid: ""
  #   # The absolute or relative path to the key file for a GCP service account used by
  #   # gke-usage-metering to report to BigQuery
  #   bigqueryserviceaccountkeypath: ""
  #   # Whether or not to enable the consumption-based metering feature
  #   enableconsumptionmetering: false
# Which load balancer mode to use "Manual" or "Integrated"
lbmode: Integrated
# Specify which GCP project to connect your GKE clusters to
gkeconnect:
  projectid: ""
  # The absolute or relative path to the key file for a GCP service account used to
  # register the cluster
  registerserviceaccountkeypath: ""
  # The absolute or relative path to the key file for a GCP service account used by
  # the GKE connect agent
  agentserviceaccountkeypath: ""
# Specify which GCP project to connect your logs and metrics to
stackdriver:
  projectid: ""
  # A GCP region where you would like to store logs and metrics for this cluster.
  clusterlocation: ""
  enablevpc: false
  # The absolute or relative path to the key file for a GCP service account used to
  # send logs and metrics from the cluster
  serviceaccountkeypath: ""
# Specify Cloud Run configuration
cloudrun:
  enabled: true
# # Optionally use a private Docker registry to host GKE images
# privateregistryconfig:
#   # Do not include the scheme with your registry address
#   credentials:
#     address: ""
#     username: ""
#     password: ""
#   # The absolute or relative path to the CA certificate for this registry
#   cacertpath: ""
# The absolute or relative path to the GCP service account key that will be used to
# pull GKE images
gcrkeypath: ""
# Configure kubernetes apiserver audit logging
cloudauditlogging:
  projectid: ""
  # A GCP region where you would like to store audit logs for this cluster.
  clusterlocation: ""
  # The absolute or relative path to the key file for a GCP service account used to
  # send audit logs from the cluster
  serviceaccountkeypath: ""

Compilazione di un file di configurazione v0

Se utilizzi un file di configurazione v0, inserisci i valori dei campi come descritto in questa sezione.

Percorso pacchetto

Il file bundle di GKE On-Prem contiene tutti i componenti di una determinata release di GKE On-Prem. Quando crei una workstation di amministrazione, viene fornita con un set completo all'indirizzo /var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz. La versione di questo bundle corrisponde alla versione dell'OVA importato per creare la workstation di amministrazione.

Imposta il valore di bundlepath sul percorso del file del bundle della workstation di amministrazione. In altre parole, imposta bundlepath su:

/var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz

dove [VERSION] è la versione di GKE On-Prem che stai installando. L'ultima versione è 1.4.3-gke.3.

Tieni presente che puoi liberare il file del bundle in una posizione diversa o assegnargli un nome diverso. Assicurati che nel file di configurazione il valore di bundlepath corrisponda al percorso del file del bundle, qualunque sia.

Specifica vCenter

La specifica vcenter contiene informazioni sulla tua istanza vCenter Server. GKE On-Prem ha bisogno di queste informazioni per comunicare con il tuo server vCenter.

vcenter.credentials.address

Il campo vcenter.credentials.address contiene l'indirizzo IP o il nome host del server vCenter.

Prima di compilare il vsphere.credentials.address field, scarica e controlla il certificato di pubblicazione del server vCenter. Inserisci questo comando per scaricare il certificato e salvarlo in un file denominato vcenter.pem.

true | openssl s_client -connect [VCENTER_IP]:443 -showcerts 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' > vcenter.pem

Apri il file del certificato per vedere il nome comune del soggetto e il nome alternativo del soggetto:

openssl x509 -in vcenter.pem -text -noout

L'output mostra il Common Name (CN) di Subject. Potrebbe essere un indirizzo IP o un nome host. Ad esempio:

Subject: ... CN = 203.0.113.100

Subject: ... CN = my-host.my-domain.example

L'output potrebbe anche includere uno o più nomi DNS in Subject Alternative Name:

X509v3 Subject Alternative Name:
    DNS:vcenter.my-domain.example

Scegli il nome comune Subject o uno dei nomi DNS in Subject Alternative Name da utilizzare come valore vcenter.credentials.address nel file di configurazione. Ad esempio:

vcenter:
  credentials:
    address: "203.0.113.1"
    ...

vcenter:
  credentials:
    address: "my-host.my-domain.example"
    ...

Devi scegliere un valore visualizzato nel certificato. Ad esempio, se l'indirizzo IP non compare nel certificato, non puoi utilizzarlo per vcenter.credentials.address.

credenziali vcenter

GKE On-Prem deve conoscere il nome utente e la password di vCenter Server. Per fornire queste informazioni, imposta i valori username e password in vcenter.credentials. Ad esempio:

vcenter:
  credentials:
    username: "my-name"
    password: "my-password"

vcenter.datacenter, .datastore, .cluster, .network

GKE On-Prem richiede alcune informazioni sulla struttura del tuo ambiente vSphere. Per fornire queste informazioni, imposta i valori in vcenter. Ad esempio:

vcenter:
  datacenter: "MY-DATACENTER"
  datastore: "MY-DATASTORE"
  cluster: "MY-VSPHERE-CLUSTER"
  network: "MY-VIRTUAL-NETWORK"

vcenter.resourcepool

Un pool di risorse vSphere è un raggruppamento logico di VM vSphere nel cluster vSphere. Se utilizzi un pool di risorse diverso da quello predefinito, specifica il nome in vcenter.resourcepool. Ad esempio:

vcenter:
  resourcepool: "my-pool"

Se vuoi che GKE esegua il deployment dei suoi nodi nel pool di risorse predefinito del cluster vSphere, fornisci una stringa vuota a vcenter.resourcepool. Ad esempio:

vcenter:
  resourcepool: ""

vcenter.datadisk

GKE On-Prem crea un disco di macchina virtuale (VMDK) per conservare i dati degli oggetti Kubernetes per il cluster di amministrazione. Il programma di installazione crea automaticamente il VMDK, ma devi fornire un nome per il VMDK nel campo vcenter.datadisk. Ad esempio:

vcenter:
  datadisk: "my-disk.vmdk"

Datastore vSAN: creazione di una cartella per il VMDK

Se utilizzi un datastore vSAN, devi inserire il VMDK in una cartella. La cartella deve essere creata manualmente in anticipo. Per farlo, puoi utilizzare govc per creare una cartella:

govc datastore.mkdir -namespace=true my-gke-on-prem-folder

Quindi imposta vcenter.datadisk sul percorso del VMDK, inclusa la cartella. Ad esempio:

vcenter:
datadisk: "my-gke-on-prem-folder/my-disk.vmdk"

Nella versione 1.1.1 e precedenti, un problema noto richiede che tu fornisca il percorso dell'identificatore univoco (UUID) della cartella, invece del relativo percorso file, a vcenter.datadisk. Copialo dall'output del comando govc riportato sopra.

Quindi, fornisci l'UUID della cartella nel campo vcenter.datadisk. Non inserire una barra davanti all'UUID. Ad esempio:

vcenter:
datadisk: "14159b5d-4265-a2ba-386b-246e9690c588/my-disk.vmdk"

Questo problema è stato risolto nelle versioni 1.1.2 e successive.

vcenter.cacertpath

Quando un client, come GKE On-Prem, invia una richiesta a vCenter Server, il server deve dimostrare la propria identità al client presentando un certificato o un bundle dei certificati. Per verificare il certificato o il bundle, GKE On-Prem deve avere il certificato radice nella catena di affidabilità.

Imposta vcenter.cacertpath sul percorso del certificato radice. Ad esempio:

vcenter:
  cacertpath: "/my-cert-folder/the-root.crt"

L'installazione VMware ha un'autorità di certificazione (CA) che emette un certificato per il server vCenter. Il certificato radice nella catena di attendibilità è un certificato autofirmato creato da VMware.

Se non vuoi utilizzare VMWare, l'impostazione predefinita, puoi configurare VMware in modo che utilizzi un'autorità di certificazione diversa.

Se il server vCenter utilizza un certificato emesso dalla CA VMware predefinita, puoi ottenere il certificato radice in diversi modi:

• curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

  dove [SERVER_ADDRESS] è l'indirizzo del server vCenter.

• In un browser, inserisci l'indirizzo del server vCenter. Nella casella grigia a destra, fai clic su Scarica i certificati CA radice attendibili.

• Inserisci questo comando per ottenere il certificato di gestione:

  true | openssl s_client -connect [SERVER_ADDRESS]:443 -showcerts

  Nell'output, trova un URL come questo: https://[SERVER_ADDRESS]/afd/vecs/ca. Inserisci l'URL in un browser. Viene scaricato il certificato radice.

Il file scaricato è denominato downloads.zip.

Decomprimi il file:

unzip downloads.zip

Se il comando decomprimi non funziona la prima volta, inseriscilo di nuovo.

Trova il file del certificato in certs/lin.

proxy:
  url: "https://username:password@domain"
  noproxy: "10.0.1.0/24,private-registry.example,10.0.2.1"

• proxy.url è l'URL del proxy HTTPS.
• proxy.noproxy include gli intervalli CIDR, gli indirizzi IP, i domini e i nomi host che non devono essere sottoposti a proxy. Ad esempio, le chiamate agli indirizzi IP dei nodi del cluster non devono essere inviate tramite proxy. Quindi, se hai una subnet che contiene solo i nodi del cluster, puoi elencare l'intervallo CIDR della subnet nel campo noproxy. Tieni presente che se viene specificato privateregistryconfig, l'indirizzo viene aggiunto automaticamente per evitare chiamate al registro privato.

Specifica del cluster di amministrazione

La specifica admincluster contiene le informazioni necessarie a GKE On-Prem per creare il cluster di amministrazione.

admincluster.vcenter.network

In admincluster.vcenter.network, puoi specificare una rete vCenter per i nodi del cluster di amministrazione. Tieni presente che questa operazione sostituisce l'impostazione globale fornita in vcenter. Ad esempio:

admincluster:
  vcenter:
    network: MY-ADMIN-CLUSTER-NETWORK

admincluster.ipblockfilepath

Poiché utilizzi indirizzi IP statici, devi disporre di un file di configurazione host come descritto in Configurare gli IP statici. Specifica il percorso del file di configurazione host nel campo admincluster.ipblockfilepath. Ad esempio:

admincluster:
  ipblockfilepath: "/my-config-folder/my-admin-hostconfig.yaml"

admincluster.manuallbspec (modalità di bilanciamento del carico manuale)

Il controller Ingress nel cluster di amministrazione è implementato come servizio di tipo NodePort. Il servizio ha una risorsa ServicePort per HTTP e un'altra per la porta HTTPS. Se utilizzi la modalità di bilanciamento del carico manuale, devi scegliere valori nodePort per queste ServicePort. Specifica i valori nodePort in ingresshttpnodeport e ingresshttpsnodeport. Ad esempio:

admincluster:
  manuallbspec:
    ingresshttpnodeport: 32527
    ingresshttpsnodeport: 30139

Il server API Kubernetes nel cluster di amministrazione è implementato come servizio di tipo NodePort. Se utilizzi il bilanciamento del carico manuale, devi scegliere un valore nodePort per il servizio. Specifica il valore nodePort in controlplanenodeport Ad esempio:

admincluster:
  manuallbspec:
    controlplanenodeport: 30968

Il server dei componenti aggiuntivi nel cluster di amministrazione è implementato come servizio di tipo NodePort. Se utilizzi il bilanciamento del carico manuale, devi scegliere un valore nodePort per il servizio. Specifica il valore nodePort in controlplanenodeport Ad esempio:

admincluster:
  manuallbspec:
    addonsnodeport: 30562

admincluster.bigip.credentials (modalità di bilanciamento del carico integrato)

Se non utilizzi la modalità di bilanciamento del carico integrata, escludi admincluster.bigip.

Se utilizzi la modalità di bilanciamento del carico integrata, GKE On-Prem deve conoscere l'indirizzo IP o il nome host, il nome utente e la password del bilanciatore del carico BIG-IP di F5. Per fornire queste informazioni, imposta i valori in admincluster.bigip. Ad esempio:

admincluster:
  bigip:
    credentials:
      address: "203.0.113.2"
      username: "my-admin-f5-name"
      password: "rJDlm^%7aOzw"

admincluster.bigip.partition (modalità di bilanciamento del carico integrata)

Se utilizzi la modalità di bilanciamento del carico integrata, devi creare una partizione BIG-IP per il tuo cluster di amministrazione. Imposta admincluster.bigip.partition sul nome della partizione. Ad esempio:

admincluster:
  bigip:
    partition: "my-admin-f5-partition"

admincluster.vips

Indipendentemente dal fatto che tu stia utilizzando il bilanciamento del carico integrato o manuale per il cluster di amministrazione, devi compilare il campo admincluster.vips.

Imposta il valore di admincluster.vips.controlplanevip sull'indirizzo IP che hai scelto di configurare sul bilanciatore del carico per il server API Kubernetes del cluster di amministrazione. Imposta il valore ingressvip sull'indirizzo IP che hai scelto di configurare sul bilanciatore del carico per il controller Ingress in entrata nel cluster di amministrazione. Ad esempio:

admincluster:
  vips:
    controlplanevip: 203.0.113.3
    ingressvip: 203.0.113.4

admincluster.serviceiprange e admincluster.podiprange

Il cluster di amministrazione deve avere un intervallo di indirizzi IP da utilizzare per i servizi e un intervallo di indirizzi IP da utilizzare per i pod. Questi intervalli sono specificati dai campi admincluster.serviceiprange e admincluster.podiprange. Questi campi vengono compilati quando esegui gkectl create-config. Se vuoi, puoi modificare i valori compilati con quelli di tua scelta.

Gli intervalli di servizi e pod non devono sovrapporsi. Inoltre, gli intervalli di servizi e pod non devono sovrapporsi agli indirizzi IP utilizzati per i nodi in qualsiasi cluster.

Esempio:

admincluster:
  serviceiprange: 10.96.232.0/24
  podiprange: 192.168.0.0/16

Specifica del cluster utente

La specifica del cluster utente usercluster contiene le informazioni necessarie a GKE On-Prem per creare il cluster utente iniziale.

usercluster.vcenter.network

In usercluster.vcenter.network, puoi specificare una rete vCenter per i nodi del cluster utente. Tieni presente che questa operazione sostituisce l'impostazione globale fornita in vcenter. Ad esempio:

usercluster:
  vcenter:
    network: MY-USER-CLUSTER-NETWORK

usercluster.ipblockfilepath

Poiché utilizzi indirizzi IP statici, devi disporre di un file di configurazione dell'host, come descritto nella sezione Configurazione degli indirizzi IP statici. Specifica il percorso del file di configurazione host nel campo usercluster.ipblockfilepath. Ad esempio:

usercluster:
  ipblockfilepath: "/my-config-folder/my-user-hostconfig.yaml"

usercluster.manuallbspec (modalità di bilanciamento del carico manuale)

Il controller in entrata nel cluster utente viene implementato come servizio di tipo NodePort. Il servizio ha una risorsa ServicePort per HTTP e un'altra per la porta HTTPS. Se utilizzi la modalità di bilanciamento del carico manuale, devi scegliere valori nodePort per queste ServicePort. Specifica i valori nodePort in ingresshttpnodeport e ingresshttpsnodeport. Ad esempio:

usercluster:
  manuallbspec:
    ingresshttpnodeport: 30243
    ingresshttpsnodeport: 30879

Il server API Kubernetes nel cluster utente viene implementato come servizio di tipo NodePort. Se utilizzi il bilanciamento del carico manuale, devi scegliere un valore nodePort per il servizio. Specifica il valore nodePort in controlplanenodeport. Ad esempio:

usercluster:
  manuallbspec:
    controlplanenodeport: 30562

usercluster.bigip.credentials (modalità di bilanciamento del carico integrata)

Se utilizzi la modalità di bilanciamento del carico integrata, GKE On-Prem deve conoscere l'indirizzo IP o il nome host, il nome utente e la password del bilanciatore del carico BIG-IP di F5 che intendi utilizzare per il cluster utente. Per fornire queste informazioni, imposta i valori in usercluster.bigip. Ad esempio:

usercluster:
  bigip:
    credentials:
      address: "203.0.113.5"
      username: "my-user-f5-name"
      password: "8%jfQATKO$#z"

usercluster.bigip.partition (modalità di bilanciamento del carico integrata)

Se utilizzi la modalità di bilanciamento del carico integrata, devi creare una partizione BIG-IP per il tuo cluster utente. Imposta usercluster.bigip.partition sul nome della partizione. Ad esempio:

usercluster:
  bigip:
    partition: "my-user-f5-partition"

usercluster.vips

Indipendentemente dal fatto che tu stia utilizzando il bilanciamento del carico integrato o manuale per il cluster utente, devi compilare il campo usercluster.vips.

Imposta il valore usercluster.vips.controlplanevip sull'indirizzo IP che hai scelto di configurare sul bilanciatore del carico per il server API Kubernetes del cluster utente. Imposta il valore di ingressvip sull'indirizzo IP che hai scelto di configurare sul bilanciatore del carico per il controller Ingress in entrata del cluster utente. Ad esempio:

usercluster:
  vips:
    controlplanevip: 203.0.113.6
    ingressvip: 203.0.113.7

usercluster.serviceiprange e usercluster.podiprange

Il cluster utente deve avere un intervallo di indirizzi IP da utilizzare per i servizi e un intervallo di indirizzi IP da utilizzare per i pod. Questi intervalli sono specificati dai campi usercluster.serviceiprange e usercluster.podiprange. Questi campi vengono compilati quando esegui gkectl create-config. Se vuoi, puoi modificare i valori compilati con quelli di tua scelta.

Gli intervalli di servizi e pod non devono sovrapporsi. Inoltre, gli intervalli di servizi e pod non devono sovrapporsi agli indirizzi IP utilizzati per i nodi in qualsiasi cluster.

Esempio:

usercluster:
  serviceiprange: 10.96.233.0/24
  podiprange: 172.16.0.0/12

usercluster.clustername

Imposta il valore di usercluster.clustername con un nome a tua scelta. Scegli un nome che non superi i 40 caratteri. Ad esempio:

usercluster:
  clustername: "my-user-cluster-1"

usercluster.masternode.replicas

Il campo usercluster.masternode.replicas specifica il numero di nodi del piano di controllo che vuoi che il cluster utente abbia. Il nodo del piano di controllo di un cluster utente esegue il piano di controllo utente, i componenti del piano di controllo Kubernetes. Questo valore deve essere 1 o 3:

• Imposta questo campo su 1 per eseguire un piano di controllo dell'utente.
• Imposta questo campo su 3 se vuoi che abbia un piano di controllo dell'utente ad alta disponibilità composto da tre nodi del piano di controllo, ognuno dei quali esegue un piano di controllo dell'utente.

usercluster.masternode.cpus e usercluster.masternode.memorymb

I campi usercluster.masternode.cpus e usercluster.masternode.memorymb specificano quante CPU e quanta memoria, in megabyte, è allocata a ciascun nodo del piano di controllo del cluster utente. Ad esempio:

usercluster:
  masternode:
    cpus: 4
    memorymb: 8192

usercluster.workernode.replicas

Il campo usercluster.workernode.replicas specifica il numero di nodi worker che vuoi che il cluster utente abbia. I nodi worker eseguono i carichi di lavoro del cluster.

usercluster.workernode.cpus e usercluster.workernode.memorymb

I campi usercluster.masternode.cpus e usercluster.masternode.memorymb specificano quante CPU e quanta memoria, in megabyte, è allocata a ciascun nodo worker del cluster utente. Ad esempio:

usercluster:
  workernode:
    cpus: 4
    memorymb: 8192
    replicas: 3

clusterutente.oidc

Se vuoi che i client del cluster utente utilizzino l'autenticazione OIDC, imposta i valori per i campi in usercluster.oidc. La configurazione dell'OIDC è facoltativa.

Per scoprire come configurare OIDC, consulta Autenticazione con OIDC.

Informazioni sull'installazione della versione 1.0.2-gke.3

La versione 1.0.2-gke.3 introduce i seguenti campi OIDC (usercluster.oidc). Questi campi consentono di accedere a un cluster dalla console Google Cloud:

• usercluster.oidc.kubectlredirecturl
• usercluster.oidc.clientsecret
• usercluster.oidc.usehttpproxy

Nella versione 1.0.2-gke.3, se vuoi utilizzare OIDC, il campo clientsecret è obbligatorio anche se non vuoi accedere a un cluster da Google Cloud Console. In tal caso, puoi fornire un valore segnaposto per clientsecret:

oidc:
clientsecret: "secret"

clusterutente.sni

L'indicazione del nome del server (SNI), un'estensione di Transport Layer Security (TLS), consente ai server di presentare più certificati su un singolo indirizzo IP e una porta TCP, a seconda del nome host indicato dal client.

Se la tua CA è già distribuita come CA attendibile ai client esterni al tuo cluster utente e vuoi fare affidamento su questa catena per identificare i cluster attendibili, puoi configurare il server API Kubernetes con un certificato aggiuntivo che viene presentato ai client esterni dell'indirizzo IP del bilanciatore del carico.

Per utilizzare SNI con i tuoi cluster utente, devi avere una CA e una infrastruttura a chiave pubblica (PKI). Esegui il provisioning di un certificato di pubblicazione separato per ogni cluster utente e GKE On-Prem aggiunge ogni ulteriore certificato di pubblicazione al rispettivo cluster utente.

Per configurare SNI per il server API Kubernetes del cluster utente, fornisci i valori per usercluster.sni.certpath (percorso del certificato esterno) e usercluster.sni.keypath (percorso del file della chiave privata del certificato esterno). Ad esempio:

usercluster:
  sni:
    certpath: "/my-cert-folder/example.com.crt"
    keypath: "/my-cert-folder/example.com.key"

lbmode

Puoi utilizzare il bilanciamento del carico integrato o il bilanciamento del carico manuale. La modalità di bilanciamento del carico scelta si applica al cluster di amministrazione e al cluster utente iniziale. Si applica anche a eventuali cluster utente aggiuntivi che creerai in futuro.

Specifica la scelta del bilanciamento del carico impostando il valore lbmode su Integrated o Manual. Ad esempio:

lbmode: Integrated

gkeconnect

La specifica gkeconnect contiene le informazioni necessarie a GKE On-Prem per configurare la gestione dei cluster on-prem da Google Cloud Console.

Imposta gkeconnect.projectid sull'ID del progetto Google Cloud in cui vuoi gestire i tuoi cluster on-prem.

Imposta il valore gkeconnect.registerserviceaccountkeypath sul percorso del file della chiave JSON per l'account di servizio di registrazione. Imposta il valore gkeconnect.agentserviceaccountkeypath sul percorso del file della chiave JSON per l'account di servizio di connessione.

Esempio:

gkeconnect:
  projectid: "my-project"
  registerserviceaccountkeypath: "/my-key-folder/register-key.json"
  agentserviceaccountkeypath: "/my-key-folder/connect-key.json"

stackdriver

La specifica stackdriver contiene le informazioni necessarie a GKE On-Prem per archiviare le voci di log generate dai cluster on-prem.

Imposta stackdriver.projectid sull'ID del progetto Google Cloud in cui vuoi visualizzare i log di Stackdriver relativi ai tuoi cluster on-prem.

Imposta stackdriver.clusterlocation in una regione Google Cloud in cui vuoi archiviare i log di Stackdriver. È consigliabile scegliere una regione vicina al data center on-premise.

Imposta stackdriver.enablevpc su true se la rete del cluster è controllata da un VPC. Ciò garantisce che tutta la telemetria passi attraverso gli indirizzi IP limitati di Google.

Imposta stackdriver.serviceaccountkeypath sul percorso del file della chiave JSON per l'account di servizio Stackdriver Logging.

Esempio:

stackdriver:
  projectid: "my-project"
  clusterlocation: "us-west1"
  enablevpc: false
  serviceaccountkeypath: "/my-key-folder/stackdriver-key.json"

privateregistryconfig

Se hai un registro Docker privato, il campo privateregistryconfig contiene le informazioni utilizzate da GKE On-Prem per eseguire il push delle immagini al registro privato. Se non specifichi un registro privato, gkectl estrae le immagini container di GKE On-Prem dal suo repository Container Registry, gcr.io/gke-on-prem-release, durante l'installazione.

In privatedockerregistry.credentials, imposta address sull'indirizzo IP della macchina che esegue il registro Docker privato. Imposta username e password il nome utente e la password del registro Docker privato. Il valore impostato per address viene aggiunto automaticamente a proxy.noproxy.

Quando Docker estrae un'immagine dal registro privato, il registro deve dimostrare la propria identità presentando un certificato. Il certificato del registry viene firmato da un'autorità di certificazione (CA). Docker utilizza il certificato della CA per convalidare il certificato del Registro di sistema.

Imposta privateregistryconfig.cacertpath sul percorso del certificato dell'autorità di certificazione. Ad esempio:

privateregistryconfig:
  cacertpath: /my-cert-folder/registry-ca.crt

gcrkeypath

Imposta il valore gcrkeypath sul percorso del file della chiave JSON del tuo account di servizio nella lista consentita.

Ad esempio:

gcrkeypath: "/my-key-folder/whitelisted-key.json"

cloudauditlogging

Se vuoi inviare gli audit log di Kubernetes al progetto Google Cloud, compila la specifica cloudauditlogging. Ad esempio:

cloudauditlogging:
  projectid: "my-project"
  # A GCP region where you would like to store audit logs for this cluster.
  clusterlocation: "us-west1"
  # The absolute or relative path to the key file for a GCP service account used to
  # send audit logs from the cluster
  serviceaccountkeypath: "/my-key-folder/audit-logging-key.json"