Versión 1.7. Esta versión es compatible como se describe en la política de asistencia de la versión de Anthos, que ofrece los últimos parches y actualizaciones de vulnerabilidades de seguridad, exposiciones y problemas que afectan a los clústeres de Anthos alojados en VMware (GKE On-Prem). Consulta las notas de la versión para obtener más detalles. Esta es la versión más reciente.

Crea una estación de trabajo de administrador

En este documento, se muestra cómo crear una estación de trabajo de administrador para clústeres de Anthos alojados en VMware (GKE On-Prem), que puedes usar a fin de crear clústeres.

Las instrucciones que aparecen aquí están completas. Para obtener una introducción más corta a fin de crear una estación de trabajo de administrador, consulta Crea una estación de trabajo de administrador (guía de inicio rápido).

Antes de comenzar

Conoce tu dirección del servidor de vCenter.

Conoce tu ruta de acceso del certificado de CA.

Instalar el SDK de Cloud.

Crea uno o más proyectos de Cloud como se describe en Usa varios proyectos de Google Cloud.

Planifica tus cuentas de servicio

Cuando usas gkeadm para crear una estación de trabajo de administrador, tienes la opción de dejar que gkeadm cree la mayoría de las cuentas de servicio y claves por ti. En ese caso, gkeadm también otorga las funciones adecuadas de Identity and Access Management a las cuentas de servicio.

Como alternativa, puedes crear tus cuentas de servicio y claves manualmente. En ese caso, debes otorgar de forma manual las funciones de IAM a tus cuentas de servicio.

Cuando creas cuentas de servicio de forma manual, tienes más flexibilidad que permitir que gkeadm las cree por ti:

  • Las cuentas de servicio creadas automáticamente son todos los elementos secundarios de tu proyecto de Connect. Cuando creas una cuenta de servicio de forma manual, puedes elegir el proyecto de Cloud superior.

  • Todas las cuentas de servicio creadas automáticamente reciben funciones de IAM en tu proyecto de Connect. Esto es eficaz si tu proyecto de Connect es el único proyecto de Cloud asociado con tus clústeres. Pero si deseas asociar tus clústeres a varios proyectos de Cloud, necesitas la flexibilidad de otorgar funciones a una cuenta de servicio en un proyecto de Cloud de tu elección.

Si decides crear tus propias cuentas de servicio, sigue las instrucciones que se brindan en Claves y cuentas de servicio.

Independientemente de que gkeadm cree cuentas de servicio de forma automática por ti, hay una cuenta de servicio que debes crear de forma manual: la cuenta de servicio de acceso a componentes. A fin de obtener instrucciones para crear tu cuenta de servicio de acceso a componentes y otorgarle las funciones de IAM adecuadas, consulta Cuenta de servicio de acceso a componentes.

Genera plantillas para tus archivos de configuración

Descarga gkeadm en tu directorio actual.

Genera plantillas:

./gkeadm create config

El comando anterior creó estos archivos en el directorio actual:

  • credential.yaml
  • admin-ws-config.yaml

Completa credential.yaml

En credential.yaml, completa tu nombre de usuario y contraseña de vCenter. Por ejemplo:

kind: CredentialFile
items:
- name: vCenter
  username: "my-account-name"
  password: "AadmpqGPqq!a"

Completa admin-ws-config.yaml

Varios campos en admin-ws-config.yaml ya se llenaron con valores predeterminados o generados. Puedes conservar los valores propagados o realizar los cambios que prefieras.

Campos que debes completar

Completa los siguientes campos obligatorios. Para obtener información sobre cómo completar los campos, consulta Archivo de configuración de la estación de trabajo de administrador.

gcp:
   whitelistedServiceAccountKeyPath: "Fill in"
vCenter:
  credentials:
    address: "Fill in"
  datacenter: "Fill in"
  datastore: "Fill in"
  cluster: "Fill in"
  network: "Fill in"
  resourcePool: "Fill in"
  caCertPath: "Fill in"

Si tu estación de trabajo de administrador estará detrás de un servidor proxy, completa el campo proxyURL:

adminWorkstation:
  proxyURL: "Fill in"

Si quieres que tu estación de trabajo de administrador obtenga su dirección IP de un servidor DHCP, configura ipAllocationMode como "dhcp" y quita la sección hostconfig:

adminWorkstation:
  network:
    ipAllocationMode: "dhcp"

Si deseas especificar una dirección IP estática para tu estación de trabajo de administrador, configura ipAllocationMode como "static" y completa la sección hostconfig:

adminWorkstation:
  network:
    ipAllocationMode: "static"
    hostconfig:
      ip: "Fill in"
      gateway: "Fill in"
      netmask: "Fill in"
      dns:
      - "Fill in"

Crea tu estación de trabajo de administrador

Ingresa este comando para crear tu estación de trabajo de administrador. Si deseas que gkeadm cree cuentas de servicio por ti, incluye la marca --auto-create-service-accounts. Si deseas crear tus propias cuentas de servicio de forma manual, omite la marca.

./gkeadm create admin-workstation [--auto-create-service-accounts]

En el resultado, se proporciona información detallada sobre la creación de tu estación de trabajo de administrador;

...
Getting ... service account...
...
********************************************************************
Admin workstation is ready to use.

Admin workstation information saved to /usr/local/google/home/me/my-admin-workstation
This file is required for future upgrades
SSH into the admin workstation with the following command:
ssh -i /usr/local/google/home/me/.ssh/gke-admin-workstation ubuntu@172.16.5.1
********************************************************************

Obtén una conexión SSH a tu estación de trabajo de administrador

Cerca del final del resultado anterior, hay un comando que puedes usar para obtener una conexión SSH a tu estación de trabajo de administrador. Ingresa ese comando ahora. Por ejemplo:

ssh -i /usr/local/google/home/me/.ssh/gke-admin-workstation ubuntu@172.16.5.1

Enumera los archivos en tu estación de trabajo de administrador:

ls -1

En el resultado, puedes ver dos archivos de configuración de clúster, el archivo de certificado de CA y el archivo de claves JSON para tu cuenta de servicio de acceso a componentes. Si gkeadm creó cuentas de servicio por ti, también puedes ver los archivos de claves JSON para esas cuentas de servicio:

admin-cluster.yaml
user-cluster.yaml
vcenter-ca-cert.pem
component-access-key.json

Verifica que gkeadm haya activado tu cuenta de servicio de acceso de componentes en la estación de trabajo de administrador:

gcloud config get-value account

Copia el archivo de claves JSON a tu estación de trabajo de administrador

Antes de crear un clúster, los archivos de claves JSON para tus cuentas de servicio deben estar en tu estación de trabajo de administrador en el directorio principal.

La clave para tu cuenta de servicio de acceso a componentes ya se encuentra en tu estación de trabajo de administrador.

Si incluiste la marca --auto-create-service-accounts cuando ejecutaste gkeadm create admin-workstation, las claves para las siguientes cuentas de servicio ya se encuentran en tu estación de trabajo de administrador en el directorio principal. De lo contrario, debes copiar de forma manual las claves en el directorio principal de tu estación de trabajo de administrador:

  • Cuenta de servicio del registro de Connect
  • Cuenta de servicio del agente de Connect
  • Cuenta de servicio de supervisión de registros

Si creaste alguna de las siguientes cuentas de servicio, debes copiar de forma manual las claves de esas cuentas en el directorio principal de tu estación de trabajo de administrador:

  • Cuenta de servicio de medición de uso
  • Cuenta de servicio de registro de auditoría
  • Cuenta de servicio de autorización binaria

¿Qué sigue?

Crea un clúster de administrador