Versione 1.6. Questa versione non è più supportata come descritto nelle norme relative al supporto delle versioni di Anthos. Per le patch e gli aggiornamenti più recenti per vulnerabilità di sicurezza, esposizioni e problemi che interessano i cluster Anthos su VMware (GKE on-prem), esegui l'upgrade a una versione supportata. La versione più recente è disponibile qui.

Versioni disponibili

Questa pagina è stata tradotta dall'API Cloud Translation.

Creazione di una workstation amministrativa

Questo documento mostra come creare una workstation di amministrazione, per i cluster Anthos su VMware (GKE on-prem), che puoi utilizzare per creare cluster.

I passaggi in questo documento utilizzano lo strumento a riga di comando gkeadm, disponibile per Linux a 64 bit, Windows 10, Windows Server 2019 e macOS 10.15 e versioni successive.

Le istruzioni riportate qui sono complete. Per un'introduzione più breve alla creazione di una workstation di amministrazione, consulta l'articolo Creare una workstation di amministrazione (guida rapida).

Prima di iniziare

Conoscere l'indirizzo del server vCenter.

Conoscere il percorso del certificato CA.

Installa l'interfaccia a riga di comando di Google Cloud.

Crea uno o più progetti Cloud come descritto in Utilizzo di più progetti Google Cloud.

Pianificazione degli account di servizio

Quando utilizzi gkeadm per creare una workstation di amministrazione, hai la possibilità di consentire a gkeadm di creare la maggior parte degli account di servizio e delle chiavi per te. In tal caso, gkeadm concede anche i ruoli di gestione di identità e accessi appropriati agli account di servizio.

In alternativa, puoi creare manualmente i tuoi account e le chiavi di servizio. In tal caso, devi concedere manualmente i ruoli IAM ai tuoi account di servizio.

La creazione manuale degli account di servizio offre più flessibilità rispetto alla creazione di gkeadm:

Gli account di servizio creati automaticamente sono tutti elementi secondari del tuo progetto Connect. Quando crei manualmente un account di servizio, puoi scegliere il progetto Cloud principale.
Agli account di servizio creati automaticamente vengono assegnati i ruoli IAM sul tuo progetto di connessione. Non è un problema se il progetto di connessione è l'unico progetto Cloud associato ai tuoi cluster. Tuttavia, se vuoi associare i tuoi cluster a più progetti Cloud, devi avere la flessibilità di concedere ruoli a un account di servizio su un progetto Cloud a tua scelta.

Se decidi di creare i tuoi account di servizio, segui le istruzioni riportate nella sezione Chiavi e account di servizio.

Indipendentemente dal fatto che tu abbia creato gkeadm account di servizio automaticamente, devi creare manualmente un account di servizio: l'account di servizio di accesso ai componenti. Per istruzioni su come creare l'account di servizio di Accesso ai componenti e assegnargli i ruoli IAM appropriati, consulta Account di servizio di accesso ai componenti.

Generazione di modelli per i file di configurazione

Scarica gkeadm nella directory corrente.

Genera i modelli:

./gkeadm create config

Il comando precedente ha creato questi file nella directory corrente:

credential.yaml
admin-ws-config.yaml

Compilazione del numero `credential.yaml`

Inserisci il tuo nome utente e la password di vCenter in credential.yaml. Ad esempio:

kind: CredentialFile
items:
- name: vCenter
  username: "my-account-name"
  password: "AadmpqGPqq!a"

Compilazione del numero `admin-ws-config.yaml`

Alcuni campi in admin-ws-config.yaml sono già compilati con valori predefiniti o generati. Puoi mantenere i valori completati o apportare modifiche man mano che preferisci.

Visualizza i campi già compilati.

vCenter:
  credentials:
    fileRef:
    path: credential.yaml
    entry: vCenter

adminWorkstation:
  name: gke-admin-ws-...
  cpus: 4
  memoryMB: 8192

  diskGB: 50
  dataDiskName: gke-on-prem-admin-workstation-data-disk,,,.vmdk
  dataDiskMB: 512
  network:
    ntpServer: ntp.ubuntu.com

Campi da compilare

Compila i seguenti campi obbligatori. Per informazioni su come compilare i campi, File di configurazione della workstation di amministrazione.

gcp:
   whitelistedServiceAccountKeyPath: "Fill in"
vCenter:
  credentials:
    address: "Fill in"
  datacenter: "Fill in"
  datastore: "Fill in"
  cluster: "Fill in"
  network: "Fill in"
  resourcePool: "Fill in"
  caCertPath: "Fill in"

Se la workstation di amministrazione è protetta da un server proxy, compila il campo proxyURL:

adminWorkstation:
  proxyURL: "Fill in"

Se vuoi che la workstation di amministrazione riceva l'indirizzo IP da un server DHCP, imposta ipAllocationMode su "dhcp" e rimuovi la sezione hostconfig:

adminWorkstation:
  network:
    ipAllocationMode: "dhcp"

Se vuoi specificare un indirizzo IP statico per la tua workstation di amministrazione, imposta ipAllocationMode su "static" e compila la sezione hostconfig:

adminWorkstation:
  network:
    ipAllocationMode: "static"
    hostconfig:
      ip: "Fill in"
      gateway: "Fill in"
      netmask: "Fill in"
      dns:
      - "Fill in"

Creazione della workstation di amministrazione

Inserisci questo comando per creare la tua workstation di amministrazione. Se vuoi che gkeadm crei gli account di servizio per te, includi il flag --auto-create-service-accounts. Se vuoi creare manualmente i tuoi account di servizio, ometti il flag.

./gkeadm create admin-workstation [--auto-create-service-accounts]

L'output fornisce informazioni dettagliate sulla creazione della workstation di amministrazione:

...
Getting ... service account...
...
********************************************************************
Admin workstation is ready to use.

Admin workstation information saved to /usr/local/google/home/me/my-admin-workstation
This file is required for future upgrades
SSH into the admin workstation with the following command:
ssh -i /usr/local/google/home/me/.ssh/gke-admin-workstation ubuntu@172.16.5.1
********************************************************************

Ottenere una connessione SSH alla tua workstation di amministrazione

Alla fine dell'output precedente, puoi utilizzare un comando che consente di ottenere una connessione SSH alla workstation di amministrazione. Inseriscilo ora. Ad esempio:

ssh -i /usr/local/google/home/me/.ssh/gke-admin-workstation ubuntu@172.16.5.1

Elenca i file sulla tua workstation di amministrazione:

ls -1

Nell'output puoi vedere due file di configurazione del cluster, il file del certificato CA e il file della chiave JSON per l'account del servizio di accesso ai componenti. Se gkeadm ha creato gli account di servizio per te, puoi anche visualizzare i file delle chiavi JSON per tali account di servizio:

admin-cluster.yaml
user-cluster.yaml
vcenter-ca-cert.pem
component-access-key.json

Verifica che gkeadm abbia attivato il tuo account di servizio di accesso ai componenti sulla workstation di amministrazione:

gcloud config get-value account

Copia del file della chiave JSON nella workstation di amministrazione

Prima di creare un cluster, i file della chiave JSON dei tuoi account di servizio devono essere nella workstation di amministrazione nella home directory.

La chiave per l'account di servizio del componente Accesso è già nella workstation di amministrazione.

Se hai incluso il flag --auto-create-service-accounts quando hai eseguito gkeadm create admin-workstation, le chiavi dei seguenti account di servizio si trovano già nella tua workstation di amministrazione nella home directory. In caso contrario, devi copiare manualmente le chiavi nella home directory della workstation di amministrazione:

Connetti-registra account di servizio
Account di servizio Connect-agent
Account di servizio di logging-monitor

Se hai creato uno dei seguenti account di servizio, devi copiare manualmente le chiavi per tali account di servizio nella home directory della workstation di amministrazione:

Account di servizio di misurazione dell'utilizzo
Account di servizio di audit logging
Account di servizio di autorizzazione binaria

Passaggi successivi

Creazione di un cluster di amministrazione