Archivo de configuración del clúster anterior

En esta página, se describen los campos del archivo de configuración del clúster que se usó en las versiones 1.3 y anteriores de GKE On-Prem.

En la versión 1.4 de GKE On-Prem, los archivos de configuración cambiaron considerablemente. Los archivos nuevos se llaman archivos de configuración de la versión 1. Los archivos de configuración que se usaron en las versiones de GKE On-Prem anteriores a la 1.4 se denominan archivos de configuración de la versión 0.

Si deseas usar las nuevas funciones que se agregan en la versión 1.4 de GKE On-Prem, debes usar archivos de configuración de la versión 1.

Los archivos de configuración de la versión 0 son compatibles con las herramientas de la versión 1.4 de GKE On-Prem. Por ejemplo, puedes pasar un archivo de configuración de la versión 0 al comando gkectl create cluster en la versión 1.4 de GKE On-Prem. Además, puedes ejecutar comandos que conviertan tus archivos de configuración de la versión 0 en archivos de configuración de la versión 1.

Convierte archivos de configuración

En la versión 1.4 de GKE On-Prem, se usan archivos de configuración independientes para los clústeres de usuarios y de administrador. Es decir, debes usar un archivo de configuración para crear tu clúster de administrador y un archivo de configuración diferente para crear un clúster de usuario.

Para convertir un archivo de configuración de la versión 0 en un archivo de configuración del clúster de administrador de la versión 1, sigue estos pasos:

gkectl create-config admin --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]

Donde:

• [OLD_CONFIG_PATH] es la ruta de tu archivo de configuración de la versión 0.

• [OUTPUT_PATH] es una ruta de tu elección para el archivo de configuración del clúster de administrador generado de la versión 1. Si omites esta marca, gkectl asigna un nombre al archivo admin-cluster.yaml y lo coloca en el directorio actual.

Para convertir un archivo de configuración de la versión 0 en un archivo de configuración del clúster de usuario de la versión 1, sigue estos pasos:

gkectl create-config cluster --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]

• [OLD_CONFIG_PATH] es la ruta de tu archivo de configuración de la versión 0.

• [OUTPUT_PATH] es una ruta de tu elección para el archivo de configuración del clúster de usuario generado de la versión 1. Si omites esta marca, gkectl asigna un nombre al archivo user-cluster.yaml y lo coloca en el directorio actual.

Plantilla para el archivo de configuración de la versión 0

# Absolute path to a GKE bundle on disk
# Absolute path to a GKE bundle on disk
bundlepath: ""
# Specify which vCenter resources to use for deployment
vcenter:
  # The credentials and address GKE should use to connect to vCenter
  credentials:
    address: ""
    username: ""
    password: ""
  datacenter: ""
  datastore: ""
  cluster: ""
  network: ""
  resourcepool: ""
  # Provide the name for the persistent disk to be used by the deployment (ending
  # in .vmdk). Any directory in the supplied path must be created before deployment.
  # Not required when adding additional user clusters
  datadisk: ""
  # Provide the path to vCenter CA certificate pub key for SSL verification
  cacertpath: ""
# Specify the proxy configuration.
proxy:
  # The URL of the proxy
  url: ""
  # The domains and IP addresses excluded from proxying
  noproxy: ""
# Specify admin cluster settings for a fresh GKE On-Prem deployment. Omit this section
# and use the --kubeconfig flag when adding a new user cluster to an existing deployment
admincluster:
  # In-Cluster vCenter configuration
  vcenter:
    # If specified it overwrites the network field in global vcenter configuration
    network: ""
  # # The absolute or relative path to the yaml file to use for static IP allocation.
  # # Do not include if using DHCP
  # ipblockfilepath: ""
  # # Specify pre-defined nodeports if using "manual" load balancer mode
  # manuallbspec:
  #   ingresshttpnodeport: 0
  #   ingresshttpsnodeport: 0
  #   controlplanenodeport: 30968
  #   addonsnodeport: 31405
  # Specify the already-existing partition and credentials to use with F5
  bigip:
    # To re-use credentials across clusters we recommend using YAML node anchors.
    # See https://yaml.org/spec/1.2/spec.html#id2785586
    credentials:
      address: ""
      username: ""
      password: ""
    partition: ""
    # # Optionally specify a pool name if using SNAT
    # snatpoolname: ""
  # The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlplanevip: ""
    # # Used for admin cluster addons (needed for multi cluster features). Must be the same
    # # across clusters
    # addonsvip: ""
  # The Kubernetes service CIDR range for the cluster. Must not overlap with the pod
  # CIDR range
  serviceiprange: 10.96.232.0/24
  # The Kubernetes pod CIDR range for the cluster. Must not overlap with the service
  # CIDR range
  podiprange: 192.168.0.0/16
  # Spread nodes across at least three physical hosts (requires at least three hosts)
  antiaffinitygroups:
    # Set to false to disable DRS rule creation
    enabled: true
# Specify settings when deploying a new user cluster. Used both with a fresh deployment
# or when adding a new cluster to an existing deployment.
usercluster:
  # In-Cluster vCenter configuration
  vcenter:
    # If specified it overwrites the network field in global vcenter configuration
    network: ""
  # # The absolute or relative path to the yaml file to use for static IP allocation.
  # # Do not include if using DHCP
  # ipblockfilepath: ""
  # # Specify pre-defined nodeports if using "manual" load balancer mode
  # manuallbspec:
  #   ingresshttpnodeport: 30243
  #   ingresshttpsnodeport: 30879
  #   controlplanenodeport: 30562
  #   addonsnodeport: 0
  # Specify the already-existing partition and credentials to use with F5
  bigip:
    # To re-use credentials across clusters we recommend using YAML node anchors.
    # See https://yaml.org/spec/1.2/spec.html#id2785586
    credentials:
      address: ""
      username: ""
      password: ""
    partition: ""
    # # Optionally specify a pool name if using SNAT
    # snatpoolname: ""
  # The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlplanevip: ""
    # Shared by all services for ingress traffic
    ingressvip: ""
    # # Used for admin cluster addons (needed for multi cluster features). Must be the same
    # # across clusters
    # addonsvip: ""
  # A unique name for this cluster
  clustername: ""
  # User cluster master nodes must have either 1 or 3 replicas
  masternode:
    cpus: 4
    memorymb: 8192
    # How many machines of this type to deploy
    replicas: 1
  # The number of worker nodes to deploy and their size. Min. 3 replicas
  workernode:
    cpus: 4
    memorymb: 8192
    # How many machines of this type to deploy
    replicas: 3
  # Spread nodes across at least three physical hosts (requires at least three hosts)
  antiaffinitygroups:
    # Set to false to disable DRS rule creation
    enabled: true
  # The Kubernetes service CIDR range for the cluster
  serviceiprange: 10.96.0.0/12
  # The Kubernetes pod CIDR range for the cluster
  podiprange: 192.168.0.0/16
  # # Uncomment this section to use OIDC authentication
  # oidc:
  #   issuerurl: ""
  #   kubectlredirecturl: ""
  #   clientid: ""
  #   clientsecret: ""
  #   username: ""
  #   usernameprefix: ""
  #   group: ""
  #   groupprefix: ""
  #   scopes: ""
  #   extraparams: ""
  #   # Set value to string "true" or "false"
  #   usehttpproxy: ""
  #   # # The absolute or relative path to the CA file (optional)
  #   # capath: ""
  # # Optionally provide an additional serving certificate for the API server
  # sni:
  #   certpath: ""
  #   keypath: ""
  # # Specify whether or not to enable the GKE usage metering feature
  # usagemetering:
  #   bigqueryprojectid: ""
  #   # The ID of the BigQuery Dataset in which the usage metering data will be stored
  #   bigquerydatasetid: ""
  #   # The absolute or relative path to the key file for a GCP service account used by
  #   # gke-usage-metering to report to BigQuery
  #   bigqueryserviceaccountkeypath: ""
  #   # Whether or not to enable the consumption-based metering feature
  #   enableconsumptionmetering: false
# Which load balancer mode to use "Manual" or "Integrated"
lbmode: Integrated
# Specify which GCP project to connect your GKE clusters to
gkeconnect:
  projectid: ""
  # The absolute or relative path to the key file for a GCP service account used to
  # register the cluster
  registerserviceaccountkeypath: ""
  # The absolute or relative path to the key file for a GCP service account used by
  # the GKE connect agent
  agentserviceaccountkeypath: ""
# Specify which GCP project to connect your logs and metrics to
stackdriver:
  projectid: ""
  # A GCP region where you would like to store logs and metrics for this cluster.
  clusterlocation: ""
  enablevpc: false
  # The absolute or relative path to the key file for a GCP service account used to
  # send logs and metrics from the cluster
  serviceaccountkeypath: ""
# Specify Cloud Run configuration
cloudrun:
  enabled: false
# # Optionally use a private Docker registry to host GKE images
# privateregistryconfig:
#   # Do not include the scheme with your registry address
#   credentials:
#     address: ""
#     username: ""
#     password: ""
#   # The absolute or relative path to the CA certificate for this registry
#   cacertpath: ""
# The absolute or relative path to the GCP service account key that will be used to
# pull GKE images
gcrkeypath: ""
# # Configure kubernetes apiserver audit logging
# cloudauditlogging:
#   projectid: ""
#   # A GCP region where you would like to store audit logs for this cluster.
#   clusterlocation: ""
#   # The absolute or relative path to the key file for a GCP service account used to
#   # send audit logs from the cluster
#   serviceaccountkeypath: ""

Completa un archivo de configuración de la versión 0

Si usas un archivo de configuración de la versión 0, ingresa los valores de campo como se describe en esta sección.

bundlepath

El archivo de paquete de GKE On-Prem contiene todos los componentes de una versión particular de GKE On-Prem. Cuando creas una estación de trabajo de administrador, se incluye un paquete completo en /var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz. La versión de este paquete coincide con la versión de OVA que importaste para crear la estación de trabajo de administrador.

Establece el valor de bundlepath en la ruta del archivo de paquete de la estación de trabajo de administrador. Es decir, configura bundlepath de la siguiente manera:

/var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz

En el ejemplo anterior, [VERSION] es la versión de GKE On-Prem que instalas. La versión más reciente es 1.5.2-gke.3.

Ten en cuenta que puedes mantener el archivo de paquete en una ubicación diferente o asignarle un nombre distinto. Solo asegúrate de que, en el archivo de configuración, el valor de bundlepath sea la ruta de acceso al archivo de paquete, sin importar cuál sea.

Especificación de vCenter

La especificación de vcenter conserva la información sobre tu instancia de vCenter Server. GKE On-Prem necesita esta información para comunicarse con vCenter Server.

vcenter.credentials.address

En el campo vcenter.credentials.address, se encuentra la dirección IP o el nombre de host de vCenter Server.

Antes de completar vsphere.credentials.address field, descarga e inspecciona el certificado de entrega de vCenter Server. Ingresa el siguiente comando para descargar el certificado y guardarlo en un archivo llamado vcenter.pem.

true | openssl s_client -connect [VCENTER_IP]:443 -showcerts 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' > vcenter.pem

Abre el archivo del certificado para ver el nombre común y el alternativo de la entidad:

openssl x509 -in vcenter.pem -text -noout

En el resultado, se muestra el nombre común (CN) de Subject. Este puede ser una dirección IP o un nombre de host. Por ejemplo:

Subject: ... CN = 203.0.113.100

Subject: ... CN = my-host.my-domain.example

Puede que, en el resultado, también se incluyan uno o más nombres de DNS en Subject Alternative Name:

X509v3 Subject Alternative Name:
    DNS:vcenter.my-domain.example

Elige el nombre común de Subject o uno de los nombres de DNS en Subject Alternative Name para usarlo como el valor de vcenter.credentials.address en el archivo de configuración. Por ejemplo:

vcenter:
  credentials:
    address: "203.0.113.1"
    ...

vcenter:
  credentials:
    address: "my-host.my-domain.example"
    ...

Debes elegir un valor que aparezca en el certificado. Por ejemplo, si la dirección IP no aparece en el certificado, no puedes usarla para vcenter.credentials.address.

vcenter.credential.username, .password

GKE On-Prem necesita conocer tu nombre de usuario y la contraseña de vCenter Server. Para proporcionar esta información, establece los valores username y password en vcenter.credentials. Por ejemplo:

vcenter:
  credentials:
    username: "my-name"
    password: "my-password"

vcenter.datacenter, .datastore, .cluster, .network

GKE On-Prem necesita información sobre la estructura del entorno de vSphere. Establece los valores en vcenter para proporcionar esta información. Por ejemplo:

vcenter:
  datacenter: "MY-DATACENTER"
  datastore: "MY-DATASTORE"
  cluster: "MY-VSPHERE-CLUSTER"
  network: "MY-VIRTUAL-NETWORK"

vcenter.resourcepool

Un grupo de recursos de vSphere es una agrupación lógica de VM de vSphere en el clúster de vSphere. Si usas un grupo de recursos que no es el predeterminado, proporciona su nombre a vcenter.resourcepool. Por ejemplo:

vcenter:
  resourcepool: "my-pool"

Si deseas que GKE On-Prem implemente sus nodos en el grupo de recursos predeterminado del clúster de vSphere, proporciona una string vacía a vcenter.resourcepool. Por ejemplo:

vcenter:
  resourcepool: ""

vcenter.datadisk

GKE On-Prem crea un disco de máquina virtual (VMDK) para contener los datos del objeto de Kubernetes del clúster de administrador. El instalador crea el VMDK por ti, pero debes proporcionar un nombre para él en el campo vcenter.datadisk. Por ejemplo:

vcenter:
  datadisk: "my-disk.vmdk"

Almacén de datos de vSAN: Crea una carpeta para el VMDK

Si usas un almacén de datos de vSAN, debes colocar el VMDK en una carpeta. Debes crear la carpeta de forma manual con anticipación. Para crear la carpeta, puedes usar govc:

govc datastore.mkdir -namespace=true my-gke-on-prem-folder

Luego, establece vcenter.datadisk en la ruta de acceso del VMDK e incluye la carpeta. Por ejemplo:

vcenter:
datadisk: "my-gke-on-prem-folder/my-disk.vmdk"

En la versión 1.1.1 y en versiones anteriores, un problema conocido requiere que proporciones la ruta de acceso del identificador único universal (UUID) de la carpeta, en lugar de la ruta de acceso del archivo, a vcenter.datadisk. Copia esto del resultado del comando de govc que se mostró antes.

Luego, proporciona el UUID de la carpeta en el campo vcenter.datadisk. No coloques una barra diagonal delante del UUID. Por ejemplo:

vcenter:
datadisk: "14159b5d-4265-a2ba-386b-246e9690c588/my-disk.vmdk"

Este problema se solucionó en las versiones 1.1.2 y posteriores.

vcenter.cacertpath

Cuando un cliente, como GKE On-Prem, envía una solicitud a vCenter Server, el servidor debe demostrar su identidad al cliente mediante la presentación de un certificado o un paquete de certificados. Para verificar el certificado o el paquete, GKE On-Prem debe tener el certificado raíz en la cadena de confianza.

Establece vcenter.cacertpath en la ruta de acceso del certificado raíz. Por ejemplo:

vcenter:
  cacertpath: "/my-cert-folder/the-root.crt"

Tu instalación de VMware tiene una autoridad certificada (CA) que emite un certificado para vCenter Server. El certificado raíz de la cadena de confianza es un certificado autofirmado que crea VMware.

Si no deseas usar la CA de VMware, que es la opción predeterminada, puedes configurar VMware para usar una autoridad certificada diferente.

Si vCenter Server usa un certificado emitido por la CA predeterminada de VMware, existen varias formas de obtener el certificado raíz:

• curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

  En el comando anterior, [SERVER_ADDRESS] es la dirección de vCenter Server.

• En un navegador, ingresa la dirección de vCenter Server. En el cuadro gris a la derecha, haz clic en Download trusted root CA certificates.

• Ingresa este comando para obtener el certificado de entrega:

  true | openssl s_client -connect [SERVER_ADDRESS]:443 -showcerts

  En el resultado, busca una URL como la siguiente: https://[SERVER_ADDRESS]/afd/vecs/ca. Ingresa la URL en un navegador. Mediante esta acción, se descarga el certificado raíz.

El archivo descargado se llama downloads.zip.

Descomprime el archivo:

unzip downloads.zip

Si el comando de descompresión no funciona la primera vez, vuelve a ingresarlo.

Busca el archivo del certificado en certs/lin.

proxy:
  url: "https://username:password@domain"
  noproxy: "10.0.1.0/24,private-registry.example,10.0.2.1"

• proxy.url es la URL del proxy HTTPS.
• proxy.noproxy incluye los rangos de CIDR, las direcciones IP, los dominios y los nombres de host que no se deben enviar mediante proxy. Por ejemplo, las llamadas a las direcciones IP de los nodos del clúster no se deben enviar mediante proxy. Por lo tanto, si tienes una subred que contiene solo nodos de clústeres, puedes enumerar el rango de CIDR de la subred en el campo noproxy. Ten en cuenta que si se especifica privateregistryconfig, esa dirección se agrega de forma automática para evitar llamadas al registro privado.

Especificación del clúster de administrador

La especificación admincluster contiene información que GKE On-Prem necesita para crear el clúster de administrador.

admincluster.vcenter.network

En admincluster.vcenter.network, puedes especificar una red de vCenter para los nodos del clúster de administrador. Ten en cuenta que esto anula la configuración global que proporcionaste en vcenter. Por ejemplo:

admincluster:
  vcenter:
    network: MY-ADMIN-CLUSTER-NETWORK

admincluster.ipblockfilepath

Dado que usas direcciones IP estáticas, debes tener un archivo de configuración de host, como se describe en Configura IP estáticas. Proporciona la ruta de acceso al archivo de configuración de host en el campo admincluster.ipblockfilepath. Por ejemplo:

admincluster:
  ipblockfilepath: "/my-config-folder/my-admin-hostconfig.yaml"

admincluster.manuallbspec.ingresshttpnoodeport, .ingresshttpsnodeport

Quita estos campos. No se usan en el clúster del administrador.

admincluster.manuallbspec.controlplanenodeport, .addonsnodeport (modo de balanceo de cargas manual)

El servidor de la API de Kubernetes en el clúster de administrador se implementa como un Service de tipo NodePort. Si usas el balanceo de cargas manual, debes elegir un valor de nodePort para el Service. Especifica el valor de nodePort en controlplanenodeport. Por ejemplo:

admincluster:
  manuallbspec:
    controlplanenodeport: 30968

El servidor de complementos en el clúster de administrador se implementa como un Service de tipo NodePort. Si usas el balanceo de cargas manual, debes elegir un valor de nodePort para el Service. Especifica el valor de nodePort en controlplanenodeport. Por ejemplo:

admincluster:
  manuallbspec:
    addonsnodeport: 30562

admincluster.bigip.credentials (modo de balanceo de cargas integrado)

Si no usas el modo de balanceo de cargas integrado, deja marcado como comentarioadmincluster.bigip.

Si usas el modo de balanceo de cargas integrado, GKE On-Prem necesita conocer la dirección IP o el nombre de host, el nombre de usuario y la contraseña de tu balanceador de cargas BIG-IP de F5. Establece los valores en admincluster.bigip para proporcionar esta información. Por ejemplo:

admincluster:
  bigip:
    credentials:
      address: "203.0.113.2"
      username: "my-admin-f5-name"
      password: "rJDlm^%7aOzw"

admincluster.bigip.partition (modo de balanceo de cargas integrado)

Si usas el modo de balanceo de cargas integrado, debes crear una partición de BIG-IP para el clúster de administrador. Establece admincluster.bigip.partition en el nombre de la partición. Por ejemplo:

admincluster:
  bigip:
    partition: "my-admin-f5-partition"

admincluster.vips

Sin importar si usas el balanceo de cargas integrado o manual para el clúster de administrador, debes completar el campo admincluster.vips.

Establece el valor de admincluster.vips.controlplanevip en la dirección IP que elegiste configurar en el balanceador de cargas para el servidor de la API de Kubernetes del clúster de administrador. Configura el valor de addonsvip como la dirección IP que elegiste en el balanceador de cargas para los complementos. Por ejemplo:

admincluster:
  vips:
    controlplanevip: 203.0.113.3
    addonsvip: 203.0.113.4

admincluster.serviceiprange y admincluster.podiprange

El clúster de administrador debe tener un rango de direcciones IP para usar con los Services y uno para usar con los Pods. Estos rangos se especifican en los campos admincluster.serviceiprange y admincluster.podiprange. Estos campos se propagan cuando ejecutas gkectl create-config. Si quieres, puedes cambiar los valores propagados por los valores que desees.

Los rangos de Services y Pods no deben superponerse. Tampoco deben superponerse en ningún clúster con las direcciones IP que se usan para los nodos.

Ejemplo:

admincluster:
  serviceiprange: 10.96.232.0/24
  podiprange: 192.168.0.0/16

admincluster.antiaffinitygrous.enabled

Booleano. Configúralo como true para habilitar la creación de reglas de DRS. De lo contrario, configúralo como false. Por ejemplo:

admincluster:
  antiAffinityGroups:
    enabled true

Especificación del clúster de usuario

La especificación del clúster de usuario, usercluster, contiene información que GKE On-Prem necesita para crear el clúster de usuario inicial.

usercluster.vcenter.network

En usercluster.vcenter.network, puedes especificar una red de vCenter para los nodos del clúster de usuario. Ten en cuenta que esto anula la configuración global que proporcionaste en vcenter. Por ejemplo:

usercluster:
  vcenter:
    network: MY-USER-CLUSTER-NETWORK

usercluster.ipblockfilepath

Dado que usas direcciones IP estáticas, debes tener un archivo de configuración de host como se describe en Configura IP estáticas. Proporciona la ruta de acceso al archivo de configuración de host en el campo usercluster.ipblockfilepath. Por ejemplo:

usercluster:
  ipblockfilepath: "/my-config-folder/my-user-hostconfig.yaml"

usercluster.manuallbspec (modo de balanceo de cargas manual)

El controlador de entrada en el clúster de usuario se implementa como un Service de tipo NodePort. El Service tiene un ServicePort para HTTP y otro para HTTPS. Si usas el modo de balanceo de cargas manual, debes elegir los valores de nodePort para estos ServicePorts. Especifica los valores nodePort en ingresshttpnodeport y ingresshttpsnodeport. Por ejemplo:

usercluster:
  manuallbspec:
    ingresshttpnodeport: 30243
    ingresshttpsnodeport: 30879

El servidor de la API de Kubernetes en el clúster de usuario se implementa como un Service de tipo NodePort. Si usas el balanceo de cargas manual, debes elegir un valor de nodePort para el Service. Especifica el valor de nodePort en controlplanenodeport. Por ejemplo:

usercluster:
  manuallbspec:
    controlplanenodeport: 30562

usercluster.bigip.credentials (modo de balanceo de cargas integrado)

Si usas el modo de balanceo de cargas integrado, GKE On-Prem debe conocer la dirección IP o el nombre de host, el nombre de usuario y la contraseña del balanceador de cargas BIG-IP de F5 que deseas usar para el clúster de usuario. Establece los valores en usercluster.bigip para proporcionar esta información. Por ejemplo:

usercluster:
  bigip:
    credentials:
      address: "203.0.113.5"
      username: "my-user-f5-name"
      password: "8%jfQATKO$#z"

usercluster.bigip.partition (modo de balanceo de cargas integrado)

Si usas el modo de balanceo de cargas integrado, debes crear una partición de BIG-IP para el clúster de usuario. Establece usercluster.bigip.partition en el nombre de la partición. Por ejemplo:

usercluster:
  bigip:
    partition: "my-user-f5-partition"

usercluster.vips

Sin importar si usas el balanceo de cargas integrado o manual para el clúster de usuario, debes completar el campo usercluster.vips.

Establece el valor de usercluster.vips.controlplanevip como la dirección IP que elegiste configurar en el balanceador de cargas para el servidor de la API de Kubernetes del clúster de usuario. Establece el valor de ingressvip como la dirección IP que elegiste configurar en el balanceador de cargas para el controlador de entrada del clúster de usuario. Por ejemplo:

usercluster:
  vips:
    controlplanevip: 203.0.113.6
    ingressvip: 203.0.113.7

usercluster.clustername

Establece el valor de usercluster.clustername en el nombre que desees. Elige un nombre que no supere los 40 caracteres. Por ejemplo:

usercluster:
  clustername: "my-user-cluster-1"

usercluster.masternode.cpus y usercluster.masternode.memorymb

Los campos usercluster.masternode.cpus y usercluster.masternode.memorymb especifican la cantidad de CPU y de memoria (en megabytes) que se asigna a cada nodo de plano de control del clúster de usuario. Por ejemplo:

usercluster:
  masternode:
    cpus: 4
    memorymb: 8192

usercluster.masternode.replicas

En el campo usercluster.masternode.replicas, se especifica cuántos nodos del plano de control quieres que tenga el clúster de usuario. Un nodo de plano de control de un clúster de usuario ejecuta el plano de control de usuario, los componentes del plano de control de Kubernetes. Este valor debe ser 1 o 3:

• Establece este campo en 1 para ejecutar un plano de control de usuario.
• Establece este campo en 3 si deseas tener un plano de control de usuario con alta disponibilidad (HA) compuesto por tres nodos de plano de control y que cada uno ejecute un plano de control del usuario.

usercluster.workernode.cpus y usercluster.workernode.memorymb

Los campos usercluster.workernode.cpus y usercluster.workernode.memorymb especifican la cantidad de CPU y de memoria (en megabytes) que se asigna a cada nodo trabajador del clúster de usuario. Por ejemplo:

usercluster:
  workernode:
    cpus: 4
    memorymb: 8192
    replicas: 3

usercluster.workernode.replicas

En el campo usercluster.workernode.replicas, se especifica la cantidad de nodos trabajadores que quieres que tenga el clúster de usuario. Los nodos trabajadores ejecutan las cargas de trabajo del clúster.

usercluster.antiaffinitygrous.enabled

Booleano. Configúralo como true para habilitar la creación de reglas de DRS. De lo contrario, configúralo como false. Por ejemplo:

antiAffinityGroups:
  enabled true

usercluster.serviceiprange y usercluster.podiprange

El clúster de usuario debe tener un rango de direcciones IP para usar con los Services y uno para usar con los Pods. Estos rangos se especifican en los campos usercluster.serviceiprange y usercluster.podiprange. Estos campos se propagan cuando ejecutas gkectl create-config. Si quieres, puedes cambiar los valores propagados por los valores que desees.

Los rangos de Services y Pods no deben superponerse. Tampoco deben superponerse en ningún clúster con las direcciones IP que se usan para los nodos.

Ejemplo:

usercluster:
  serviceiprange: 10.96.233.0/24
  podiprange: 172.16.0.0/12

usercluster.oidc

Si deseas que los clientes del clúster de usuario usen la autenticación de OIDC, establece valores para los campos en usercluster.oidc. La configuración de OIDC es opcional.

Para aprender a configurar OIDC, consulta Autentica con OIDC.

Información acerca de la instalación de la versión 1.0.2-gke.3

La versión 1.0.2-gke.3 presenta los siguientes campos de OIDC (usercluster.oidc). Estos campos permiten acceder a un clúster desde la consola de Google Cloud:

• usercluster.oidc.kubectlredirecturl
• usercluster.oidc.clientsecret
• usercluster.oidc.usehttpproxy

En la versión 1.0.2-gke.3, si deseas usar OIDC, el campo clientsecret es obligatorio incluso si no quieres acceder a un clúster desde la consola de Google Cloud. En ese caso, puedes proporcionar un valor de marcador de posición para clientsecret:

oidc:
clientsecret: "secret"

usercluster.sni

La indicación del nombre del servidor (SNI), una extensión de la seguridad de la capa de transporte (TLS), permite que los servidores presenten varios certificados en una sola dirección IP y un solo puerto TCP, en función del nombre de host que indique el cliente.

Si la CA ya está distribuida como una CA de confianza para los clientes fuera del clúster de usuario y deseas confiar en esta cadena a fin de identificar clústeres de confianza, puedes configurar el servidor de la API de Kubernetes con un certificado adicional que se presenta a los clientes externos de la dirección IP del balanceador de cargas.

Para usar la SNI con los clústeres de usuario, debes tener tu propia CA y una infraestructura de clave pública (PKI). Debes aprovisionar un certificado de entrega diferente para cada clúster de usuario, y GKE On-Prem agrega cada certificado de entrega adicional a su clúster de usuario respectivo.

Si deseas configurar la SNI en el servidor de la API de Kubernetes del clúster de usuario, proporciona valores para usercluster.sni.certpath (la ruta al certificado externo) y usercluster.sni.keypath (la ruta al archivo de claves privadas del certificado externo). Por ejemplo:

usercluster:
  sni:
    certpath: "/my-cert-folder/example.com.crt"
    keypath: "/my-cert-folder/example.com.key"

usagemetering

Si deseas habilitar la medición de uso para tu clúster, completa esta sección. De lo contrario, quita esta sección.

usagemetering.bigqueryprojectid

String. Es el ID del proyecto de Google Cloud en el que deseas almacenar datos de medición de uso. Por ejemplo:

usagemetering:
  bigqueryprojectid: "my-bq-project"

usagemetering.bigquerydatasetid

String. Es el ID del conjunto de datos de BigQuery en el que deseas almacenar los datos de medición de uso. Por ejemplo:

usagemetering:
  bigquerydatasetid: "my-bq-dataset"

usagemetering.bigqueryserviceaccountkepPath

String. Es la ruta del archivo de claves JSON para tu cuenta de servicio de BigQuery. Por ejemplo:

usagemetering:
  bigqueryserviceaccountkeypath: "my-key-folder/bq-key.json"

usagemetering.enableconsumptionmetering

Booleano. Configúralo como true si deseas habilitar la medición basada en el consumo. De lo contrario, configúralo como false. Por ejemplo:

usagemetering:
  enableconsumptionmetering: true

lbmode

Puedes usar el balanceo de cargas integrado o el balanceo de cargas manual. La elección del modo de balanceo de cargas se aplica al clúster de administrador y al clúster de usuario inicial. También se aplica a cualquier clúster de usuario adicional que crees en el futuro.

Establece el valor de lbmode en Integrated o Manual para especificar la opción de balanceo de cargas. Por ejemplo:

lbmode: Integrated

gkeconnect

La especificación de gkeconnect contiene información que GKE On-Prem necesita para configurar la administración de los clústeres locales desde la consola de Google Cloud.

Establece gkeconnect.projectid en el ID del proyecto de Google Cloud en el que deseas administrar los clústeres locales.

Establece el valor de gkeconnect.registerserviceaccountkeypath en la ruta de acceso del archivo de claves JSON para tu cuenta de servicio de registro. Establece el valor de gkeconnect.agentserviceaccountkeypath en la ruta de acceso del archivo de claves JSON para la cuenta de servicio de conexión.

Ejemplo:

gkeconnect:
  projectid: "my-project"
  registerserviceaccountkeypath: "/my-key-folder/register-key.json"
  agentserviceaccountkeypath: "/my-key-folder/connect-key.json"

stackdriver

La especificación de stackdriver contiene información que GKE On-Prem necesita para almacenar las entradas de registro que generan los clústeres locales.

Establece stackdriver.projectid en el ID del proyecto de Google Cloud en el que deseas ver los registros de Stackdriver que pertenecen a los clústeres locales.

Establece stackdriver.clusterlocation en una región de Google Cloud en la que quieras almacenar registros de Stackdriver. Te recomendamos que elijas una región cercana a tu centro de datos local.

Establece stackdriver.enablevpc en true si tienes la red del clúster bajo el control de una VPC. Esto garantiza que toda la telemetría fluya a través de las direcciones IP restringidas de Google.

Establece stackdriver.serviceaccountkeypath en la ruta del archivo de claves JSON de tu cuenta de servicio de Stackdriver Logging.

Ejemplo:

stackdriver:
  projectid: "my-project"
  clusterlocation: "us-west1"
  enablevpc: false
  serviceaccountkeypath: "/my-key-folder/stackdriver-key.json"

cloudrun.enabled

Booleano. Configura esto como true si deseas habilitar Cloud Run. De lo contrario, configúralo como false. Por ejemplo:

cloudrun:
  enabled: true

privateregistryconfig

Si tienes un registro privado de Docker, el campo privateregistryconfig contiene información que GKE On-Prem usa para enviar imágenes a tu registro privado. Si no especificas un registro privado, gkectl extrae las imágenes de contenedor de GKE On-Prem de su repositorio de Container Registry, gcr.io/gke-on-prem-release, durante la instalación.

En privatedockerregistry.credentials, establece address en la dirección IP de la máquina que ejecuta el registro privado de Docker. Establece username y password en el nombre de usuario y la contraseña del registro privado de Docker. El valor que estableces para address se agrega de forma automática a proxy.noproxy.

Cuando Docker extrae una imagen del registro privado, el registro debe demostrar su identidad mediante la presentación de un certificado. El certificado del registro está firmado por una autoridad certificada (CA). Docker usa el certificado de la CA para validar el certificado del registro.

Establece privateregistryconfig.cacertpath en la ruta del certificado de la CA. Por ejemplo:

privateregistryconfig:
  cacertpath: /my-cert-folder/registry-ca.crt

gcrkeypath

Establece el valor de gcrkeypath en la ruta de acceso del archivo de claves JSON para tu cuenta de servicio de acceso a los componentes.

Por ejemplo:

gcrkeypath: "/my-key-folder/component-access-key.json"

cloudauditlogging

Si deseas enviar los registros de auditoría de Kubernetes al proyecto de Google Cloud, propaga la especificación de cloudauditlogging. Por ejemplo:

cloudauditlogging:
  projectid: "my-project"
  # A GCP region where you would like to store audit logs for this cluster.
  clusterlocation: "us-west1"
  # The absolute or relative path to the key file for a GCP service account used to
  # send audit logs from the cluster
  serviceaccountkeypath: "/my-key-folder/audit-logging-key.json"