Version 1.5 Diese Version wird nicht mehr unterstützt, wie in der Supportrichtlinie für Anthos-Versionen beschrieben. Führen Sie ein Upgrade auf eine unterstützte Version durch, um die neuesten Patches und Updates für Sicherheitslücken, Kontakte und Probleme bei Anthos-Clustern in VMware (GKE On-Prem) zu erhalten. Die neueste Version finden Sie hier.

Nutzercluster-Konfigurationsdatei

Auf dieser Seite werden die Felder der Konfigurationsdatei des Nutzerclusters beschrieben.

Vorlage für Ihre Konfigurationsdatei erstellen

Wenn Sie gkeadm zum Erstellen Ihrer Administrator-Workstation verwendet haben, hat gkeadm eine Vorlage für die Konfigurationsdatei des Nutzerclusters generiert. Außerdem hat gkeadm einige Felder mit Werten versehen.

Wenn Sie Ihre Administrator-Workstation nicht mit gkeadm erstellt haben, können Sie mit gkectl eine Vorlage für die Konfigurationsdatei des Nutzerclusters generieren.

So generieren Sie eine Vorlage für die Konfigurationsdatei des Nutzerclusters:

gkectl create-config cluster --config=OUTPUT_FILENAME

Ersetzen Sie OUTPUT_FILENAME durch einen Pfad Ihrer Wahl für die generierte Vorlage. Wenn Sie dieses Flag weglassen, benennt gkectl die Datei user-cluster.yaml und speichert sie im aktuellen Verzeichnis.

Vorlage

Konfigurationsdatei ausfüllen

Geben Sie in Ihrer Konfigurationsdatei Feldwerte ein, wie in den folgenden Abschnitten beschrieben.

name

String. Ein Name Ihrer Wahl für den Nutzercluster. Beispiel:

name: "my-user-cluster"

gkeOnPremVersion

String. Die GKE On-Prem-Version für Ihren Nutzercluster. Beispiel:

gkeOnPremVersion: 1.5.2-gke.3

vCenter

Wenn alle Elemente Ihrer vCenter-Umgebung mit jenen identisch sein sollen, die Sie für Ihren Administratorcluster angegeben haben, entfernen Sie diesen Abschnitt oder lassen ihn auskommentiert.

Wenn sich bestimmte Elemente Ihrer vCenter-Umgebung von den Angaben für Ihren Administratorcluster unterscheiden sollen, füllen Sie die entsprechenden Felder in diesem Abschnitt aus. Alle Felder, die Sie hier im Abschnitt vCenter festlegen, überschreiben die entsprechenden Felder in der Konfigurationsdatei des Administratorclusters.

vCenter.resourcePool

String. Der Name des vCenter-Ressourcenpools für Ihren Nutzercluster. Wenn Sie nicht den Standardressourcenpool verwenden, geben Sie den Namen Ihres vCenter-Ressourcenpools an. Beispiel:

vCenter:
  resourcePool: "MY-USER-POOL"

Wenn Sie den Standardressourcenpool verwenden, geben Sie den folgenden Wert an:

vCenter:
  resourcePool: "VCENTER_CLUSTER/Resources"

Ersetzen Sie VCENTER_CLUSTER durch den Namen Ihres vCenter-Clusters:

Weitere Informationen finden Sie unter Root-Ressourcenpool für einen eigenständigen Host angeben.

vCenter.datastore

String. Der Name des vCenter-Datenspeichers für Ihren Nutzercluster. Beispiel:

vCenter:
  datastore: "MY-USER-DATASTORE"

vCenter.caCertPath

String. Wenn ein Client wie GKE On-Prem eine Anfrage an vCenter-Server sendet, muss der Server seine Identität gegenüber dem Client durch Vorlage eines Zertifikats oder eines Zertifikatpakets bestätigen. Um das Zertifikat oder Paket zu prüfen, muss GKE On-Prem das Root-Zertifikat in der Vertrauenskette haben.

Legen Sie für vCenter.caCertPath den Pfad des Root-Zertifikats fest. Beispiel:

vCenter:
  caCertPath: "/usr/local/google/home/me/certs/user-vcenter-ca-cert.pem"

Ihre VM-Installation hat eine Zertifizierungsstelle (Certificate Authority, CA), die ein Zertifikat für Ihren vCenter-Server ausstellt. Das Root-Zertifikat in der Vertrauenskette ist ein selbst signiertes Zertifikat, das von VMware erstellt wurde.

Wenn Sie nicht die VMware-Zertifizierungsstelle (Standardeinstellung) verwenden möchten, können Sie VMware so konfigurieren, dass eine andere Zertifizierungsstelle genutzt wird.

Wenn Ihr vCenter-Server ein von der VMware-Standardzertifizierungsstelle ausgestelltes Zertifikat verwendet, laden Sie es so herunter:

curl -k "https://SERVER_ADDRESS/certs/download.zip" > download.zip

Ersetzen Sie SERVER_ADDRESS durch die Adresse Ihres vCenter-Servers.

Installieren Sie den Befehl unzip und entpacken Sie die Zertifikatsdatei:

sudo apt-get install unzip
unzip downloads.zip

Wenn der Befehl unzip zum Entpacken beim ersten Mal nicht funktioniert, geben Sie ihn noch einmal ein.

Suchen Sie die Zertifikatsdatei in certs/lin.

vCenter.credentials.fileRef.path

String. Der Pfad einer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres vCenter-Nutzerkontos enthält. Das Nutzerkonto sollte die Administratorrolle oder entsprechende Berechtigungen haben. Weitere Informationen finden Sie unter vSphere-Anforderungen. Beispiel:

vCenter:
  credentials:
    fileRef:
      path: "my-config-directory/user-creds.yaml"

vCenter.credentials.fileRef.entry

String. Der Name des Anmeldedatenblocks in Ihrer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres vCenter-Nutzerkontos enthält. Beispiel:

vCenter:
  credentials:
    fileRef:
      entry: "vcenter-creds"

enableDataplaneV2

Boolescher Wert. Wenn Sie Dataplane V2 (Beta) aktivieren möchten, geben Sie hier true an. Andernfalls legen Sie false fest. Beispiel:

enableDataplaneV2: true

network

Dieser Abschnitt enthält Informationen zu Ihrem Nutzercluster-Netzwerk.

network.hostConfig

Dieser Abschnitt enthält Informationen zu von Ihrem Cluster verwendeten NTP-Servern, DNS-Servern und DNS-Suchdomains.

Wenn Sie für eines oder beide der folgenden Felder einen Wert angegeben haben, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.

  • loadBalancer.seesaw.ipBlockFilePath
  • network.ipMode.ipBlockFilePath

network.hostConfig.dnsServers

Stringarray Die Adressen der DNS-Server, die von den Hosts verwendet werden sollen. Beispiel:

network:
  hostConfig:
    dnsServers:
    - "172.16.255.1"
    - "172.16.255.2"

network.hostConfig.ntpServers

Stringarray Die Adressen der Zeitserver, die von den Hosts verwendet werden sollen. Beispiel:

network:
  hostConfig:
    ntpServers:
    - "216.239.35.0"

network.hostConfig.searchDomainsForDNS

Stringarray DNS-Suchdomains, die von den Hosts verwendet werden sollen. Diese Domains werden als Teil einer Domainsuchliste verwendet. Beispiel:

network:
  hostConfig:
    searchDomainsForDNS:
    - "my.local.com"

network.ipMode.type

String. Wenn Sie möchten, dass Ihre Clusterknoten ihre IP-Adresse von einem DHCP-Server abrufen, legen Sie für dieses Feld "dhcp" fest. Wenn Sie für die Clusterknoten statische IP-Adressen aus einer von Ihnen bereitgestellten Liste auswählen möchten, legen Sie "static" fest. Beispiel:

network:
  ipMode:
    type: "static"

network.ipMode.ipBlockFilePath

Wenn Sie für ipMode.type den Wert "static" festlegen, füllen Sie dieses Feld aus. Wenn Sie für ipMode.type den Wert "dhcp" festgelegt haben, entfernen Sie dieses Feld.

String. Der Pfad der IP-Blockdatei für Ihren Cluster. Beispiel:

network:
  ipMode:
    ipBlockFilePath: "/my-config-folder/user-cluster-ipblock.yaml"

network.serviceCIDR und network.podCiDR

Strings. Ihr Nutzercluster muss einen IP-Adressbereich für Dienste und einen IP-Adressbereich für Pods haben. Diese Bereiche werden durch die Felder network.serviceCIDR und network.podCIDR angegeben. In diese Felder werden Standardwerte eingefügt. Sie können die Werte auch ändern.

Die Dienst- und Pod-Bereiche dürfen sich nicht überschneiden. Außerdem dürfen sich diese beiden Bereiche nicht mit IP-Adressen überschneiden, die für Knoten in einem Cluster verwendet werden.

Beispiel:

network:
  serviceCIDR: "10.96.232.0/24"
  podCIDR: "192.168.0.0/16"

network.vCenter.networkName

String. Der Name des vSphere-Netzwerks für Ihre Nutzerclusterknoten.

Wenn der Name ein Sonderzeichen enthält, müssen Sie dafür eine Escapesequenz verwenden.

Sonderzeichen Escapesequenz
Schrägstrich (/) %2f
Umgekehrter Schrägstrich (\) %5c
Prozentzeichen (%) %25

Wenn der Netzwerkname nicht eindeutig ist, kann ein Pfad zum Netzwerk angegeben werden, z. B. /DATACENTER/network/NETWORK_NAME.

Beispiel:

network:
  vCenter:
    networkName: "MY-USER-CLUSTER-NETWORK"

loadBalancer

Dieser Abschnitt enthält Informationen zum Load-Balancer für Ihren Nutzercluster.

loadBalancer.vips.controlPlaneVIP

Die IP-Adresse, die Sie auf dem Load-Balancer für den Kubernetes API-Server des Administratorclusters konfiguriert haben. Beispiel:

loadBalancer:
  vips:
    controlplaneVIP: "203.0.113.3"

loadBalancer.vips.ingressVIP

Die IP-Adresse, die Sie für den Load-Balancer für eingehenden Traffic konfigurieren möchten. Beispiel:

loadBalancer:
  vips:
    ingressVIP: "203.0.113.4"

loadBalancer.kind

String. Legen Sie dafür "Seesaw", "F5BigIP" oder "ManualLB" fest. Beispiel:

loadBalancer:
  kind: "Seesaw"

loadBalancer.manualLB

Wenn Sie für loadbalancer.kind den Wert "manualLB" festlegen, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt oder lassen ihn auskommentiert.

loadBalancer.manualLB.ingressHTTPNodePort

Integer. Der Ingress-Dienst in einem Nutzercluster wird als Kubernetes-Dienst vom Typ LoadBalancer implementiert. Der Dienst hat einen ServicePort für HTTP. Für die HTTP-ServicePorts müssen Sie einen nodePort-Wert auswählen.

Legen Sie für dieses Feld den Wert nodePort fest. Beispiel:

loadBalancer:
  manualLB:
    ingressHTTPNodePort: 32527

loadBalancer.manualLB.ingressHTTPSNodePort

Integer. Der Ingress-Dienst in einem Nutzercluster wird als Dienst vom Typ LoadBalancer implementiert. Der Dienst hat einen ServicePort für HTTPS. Für den HTTPS-ServicePort müssen Sie einen nodePort-Wert auswählen.

Legen Sie für dieses Feld den Wert nodePort fest. Beispiel:

loadBalancer:
  manualLB:
    ingressHTTPSNodePort: 30139

loadBalancer.manualLB.controlPlaneNodePort

Ganzzahl. Der Kubernetes API-Server im Administratorcluster ist als Dienst vom Typ NodePort implementiert. Für den Dienst müssen Sie einen nodePort-Wert auswählen.

Legen Sie für dieses Feld den Wert nodePort fest. Beispiel:

loadBalancer:
  manualLB:
    controlPlaneNodePort: 30968

loadBalancer.manualLB.addonsNodePort

Entfernen Sie dieses Feld. Es wird nicht in einem Nutzercluster verwendet.

loadBalancer.f5BigIP

Wenn Sie für loadbalancer.kind den Wert "f5BigIP" festlegen, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt oder lassen ihn auskommentiert.

loadBalancer.f5BigIP.address

String. Die Adresse Ihres F5 BIG-IP-Load-Balancers. Beispiel:

loadBalancer:
  f5BigIP:
      address: "203.0.113.2"

loadBalancer.f5BigIP.fileRef.path

String. Der Pfad einer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort eines Kontos enthält, mit dem GKE On-Prem eine Verbindung zu Ihrem F5 BIG-IP-Load-Balancer herstellen kann. Beispiel:

loadBalancer:
  f5BigIP:
    fileRef:
      path: ""my-config-folder/user-creds.yaml"

loadBalancer.f5BigIP.fileRef.entry

String. Der Name des Anmeldedatenblocks in Ihrer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres F5 BIG-IP-Kontos enthält. Beispiel:

loadBalancer:
  f5BigIP:
    fileRef:
      entry: "f5-creds"

loadBalancer.f5BigIP.partition

String. Der Name einer BIG-IP-Partition, die Sie für Ihren Administratorcluster erstellt haben. Beispiel:

loadBalancer:
  f5BigIP:
    partition: "my-f5-admin-partition"

loadBalancer.f5BigIP.snatPoolName

String. Wenn Sie SNAT verwenden, ist dies der Name Ihres SNAT-Pools. Wenn Sie SNAT nicht verwenden, entfernen Sie dieses Feld oder lassen es auskommentiert. Beispiel:

loadBalancer:
  f5BigIP:
    snatPoolName: "my-snat-pool"

loadBalancer.seesaw

Wenn Sie für loadbalancer.kind den Wert "Seesaw" festlegen, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt oder lassen ihn auskommentiert.

loadBalancer.seesaw.ipBlockFilePath

String. Legen Sie hier den Pfad der IP-Blockdatei für Ihre Seesaw-VM fest. Beispiel:

loadbalancer:
  seesaw:
    ipBlockFilePath: "user-seesaw-ipblock.yaml"

loadBalancer.seesaw.vird

Ganzzahl. Die virtuelle Router-ID Ihrer Seesaw-VM oder des VM-Paars. Diese Kennung muss in einem VLAN einmalig sein. Gültiger Bereich ist 1 – 255. Beispiel:

loadBalancer:
  seesaw:
    vrid: 125

loadBalancer.seesaw.masterIP

String. Eine VIP Ihrer Wahl, die die Seesaw-VM Ihrer Steuerungsebene weitergibt. Beispiel:

loadBalancer:
  seesaw:
    masterIP: 172.16.20.21

loadBalancer.seesaw.cpus

Ganzzahl. Die Anzahl der CPUs für jeder Seesaw-VM. Beispiel:

loadBalancer:.
  seesaw:
    cpus: 8

loadBalancer.seesaw.memoryMB

Ganzzahl. Die Größe des Arbeitsspeichers in Megabyte für jede Seesaw-VM. Beispiel:

loadBalancer:.
  seesaw:
    memoryMB: 8192

loadBalancer.seesaw.vCenter.networkName

String. Der Name des Netzwerks, das Ihre Seesaw-VMs enthält. Beispiel:

loadBalancer:
  seesaw:
    vCenter:
      networkName: "my-seesaw-network"

loadBalancer.seesaw.enableHA

Boolescher Wert. Wenn Sie einen hochverfügbaren Seesaw-Load-Balancer erstellen möchten, legen Sie für dieses Feld true fest. Andernfalls legen Sie false fest. Beispiel:

loadBalancer:.
  seesaw:
    enableHA: true

masterNode

Dieser Abschnitt enthält Informationen zu den Knoten im Administratorcluster, die als Steuerungsebenenknoten für Ihren Nutzercluster dienen.

masterNode.cpus

Ganzzahl. Die Anzahl der CPUs für jeden Administratorclusterknoten, die als Steuerungsebenen für diesen Nutzercluster dienen. Beispiel:

masterNode:
  cpus: 8

masterNode.memoryMB

Ganzzahl. Die Größe des Arbeitsspeichers in Megabyte für jeden Administratorclusterknoten, der als Steuerungsebene für diesen Nutzercluster dient. Beispiel:

masterNode:
  memoryMB: 8192

masterNode.replicas

Ganzzahl. Die Anzahl der Steuerungsebenenknoten für diesen Nutzercluster. Legen Sie für dieses Feld den Wert 1 oder 3 fest. Beispiel:

masterNode:
  replicas: 3

nodePools

Array von Objekten, die jeweils einen Knotenpool beschreiben.

nodePools[i].name

String. Ein Name Ihrer Wahl für den Knotenpool. Beispiel:

nodePools:
- name: "my-node-pool"

nodePools[i].cpus

Ganzzahl. Die Anzahl der CPUs für jeden Knoten im Pool. Beispiel:

nodePools"
- name: "my-node-pool"
  cpus: 8

nodePools[i].memoryMB

Ganzzahl. Die Größe des Arbeitsspeichers in Megabyte für jeden Knoten im Pool. Beispiel:

nodePools"
- name: "my-node-pool"
  memoryMB: 8192

nodePools[i].replicas

Ganzzahl. Die Anzahl der Knoten im Pool. Beispiel:

nodePools:
- name: "my-node-pool"
  replicas: 5

noodePools[i].labels

Zuordnung. Labels, die auf jeden Knoten im Pool angewendet werden sollen. Beispiel:

nodePools:
- name: "my-node-pool"
  labels:
    environment: "production"
    tier: "cache"

nodePools[i].taints

Array von Objekten, die jeweils eine Markierung beschreiben. Beispiel:

nodePools:
- name: "my-node-pool"
  taints:
  - key: "staging"
    value: "true"
    effect: "NoSchedule"

nodePools[i].bootDiskSizeGB

Ganzzahl. Die Größe des Bootlaufwerks in Gigabyte für jeden Knoten im Pool. Diese Konfiguration ist ab der GKE On-Prem-Version 1.5.0 verfügbar. Beispiel:

nodePools"
- name: "my-node-pool"
  bootDiskSizeGB: 40

nodePools[i].vsphere.datastore

String. Der Name des vCenter-Datenspeichers, in dem jeder Knoten im Pool erstellt wird. Beispiel:

nodePools:
- name: "my-node-pool"
  vsphere:
    datastore: "my-datastore"

antiAffinityGroups.enabled

Boolescher Wert. Legen Sie dafür true fest, wenn das Erstellen von DRS-Regeln aktiviert werden soll. Andernfalls legen Sie false fest. Beispiel:

antiAffinityGroups:
  enabled true

GKE On-Prem erstellt automatisch die DRS-Anti-Affinitätsregeln (Distributed Resource Scheduler) für die Knoten Ihres Nutzerclusters, wodurch sie auf mindestens drei physische Hosts in Ihrem Rechenzentrum verteilt werden.

Für diese Funktion muss die vSphere-Umgebung die folgenden Bedingungen erfüllen:

  • VMware DRS ist aktiviert. Für VMware DRS ist die vSphere Enterprise Plus-Lizenzversion erforderlich.

  • Ihr vSphere-Nutzerkonto hat die Berechtigung Host.Inventory.Modify cluster.

  • Es sind mindestens drei physische Hosts verfügbar.

Wenn Sie eine vSphere Standard-Lizenz haben, können Sie VMware DRS nicht aktivieren.

Wenn Sie DRS nicht aktiviert haben oder wenn Sie nicht mindestens drei Hosts haben, für die vSphere-VMs geplant werden können, legen Sie für antiAffinityGroups.enabled den Wert false fest.

authentication

Dieser Abschnitt enthält Informationen zur Authentifizierung und Autorisierung von Clusternutzern.

authentication.oidc

Wenn Sie den Zugriff auf diesen Cluster mit OpenID Connect (OIDC) verwalten möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt oder lassen ihn auskommentiert.

authentication.oidc.issuerURL

String. Die URL Ihres OpenID-Anbieters. Clientanwendungen wie das gcloud-Tool und die Cloud Console senden Autorisierungsanfragen an diese URL. Der Kubernetes API-Server verwendet diese URL, um öffentliche Schlüssel zum Verifizieren von Tokens festzustellen. Es muss HTTPS verwendet werden. Beispiel:

authentication:
  oidc:
    issuerURL: "https://example.com/adfs"

authentication.oidc.kubectlRedirectURL

String. Die Weiterleitungs-URL für das gcloud-Tool. Beispiel:

authentication:
  oidc:
    kubectlRedirectURL: "https://localhost:1025/callback"

authentication.oidc.clientID

String. Die ID für die Clientanwendung, die Authentifizierungsanfragen an den OpenID-Anbieter sendet. Sowohl die gcloud-Befehlszeile als auch die Cloud Console nutzen diese ID. Beispiel:

authentication:
  oidc:
    clientID: "my-big-hex-string"

authentication.oidc.clientSecret

String. Das Secret für die Clientanwendung. Sowohl das gcloud-Tool als auch die Cloud Console nutzen dieses Secret. Beispiel:

authentication:
  oidc:
    clientSecret: "N3i&JlLZoD!W"

authentication.oidc.username

String. Die JWT-Anforderung, die als Nutzername verwendet werden soll. Der Standardwert ist sub. Dies ist eine eindeutige ID des Endnutzers. Je nach OpenID-Anbieter können Sie andere Anforderungen auswählen, wie beispielsweise email oder name. Allerdings wird anderen Anforderungen als email die Aussteller-URL vorangestellt, um Namenskonflikte mit anderen Plug-ins zu vermeiden. Beispiel:

authentication:
  oidc:
    username: "sub"

authentication.oidc.usernamePrefix

String. Das Präfix, das Nutzernamensanforderungen vorangestellt wird, um Konflikte mit vorhandenen Namen zu vermeiden. Wenn Sie dieses Feld nicht angeben und username ein anderer Wert als email ist, wird standardmäßig das Präfix issuerurl# verwendet. Sie können mit dem Wert - alle Präfixe deaktivieren. Beispiel:

authentication:
  oidc:
    usernamePrefix: "my-prefix"

authentication.oidc.group

String. Die JWT-Anforderung, die der Anbieter zum Zurückgeben Ihrer Sicherheitsgruppen verwendet. Beispiel:

authentication:
  oidc:
    group: "sec-groups"

authentication.oidc.groupPrefix

String. Das Präfix, das Gruppenanforderungen vorangestellt wird, um Konflikte mit vorhandenen Namen zu vermeiden. Ein Beispiel ist gid-foobar für die Gruppe foobar und das Präfix gid-. Standardmäßig ist dieser Wert leer und es gibt kein Präfix. Beispiel:

authentication:
  oidc:
    groupPrefix: "gid-"

authentication.oidc.scopes

String. Eine durch Kommas getrennte Liste zusätzlicher Bereiche, die an den OpenID-Anbieter gesendet werden. Beispiel:

authentication:
  oidc:
    scopes: "offline-access"

Für die Authentifizierung mit Microsoft Azure oder Okta legen Sie für dieses Feld offline_access fest.

authentication.oidc.extraParams

String. Eine durch Kommas getrennte Liste zusätzlicher Schlüssel/Wert-Paar-Parameter, die an den OpenID-Anbieter gesendet werden.

Beispiel:

authentication:
  oidc:
    extraparams: "prompt=consent"

authentication.oidc.deployCloudConsoleProxy

String. Gibt an, ob ein Reverse-Proxy im Cluster bereitgestellt werden soll, um der Google Cloud Console für das Authentifizieren von Nutzern Zugriff auf den lokalen OIDC-Anbieter zu gewähren. Dies muss ein String sein: "true" oder "false". Wenn Ihr Identitätsanbieter nicht über das öffentliche Internet erreichbar ist und Sie sich über die Google Cloud Console authentifizieren möchten, müssen Sie für dieses Feld "true" festlegen. Wenn Sie hier keinen Wert eingeben, wird standardmäßig "false" verwendet.

authentication.oidc.caPath

String. Pfad zum Zertifikat der Zertifizierungsstelle, die das Webzertifikat Ihres Identitätsanbieters ausgestellt hat. Dieser Wert ist möglicherweise nicht erforderlich. Wenn das Zertifikat Ihres Identitätsanbieters beispielsweise von einer bekannten öffentlichen Zertifizierungsstelle ausgestellt wurde, müssen Sie hier keinen Wert angeben. Wenn für deployCloudConsoleProxy jedoch "true" gilt, müssen Sie diesen Wert auch für eine bekannte öffentliche Zertifizierungsstelle angeben.

Beispiel:

authentication:
  oidc:
    caPath: "my-cert-folder/provider-root-cert.pem"

authentication.sni

Wenn Sie ein zusätzliches Bereitstellungszertifikat für den Kubernetes API-Server des Clusters festlegen möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt oder lassen ihn auskommentiert.

authentication.sni.certPath

String. Der Pfad zu einem Bereitstellungszertifikat für den Kubernetes API-Server. Beispiel:

authentication:
  sni:
    certPath: "my-cert-folder/example.com.crt"

authentication.sni.keyPath

String. Der Pfad zur privaten Schlüsseldatei des Zertifikats. Beispiel:

authentication:
  sni:
    keyPath: "my-cert-folder/example.com.key"

authentication.ldap

Falls Sie Informationen zu Ihrem LDAP-Anbieter angeben möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.

authentication.ldap.name

String. Der Name Ihres LDAP-Anbieters. Beispiel:

authentication:
  ldap:
    name: "my-ldap-provider"

authentication.ldap.host

String. Der Hostname oder die IP-Adresse Ihres LDAP-Anbieters. Beispiel:

authentication:
  ldap:
    host" "203.0.113.20"

authentication.ldap.connectionType

String. Legen Sie diesen Wert auf "insecure" fest, um eine ungesicherte Verbindung für LDAP zu verwenden. Wenn Sie eine sichere Verbindung verwenden möchten, entfernen Sie dieses Feld.

Standardmäßig wird LDAP über TLS verwendet. Setzen Sie connectionType auf "insecure", um dies zu ändern und eine ungesicherte Verbindung zu verwenden. Wenn Sie diesen Wert auf "insecure" festlegen, müssen Sie für ldap.caPath keinen Wert angeben.

Beispiel:

authentication:
  ldap:
    connectionType: "insecure"

authentication.ldap.caPath

String. Der Pfad des Root-Zertifikats für Ihren LDAP-Anbieter. Beispiel:

authentication:
  ldap:
    caPath: "my-cert-folder/ldap-cert.pem"

authentication.ldap.user.baseDN

String. Der Speicherort für die Nutzereinträge im LDAP-Verzeichnis. Beispiel:

authentication:
  ldap:
    user:
      baseDN: "DC=example-domain,DC=com"

authentication.ldap.user.userAttribute

String: Der Name des Attributs, das dem Nutzernamen in einem DN vorangestellt wird. Der Standardwert von "CN" ist. Beispiel:

authentication:
  ldap:
    user:
      userAttribute: "CN"

authentication.ldap.user.memberAttribute

String. Der Name des Attributs, das die Gruppenmitgliedschaft eines Nutzers aufzeichnet. Der Standardwert von "memberOf" ist. Beispiel:

authentication:
  ldap:
    user:
      memberAttribute: "memberOf"

stackdriver

Dieser Abschnitt enthält Informationen zum Google Cloud-Projekt und zum Dienstkonto für das Speichern von Logs und Messwerten.

stackdriver.projectID

String. Die ID des Google Cloud-Projekts, in dem Sie Logs aufrufen möchten. Beispiel:

stackdriver:
  projectID: "my-logs-project"

stackdriver.clusterLocation

String. Die Google Cloud-Region, in der Sie Logs speichern möchten. Es empfiehlt sich, eine Region auszuwählen, die sich in der Nähe Ihres lokalen Rechenzentrums befindet. Beispiel:

stackdriver:
  clusterLocation: "us-central1"

stackdriver.enableVPC

Boolescher Wert. Wenn das Netzwerk des Clusters von einer VPC gesteuert wird, legen Sie für dieses Feld den Wert true fest. So wird gewährleistet, dass alle Telemetriedaten über die eingeschränkten IP-Adressen von Google übertragen werden. Andernfalls legen Sie für dieses Feld false fest. Beispiel:

stackdriver:
  enableVPC: false

stackdriver.serviceAccountKeyPath

String. Der Pfad der JSON-Schlüsseldatei für Ihr Logging-Monitoring-Dienstkonto. Beispiel:

stackdriver:
  serviceAccountKeyPath: "my-key-folder/log-mon-key.json"

stackdriver.disableVsphereResourceMetrics

Boolescher Wert. Setzen Sie diesen Wert auf true, um die Erfassung von Messwerten aus vSphere zu deaktivieren. Setzen Sie ihn andernfalls auf false. Beispiel:

stackdriver:
  disableVsphereResourceMetrics: true

gkeConnect

Dieser Abschnitt enthält Informationen zum Google Cloud-Projekt und zu den Dienstkonten, die Sie zum Herstellen einer Verbindung Ihres Clusters zu Google Cloud verwenden möchten.

gkeConnect.projectID

String. Die ID des Cloud-Projekts, das Sie zum Herstellen einer Verbindung Ihres Clusters zu Google Cloud verwenden möchten. Beispiel:

gkeConnect:
  projectID: "my-connect-project-123"

gkeConnect.registerServiceAccountKeyPath

String. Der Pfad der JSON-Schlüsseldatei für Ihr Connect-Register-Dienstkonto. Beispiel:

gkeConnect:
  registerServiceAccountKeyPath: "my-key-folder/connect-register-key.json"

gkeConnect.agentServiceAccountKeyPath

String. Der Pfad der JSON-Schlüsseldatei für Ihr Connect-Agent-Dienstkonto. Beispiel:

gkeConnect:
  agentServiceAccountKeyPath: "my-key-folder/connect-agent-key.json"

cloudRun.enabled

Boolescher Wert. Legen Sie für dieses Feld true fest, wenn Sie Cloud Run aktivieren möchten. Andernfalls legen Sie false fest. Beispiel:

cloudRun:
  enabled: true

usageMetering

Wenn Sie die Nutzungsmessung für Ihren Cluster aktivieren möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt oder lassen ihn auskommentiert.

usageMetering.bigQueryProjectID

String. Die ID des Google Cloud-Projekts, in dem Sie Nutzungsmessdaten speichern möchten. Beispiel:

usageMetering:
  bigQueryProjectID: "my-bq-project"

usageMetering.bigQueryDatasetID

String. Die ID des BigQuery-Datasets, in dem Sie Nutzungsmessdaten speichern möchten. Beispiel:

usageMetering:
  bigQueryDatasetID: "my-bq-dataset"

usageMetering.bigQueryServiceAccountKeyPath

String. Der Pfad der JSON-Schlüsseldatei für Ihr BigQuery-Dienstkonto. Beispiel:

usageMetering:
  bigQueryServiceAccountKeyPath: "my-key-folder/bq-key.json"

usageMetering.enableConsumptionMetering

Boolescher Wert. Legen Sie für dieses Feld true fest, wenn Sie die verbrauchsbasierte Messung aktivieren möchten. Andernfalls legen Sie "false" fest. Beispiel:

usageMetering:
  enableConsumptionMetering: true

cloudAuditLogging

Wenn Sie die Audit-Logs vom Kubernetes API-Server des Clusters in Cloud-Audit-Logs einbinden möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt oder lassen ihn auskommentiert.

cloudAuditLogging.projectid`

String. Die Projekt-ID des Google Cloud-Projekts, in dem Sie Audit-Logs speichern möchten. Beispiel:

cloudAuditLogging:
  projectid: "my-audit-project"

cloudAuditLogging.clusterlocation

String. Die Google Cloud-Region, in der Sie Audit-Logs speichern möchten. Es empfiehlt sich, eine Region auszuwählen, die sich in der Nähe Ihres lokalen Rechenzentrums befindet. Beispiel:

cloudAuditLogging:
  clusterlocation: "us-central1"

cloudAuditLogging.serviceaccountkeypath

String. Der Pfad der JSON-Schlüsseldatei für Ihr Audit-Logging-Dienstkonto. Beispiel:

cloudAuditLogging:
  serviceaccountkeypath: "my-key-folder/audit-log-key.json"

autoRepair.enabled

Boolescher Wert. Legen Sie für diesen Wert true fest, um die automatische Knotenreparatur zu aktivieren. Setzen Sie ihn andernfalls auf false. Beispiel:

autoRepair:
  enabled: true