Auf dieser Seite werden die Felder in der Konfigurationsdatei für den Administratorcluster für Anthos-Cluster auf VMware (GKE On-Prem) beschrieben.
Vorlage für Ihre Konfigurationsdatei erstellen
Wenn Sie gkeadm
zum Erstellen Ihrer Administratorworkstation verwendet haben, hat gkeadm
eine Vorlage für die Konfigurationsdatei des Administratorclusters generiert. Außerdem hat gkeadm
einige Felder mit Werten versehen.
Wenn Sie Ihre Administratorworkstation nicht mit gkeadm
erstellt haben, können Sie mit gkectl
eine Vorlage für die Konfigurationsdatei des Administratorclusters generieren.
So generieren Sie eine Vorlage für die Konfigurationsdatei des Administratorclusters:
gkectl create-config admin --config=OUTPUT_FILENAME --gke-on-prem-version=VERSION
Ersetzen Sie OUTPUT_FILENAME
durch einen Pfad Ihrer Wahl für die generierte Vorlage. Wenn Sie dieses Flag weglassen, benennt gkectl
die Datei admin-cluster.yaml
und speichert sie im aktuellen Verzeichnis.
Ersetzen Sie VERSION
durch die gewünschte Versionsnummer, die gleich oder kleiner als Ihre gkectl
-Version sein muss. Beispiel: gkectl create-config admin --gke-on-prem-version=1.6.2-gke.0
. Wenn Sie dieses Flag weglassen, werden in die generierte Konfigurationsvorlage Werte eingefügt, die auf der neuesten Clusterversion basieren.
Vorlage
Konfigurationsdatei ausfüllen
Geben Sie in Ihrer Konfigurationsdatei Feldwerte ein, wie in den folgenden Abschnitten beschrieben.
name
String. Ein Name Ihrer Wahl für den Cluster. Der Standardwert ist ein zufälliger Name mit dem Präfix gke-admin-
. Beispiel:
name: "my-admin-cluster"
bundlePath
String. Der Pfad Ihrer Anthos-Cluster auf VMware-Bundle-Datei.
Die vollständige Bundle-Datei von Anthos-Cluster auf VMware enthält alle Komponenten einer bestimmten Version von Anthos-Cluster auf VMware. Wenn Sie eine Administratorworkstation erstellen, erhalten Sie ein vollständiges Bundle unter:
/var/lib/gke/bundles/gke-onprem-vsphere-VERSION-full.tgz
Beispiel:
bundlePath: "/var/lib/gke/bundles/gke-onprem-vsphere-1.9.0-gke.8.full.tgz"
vCenter
Dieser Abschnitt enthält Informationen zu Ihrer vCenter-Umgebung.
vCenter.address
String. Die IP-Adresse oder der Hostname Ihres vCenter-Servers.
Bevor Sie das Feld address
ausfüllen, laden Sie das bereitgestellte Zertifikat Ihres vCenter-Servers herunter und prüfen Sie es. Geben Sie den folgenden Befehl ein, um das Zertifikat herunterzuladen und in einer Datei namens vcenter.pem
zu speichern:
true | openssl s_client -connect VCENTER_IP:443 -showcerts 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' > vcenter.pem
Ersetzen Sie VCENTER_IP
durch die IP-Adresse Ihres vCenter-Servers.
Öffnen Sie die Zertifikatsdatei, um den "Subject Common Name" und den "Subject Alternative Name" zu ermitteln:
openssl x509 -in vcenter.pem -text -noout
Die Ausgabe enthält den Subject
Common Name (CN). Dies kann eine IP-Adresse oder ein Hostname sein. Beispiel:
Subject: ... CN = 203.0.113.100
Subject: ... CN = my-vcenter-server.my-domain.example
Die Ausgabe kann auch unter Subject Alternative Name
einen oder mehrere DNS-Namen enthalten:
X509v3 Subject Alternative Name: DNS:vcenter.my-domain.example
Wählen Sie den Common Name Subject
oder einen der DNS-Namen unter Subject Alternative Name
als Wert für vcenter.address
in Ihrer Konfigurationsdatei aus. Beispiel:
vCenter: address: "203.0.113.100"
vCenter: address: "my-vcenter-server.my-domain.example"
vCenter.datacenter
String. Der Name Ihres vCenter-Rechenzentrums für den Administratorcluster. Beispiel:
vCenter: datacenter: "MY-DATACENTER"
vCenter.cluster
String. Der Name Ihres vSphere-Clusters. Beispiel:
vCenter: cluster: "MY-CLUSTER"
vCenter.resourcePool
String. Der Name Ihres vCenter-Ressourcenpools. Beispiel:
Wenn Sie einen nicht standardmäßigen Ressourcenpool verwenden, geben Sie den Namen Ihres vCenter-Ressourcenpools an. Beispiel:
vCenter: resourcePool: "MY-POOL"
Wenn Sie den Standardressourcenpool verwenden, geben Sie den folgenden Wert an:
vCenter: resourcePool: "VSPHERE_CLUSTER/Resources"
Ersetzen Sie VSPHERE_CLUSTER
durch den Namen Ihres vSphere-Clusters.
vCenter.datastore
String. Der Name Ihres vCenter-Datenspeichers. Beispiel:
vCenter: datastore: "MY-DATASTORE"
Weitere Informationen finden Sie unter Root-Ressourcenpool für einen eigenständigen Host angeben.
vCenter.caCertPath
String. Wenn ein Client wie GKE On-Prem eine Anfrage an vCenter-Server sendet, muss der Server seine Identität gegenüber dem Client durch Vorlage eines Zertifikats oder eines Zertifikatspakets bestätigen. Zum Bestätigen des Zertifikats oder Bundles müssen Anthos-Cluster auf VMware das Stammzertifikat in der Vertrauenskette haben.
Legen Sie für vCenter.caCertPath
den Pfad des Root-Zertifikats fest. Beispiel:
vCenter: caCertPath: "/usr/local/google/home/me/certs/vcenter-ca-cert.pem"
Ihre VM-Installation hat eine Zertifizierungsstelle (Certificate Authority, CA), die ein Zertifikat für Ihren vCenter-Server ausstellt. Das Root-Zertifikat in der Vertrauenskette ist ein selbst signiertes Zertifikat, das von VMware erstellt wurde.
Wenn sich das Zertifikat ändert, können Sie die Referenz auf das neue Zertifikat aktualisieren.
Wenn Sie nicht die VMware-Standardzertifizierungsstelle verwenden möchten, können Sie VMware so konfigurieren, dass eine andere Zertifizierungsstelle genutzt wird.
Wenn Ihr vCenter-Server ein von der VMware-Standardzertifizierungsstelle ausgestelltes Zertifikat verwendet, laden Sie es so herunter:
curl -k "https://SERVER_ADDRESS/certs/download.zip" > download.zip
Ersetzen Sie SERVER_ADDRESS
durch die Adresse Ihres vCenter-Servers.
Installieren Sie den Befehl unzip
und entpacken Sie die Zertifikatsdatei:
sudo apt-get install unzip unzip downloads.zip
Wenn der Befehl zum Entpacken beim ersten Mal nicht funktioniert, geben Sie den Befehl noch einmal ein.
Suchen Sie die Zertifikatsdatei in certs/lin
.
vCenter.credentials.fileRef.path
String. Der Pfad einer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres vCenter-Nutzerkontos enthält. Das Nutzerkonto sollte die Administratorrolle oder entsprechende Berechtigungen haben. Weitere Informationen finden Sie unter vSphere-Anforderungen. Beispiel:
vCenter: credentials: fileRef: path: "my-config-folder/admin-creds.yaml"
vCenter.credentials.fileRef.entry
String. Der Name des Anmeldedatenblocks in Ihrer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres vCenter-Nutzerkontos enthält. Beispiel:
vCenter: credentials: fileRef: entry: "vcenter-creds"
vCenter.folder
String. Der Name des vCenter-Ordners, in dem sich Ihre Cluster-VMs befinden sollen. Beispiel:
vCenter: folder: "MY-FOLDER"
vCenter.dataDisk
String. Anthos-Cluster auf VMware erstellt ein VM-Laufwerk (VMDK), das Kubernetes-Objektdaten enthält. Das Installationsprogramm erstellt das VMDK für Sie, Sie müssen jedoch im Feld vCenter.dataDisk
einen Namen für das VMDK angeben. Beispiel:
vCenter: dataDisk: "my-disk.vmdk"
Wenn Sie einen vSAN-Datenspeicher verwenden, müssen Sie das VMDK in einem Ordner platzieren. Außerdem müssen Sie den Ordner vorab manuell erstellen.
Sie könnten govc
verwenden, um einen Ordner zu erstellen:
govc datastore.mkdir -namespace=true my-folder
Legen Sie dann vCenter.dataDisk
auf den Pfad des VMDK einschließlich des Ordners fest.
Beispiel:
vDenter: dataDisk: "my-folder/my-disk.vmdk"
network
Dieser Abschnitt enthält Informationen zu Ihrem Administratorcluster-Netzwerk.
network.hostConfig
Dieser Abschnitt enthält Informationen zu von Ihrem Cluster verwendeten NTP-Servern, DNS-Servern und DNS-Suchdomains.
Wenn Sie für eines oder beide der folgenden Felder einen Wert angegeben haben, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt:
loadBalancer.seesaw.ipBlockFilePath
network.ipMode.ipBlockFilePath
network.hostConfig.dnsServers
Stringarray Die Adressen der DNS-Server, die von den Hosts verwendet werden sollen. Beispiel:
network: hostConfig: dnsServers: - "172.16.255.1" - "172.16.255.2"
network.hostConfig.ntpServers
Stringarray Die Adressen der Zeitserver, die von den Hosts verwendet werden sollen. Beispiel:
network: hostConfig: ntpServers: - "216.239.35.0"
network.hostConfig.searchDomainsForDNS
Stringarray DNS-Suchdomains, die von den Hosts verwendet werden sollen. Diese Domains werden als Teil einer Domainsuchliste verwendet. Beispiel:
network: hostConfig: searchDomainsForDNS: - "my.local.com"
network.ipMode.type
String. Wenn Sie möchten, dass Ihre Clusterknoten ihre IP-Adresse von einem DHCP-Server abrufen, legen Sie für dieses Feld "dhcp"
fest. Wenn Sie für die Clusterknoten statische IP-Adressen aus einer von Ihnen bereitgestellten Liste auswählen möchten, legen Sie "static"
fest.
Beispiel:
network: ipMode: type: "static"
network.ipMode.ipBlockFilePath
Wenn Sie für ipMode.type
den Wert "static"
festlegen, füllen Sie dieses Feld aus.
Wenn Sie für ipMode.type
den Wert "dhcp"
festgelegt haben, entfernen Sie dieses Feld.
String. Der Pfad der IP-Blockdatei für Ihre Administratorclusterknoten. Beispiel:
network: ipMode: ipBlockFilePath: "/my-config-folder/admin-cluster-ipblock.yaml"
network.serviceCIDR
und network.podCiDR
Strings. Der Administratorcluster muss einen Bereich von IP-Adressen für Dienste und einen Bereich von IP-Adressen für Pods haben. Diese Bereiche werden durch die Felder network.serviceCIDR
und network.podCIDR
angegeben. In diese Felder werden Standardwerte eingefügt. Sie können die Werte auch ändern.
Der Dienstbereich darf sich nicht mit dem Pod-Bereich überschneiden.
Die Dienst- und Pod-Bereiche dürfen sich nicht mit einer Adresse außerhalb des Clusters überschneiden, die Sie von innerhalb des Clusters erreichen möchten.
Angenommen, der Dienstbereich lautet 10.96.232.0/24 und der Pod-Bereich lautet 192.168.0.0/16. Traffic, der von einem Pod an eine Adresse in einem dieser Bereiche gesendet wird, wird als clusterintern behandelt und erreicht kein Ziel außerhalb des Clusters.
Insbesondere dürfen sich die Bereiche für Dienste und Pods nicht überschneiden mit:
IP-Adressen von Knoten in einem beliebigen Cluster
Von Load-Balancer-Maschinen verwendete IP-Adressen
Von Knoten der Steuerungsebene und Load-Balancern verwendete VIPs
IP-Adresse von vCenter-Servern, DNS-Servern und NTP-Servern
Wir empfehlen, dass sich Ihre Dienst- und Pod-Bereiche im Adressbereich RFC 1918 befinden.
Dies ist ein Grund für die Empfehlung, RFC 1918-Adressen zu verwenden. Angenommen, Ihr Pod- oder Dienstbereich enthält externe IP-Adressen. Traffic von einem Pod an eine dieser externen Adressen wird als clusterinterner Traffic behandelt und erreicht das externe Ziel nicht.
Beispiel:
network: serviceCIDR: "10.96.232.0/24" podCIDR: "192.168.0.0/16"
network.vCenter.networkName
String. Der Name des vSphere-Netzwerks für Ihre Clusterknoten.
Wenn der Name ein Sonderzeichen enthält, müssen Sie dafür eine Escapesequenz verwenden.
Sonderzeichen | Escapesequenz |
---|---|
Schrägstrich (/ ) |
%2f |
Umgekehrter Schrägstrich (\ ) |
%5c |
Prozentzeichen (% ) |
%25 |
Wenn der Netzwerkname nicht eindeutig ist, kann ein Pfad zum Netzwerk angegeben werden, z. B. /DATACENTER/network/NETWORK_NAME
.
Beispiel:
network: vCenter: networkName: "MY-CLUSTER-NETWORK"
loadBalancer
Dieser Abschnitt enthält Informationen zum Load-Balancer für Ihren Administratorcluster.
loadBalancer.vips.controlPlaneVIP
String. Die IP-Adresse, die Sie auf dem Load-Balancer für den Kubernetes API-Server des Administratorclusters konfiguriert haben. Beispiel:
loadBalancer: vips: controlplaneVIP: "203.0.113.3"
loadBalancer.vips.addonsVIP
String. Die IP-Adresse, die Sie auf dem Load-Balancer für Add-ons konfiguriert haben. Beispiel:
loadBalancer: vips: addonsVIP: "203.0.113.4"
loadBalancer.kind
String. Legen Sie dafür "Seesaw"
, "F5BigIP"
oder "ManualLB"
fest. Beispiel:
loadBalancer: kind: "Seesaw"
loadBalancer.manualLB
Wenn Sie für loadbalancer.kind
den Wert "ManualLB"
festlegen, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.
loadBalancer.manualLB.ingressHTTPNodePort
Entfernen Sie dieses Feld aus Ihrer Konfigurationsdatei. Es wird in einem Administratorcluster nicht verwendet.
loadBalancer.manualLB.ingressHTTPSNodePort
Entfernen Sie dieses Feld aus Ihrer Konfigurationsdatei. Es wird in einem Administratorcluster nicht verwendet.
loadBalancer.manualLB.controlPlaneNodePort
Integer. Der Kubernetes API-Server im Administratorcluster ist als Dienst vom Typ NodePort
implementiert. Für den Dienst müssen Sie einen nodePort
-Wert auswählen.
Legen Sie für dieses Feld den Wert nodePort
fest. Beispiel:
loadBalancer: manualLB: contolPlaneNodePort: 30968
loadBalancer.manualLB.addonsNodePort
Integer. Der Add-on-Server im Administratorcluster ist als Dienst vom Typ NodePort
implementiert. Für den Dienst müssen Sie einen nodePort
-Wert auswählen.
Legen Sie für dieses Feld den Wert nodePort
fest. Beispiel:
loadBalancer: manualLB: addonsNodePort: 31405
loadBalancer.f5BigIP
Wenn Sie für loadbalancer.kind
den Wert "f5BigIP"
festlegen, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.
loadBalancer.f5BigIP.address
String. Die Adresse Ihres F5 BIG-IP-Load-Balancers. Beispiel:
loadBalancer: f5BigIP: address: "203.0.113.2"
loadBalancer.f5BigIP.credentials.fileRef.path
String. Der Pfad einer Konfigurationsdatei mit Anmeldedaten, die den Nutzernamen und das Passwort eines Kontos enthält, mit dem Anthos-Cluster auf VMware eine Verbindung zu Ihrem F5 BIG-IP-Load-Balancer herstellen kann.
Das Nutzerkonto muss eine Nutzerrolle mit ausreichenden Berechtigungen zum Einrichten und Verwalten des Load-Balancers haben. Die Rolle „Administrator“ oder „Ressourcenadministrator“ ist ausreichend.
Beispiel:
loadBalancer: f5BigIP: credentials: fileRef: path: ""my-config-folder/admin-creds.yaml"
loadBalancer.f5BigIP.credentialsfileRef.entry
String. Der Name des Anmeldedatenblocks in Ihrer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres F5 BIG-IP-Kontos enthält. Beispiel:
loadBalancer: f5BigIP: credentials: fileRef: entry: "f5-creds"
loadBalancer.f5BigIP.partition
String. Der Name einer BIG-IP-Partition, die Sie für Ihren Administratorcluster erstellt haben. Beispiel:
loadBalancer: f5BigIP: partition: "my-f5-admin-partition"
loadBalancer.f5BigIP.snatPoolName
String. Wenn Sie SNAT verwenden, ist dies der Name Ihres SNAT-Pools. Wenn Sie SNAT nicht verwenden, entfernen Sie dieses Feld. Beispiel:
loadBalancer: f5BigIP: snatPoolName: "my-snat-pool"
loadBalancer.seesaw
Wenn Sie für loadbalancer.kind
den Wert "Seesaw"
festlegen, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.
Informationen zum Einrichten des Seesaw-Load-Balancer finden Sie unter Kurzanleitung: Seesaw-Load-Balancer und Gebündeltes Load-Balancing mit Seesaw.
loadBalancer.seesaw.ipBlockFilePath
String. Legen Sie dies auf den Pfad der IP-Blockdatei für Ihre Seesaw-VMs fest. Beispiel:
loadBalancer: seesaw: ipBlockFilePath: "config-folder/admin-seesaw-ipblock.yaml"
loadBalancer.seesaw.vrid
Integer. Die virtuelle Router-ID Ihrer Seesaw-VM. Diese Kennung, die eine Ganzzahl Ihrer Wahl ist, muss in einem VLAN einmalig sein. Gültiger Bereich ist 1 – 255. Beispiel:
loadBalancer: seesaw: vrid: 125
loadBalancer.seesaw.masterIP
String. Die virtuelle IP-Adresse, die auf Ihrer Master-Seesaw-VM konfiguriert ist. Beispiel:
loadBalancer: seesaw: masterIP: 172.16.20.21
loadBalancer.seesaw.cpus
Integer. Die Anzahl der CPUs für jeder Seesaw-VM. Beispiel:
loadBalancer: seesaw: cpus: 8
loadBalancer.seesaw.memoryMB
Integer. Die Größe des Arbeitsspeichers in Megabyte für jede Seesaw-VM. Beispiel:
loadBalancer: seesaw: memoryMB: 8192
loadBalancer.seesaw.vCenter.networkName
String. Der Name des vCenter-Netzwerks, das Ihre Seesaw-VMs enthält. Beispiel:
loadBalancer: seesaw: vCenter: networkName: "my-seesaw-network"
loadBalancer.seesaw.enableHA
Boolescher Wert. Wenn Sie einen hochverfügbaren Seesaw-Load-Balancer erstellen möchten, legen Sie für dieses Feld true
fest. Andernfalls legen Sie false
fest. Ein HA-Seesaw-Load-Balancer verwendet ein VM-Paar(Master, Backup). Beispiel:
loadBalancer: seesaw: enableHA: true
loadBalancer.seesaw.disableVRRPMAC
Boolescher Wert. Wenn Sie true
festlegen, verwendet der Seesaw-Load-Balancer das MAC-Lernen für Failover nicht. Stattdessen wird eine überflüssige ARP verwendet.
Wenn Sie false
auf den Seesaw-Load-Balancer setzen, verwendet der Seesaw-Load-Balancer MAC-Lernen. Es wird empfohlen, dass Sie hier true
festlegen. Wenn Sie vSphere 7 oder höher verwenden und einen Seesaw-Load-Balancer mit Hochverfügbarkeit haben, müssen Sie dies auf true
setzen.
Beispiel:
loadBalancer: seesaw: disableVRRPMAC: true
antiAffinityGroups.enabled
Boolescher Wert. Legen Sie dafür true
fest, wenn das Erstellen von DRS-Regeln aktiviert werden soll. Andernfalls legen Sie false
fest. Beispiel:
antiAffinityGroups: enabled: true
Anthos-Cluster auf VMware erstellt automatisch VMware-DRS (Distributed Resource Scheduler)Anti-Affinitätsregeln für die Knoten Ihres Administratorclusters, wodurch sie auf mindestens drei physische Hosts in Ihrem Rechenzentrum verteilt werden.
Für diese Funktion muss die vSphere-Umgebung die folgenden Bedingungen erfüllen:
VMware DRS ist aktiviert. Für VMware DRS ist die vSphere Enterprise Plus-Lizenzversion erforderlich.
Ihr vSphere-Nutzerkonto hat die Berechtigung
Host.Inventory.Modify cluster
.Es sind mindestens drei physische Hosts verfügbar.
Wenn Sie eine vSphere Standard-Lizenz haben, können Sie VMware DRS nicht aktivieren.
Wenn Sie DRS nicht aktiviert haben oder wenn Sie nicht mindestens drei Hosts haben, für die vSphere-VMs geplant werden können, legen Sie für antiAffinityGroups.enabled
den Wert false
fest.
adminMaster
Vorschau.
Wenn Sie CPU und Arbeitsspeicher für den Knoten der Steuerungsebene des Administratorclusters angeben möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.
adminMaster.cpus
Integer. Die Anzahl der CPUs für den Knoten der Steuerungsebene des Administratorclusters. Beispiel:
adminMaster: cpus: 4
adminMaster.memoryMB
Integer. Die Anzahl der Megabyte des Arbeitsspeichers für den Knoten der Steuerungsebene des Administratorclusters. Beispiel:
adminMaster: memoryMB: 16384
addonNode.autoResize.enabled
Boolescher Wert. Setzen Sie diesen Wert auf true
, um die automatische Größenanpassung der Add-on-Knoten im Administratorcluster zu aktivieren. Beispiel:
addonNode: autoResize: enabled: true
connectivity
String. Optional. Verbindung zu Google Cloud festlegen. Der einzige mögliche Wert für die Verbindung ist "connected". Beispiel:
connectivity: "connected"
proxy
Wenn sich Ihr Netzwerk hinter einem Proxyserver befindet, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.
proxy.url
String. Die HTTP-Adresse Ihres Proxyservers. Geben Sie die Portnummer an, auch wenn sie mit dem Standardport des Schemas identisch ist. Beispiel:
proxy: url: "http://my-proxy.example.local:80"
Der hier angegebene Proxyserver wird von Ihren Anthos-Cluster auf VMware-Clustern verwendet. Außerdem wird Ihre Administratorworkstation automatisch so konfiguriert, dass sie denselben Proxyserver verwendet, sofern Sie nicht die Umgebungsvariable HTTPS_PROXY
auf Ihrer Administratorworkstation festgelegt haben.
Wenn Sie proxy.url
angeben, müssen Sie auch proxy.noProxy
angeben.
Nachdem die Proxykonfiguration für den Administratorcluster festgelegt wurde, kann sie nicht mehr geändert oder gelöscht werden, es sei denn, der Cluster wird neu erstellt.
proxy.noProxy
String. Eine durch Kommas getrennte Liste mit IP-Adressen, IP-Adressbereichen, Hostnamen und Domainnamen, die nicht durch den Proxyserver geleitet werden sollen. Wenn Anthos-Cluster auf VMware eine Anfrage an eine dieser Adressen, Hosts oder Domains sendet, wird die Anfrage direkt gesendet. Beispiel:
proxy: noProxy: "10.151.222.0/24, my-host.example.local,10.151.2.1"
privateRegistry
Wenn Sie eine private Docker-Registry haben, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt. Die im Abschnitt privateregistry
ausgewählten Einstellungen werden nicht nur für den Administratorcluster, sondern auch für die Nutzercluster übernommen.
privateRegistry.address
String. Die IP-Adresse oder der FQDN (Fully Qualified Domain Name) der Maschine, auf dem Ihre private Docker-Registry ausgeführt wird. Beispiel:
privateRegistry: address: "203.0.113.10"
privateRegistry: address: "fqdn.example.com"
privateRegistry.credentials.fileRef.path
String. Der Pfad einer Konfigurationsdatei mit Anmeldedaten, die den Nutzernamen und das Passwort eines Kontos enthält, mit dem Anthos-Cluster auf VMware auf Ihre private Docker-Registry zugreifen kann. Beispiel:
privateRegistry: credentials: fileRef: path: "my-config-folder/admin-creds.yaml"
privateRegistry.credentials.fileRef.entry
String. Der Name des Anmeldedatenblocks in Ihrer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres privaten Docker-Registry-Kontos enthält.
privateRegistry: credentials: fileRef: entry: "private-registry-creds"
privateRegistry.caCertPath
String. Wenn Docker ein Image aus Ihrer privaten Registry abruft, muss die Registry ihre Identität anhand eines Zertifikats nachweisen. Das Zertifikat der Registry wird von einer Zertifizierungsstelle signiert. Docker verwendet das Zertifikat der Zertifizierungsstelle, um das Zertifikat der Registry zu validieren.
Legen Sie in diesem Feld den Pfad des Zertifikats der Zertifizierungsstelle fest. Beispiel:
privateRegistry: caCertPath: "my-cert-folder/registry-ca.crt"
componentAccessServiceAccountKeyPath
String. Der Pfad der JSON-Schlüsseldatei für Ihr Dienstkonto für den Komponentenzugriff. Beispiel:
componentAccessServiceAccountKeyPath: "my-key-folder/access-key.json"
gkeConnect
Optional.
Dieser Abschnitt enthält Informationen zum Google Cloud-Projekt und zum Dienstkonto, mit dem Sie Ihren Cluster bei einer Google Cloud-Flotte registrieren möchten.
gkeConnect.projectID
String. Die ID Ihres Flotten-Hostprojekts. Beispiel:
gkeConnect: projectID: "my-connect-project-123"
gkeConnect.registerServiceAccountKeyPath
String. Der Pfad der JSON-Schlüsseldatei für Ihr Connect-Register-Dienstkonto. Beispiel:
gkeConnect: registerServiceAccountKeyPath: "my-key-folder/connect-register-key.json"
stackdriver
Wenn Sie Cloud Logging und Cloud Monitoring für Ihren Cluster aktivieren möchten, füllen Sie diesen Abschnitt aus. Andernfalls können Sie es löschen oder auskommentieren.
stackdriver.projectID
String. Die Projekt-ID des Google Cloud-Projekts, in dem Sie Logs aufrufen möchten. Beispiel:
stackdriver: projectID: "my-logs-project"
stackdriver.clusterLocation
String. Die Google Cloud-Region, in der Sie Logs speichern möchten. Es empfiehlt sich, eine Region in der Nähe Ihres lokalen Rechenzentrums auszuwählen. Beispiel:
stackdriver: clusterLocation: "us-central1"
stackdriver.enableVPC
Boolescher Wert. Wenn das Netzwerk des Clusters von einer VPC gesteuert wird, legen Sie dieses Feld auf true
fest. So wird gewährleistet, dass alle Telemetriedaten über die eingeschränkten IP-Adressen von Google übertragen werden. Andernfalls legen Sie für dieses Feld false
fest. Beispiel:
stackdriver: enableVPC: false
stackdriver.serviceAccountKeyPath
String. Der Pfad der JSON-Schlüsseldatei für Ihr Logging-Monitoring-Dienstkonto. Beispiel:
stackdriver: serviceAccountKeyPath: "my-key-folder/log-mon-key.json"
stackdriver.disableVsphereResourceMetrics
Boolescher Wert. Setzen Sie diesen Wert auf true
, um die Erfassung von Messwerten aus vSphere zu deaktivieren.
Setzen Sie ihn andernfalls auf false
. Beispiel:
stackdriver: disableVsphereResourceMetrics: true
Wert von stackdriver.disableVsphereResourceMetrics
aktualisieren
cloudAuditLogging
Wenn Sie Cloud-Audit-Logs für Ihren Cluster aktivieren möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.
cloudAuditLogging.projectID
String. Die Projekt-ID des Google Cloud-Projekts, in dem Sie Audit-Logs aufrufen möchten. Beispiel:
cloudAuditLogging: projectID: "my-audit-project"
cloudAuditLogging.clusterLocation
String. Die Google Cloud-Region, in der Sie Audit-Logs speichern möchten. Es empfiehlt sich, eine Region in der Nähe Ihres lokalen Rechenzentrums auszuwählen. Beispiel:
cloudAuditLogging: clusterLocation: "us-central1"
cloudAuditLogging.serviceAccountKeyPath
String. Der Pfad der JSON-Schlüsseldatei für Ihr Audit-Logging-Dienstkonto. Beispiel:
cloudAuditLogging: serviceAccountKeyPath: "my-key-folder/audit-log-key.json"
clusterBackup.datastore
Vorschau.
String. Wenn Sie die Sicherung des Administratorclusters aktivieren möchten, legen Sie diesen auf den vSphere-Datenspeicher fest, in dem Sie Clustersicherungen speichern möchten.
Beispiel:
clusterBackup: datastore: "my-datastore"
autoRepair.enabled
Boolescher Wert. Legen Sie für diesen Wert true
fest, um die automatische Knotenreparatur zu aktivieren.
Andernfalls legen Sie false
fest. Beispiel:
autoRepair: enabled: true
secretsEncryption
Wenn Sie die immer aktive Secret-Verschlüsselung aktivieren möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt oder kommentieren Sie ihn aus.
secretsEncryption.mode
String. Secret-Verschlüsselungsmodus. Legen Sie für dieses Feld "GeneratedKey"
fest.
secretsEncryption: mode: "GeneratedKey"
secretsEncryption.generatedKey.keyVersion
Integer. Eine Ganzzahl Ihrer Wahl für die Schlüsselversionsnummer. Unsere Empfehlung ist 1
. Geben Sie dieses Feld nicht an, wenn Sie secretsEncryption.generatedKey.disabled
angegeben haben. Beispiel:
secretsEncryption: mode: "GeneratedKey" generatedKey: keyVersion: 1
Wenn Sie den Schlüssel rotieren möchten, erhöhen Sie keyVersion
um 1 und führen Sie dann gkectl update
aus.
secretsEncryption.generatedKey.disabled
Boolescher Wert. Wenn Sie die Always-On-Secret-Verschlüsselung deaktivieren möchten, legen Sie für dieses Feld true
fest. Geben Sie dieses Feld nicht an, wenn Sie secretsEncryption.generatedKey.keyVersion
angegeben haben. Beispiel:
secretsEncryption: mode: "GeneratedKey" generatedKey: disabled: true