File di configurazione del cluster utente

In questa pagina vengono descritti i campi nel file di configurazione del cluster utente.

Generazione di un modello per un file di configurazione in corso...

Se hai utilizzato gkeadm per creare la tua workstation di amministrazione, gkeadm ha generato un modello per il file di configurazione del cluster utente. E gkdadm ha compilato alcuni campi per te.

Se non hai utilizzato gkeadm per creare la tua workstation di amministrazione, puoi utilizzare gkectl per generare un modello per il file di configurazione del cluster utente.

Per generare un modello per il file di configurazione del cluster utente:

gkectl create-config cluster --config=[OUTPUT_FILENAME]

dove [OUTPUT_FILENAME] è un percorso a tua scelta per il modello generato. Se ometti questo flag, gkectl assegna un nome al file user-cluster.yaml e lo inserisce nella directory attuale.

apiVersion: v1
kind: UserCluster
# (Required) A unique name for this cluster
name: ""
# (Required) GKE on-prem version (example: 1.3.0-gke.16)
gkeOnPremVersion: ""
# # (Optional) vCenter configuration (default: inherit from the admin cluster)
# vCenter:
#   resourcePool: ""
#   datastore: ""
#   # Provide the path to vCenter CA certificate pub key for SSL verification
#   caCertPath: ""
#   # The credentials and address to connect to vCenter
#   credentials:
#     username: ""
#     password: ""
# (Required) Network configuration; vCenter section is optional and inherits from
# the admin cluster if not specified
network:
  ipMode:
    # (Required) Define what IP mode to use ("dhcp" or "static")
    type: dhcp
    # # (Required when using "static" mode) The absolute or relative path to the yaml file
    # # to use for static IP allocation
    # ipBlockFilePath: ""
  # (Required) The Kubernetes service CIDR range for the cluster. Must not overlap
  # with the pod CIDR range
  serviceCIDR: 10.96.0.0/12
  # (Required) The Kubernetes pod CIDR range for the cluster. Must not overlap with
  # the service CIDR range
  podCIDR: 192.168.0.0/16
  vCenter:
    # vSphere network name
    networkName: ""
# (Required) Load balancer configuration
loadBalancer:
  # (Required) The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlPlaneVIP: ""
    # Shared by all services for ingress traffic
    ingressVIP: ""
  # (Required) Which load balancer to use "F5BigIP" "Seesaw" or "ManualLB". Uncomment
  # the corresponding field below to provide the detailed spec
  kind: Seesaw
  # # (Required when using "ManualLB" kind) Specify pre-defined nodeports
  # manualLB:
  #   ingressHTTPNodePort: 30243
  #   ingressHTTPSNodePort: 30879
  #   controlPlaneNodePort: 30562
  #   addonsNodePort: 0
  # # (Required when using "F5BigIP" kind) Specify the already-existing partition and
  # # credentials
  # f5BigIP:
  #   address: ""
  #   credentials:
  #     username: ""
  #     password: ""
  #   partition: ""
  #   # # (Optional) Specify a pool name if using SNAT
  #   # snatPoolName: ""
  # (Required when using "Seesaw" kind) Specify the Seesaw configs
  seesaw:
    # (Required) The absolute or relative path to the yaml file to use for IP allocation
    # for LB VMs. Must contain one or two IPs.
    ipBlockFilePath: ""
    # (Required) The Virtual Router IDentifier of VRRP for the Seesaw group. Must
    # be between 1-255 and unique in a VLAN.
    vrid: 0
    # (Required) The IP announced by the control plane of Seesaw group
    masterIP: ""
    # (Required) The number CPUs per machine
    cpus: 4
    # (Required) Memory size in MB per machine
    memoryMB: 8192
    # (Optional) Network that the LB interface of Seesaw runs in (default: cluster
    # network)
    vCenter:
      # vSphere network name
      networkName: ""
    # (Optional) Run two LB VMs to achieve high availability (default: false)
    enableHA: false
# (Optional) User cluster control plane nodes must have either 1 or 3 replicas (default:
# 4 CPUs; 16384 MB memory; 1 replica)
masterNode:
  cpus: 4
  memoryMB: 8192
  # How many machines of this type to deploy
  replicas: 1
# (Required) List of node pools. The total un-tainted replicas across all node pools
# must be greater than or equal to 3
nodePools:
- name: pool-1
  # # Labels to apply to Kubernetes Node objects
  # labels: {}
  # # Taints to apply to Kubernetes Node objects
  # taints:
  # - key: ""
  #   value: ""
  #   effect: ""
  cpus: 4
  memoryMB: 8192
  # How many machines of this type to deploy
  replicas: 3
# Spread nodes across at least three physical hosts (requires at least three hosts)
antiAffinityGroups:
  # Set to false to disable DRS rule creation
  enabled: true
# # (Optional): Configure additional authentication
# authentication:
#   # (Optional) Configure OIDC authentication
#   oidc:
#     issuerURL: ""
#     kubectlRedirectURL: ""
#     clientID: ""
#     clientSecret: ""
#     username: ""
#     usernamePrefix: ""
#     group: ""
#     groupPrefix: ""
#     scopes: ""
#     extraParams: ""
#     # Set value to string "true" or "false"
#     deployCloudConsoleProxy: ""
#     # # The absolute or relative path to the CA file (optional)
#     # caPath: ""
#   # (Optional) Provide an additional serving certificate for the API server
#   sni:
#     certPath: ""
#     keyPath: ""
# (Optional) Specify which GCP project to connect your logs and metrics to
stackdriver:
  projectID: ""
  # A GCP region where you would like to store logs and metrics for this cluster.
  clusterLocation: ""
  enableVPC: false
  # The absolute or relative path to the key file for a GCP service account used to
  # send logs and metrics from the cluster
  serviceAccountKeyPath: ""
# (Optional) Specify which GCP project to connect your GKE clusters to
gkeConnect:
  projectID: ""
  # The absolute or relative path to the key file for a GCP service account used to
  # register the cluster
  registerServiceAccountKeyPath: ""
  # The absolute or relative path to the key file for a GCP service account used by
  # the GKE connect agent
  agentServiceAccountKeyPath: ""
# (Optional) Specify Cloud Run configuration
cloudRun:
  enabled: false
# # (Optional/Alpha) Configure the GKE usage metering feature
# usageMetering:
#   bigQueryProjectID: ""
#   # The ID of the BigQuery Dataset in which the usage metering data will be stored
#   bigQueryDatasetID: ""
#   # The absolute or relative path to the key file for a GCP service account used by
#   # gke-usage-metering to report to BigQuery
#   bigQueryServiceAccountKeyPath: ""
#   # Whether or not to enable consumption-based metering
#   enableConsumptionMetering: false
# # (Optional/Alpha) Configure kubernetes apiserver audit logging
# cloudAuditLogging:
#   projectid: ""
#   # A GCP region where you would like to store audit logs for this cluster.
#   clusterlocation: ""
#   # The absolute or relative path to the key file for a GCP service account used to
#   # send audit logs from the cluster
#   serviceaccountkeypath: ""

Compilazione del file di configurazione

Nel file di configurazione, inserisci i valori dei campi come descritto nelle sezioni seguenti.

name

Stringa. Un nome scelto da te per il tuo cluster utente. Ecco alcuni esempi:

name: "my-user-cluster"

gkeOnPremVersion

Stringa. La versione GKE On-Prem per il cluster utente. Ecco alcuni esempi:

gkeOnPremVersion: 1.4.3-gke.3

vCenter

Se vuoi che tutti gli aspetti del tuo ambiente vCenter siano gli stessi che hai specificato per il tuo cluster di amministrazione, rimuovi questa sezione o lasciala commentata.

Se vuoi che alcuni aspetti del tuo ambiente vCenter siano diversi da quelli che hai specificato per il tuo cluster di amministrazione, compila i campi pertinenti in questa sezione. Tutti i campi impostati qui nella sezione vCenter sostituiscono i campi corrispondenti nel file di configurazione del cluster di amministrazione.

vCenter.credentials.address

Stringa. L'indirizzo IP o il nome host del server vCenter per il tuo cluster utente.

Prima di compilare il campo address, scarica e controlla il certificato di pubblicazione del server vCenter. Inserisci questo comando per scaricare il certificato e salvarlo in un file denominato vcenter.pem.

true | openssl s_client -connect [VCENTER_IP]:443 -showcerts 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' > vcenter.pem

dove [VCENTER_IP] è l'indirizzo IP del tuo server vCenter.

Apri il file del certificato per vedere il nome comune del soggetto e il nome alternativo dell'oggetto:

openssl x509 -in vcenter.pem -text -noout

L'output mostra il Common Name (CN) Subject. Potrebbe essere un indirizzo IP o un nome host. Ecco alcuni esempi:

Subject: ... CN = 203.0.113.101

Subject: ... CN = my-user-vc-server.my-domain.example

L'output potrebbe includere anche uno o più nomi DNS in Subject Alternative Name:

X509v3 Subject Alternative Name:
    DNS:vcenter.my-domain.example

Scegli il nome comune Subject o uno dei nomi DNS in Subject Alternative Name da utilizzare come valore di vcenter.credentials.address nel file di configurazione. Ecco alcuni esempi:

vCenter:
  credentials:
    address: "203.0.113.101"
    ...

vCenter:
  credentials:
    address: "my-user-vc-server.my-domain.example"
    ...

vCenter.credentials.username

Stringa. Un account utente vCenter Server per l'accesso al server vCenter del cluster utente. L'account utente deve avere il ruolo Amministratore o privilegi equivalenti. Consulta i requisiti di vSphere.

Ecco alcuni esempi:

vCenter:
  credentials:
    username: "my-user-account@vsphere.local"

vCenter.credentials.password

Stringa. La password dell'account utente di vCenter Server. Ecco alcuni esempi:

vCenter:
  credentials:
    password: "#STyZ2T#Ko2o"

vCenter.datastore

Stringa. Il nome del datastore vCenter per il cluster utente. Ecco alcuni esempi:

vCenter:
  datastore: "MY-USER-DATASTORE"

vCenter.resourcePool

Stringa. Il nome del pool di risorse vCenter per il tuo cluster utente. Se utilizzi un pool di risorse non predefinito, specifica il nome del pool di risorse vCenter.

Ecco alcuni esempi:

vCenter:
  resourcePool: "MY-USER-POOL"

Se utilizzi il pool di risorse predefinito, fornisci il seguente valore:

vCenter:
  resourcePool: "[VCENTER_CLUSTER]/Resources"

dove [VCENTER_CLUSTER] è il nome del tuo cluster vCenter.

Vedi Specificare il pool di risorse principali per un host autonomo.

vCenter.caCertPath

Stringa. Quando un client, come GKE On-Prem, invia una richiesta al tuo server vCenter, il server deve dimostrare la propria identità al client presentando un certificato o un bundle di certificati. Per verificare il certificato o il bundle, GKE On-Prem deve avere il certificato radice nella catena di attendibilità.

Imposta vCenter.caCertPath sul percorso del certificato radice. Ecco alcuni esempi:

vCenter:
  caCertPath: "/usr/local/google/home/me/certs/user-vcenter-ca-cert.pem"

La tua installazione VMware ha un'autorità di certificazione (CA) che emette un certificato per il server vCenter. Il certificato radice nella catena di trust è un certificato autofirmato creato da VMware.

Se non vuoi utilizzare VMWare, che è l'impostazione predefinita, puoi configurare VMware in modo da utilizzare un'autorità di certificazione diversa.

Se il server vCenter utilizza un certificato emesso dalla CA VMware predefinita, scarica il certificato nel seguente modo:

curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

dove [SERVER_ADDRESS] è l'indirizzo del tuo server vCenter.

Installa il comando unzip e decomprimi il file del certificato:

sudo apt-get install unzip
unzip downloads.zip

Se il comando decomprimi non funziona la prima volta, inseriscilo di nuovo.

Cerca il file del certificato in certs/lin.

network

Questa sezione contiene informazioni sulla rete del cluster utente.

network.ipMode.type

Stringa. Se vuoi che i nodi del cluster ricevano l'indirizzo IP da un server DHCP, impostalo su "dhcp". Se vuoi che i nodi del cluster abbiano indirizzi IP statici scelti da un elenco fornito, impostalo su "static". Ad esempio:

network:
  ipMode:
    type: "static"

network.ipBlockFilePath

Se imposti ipMode.type su "static", compila questo campo.

Se imposti ipMode.type su "dhcp", rimuovi questo campo o non commentarlo.

Stringa. Il percorso del file hostconfig per il tuo cluster. Ecco alcuni esempi:

network:
  ipBlockFilePath: "/my-config-directory/user-hostconfig.yaml"

network.serviceCIDR e network.podCiDR

Stringa. Il cluster utente deve avere un intervallo di indirizzi IP da utilizzare per i servizi e un intervallo di indirizzi IP da utilizzare per i pod. Questi intervalli sono specificati dai campi network.serviceCIDR e network.podCIDR. Questi campi vengono completati con i valori predefiniti. Se vuoi, puoi modificare i valori completati e utilizzare quelli che preferisci.

Gli intervalli di servizi e pod non devono sovrapporsi. Inoltre, gli intervalli di servizi e pod non devono sovrapporsi agli indirizzi IP utilizzati per i nodi in qualsiasi cluster.

Esempio:

network:
  serviceCIDR: "10.96.232.0/24"
  podCIDR: "192.168.0.0/16"

network.vCenter.networkName

Stringa. Il nome della rete vSphere per i nodi del cluster utente.

Se il nome contiene un carattere speciale, devi utilizzare una sequenza di escape.

Se il nome della rete non è univoco, è possibile specificare un percorso alla rete, ad esempio /DATACENTER/network/NETWORK_NAME.

Ecco alcuni esempi:

network:
  vCenter:
    networkName: "MY-USER-CLUSTER-NETWORK"

loadBalancer

Questa sezione contiene le informazioni sul bilanciatore del carico per il cluster utente.

loadBalancer.vips.controlPlaneVIP

L'indirizzo IP che hai scelto di configurare sul bilanciatore del carico per il server API Kubernetes del cluster di amministrazione. Ecco alcuni esempi:

loadBalancer:
  vips:
    controlplaneVIP: "203.0.113.3"

loadBalancer.vips.ingressVIP

L'indirizzo IP che hai scelto di configurare sul bilanciatore del carico per il traffico in entrata. Ecco alcuni esempi:

loadBalancer:
  vips:
    ingressVIP: "203.0.113.4"

loadBalancer.kind

Stringa. Imposta questo valore su "Seesaw", "F5BigIP" o "ManualLB". Ad esempio:

loadBalancer:
  kind: "Seesaw"

loadBalancer.manualLB

Se imposti loadbalancer.kind su "manualLB", compila questa sezione. In caso contrario, rimuovi questa sezione o lasciala eliminata.

loadBalancer.manualLB.ingressHTTPNodePort

Numero intero. Il servizio in entrata nel cluster di amministrazione è implementato come servizio di tipo NodePort. Il servizio dispone di un servizio ServicePort per HTTP. Devi scegliere un valore nodePort per le ServicePort HTTP.

Imposta questo campo sul valore nodePort. Ecco alcuni esempi:

loadBalancer:
  manualLB:
    ingressHTTPNodePort: 32527

loadBalancer.manualLB.ingressHTTPSNodePort

Numero intero. Il servizio in entrata nel cluster di amministrazione è implementato come servizio di tipo NodePort. Il servizio dispone di un ServicePort per HTTPS. Devi scegliere un valore nodePort per ServicePort HTTPS.

Imposta questo campo sul valore nodePort. Ecco alcuni esempi:

loadBalancer:
  manualLB:
    ingressHTTPSNodePort: 30139

loadBalancer.manualLB.controlPlaneNodePort

Numero intero. Il server API di Kubernetes nel cluster di amministrazione è implementato come servizio di tipo NodePort. Devi scegliere un valore nodePort per il servizio.

Imposta questo campo sul valore nodePort. Ecco alcuni esempi:

loadBalancer:
  manualLB:
    contolPLaneNodePort: 30968

loadBalancer.manualLB.addonsNodePort

Numero intero. Il server dei componenti aggiuntivi viene implementato come servizio di tipo NodePort. Devi scegliere un valore nodePort per il servizio.

Imposta questo campo sul valore nodePort. Ecco alcuni esempi:

loadBalancer:
  manualLB:
    addonsNodePort: 31405

loadBalancer.f5BigIP

Se imposti loadbalancer.kind su "f5BigIP", compila questa sezione. In caso contrario, rimuovi questa sezione o lasciala eliminata.

loadBalancer.f5BigIP.credentials.address

Stringa. L'indirizzo del bilanciatore del carico BIG-IP di F5. Ecco alcuni esempi:

loadBalancer:
  f5BigIP:
    credentials:
      address: "203.0.113.2"

loadBalancer.f5BigIP.credentials.username

Stringa. Il nome utente di un account che GKE On-Prem può utilizzare per la connessione al bilanciatore del carico BIG-IP di F5. Ecco alcuni esempi:

loadBalancer:
  f5BigIP:
    credentials:
      username: "my-admin-f5-name"

loadBalancer.f5BigIP.credentials.password

Stringa. La password che GKE On-Prem può utilizzare per la connessione al bilanciatore del carico F5 BIG-IP. Ecco alcuni esempi:

loadBalancer:
  f5BigIP:
    credentials:
      password: "rJDlm^%7aOzw"

loadBalancer.f5BigIP.partition

Stringa. Il nome di una partizione BIG-IP creata per il cluster di amministrazione. Ecco alcuni esempi:

loadBalancer:
  f5BigIP:
    partition: "my-f5-admin-partition"

loadBalancer.f5BigIP.snatPoolName

Stringa. Se utilizzi SNAT, il nome del pool SNAT. Se non utilizzi SNAT, rimuovi questo campo o non commentarlo. Ecco alcuni esempi:

loadBalancer:
  f5BigIP:
    snatPoolName: "my-snat-pool"

loadBalancer.seesaw

Se imposti loadbalancer.kind su "Seesaw", compila questa sezione. In caso contrario, rimuovi questa sezione o lasciala eliminata.

loadBalancer.seesaw.ipBlockFilePath

Stringa. Impostalo sul percorso del file hostconfig per la tua VM Seesaw. Ad esempio:

loadbalancer:
  seesaw:
    ipBlockFilePath: "admin-seesaw-hostconfig.yaml"

loadBalancer.seesaw.vird

Numero intero. L'identificatore del router virtuale della coppia di VM o VM di Seesaw. Questo identificatore deve essere univoco in una VLAN. L'intervallo valido è 1-255. Ecco alcuni esempi:

loadBalancer:
  seesaw:
    vrid: 125

loadBalancer.seesaw.masterIP

Stringa. Un VIP a tua scelta da fare annunciare dalla VM di Seesaw del piano di controllo. Ecco alcuni esempi:

loadBalancer:
  seesaw:
    masterIP: 172.16.20.21

loadBalancer.seesaw.cpus

Numero intero. Il numero di CPU per ciascuna delle tue VM Seesaw. Ecco alcuni esempi:

loadBalancer:.
  seesaw:
    cpus: 8

loadBalancer.seesaw.memoryMB

Numero intero. Il numero di megabyte di memoria per ciascuna delle tue VM Seesaw. Ecco alcuni esempi:

loadBalancer:.
  seesaw:
    memoryMB: 8192

loadBalancer.seesaw.vCenter.networkName

Stringa. Il nome della rete che contiene le VM di Seesaw. Ecco alcuni esempi:

loadBalancer:
  seesaw:
    vCenter:
      networkName: "my-seesaw-network"

loadBalancer.seesaw.enableHA

Valore booleano. Se vuoi creare un bilanciatore del carico di Seesaw ad alta disponibilità, impostalo su true. In caso contrario, imposta questo valore su false. Ecco alcuni esempi:

loadBalancer:.
  seesaw:
    enableHA: true

masterNode

Questa sezione contiene le informazioni sui nodi, nel cluster di amministrazione, che fungono da nodi del piano di controllo per il cluster utente.

masterNode.cpus

Numero intero. Il numero di CPU per ciascun nodo del cluster di amministrazione che funge da piano di controllo per questo cluster utente. Ecco alcuni esempi:

masterNode:
  cpus: 8

masterNode.memoryMB

Numero intero. La quantità di megabyte di memoria per ogni nodo del cluster di amministrazione che funge da piano di controllo per questo cluster utente. Ecco alcuni esempi:

masterNode:
  memoryMB: 8192

masterNode.replicas

Numero intero. Il numero di nodi del piano di controllo per questo cluster utente. Imposta questo campo su 1 o 3. Ecco alcuni esempi:

masterNode:
  replicas: 3

nodePools

Array di oggetti, ciascuno dei quali descrive un pool di nodi.

nodePools[i].name

Stringa. Un nome scelto da te per il pool di nodi. Ecco alcuni esempi:

nodePools:
- name: "my-node-pool"

noodePools[i].labels

Mappatura. Etichette da applicare a ciascun nodo nel pool. Ecco alcuni esempi:

nodePools:
- name: "my-node-pool"
  labels:
    environment: "production"
    tier: "cache"

nodePools[i].taints

Array di oggetti, ciascuno dei quali descrive un'incompatibilità. Ecco alcuni esempi:

nodePools:
- name: "my-node-pool"
  taints:
  - key: "staging"
    value: "true"
    effect: "NoSchedule"

nodePools[i].cpus

Numero intero. Il numero di CPU per ogni nodo nel pool. Ecco alcuni esempi:

nodePools"
- name: "my-node-pool"
  cpus: 8

nodePools[i].memoryMB

Numero intero. La quantità di megabyte di memoria per ogni nodo nel pool. Ecco alcuni esempi:

nodePools"
- name: "my-node-pool"
  memoryMB: 8192

nodePools[i].replicas

Numero intero. Il numero di nodi nel pool. Ecco alcuni esempi:

nodePools:
- name: "my-node-pool"
  replicas: 5

nodePools[i].vsphere.datastore

Stringa. Nome del datastore vCenter su cui verrà creato ciascun nodo del pool. Ecco alcuni esempi:

nodePools:
- name: "my-node-pool"
  vsphere:
    datastore: "my-datastore"

antiAffinityGroups.enabled

Valore booleano. Imposta questo valore su true per abilitare la creazione delle regole DRS. In caso contrario, imposta questo valore su false. Ecco alcuni esempi:

antiAffinityGroups:
  enabled: true

authentication

Questa sezione contiene informazioni sulla modalità di autenticazione e autorizzazione degli utenti del cluster.

authentication.oidc

Se vuoi utilizzare OpenID Connect (OIDC) per gestire l'accesso a questo cluster, compila questa sezione. In caso contrario, rimuovi questa sezione o lasciala non commentata.

authentication.oidc.issuerURL

Stringa. L'URL del tuo provider OpenID. Le applicazioni client, come lgcloud CLI e la console Google Cloud, inviano richieste di autorizzazione a questo URL. Il server API di Kubernetes utilizza questo URL per scoprire le chiavi pubbliche per la verifica dei token. È necessario utilizzare HTTPS. Ecco alcuni esempi:

authentication:
  oidc:
    issuerURL: "https://example.com/adfs"

authentication.oidc.kubectlRedirectURL

Stringa. L'URL di reindirizzamento per gcloud CLI. Ecco alcuni esempi:

authentication:
  oidc:
    kubectlRedirectURL: "https://localhost:1025/callback"

authentication.oidc.clientID

Stringa. ID dell'applicazione client che invia richieste di autenticazione al provider OpenID. Sia l'interfaccia a riga di comando gcloud che la console Google Cloud utilizzano questo ID. Ecco alcuni esempi:

authentication:
  oidc:
    clientID: "my-big-hex-string"

authentication.oidc.clientSecret

Stringa. Secret per l'applicazione client. Sia l'interfaccia alla gcloud CLI sia la console Google Cloud utilizzano questo secret. Ecco alcuni esempi:

authentication:
  oidc:
    clientSecret: "N3i&JlLZoD!W"

authentication.oidc.username

Stringa. La dichiarazione JWT da utilizzare come nome dell'utente. Il valore predefinito è sub, che dovrebbe essere un identificatore univoco dell'utente finale. Puoi scegliere altre rivendicazioni, ad esempio email o name, a seconda del provider OpenID. Tuttavia, le rivendicazioni diverse da email hanno come prefisso l'URL dell'emittente, per evitare conflitti di denominazione con altri plug-in. Ecco alcuni esempi:

authentication:
  oidc:
    username: "sub"

authentication.oidc.usernamePrefix

Stringa. Prefisso anteposto alle attestazioni di nome utente per evitare conflitti con i nomi esistenti. Se non fornisci questo campo e username è un valore diverso da email, il prefisso viene impostato sul valore predefinito issuerurl#. Puoi utilizzare il valore - per disattivare tutti i prefissi. Ecco alcuni esempi:

authentication:
  oidc:
    usernamePrefix: "my-prefix"

authentication.oidc.group

Stringa. La dichiarazione JWT che il provider utilizzerà per restituire i tuoi gruppi di sicurezza. Ecco alcuni esempi:

authentication:
  oidc:
    group: "sec-groups"

authentication.oidc.groupPrefix

Stringa. Prefisso anteposto alle attestazioni dei gruppi per evitare conflitti con i nomi esistenti. Ad esempio, dato un gruppo foobar e un prefisso gid-, gid-foobar. Per impostazione predefinita, il valore è vuoto e non è presente alcun prefisso. Ecco alcuni esempi:

authentication:
  oidc:
    groupPrefix: "gid-"

authentication.oidc.scopes

Stringa. Un elenco delimitato da virgole di ambiti aggiuntivi da inviare al provider OpenID. Ecco alcuni esempi:

authentication:
  oidc:
    scopes: "offline-access"

Per l'autenticazione con Microsoft Azure o Okta, imposta questa opzione su offline_access.

authentication.oidc.extraParams

Stringa. Un elenco delimitato da virgole di parametri chiave-valore da inviare al provider OpenID.

• Per un elenco dei parametri di autenticazione, consulta Parametri URI di autenticazione.

• Se stai autorizzando un gruppo, imposta questo campo su "resource=token-groups-claim".

• Se il server di autorizzazione richiede il consenso, imposta questo campo su "prompt=consent"

Ecco alcuni esempi:

authentication:
  oidc:
    extraparams: "prompt=consent"

authentication.oidc.deployCloudConsoleProxy

Stringa. Specifica se eseguire il deployment di un proxy inverso nel cluster per consentire alla console Google Cloud di accedere al provider OIDC on-premise per l'autenticazione degli utenti. M deve essere una stringa: "true" o "false". Se il provider di identità non è raggiungibile tramite la rete Internet pubblica e vuoi eseguire l'autenticazione tramite la console Google Cloud, devi impostare questo campo su "true". Se il campo viene lasciato vuoto, questo campo viene impostato su "false" per impostazione predefinita.

authentication.oidc.caPath

Stringa. Percorso del certificato per l'autorità di certificazione (CA) che ha emesso il certificato web del provider di identità. Questo valore potrebbe non essere necessario. Ad esempio, se il certificato del provider di identità è stato emesso da una CA pubblica nota, non devi fornire un valore qui. Tuttavia, se deployCloudConsoleProxy è "true", devi fornire questo valore, anche per una CA pubblica nota.

Ecco alcuni esempi:

authentication:
  oidc:
    caPath: "my-cert-folder/provider-root-cert.pem"

authentication.sni

Se vuoi fornire un certificato di pubblicazione aggiuntivo per il server API Kubernetes del cluster, compila questa sezione. In caso contrario, rimuovi questa sezione o lasciala eliminata.

authentication.sni.certPath

Stringa. Il percorso di un certificato di gestione per il server API Kubernetes. Ad esempio:

authentication:
  sni:
    certPath: "my-cert-folder/example.com.crt"

authentication.sni.keyPath

Stringa. Percorso del file della chiave privata del certificato. Ecco alcuni esempi:

authentication:
  sni:
    keyPath: "my-cert-folder/example.com.key"

stackdriver

Questa sezione contiene informazioni sul progetto Google Cloud e sull'account di servizio che vuoi utilizzare per archiviare i log e le metriche.

stackdriver.projectID

Stringa. L'ID del progetto Google Cloud in cui vuoi visualizzare i log. Ecco alcuni esempi:

stackdriver:
  projectID: "my-logs-project"

stackdriver.clusterLocation

Stringa. La regione Google Cloud in cui vuoi archiviare i log. È una buona scelta una regione vicina al data center on-premise. Ecco alcuni esempi:

stackdriver:
  clusterLocation: "us-central1"

stackdriver.enableVPC

Valore booleano. Se la rete del cluster è controllata da un VPC, imposta questo campo su true. Ciò garantisce che tutta la telemetria passi attraverso gli indirizzi IP limitati di Google. In caso contrario, imposta questo campo su false. Ecco alcuni esempi:

stackdriver:
  enableVPC: false

stackdriver.serviceAccountKeyPath

Stringa. Il percorso del file della chiave JSON per l'account di servizio di monitoraggio del logging. Ecco alcuni esempi:

stackdriver:
  serviceAccountKeyPath: "my-key-folder/log-mon-key.json"

cloudAuditLogging

Se vuoi integrare gli audit log dal server API Kubernetes del cluster con Cloud Audit Logs, compila questa sezione. In caso contrario, rimuovi questa sezione o lasciala commentata.

cloudAuditLogging.projectid`

Stringa. L'ID del progetto Google Cloud in cui vuoi archiviare gli audit log. Ecco alcuni esempi:

cloudAuditLogging:
  projectid: "my-audit-project"

cloudAuditLogging.clusterlocation

Stringa. La regione Google Cloud in cui vuoi archiviare gli audit log. È scelta una regione vicina al data center on-premise. Ad esempio:

cloudAuditLogging:
  clusterlocation: "us-central1"

cloudAuditLogging.serviceaccountkeypath

Stringa. Il percorso del file della chiave JSON per il tuo account di servizio di audit logging. Ecco alcuni esempi:

cloudAuditLogging:
  serviceaccountkeypath: "my-key-folder/audit-log-key.json"

gkeConnect

Questa sezione contiene le informazioni sul progetto Google Cloud e sugli account di servizio che vuoi utilizzare per connettere il cluster a Google Cloud.

gkeConnect.projectID

Stringa. L'ID del progetto Google Cloud che vuoi utilizzare per connettere il cluster a Google Cloud. Ecco alcuni esempi:

gkeConnect:
  projectID: "my-connect-project-123"

gkeConnect.registerServiceAccountKeyPath

Stringa. Il percorso del file della chiave JSON per il tuo account di servizio connect-register. Ecco alcuni esempi:

gkeConnect:
  registerServiceAccountKeyPath: "my-key-folder/connect-register-key.json"

gkeConnect.agentServiceAccountKeyPath

Stringa. Il percorso del file di chiave JSON per l'account di servizio Connect-Agent. Ecco alcuni esempi:

gkeConnect:
  agentServiceAccountKeyPath: "my-key-folder/connect-agent-key.json"

usageMetering

Se vuoi abilitare la misurazione dell'utilizzo per il tuo cluster, compila questa sezione. In caso contrario, rimuovi questa sezione o lasciala non commentata.

usageMetering.bigQueryProjectID

Stringa. L'ID del progetto Google Cloud in cui vuoi archiviare i dati di misurazione dell'utilizzo. Ecco alcuni esempi:

usageMetering:
  bigQueryProjectID: "my-bq-project"

usageMetering.bigQueryDatasetID

Stringa. L'ID del set di dati BigQuery in cui vuoi archiviare i dati di misurazione dell'utilizzo. Ecco alcuni esempi:

usageMetering:
  bigQueryDatasetID: "my-bq-dataset"

usageMetering.bigQueryServiceAccountKeyPath

Stringa. Il percorso del file della chiave JSON per il tuo account di servizio BigQuery. Ad esempio:

usageMetering:
  bigQueryServiceAccountKeyPath: "my-key-folder/bq-key.json"

usageMetering.enableConsumptionMetering

Valore booleano. Imposta questa opzione su true se vuoi abilitare la misurazione basata sul consumo. In caso contrario, impostala su false. Ecco alcuni esempi:

usageMetering:
  enableConsumptionMetering: true

cloudRun.enabled

Valore booleano. Impostalo su true se vuoi abilitare Cloud Run. In caso contrario, imposta questo valore su false. Ecco alcuni esempi:

cloudRun:
  enabled: true