In questa pagina vengono descritti i campi del file di configurazione del cluster utilizzato in GKE On-Prem versione 1.3 e precedenti.
In GKE On-Prem versione 1.4, i file di configurazione sono cambiati in modo significativo. I nuovi file sono denominati file di configurazione della versione 1. I file di configurazione utilizzati nelle versioni on-prem di GKE precedenti alla 1.4 sono chiamati file di configurazione 0.
Se vuoi utilizzare le nuove funzionalità introdotte nella versione 1.4 di GKE On-Prem, devi usare i file di configurazione v1.
I file di configurazione v0 sono compatibili con gli strumenti
di GKE On-Prem 1.4. Ad esempio, puoi passare un file di configurazione v0 al comando gkectl create cluster
in GKE On-Prem 1.4.
Inoltre, puoi eseguire comandi che convertono i file di configurazione v0 in file di configurazione v1.
Conversione dei file di configurazione
GKE On-Prem 1.4 utilizza file di configurazione separati per i cluster amministratore e per gli utenti. In altri termini, utilizzi un file di configurazione per creare il cluster di amministrazione e un altro file di configurazione per creare un cluster utente.
Per convertire un file di configurazione v0 in un file di configurazione del cluster di amministrazione v1:
gkectl create-config admin --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]
dove:
[OLD_CONFIG_PATH] è il percorso del file di configurazione v0.
[OUTPUT_PATH] è un percorso a tua scelta per il file di configurazione del cluster di amministrazione v1 generato. Se ometti questo flag,
gkectl
assegna al file il nomeadmin-cluster.yaml
e lo inserisce nella directory attuale.
Per convertire un file di configurazione v0 in un file di configurazione del cluster utente v1:
gkectl create-config cluster --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]
[OLD_CONFIG_PATH] è il percorso del file di configurazione v0.
[OUTPUT_PATH] è un percorso a tua scelta per il file di configurazione del cluster utente v1 generato. Se ometti questo flag,
gkectl
assegna al file il nomeuser-cluster.yaml
e lo inserisce nella directory attuale.
Modello per il file di configurazione v0
Compilazione di un file di configurazione v0
Se utilizzi un file di configurazione v0, inserisci i valori dei campi come descritto in questa sezione.
Percorso pacchetto
Il file bundle di GKE On-Prem
contiene tutti i componenti di una determinata release di GKE On-Prem.
Quando crei una workstation di amministrazione, viene fornita con un set completo all'indirizzo /var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz
. La versione di questo bundle corrisponde alla versione dell'OVA importato per creare la workstation di amministrazione.
Imposta il valore di bundlepath
sul percorso del file del bundle della workstation di amministrazione. In altre parole, imposta bundlepath
su:
/var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz
dove [VERSION] è la versione di GKE On-Prem che stai installando. L'ultima versione è 1.4.3-gke.3.
Tieni presente che puoi liberare il file del bundle in una posizione diversa o assegnargli un nome diverso. Assicurati che nel file di configurazione il valore di bundlepath
corrisponda al percorso del file del bundle, qualunque sia.
Specifica vCenter
La specifica vcenter
contiene informazioni sulla tua istanza vCenter Server.
GKE On-Prem ha bisogno di queste informazioni per comunicare con il tuo server vCenter.
vcenter.credentials.address
Il campo vcenter.credentials.address
contiene l'indirizzo IP o il nome host del server vCenter.
Prima di compilare il vsphere.credentials.address field
, scarica e controlla il certificato di pubblicazione del server vCenter. Inserisci questo comando per scaricare il certificato e salvarlo in un file denominato vcenter.pem
.
true | openssl s_client -connect [VCENTER_IP]:443 -showcerts 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' > vcenter.pem
Apri il file del certificato per vedere il nome comune del soggetto e il nome alternativo del soggetto:
openssl x509 -in vcenter.pem -text -noout
L'output mostra il Common Name (CN) di Subject
. Potrebbe essere un indirizzo IP o un nome host. Ad esempio:
Subject: ... CN = 203.0.113.100
Subject: ... CN = my-host.my-domain.example
L'output potrebbe anche includere uno o più nomi DNS in
Subject Alternative Name
:
X509v3 Subject Alternative Name: DNS:vcenter.my-domain.example
Scegli il nome comune Subject
o uno dei nomi DNS in Subject Alternative Name
da utilizzare come valore vcenter.credentials.address
nel file di configurazione. Ad esempio:
vcenter: credentials: address: "203.0.113.1" ...
vcenter: credentials: address: "my-host.my-domain.example" ...
Devi scegliere un valore visualizzato nel certificato. Ad esempio, se l'indirizzo IP non compare nel certificato, non puoi utilizzarlo per vcenter.credentials.address
.
credenziali vcenter
GKE On-Prem deve conoscere il nome utente e la password di vCenter Server. Per fornire queste informazioni, imposta i valori username
e password
in vcenter.credentials
. Ad esempio:
vcenter: credentials: username: "my-name" password: "my-password"
vcenter.datacenter, .datastore, .cluster, .network
GKE On-Prem richiede alcune informazioni sulla struttura del tuo ambiente vSphere. Per fornire queste informazioni, imposta i valori in vcenter
.
Ad esempio:
vcenter: datacenter: "MY-DATACENTER" datastore: "MY-DATASTORE" cluster: "MY-VSPHERE-CLUSTER" network: "MY-VIRTUAL-NETWORK"
vcenter.resourcepool
Un pool di risorse vSphere è un raggruppamento logico di VM vSphere nel cluster vSphere. Se utilizzi un pool di risorse diverso da quello predefinito, specifica il nome in vcenter.resourcepool
. Ad esempio:
vcenter: resourcepool: "my-pool"
Se vuoi che GKE esegua il deployment dei suoi nodi nel pool di risorse predefinito del cluster vSphere, fornisci una stringa vuota a vcenter.resourcepool
. Ad esempio:
vcenter: resourcepool: ""
vcenter.datadisk
GKE On-Prem crea un disco di macchina virtuale (VMDK) per conservare i dati degli oggetti Kubernetes per il cluster di amministrazione. Il programma di installazione crea automaticamente il VMDK, ma devi fornire un nome per il VMDK nel campo vcenter.datadisk
.
Ad esempio:
vcenter: datadisk: "my-disk.vmdk"
- Datastore vSAN: creazione di una cartella per il VMDK
Se utilizzi un datastore vSAN, devi inserire il VMDK in una cartella. La cartella deve essere creata manualmente in anticipo. Per farlo, puoi utilizzare
govc
per creare una cartella:govc datastore.mkdir -namespace=true my-gke-on-prem-folder
Quindi imposta
vcenter.datadisk
sul percorso del VMDK, inclusa la cartella. Ad esempio:vcenter: datadisk: "my-gke-on-prem-folder/my-disk.vmdk"
Nella versione 1.1.1 e precedenti, un problema noto richiede che tu fornisca il percorso dell'identificatore univoco (UUID) della cartella, invece del relativo percorso file, a
vcenter.datadisk
. Copialo dall'output del comandogovc
riportato sopra.Quindi, fornisci l'UUID della cartella nel campo
vcenter.datadisk
. Non inserire una barra davanti all'UUID. Ad esempio:vcenter: datadisk: "14159b5d-4265-a2ba-386b-246e9690c588/my-disk.vmdk"
Questo problema è stato risolto nelle versioni 1.1.2 e successive.
vcenter.cacertpath
Quando un client, come GKE On-Prem, invia una richiesta a vCenter Server, il server deve dimostrare la propria identità al client presentando un certificato o un bundle dei certificati. Per verificare il certificato o il bundle, GKE On-Prem deve avere il certificato radice nella catena di affidabilità.
Imposta vcenter.cacertpath
sul percorso del certificato radice. Ad esempio:
vcenter: cacertpath: "/my-cert-folder/the-root.crt"
L'installazione VMware ha un'autorità di certificazione (CA) che emette un certificato per il server vCenter. Il certificato radice nella catena di attendibilità è un certificato autofirmato creato da VMware.
Se non vuoi utilizzare VMWare, l'impostazione predefinita, puoi configurare VMware in modo che utilizzi un'autorità di certificazione diversa.
Se il server vCenter utilizza un certificato emesso dalla CA VMware predefinita, puoi ottenere il certificato radice in diversi modi:
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
dove [SERVER_ADDRESS] è l'indirizzo del server vCenter.
In un browser, inserisci l'indirizzo del server vCenter. Nella casella grigia a destra, fai clic su Scarica i certificati CA radice attendibili.
Inserisci questo comando per ottenere il certificato di gestione:
true | openssl s_client -connect [SERVER_ADDRESS]:443 -showcerts
Nell'output, trova un URL come questo: https://[SERVER_ADDRESS]/afd/vecs/ca. Inserisci l'URL in un browser. Viene scaricato il certificato radice.
Il file scaricato è denominato downloads.zip
.
Decomprimi il file:
unzip downloads.zip
Se il comando decomprimi non funziona la prima volta, inseriscilo di nuovo.
Trova il file del certificato in certs/lin
.
Specifica del proxy
Se la rete è protetta da un server proxy, compila il campo proxy
con il proxy HTTPS e gli indirizzi che devono essere esclusi dal proxy. Ad esempio:
proxy: url: "https://username:password@domain" noproxy: "10.0.1.0/24,private-registry.example,10.0.2.1"
proxy.url
è l'URL del proxy HTTPS.proxy.noproxy
include gli intervalli CIDR, gli indirizzi IP, i domini e i nomi host che non devono essere sottoposti a proxy. Ad esempio, le chiamate agli indirizzi IP dei nodi del cluster non devono essere inviate tramite proxy. Quindi, se hai una subnet che contiene solo i nodi del cluster, puoi elencare l'intervallo CIDR della subnet nel camponoproxy
. Tieni presente che se viene specificatoprivateregistryconfig
, l'indirizzo viene aggiunto automaticamente per evitare chiamate al registro privato.
Specifica del cluster di amministrazione
La specifica admincluster
contiene le informazioni necessarie a GKE On-Prem per creare il cluster di amministrazione.
admincluster.vcenter.network
In admincluster.vcenter.network
, puoi specificare una rete vCenter
per i nodi del cluster di amministrazione. Tieni presente che questa operazione sostituisce l'impostazione globale fornita in vcenter
. Ad esempio:
admincluster: vcenter: network: MY-ADMIN-CLUSTER-NETWORK
admincluster.ipblockfilepath
Poiché utilizzi indirizzi IP statici, devi disporre di un file di configurazione host come descritto in Configurare gli IP statici. Specifica il percorso del file di configurazione host nel campo admincluster.ipblockfilepath
. Ad esempio:
admincluster: ipblockfilepath: "/my-config-folder/my-admin-hostconfig.yaml"
admincluster.manuallbspec (modalità di bilanciamento del carico manuale)
Il controller Ingress nel cluster di amministrazione è implementato come servizio di tipo NodePort.
Il servizio ha una risorsa ServicePort per HTTP e un'altra per la porta HTTPS. Se utilizzi la modalità di bilanciamento del carico manuale, devi scegliere valori nodePort
per queste ServicePort.
Specifica i valori nodePort
in ingresshttpnodeport
e
ingresshttpsnodeport
. Ad esempio:
admincluster: manuallbspec: ingresshttpnodeport: 32527 ingresshttpsnodeport: 30139
Il server API Kubernetes nel cluster di amministrazione è implementato come servizio di
tipo NodePort
. Se utilizzi il bilanciamento del carico manuale, devi scegliere un valore nodePort
per il servizio. Specifica il valore nodePort
in
controlplanenodeport
Ad esempio:
admincluster: manuallbspec: controlplanenodeport: 30968
Il server dei componenti aggiuntivi nel cluster di amministrazione è implementato come servizio di
tipo NodePort
. Se utilizzi il bilanciamento del carico manuale, devi scegliere un valore nodePort
per il servizio. Specifica il valore nodePort
in
controlplanenodeport
Ad esempio:
admincluster: manuallbspec: addonsnodeport: 30562
admincluster.bigip.credentials (modalità di bilanciamento del carico integrato)
Se non utilizzi la modalità di bilanciamento del carico integrata, escludi admincluster.bigip
.
Se utilizzi la modalità di bilanciamento del carico integrata, GKE On-Prem deve conoscere l'indirizzo IP o il nome host, il nome utente e la password del bilanciatore del carico BIG-IP di F5. Per fornire queste informazioni, imposta i valori in admincluster.bigip
.
Ad esempio:
admincluster: bigip: credentials: address: "203.0.113.2" username: "my-admin-f5-name" password: "rJDlm^%7aOzw"
admincluster.bigip.partition (modalità di bilanciamento del carico integrata)
Se utilizzi la modalità di bilanciamento del carico integrata, devi creare una partizione BIG-IP per il tuo cluster di amministrazione. Imposta admincluster.bigip.partition
sul nome della partizione. Ad esempio:
admincluster: bigip: partition: "my-admin-f5-partition"
admincluster.vips
Indipendentemente dal fatto che tu stia utilizzando il bilanciamento del carico integrato o manuale per
il cluster di amministrazione, devi compilare il campo admincluster.vips
.
Imposta il valore di admincluster.vips.controlplanevip
sull'indirizzo IP che hai scelto di configurare sul bilanciatore del carico per il server API Kubernetes del cluster di amministrazione. Imposta il valore ingressvip
sull'indirizzo IP che hai scelto di configurare sul bilanciatore del carico per il controller Ingress in entrata nel cluster di amministrazione. Ad esempio:
admincluster: vips: controlplanevip: 203.0.113.3 ingressvip: 203.0.113.4
admincluster.serviceiprange e admincluster.podiprange
Il cluster di amministrazione deve avere un
intervallo di indirizzi IP
da utilizzare per i servizi e un intervallo di indirizzi IP da utilizzare per i pod. Questi intervalli sono specificati dai campi admincluster.serviceiprange
e admincluster.podiprange
. Questi campi vengono compilati quando esegui gkectl create-config
. Se vuoi, puoi modificare i valori compilati con quelli di tua scelta.
Gli intervalli di servizi e pod non devono sovrapporsi. Inoltre, gli intervalli di servizi e pod non devono sovrapporsi agli indirizzi IP utilizzati per i nodi in qualsiasi cluster.
Esempio:
admincluster: serviceiprange: 10.96.232.0/24 podiprange: 192.168.0.0/16
Specifica del cluster utente
La specifica del cluster utente usercluster
contiene le informazioni necessarie a GKE On-Prem per creare il cluster utente iniziale.
usercluster.vcenter.network
In usercluster.vcenter.network
, puoi specificare una rete vCenter
per i nodi del cluster utente. Tieni presente che questa operazione sostituisce l'impostazione globale fornita in vcenter
. Ad esempio:
usercluster: vcenter: network: MY-USER-CLUSTER-NETWORK
usercluster.ipblockfilepath
Poiché utilizzi indirizzi IP statici, devi disporre di un file di configurazione dell'host, come descritto nella sezione Configurazione degli indirizzi IP statici.
Specifica il percorso del file di configurazione host nel campo usercluster.ipblockfilepath
. Ad esempio:
usercluster: ipblockfilepath: "/my-config-folder/my-user-hostconfig.yaml"
usercluster.manuallbspec
(modalità di bilanciamento del carico manuale)
Il controller in entrata nel cluster utente viene implementato come servizio di tipo NodePort.
Il servizio ha una risorsa ServicePort per HTTP e un'altra per la porta HTTPS. Se utilizzi la modalità di bilanciamento del carico manuale, devi scegliere valori nodePort
per queste ServicePort.
Specifica i valori nodePort
in ingresshttpnodeport
e
ingresshttpsnodeport
. Ad esempio:
usercluster: manuallbspec: ingresshttpnodeport: 30243 ingresshttpsnodeport: 30879
Il server API Kubernetes nel cluster utente viene implementato come servizio di
tipo NodePort
. Se utilizzi il bilanciamento del carico manuale, devi scegliere un valore nodePort
per il servizio. Specifica il valore nodePort
in
controlplanenodeport
. Ad esempio:
usercluster: manuallbspec: controlplanenodeport: 30562
usercluster.bigip.credentials
(modalità di bilanciamento del carico integrata)
Se utilizzi la modalità di bilanciamento del carico integrata, GKE On-Prem deve conoscere l'indirizzo IP o il nome host, il nome utente e la password del bilanciatore del carico BIG-IP di F5 che intendi utilizzare per il cluster utente. Per fornire queste informazioni, imposta i valori in usercluster.bigip
.
Ad esempio:
usercluster: bigip: credentials: address: "203.0.113.5" username: "my-user-f5-name" password: "8%jfQATKO$#z"
usercluster.bigip.partition
(modalità di bilanciamento del carico integrata)
Se utilizzi la modalità di bilanciamento del carico integrata, devi creare una partizione BIG-IP per il tuo cluster utente. Imposta usercluster.bigip.partition
sul nome della partizione. Ad esempio:
usercluster: bigip: partition: "my-user-f5-partition"
usercluster.vips
Indipendentemente dal fatto che tu stia utilizzando il bilanciamento del carico integrato o manuale per
il cluster utente, devi compilare il campo usercluster.vips
.
Imposta il valore usercluster.vips.controlplanevip
sull'indirizzo IP che hai scelto di configurare sul bilanciatore del carico per il server API Kubernetes del cluster utente. Imposta il valore di ingressvip
sull'indirizzo IP che hai scelto di configurare sul bilanciatore del carico per il controller Ingress in entrata del cluster utente. Ad esempio:
usercluster: vips: controlplanevip: 203.0.113.6 ingressvip: 203.0.113.7
usercluster.serviceiprange
e usercluster.podiprange
Il cluster utente deve avere un intervallo di indirizzi IP da utilizzare per i servizi e un intervallo di indirizzi IP da utilizzare per i pod. Questi intervalli sono specificati dai campi usercluster.serviceiprange
e usercluster.podiprange
. Questi campi vengono compilati quando esegui gkectl create-config
. Se vuoi, puoi modificare i valori compilati con quelli di tua scelta.
Gli intervalli di servizi e pod non devono sovrapporsi. Inoltre, gli intervalli di servizi e pod non devono sovrapporsi agli indirizzi IP utilizzati per i nodi in qualsiasi cluster.
Esempio:
usercluster: serviceiprange: 10.96.233.0/24 podiprange: 172.16.0.0/12
usercluster.clustername
Imposta il valore di usercluster.clustername
con un nome a tua scelta. Scegli un nome che non superi i 40 caratteri. Ad esempio:
usercluster: clustername: "my-user-cluster-1"
usercluster.masternode.replicas
Il campo usercluster.masternode.replicas
specifica il numero di nodi del piano di controllo che vuoi che il cluster utente abbia. Il nodo del piano di controllo di un cluster utente esegue il piano di controllo
utente, i componenti del piano di controllo Kubernetes. Questo valore deve essere 1
o 3
:
- Imposta questo campo su
1
per eseguire un piano di controllo dell'utente. - Imposta questo campo su
3
se vuoi che abbia un piano di controllo dell'utente ad alta disponibilità composto da tre nodi del piano di controllo, ognuno dei quali esegue un piano di controllo dell'utente.
usercluster.masternode.cpus
e usercluster.masternode.memorymb
I campi usercluster.masternode.cpus
e usercluster.masternode.memorymb
specificano quante CPU e quanta memoria, in megabyte, è allocata a ciascun nodo del piano di controllo del cluster utente. Ad esempio:
usercluster: masternode: cpus: 4 memorymb: 8192
usercluster.workernode.replicas
Il campo usercluster.workernode.replicas
specifica il numero di nodi worker che vuoi che il cluster utente abbia. I nodi worker eseguono i carichi di lavoro del cluster.
usercluster.workernode.cpus
e usercluster.workernode.memorymb
I campi usercluster.masternode.cpus
e usercluster.masternode.memorymb
specificano quante CPU e quanta memoria, in megabyte, è allocata a ciascun nodo worker del cluster utente. Ad esempio:
usercluster: workernode: cpus: 4 memorymb: 8192 replicas: 3
clusterutente.oidc
Se vuoi che i client del cluster utente utilizzino l'autenticazione OIDC, imposta i valori per i campi in usercluster.oidc
. La configurazione dell'OIDC è facoltativa.
Per scoprire come configurare OIDC, consulta Autenticazione con OIDC.
- Informazioni sull'installazione della versione 1.0.2-gke.3
La versione 1.0.2-gke.3 introduce i seguenti campi OIDC (
usercluster.oidc
). Questi campi consentono di accedere a un cluster dalla console Google Cloud:- usercluster.oidc.kubectlredirecturl
- usercluster.oidc.clientsecret
- usercluster.oidc.usehttpproxy
Nella versione 1.0.2-gke.3, se vuoi utilizzare OIDC, il campo
clientsecret
è obbligatorio anche se non vuoi accedere a un cluster da Google Cloud Console. In tal caso, puoi fornire un valore segnaposto perclientsecret
:oidc: clientsecret: "secret"
clusterutente.sni
L'indicazione del nome del server (SNI), un'estensione di Transport Layer Security (TLS), consente ai server di presentare più certificati su un singolo indirizzo IP e una porta TCP, a seconda del nome host indicato dal client.
Se la tua CA è già distribuita come CA attendibile ai client esterni al tuo cluster utente e vuoi fare affidamento su questa catena per identificare i cluster attendibili, puoi configurare il server API Kubernetes con un certificato aggiuntivo che viene presentato ai client esterni dell'indirizzo IP del bilanciatore del carico.
Per utilizzare SNI con i tuoi cluster utente, devi avere una CA e una infrastruttura a chiave pubblica (PKI). Esegui il provisioning di un certificato di pubblicazione separato per ogni cluster utente e GKE On-Prem aggiunge ogni ulteriore certificato di pubblicazione al rispettivo cluster utente.
Per configurare SNI per il server API Kubernetes del cluster utente, fornisci i valori per usercluster.sni.certpath
(percorso del certificato esterno) e usercluster.sni.keypath
(percorso del file della chiave privata del certificato esterno).
Ad esempio:
usercluster: sni: certpath: "/my-cert-folder/example.com.crt" keypath: "/my-cert-folder/example.com.key"
lbmode
Puoi utilizzare il bilanciamento del carico integrato o il bilanciamento del carico manuale. La modalità di bilanciamento del carico scelta si applica al cluster di amministrazione e al cluster utente iniziale. Si applica anche a eventuali cluster utente aggiuntivi che creerai in futuro.
Specifica la scelta del bilanciamento del carico impostando il valore lbmode
su Integrated
o Manual
. Ad esempio:
lbmode: Integrated
gkeconnect
La specifica gkeconnect
contiene le informazioni necessarie a GKE On-Prem per configurare la gestione dei cluster on-prem da Google Cloud Console.
Imposta gkeconnect.projectid
sull'ID del progetto Google Cloud in cui vuoi gestire i tuoi cluster on-prem.
Imposta il valore gkeconnect.registerserviceaccountkeypath
sul percorso del file della chiave JSON per l'account di servizio di registrazione.
Imposta il valore gkeconnect.agentserviceaccountkeypath
sul percorso del file della chiave JSON per l'account di servizio di connessione.
Esempio:
gkeconnect: projectid: "my-project" registerserviceaccountkeypath: "/my-key-folder/register-key.json" agentserviceaccountkeypath: "/my-key-folder/connect-key.json"
stackdriver
La specifica stackdriver
contiene le informazioni necessarie a GKE On-Prem per archiviare le voci di log generate dai cluster on-prem.
Imposta stackdriver.projectid
sull'ID del progetto Google Cloud in cui vuoi visualizzare i log di Stackdriver relativi ai tuoi cluster on-prem.
Imposta stackdriver.clusterlocation
in una regione Google Cloud in cui vuoi archiviare i log di Stackdriver. È consigliabile scegliere una regione vicina al data center on-premise.
Imposta stackdriver.enablevpc
su true
se la rete del cluster è controllata da un VPC. Ciò garantisce che tutta la
telemetria passi attraverso gli indirizzi IP limitati di Google.
Imposta stackdriver.serviceaccountkeypath
sul percorso del file della chiave JSON per l'account di servizio Stackdriver Logging.
Esempio:
stackdriver: projectid: "my-project" clusterlocation: "us-west1" enablevpc: false serviceaccountkeypath: "/my-key-folder/stackdriver-key.json"
privateregistryconfig
Se hai un registro Docker privato, il campo privateregistryconfig
contiene le informazioni utilizzate da GKE On-Prem per eseguire il push delle immagini al registro privato. Se non specifichi un registro privato, gkectl
estrae le immagini container di GKE On-Prem dal suo repository Container Registry, gcr.io/gke-on-prem-release
, durante l'installazione.
In privatedockerregistry.credentials
, imposta address
sull'indirizzo IP della macchina che esegue il registro Docker privato. Imposta username
e
password
il nome utente e la password del registro Docker privato. Il valore impostato per address
viene aggiunto automaticamente a proxy.noproxy
.
Quando Docker estrae un'immagine dal registro privato, il registro deve dimostrare la propria identità presentando un certificato. Il certificato del registry viene firmato da un'autorità di certificazione (CA). Docker utilizza il certificato della CA per convalidare il certificato del Registro di sistema.
Imposta privateregistryconfig.cacertpath
sul percorso del certificato dell'autorità di certificazione. Ad esempio:
privateregistryconfig: cacertpath: /my-cert-folder/registry-ca.crt
gcrkeypath
Imposta il valore gcrkeypath
sul percorso del file della chiave JSON del tuo account di servizio nella lista consentita.
Ad esempio:
gcrkeypath: "/my-key-folder/whitelisted-key.json"
cloudauditlogging
Se vuoi inviare gli audit log di Kubernetes al progetto Google Cloud, compila la specifica cloudauditlogging
. Ad esempio:
cloudauditlogging: projectid: "my-project" # A GCP region where you would like to store audit logs for this cluster. clusterlocation: "us-west1" # The absolute or relative path to the key file for a GCP service account used to # send audit logs from the cluster serviceaccountkeypath: "/my-key-folder/audit-logging-key.json"