Konfigurationsdatei für den Admincluster

Auf dieser Seite werden die Felder in der Konfigurationsdatei für den Administratorcluster für Anthos-Cluster auf VMware (GKE On-Prem) beschrieben.

Vorlage für Ihre Konfigurationsdatei erstellen

Wenn Sie gkeadm zum Erstellen Ihrer Administratorworkstation verwendet haben, hat gkeadm eine Vorlage für die Konfigurationsdatei des Administratorclusters generiert. Außerdem hat gkeadm einige Felder mit Werten versehen.

Wenn Sie Ihre Administratorworkstation nicht mit gkeadm erstellt haben, können Sie mit gkectl eine Vorlage für die Konfigurationsdatei des Administratorclusters generieren.

So generieren Sie eine Vorlage für die Konfigurationsdatei des Administratorclusters:

gkectl create-config admin --config=OUTPUT_FILENAME --gke-on-prem-version=VERSION

Ersetzen Sie OUTPUT_FILENAME durch einen Pfad Ihrer Wahl für die generierte Vorlage. Wenn Sie dieses Flag weglassen, benennt gkectl die Datei admin-cluster.yaml und speichert sie im aktuellen Verzeichnis.

Ersetzen Sie VERSION durch die gewünschte Versionsnummer, die gleich oder kleiner als Ihre gkectl-Version sein muss. Beispiel: gkectl create-config admin --gke-on-prem-version=1.6.2-gke.0. Wenn Sie dieses Flag weglassen, werden in die generierte Konfigurationsvorlage Werte eingefügt, die auf der neuesten Clusterversion basieren.

Vorlage

apiVersion: v1
kind: AdminCluster
# (Optional) A unique name for this admin cluster. This will default to a random name
# prefixed with 'gke-admin-'
name: ""
# (Required) Absolute path to a GKE bundle on disk
bundlePath: ""
# (Required) vCenter configuration
vCenter:
  address: ""
  datacenter: ""
  cluster: ""
  # Resource pool to use. Specify [VSPHERE_CLUSTER_NAME]/Resources to use the default
  # resource pool
  resourcePool: ""
  datastore: ""
  # Provide the path to vCenter CA certificate pub key for SSL verification
  caCertPath: ""
  # The credentials to connect to vCenter
  credentials:
    # reference to external credentials file
    fileRef:
      # read credentials from this file
      path: ""
      # entry in the credential file
      entry: ""
  # (Optional) vSphere folder where cluster VMs will be located. Defaults to the the
  # datacenter wide folder if unspecified.
  folder: ""
  # Provide the name for the persistent disk to be used by the deployment (ending
  # in .vmdk). Any directory in the supplied path must be created before deployment
  dataDisk: ""
# (Required) Network configuration
network:
  # # (Optional) This section overrides ipBlockFile values. Use with ipType "static" mode.
  # # Used for seesaw nodes as well
  # hostConfig:
  #   # List of DNS servers
  #   dnsServers:
  #   - ""
  #   # List of NTP servers
  #   ntpServers:
  #   - ""
  #   # # List of DNS search domains
  #   # searchDomainsForDNS:
  #   # - ""
  ipMode:
    # (Required) Define what IP mode to use ("dhcp" or "static")
    type: dhcp
    # # (Required when using "static" mode) The absolute or relative path to the yaml file
    # # to use for static IP allocation. Hostconfig part will be overwritten by network.hostconfig
    # # if specified
    # ipBlockFilePath: ""
  # (Required) The Kubernetes service CIDR range for the cluster. Must not overlap
  # with the pod CIDR range
  serviceCIDR: 10.96.232.0/24
  # (Required) The Kubernetes pod CIDR range for the cluster. Must not overlap with
  # the service CIDR range
  podCIDR: 192.168.0.0/16
  vCenter:
    # vSphere network name
    networkName: ""
# (Required) Load balancer configuration
loadBalancer:
  # (Required) The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlPlaneVIP: ""
    # # (Optional) Used for admin cluster addons (needed for multi cluster features). Must
    # # be the same across clusters
    # addonsVIP: ""
  # (Required) Which load balancer to use "F5BigIP" "Seesaw" or "ManualLB". Uncomment
  # the corresponding field below to provide the detailed spec
  kind: Seesaw
  # # (Required when using "ManualLB" kind) Specify pre-defined nodeports
  # manualLB:
  #   # NodePort for ingress service's http (only needed for user cluster)
  #   ingressHTTPNodePort: 0
  #   # NodePort for ingress service's https (only needed for user cluster)
  #   ingressHTTPSNodePort: 0
  #   # NodePort for control plane service
  #   controlPlaneNodePort: 30968
  #   # NodePort for addon service (only needed for admin cluster)
  #   addonsNodePort: 31405
  # # (Required when using "F5BigIP" kind) Specify the already-existing partition and
  # # credentials
  # f5BigIP:
  #   address: ""
  #   credentials:
  #     # reference to external credentials file
  #     fileRef:
  #       # read credentials from this file
  #       path: ""
  #       # entry in the credential file
  #       entry: ""
  #   partition: ""
  #   # # (Optional) Specify a pool name if using SNAT
  #   # snatPoolName: ""
  # (Required when using "Seesaw" kind) Specify the Seesaw configs
  seesaw:
    # (Required) The absolute or relative path to the yaml file to use for IP allocation
    # for LB VMs. Must contain one or two IPs. Hostconfig part will be overwritten
    # by network.hostconfig if specified.
    ipBlockFilePath: ""
    # (Required) The Virtual Router IDentifier of VRRP for the Seesaw group. Must
    # be between 1-255 and unique in a VLAN.
    vrid: 0
    # (Required) The IP announced by the master of Seesaw group
    masterIP: ""
    # (Required) The number CPUs per machine
    cpus: 2
    # (Required) Memory size in MB per machine
    memoryMB: 3072
    # (Optional) Network that the LB interface of Seesaw runs in (default: cluster
    # network)
    vCenter:
      # vSphere network name
      networkName: ""
    # (Optional) Run two LB VMs to achieve high availability (default: false)
    enableHA: false
    # (Optional) Avoid using VRRP MAC and rely on gratuitous ARP to do failover. In
    # this mode MAC learning is not needed but the gateway must refresh arp table
    # based on gratuitous ARP. It's recommended to turn this on to avoid MAC learning
    # configuration. In vsphere 7+ it must be true to enable HA. It is supported in
    # GKE on-prem version 1.7+. (default: false)
    disableVRRPMAC: true
# Spread admin addon nodes and user masters across different physical hosts (requires
# at least three hosts)
antiAffinityGroups:
  # Set to false to disable DRS rule creation
  enabled: true
# # (Optional/Preview) Specify the admin master node configuration which can be added
# # or edited only during cluster creation
# adminMaster:
#   # Number of cpus
#   cpus: 4
#   # Memory size in MB
#   memoryMB: 16384
# # (Optional/Preview) Specify the addon node configuration which can be added or edited
# # only during cluster creation
# addonNode:
#   # Enable auto resize for addon node
#   autoResize:
#     # Whether to enable auto resize for master. Defaults to false.
#     enabled: false
connectivity: connected
# (Optional) Specify the proxy configuration
proxy:
  # The URL of the proxy
  url: ""
  # The domains and IP addresses excluded from proxying
  noProxy: ""
# # (Optional) Use a private Docker registry to host GKE images
# privateRegistry:
#   # Do not include the scheme with your registry address
#   address: ""
#   credentials:
#     # reference to external credentials file
#     fileRef:
#       # read credentials from this file
#       path: ""
#       # entry in the credential file
#       entry: ""
#   # The absolute or relative path to the CA certificate for this registry
#   caCertPath: ""
# (Required): The absolute or relative path to the GCP service account key for pulling
# GKE images
componentAccessServiceAccountKeyPath: ""
# (Optional/Preview) Specify which GCP project to connect your GKE clusters to
gkeConnect:
  projectID: ""
  # The absolute or relative path to the key file for a GCP service account used to
  # register the cluster
  registerServiceAccountKeyPath: ""
# (Optional) Specify which GCP project to connect your logs and metrics to
stackdriver:
  projectID: ""
  # A GCP region where you would like to store logs and metrics for this cluster.
  clusterLocation: us-central1
  enableVPC: false
  # The absolute or relative path to the key file for a GCP service account used to
  # send logs and metrics from the cluster
  serviceAccountKeyPath: ""
  # (Optional) Disable vsphere resource metrics collection from vcenter.  False by
  # default
  disableVsphereResourceMetrics: false
# # (Optional) Configure kubernetes apiserver audit logging
# cloudAuditLogging:
#   projectID: ""
#   # A GCP region where you would like to store audit logs for this cluster.
#   clusterLocation: ""
#   # The absolute or relative path to the key file for a GCP service account used to
#   # send audit logs from the cluster
#   serviceAccountKeyPath: ""
# # (Optional/Preview) Configure backups for admin cluster. Backups will be stored under
# # /anthos-backups/
# clusterBackup:
#   # # datastore where admin cluster backups are desired
#   # datastore: ""
# Enable auto repair for the cluster
autoRepair:
  # Whether to enable auto repair feature. Set false to disable.
  enabled: true
# # Encrypt Kubernetes secrets at rest
# secretsEncryption:
#   # Secrets Encryption Mode. Possible values are: GeneratedKey
#   mode: GeneratedKey
#   # GeneratedKey Secrets Encryption config
#   generatedKey:
#     # # key version
#     # keyVersion: 1
#     # # disable secrets encryption
#     # disabled: false

Konfigurationsdatei ausfüllen

Geben Sie in Ihrer Konfigurationsdatei Feldwerte ein, wie in den folgenden Abschnitten beschrieben.

name

String. Ein Name Ihrer Wahl für den Cluster. Der Standardwert ist ein zufälliger Name mit dem Präfix gke-admin-. Beispiel:

name: "my-admin-cluster"

bundlePath

String. Der Pfad Ihrer Anthos-Cluster auf VMware-Bundle-Datei.

Die vollständige Bundle-Datei von Anthos-Cluster auf VMware enthält alle Komponenten einer bestimmten Version von Anthos-Cluster auf VMware. Wenn Sie eine Administratorworkstation erstellen, erhalten Sie ein vollständiges Bundle unter:

/var/lib/gke/bundles/gke-onprem-vsphere-VERSION-full.tgz

Beispiel:

bundlePath: "/var/lib/gke/bundles/gke-onprem-vsphere-1.9.0-gke.8.full.tgz"

vCenter

Dieser Abschnitt enthält Informationen zu Ihrer vCenter-Umgebung.

vCenter.address

String. Die IP-Adresse oder der Hostname Ihres vCenter-Servers.

Bevor Sie das Feld address ausfüllen, laden Sie das bereitgestellte Zertifikat Ihres vCenter-Servers herunter und prüfen Sie es. Geben Sie den folgenden Befehl ein, um das Zertifikat herunterzuladen und in einer Datei namens vcenter.pem zu speichern:

true | openssl s_client -connect VCENTER_IP:443 -showcerts 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' > vcenter.pem

Ersetzen Sie VCENTER_IP durch die IP-Adresse Ihres vCenter-Servers.

Öffnen Sie die Zertifikatsdatei, um den "Subject Common Name" und den "Subject Alternative Name" zu ermitteln:

openssl x509 -in vcenter.pem -text -noout

Die Ausgabe enthält den Subject Common Name (CN). Dies kann eine IP-Adresse oder ein Hostname sein. Beispiel:

Subject: ... CN = 203.0.113.100

Subject: ... CN = my-vcenter-server.my-domain.example

Die Ausgabe kann auch unter Subject Alternative Name einen oder mehrere DNS-Namen enthalten:

X509v3 Subject Alternative Name:
    DNS:vcenter.my-domain.example

Wählen Sie den Common Name Subject oder einen der DNS-Namen unter Subject Alternative Name als Wert für vcenter.address in Ihrer Konfigurationsdatei aus. Beispiel:

vCenter:
  address: "203.0.113.100"

vCenter:
  address: "my-vcenter-server.my-domain.example"

vCenter.datacenter

String. Der Name Ihres vCenter-Rechenzentrums für den Administratorcluster. Beispiel:

vCenter:
  datacenter: "MY-DATACENTER"

vCenter.cluster

String. Der Name Ihres vSphere-Clusters. Beispiel:

vCenter:
  cluster: "MY-CLUSTER"

vCenter.resourcePool

String. Der Name Ihres vCenter-Ressourcenpools. Beispiel:

Wenn Sie einen nicht standardmäßigen Ressourcenpool verwenden, geben Sie den Namen Ihres vCenter-Ressourcenpools an. Beispiel:

vCenter:
  resourcePool: "MY-POOL"

Wenn Sie den Standardressourcenpool verwenden, geben Sie den folgenden Wert an:

vCenter:
  resourcePool: "VSPHERE_CLUSTER/Resources"

Ersetzen Sie VSPHERE_CLUSTER durch den Namen Ihres vSphere-Clusters.

vCenter.datastore

String. Der Name Ihres vCenter-Datenspeichers. Beispiel:

vCenter:
  datastore: "MY-DATASTORE"

Weitere Informationen finden Sie unter Root-Ressourcenpool für einen eigenständigen Host angeben.

vCenter.caCertPath

String. Wenn ein Client wie GKE On-Prem eine Anfrage an vCenter-Server sendet, muss der Server seine Identität gegenüber dem Client durch Vorlage eines Zertifikats oder eines Zertifikatspakets bestätigen. Zum Bestätigen des Zertifikats oder Bundles müssen Anthos-Cluster auf VMware das Stammzertifikat in der Vertrauenskette haben.

Legen Sie für vCenter.caCertPath den Pfad des Root-Zertifikats fest. Beispiel:

vCenter:
  caCertPath: "/usr/local/google/home/me/certs/vcenter-ca-cert.pem"

Ihre VM-Installation hat eine Zertifizierungsstelle (Certificate Authority, CA), die ein Zertifikat für Ihren vCenter-Server ausstellt. Das Root-Zertifikat in der Vertrauenskette ist ein selbst signiertes Zertifikat, das von VMware erstellt wurde.

Wenn sich das Zertifikat ändert, können Sie die Referenz auf das neue Zertifikat aktualisieren.

Wenn Sie nicht die VMware-Standardzertifizierungsstelle verwenden möchten, können Sie VMware so konfigurieren, dass eine andere Zertifizierungsstelle genutzt wird.

Wenn Ihr vCenter-Server ein von der VMware-Standardzertifizierungsstelle ausgestelltes Zertifikat verwendet, laden Sie es so herunter:

curl -k "https://SERVER_ADDRESS/certs/download.zip" > download.zip

Ersetzen Sie SERVER_ADDRESS durch die Adresse Ihres vCenter-Servers.

Installieren Sie den Befehl unzip und entpacken Sie die Zertifikatsdatei:

sudo apt-get install unzip
unzip downloads.zip

Wenn der Befehl zum Entpacken beim ersten Mal nicht funktioniert, geben Sie den Befehl noch einmal ein.

Suchen Sie die Zertifikatsdatei in certs/lin.

vCenter.credentials.fileRef.path

String. Der Pfad einer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres vCenter-Nutzerkontos enthält. Das Nutzerkonto sollte die Administratorrolle oder entsprechende Berechtigungen haben. Weitere Informationen finden Sie unter vSphere-Anforderungen. Beispiel:

vCenter:
  credentials:
    fileRef:
      path: "my-config-folder/admin-creds.yaml"

vCenter.credentials.fileRef.entry

String. Der Name des Anmeldedatenblocks in Ihrer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres vCenter-Nutzerkontos enthält. Beispiel:

vCenter:
  credentials:
    fileRef:
      entry: "vcenter-creds"

vCenter.folder

String. Der Name des vCenter-Ordners, in dem sich Ihre Cluster-VMs befinden sollen. Beispiel:

vCenter:
  folder: "MY-FOLDER"

vCenter.dataDisk

String. Anthos-Cluster auf VMware erstellt ein VM-Laufwerk (VMDK), das Kubernetes-Objektdaten enthält. Das Installationsprogramm erstellt das VMDK für Sie, Sie müssen jedoch im Feld vCenter.dataDisk einen Namen für das VMDK angeben. Beispiel:

vCenter:
  dataDisk: "my-disk.vmdk"

Wenn Sie einen vSAN-Datenspeicher verwenden, müssen Sie das VMDK in einem Ordner platzieren. Außerdem müssen Sie den Ordner vorab manuell erstellen. Sie könnten govc verwenden, um einen Ordner zu erstellen:

govc datastore.mkdir -namespace=true my-folder

Legen Sie dann vCenter.dataDisk auf den Pfad des VMDK einschließlich des Ordners fest.

Beispiel:

vDenter:
  dataDisk: "my-folder/my-disk.vmdk"

network

Dieser Abschnitt enthält Informationen zu Ihrem Administratorcluster-Netzwerk.

network.hostConfig

Dieser Abschnitt enthält Informationen zu von Ihrem Cluster verwendeten NTP-Servern, DNS-Servern und DNS-Suchdomains.

Wenn Sie für eines oder beide der folgenden Felder einen Wert angegeben haben, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt:

• loadBalancer.seesaw.ipBlockFilePath
• network.ipMode.ipBlockFilePath

network.hostConfig.dnsServers

Stringarray Die Adressen der DNS-Server, die von den Hosts verwendet werden sollen. Beispiel:

network:
  hostConfig:
    dnsServers:
    - "172.16.255.1"
    - "172.16.255.2"

network.hostConfig.ntpServers

Stringarray Die Adressen der Zeitserver, die von den Hosts verwendet werden sollen. Beispiel:

network:
  hostConfig:
    ntpServers:
    - "216.239.35.0"

network.hostConfig.searchDomainsForDNS

Stringarray DNS-Suchdomains, die von den Hosts verwendet werden sollen. Diese Domains werden als Teil einer Domainsuchliste verwendet. Beispiel:

network:
  hostConfig:
    searchDomainsForDNS:
    - "my.local.com"

network.ipMode.type

String. Wenn Sie möchten, dass Ihre Clusterknoten ihre IP-Adresse von einem DHCP-Server abrufen, legen Sie für dieses Feld "dhcp" fest. Wenn Sie für die Clusterknoten statische IP-Adressen aus einer von Ihnen bereitgestellten Liste auswählen möchten, legen Sie "static" fest.

Beispiel:

network:
  ipMode:
    type: "static"

network.ipMode.ipBlockFilePath

Wenn Sie für ipMode.type den Wert "static" festlegen, füllen Sie dieses Feld aus.

Wenn Sie für ipMode.type den Wert "dhcp" festgelegt haben, entfernen Sie dieses Feld.

String. Der Pfad der IP-Blockdatei für Ihre Administratorclusterknoten. Beispiel:

network:
  ipMode:
    ipBlockFilePath: "/my-config-folder/admin-cluster-ipblock.yaml"

network.serviceCIDR und network.podCiDR

Strings. Der Administratorcluster muss einen Bereich von IP-Adressen für Dienste und einen Bereich von IP-Adressen für Pods haben. Diese Bereiche werden durch die Felder network.serviceCIDR und network.podCIDR angegeben. In diese Felder werden Standardwerte eingefügt. Sie können die Werte auch ändern.

Der Dienstbereich darf sich nicht mit dem Pod-Bereich überschneiden.

Die Dienst- und Pod-Bereiche dürfen sich nicht mit einer Adresse außerhalb des Clusters überschneiden, die Sie von innerhalb des Clusters erreichen möchten.

Angenommen, der Dienstbereich lautet 10.96.232.0/24 und der Pod-Bereich lautet 192.168.0.0/16. Traffic, der von einem Pod an eine Adresse in einem dieser Bereiche gesendet wird, wird als clusterintern behandelt und erreicht kein Ziel außerhalb des Clusters.

Insbesondere dürfen sich die Bereiche für Dienste und Pods nicht überschneiden mit:

• IP-Adressen von Knoten in einem beliebigen Cluster

• Von Load-Balancer-Maschinen verwendete IP-Adressen

• Von Knoten der Steuerungsebene und Load-Balancern verwendete VIPs

• IP-Adresse von vCenter-Servern, DNS-Servern und NTP-Servern

Wir empfehlen, dass sich Ihre Dienst- und Pod-Bereiche im Adressbereich RFC 1918 befinden.

Dies ist ein Grund für die Empfehlung, RFC 1918-Adressen zu verwenden. Angenommen, Ihr Pod- oder Dienstbereich enthält externe IP-Adressen. Traffic von einem Pod an eine dieser externen Adressen wird als clusterinterner Traffic behandelt und erreicht das externe Ziel nicht.

Beispiel:

network:
  serviceCIDR: "10.96.232.0/24"
  podCIDR: "192.168.0.0/16"

network.vCenter.networkName

String. Der Name des vSphere-Netzwerks für Ihre Clusterknoten.

Wenn der Name ein Sonderzeichen enthält, müssen Sie dafür eine Escapesequenz verwenden.

Wenn der Netzwerkname nicht eindeutig ist, kann ein Pfad zum Netzwerk angegeben werden, z. B. /DATACENTER/network/NETWORK_NAME.

Beispiel:

network:
  vCenter:
    networkName: "MY-CLUSTER-NETWORK"

loadBalancer

Dieser Abschnitt enthält Informationen zum Load-Balancer für Ihren Administratorcluster.

loadBalancer.vips.controlPlaneVIP

String. Die IP-Adresse, die Sie auf dem Load-Balancer für den Kubernetes API-Server des Administratorclusters konfiguriert haben. Beispiel:

loadBalancer:
  vips:
    controlplaneVIP: "203.0.113.3"

loadBalancer.vips.addonsVIP

String. Die IP-Adresse, die Sie auf dem Load-Balancer für Add-ons konfiguriert haben. Beispiel:

loadBalancer:
  vips:
    addonsVIP: "203.0.113.4"

loadBalancer.kind

String. Legen Sie dafür "Seesaw", "F5BigIP" oder "ManualLB" fest. Beispiel:

loadBalancer:
  kind: "Seesaw"

loadBalancer.manualLB

Wenn Sie für loadbalancer.kind den Wert "ManualLB" festlegen, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.

loadBalancer.manualLB.ingressHTTPNodePort

Entfernen Sie dieses Feld aus Ihrer Konfigurationsdatei. Es wird in einem Administratorcluster nicht verwendet.

loadBalancer.manualLB.ingressHTTPSNodePort

Entfernen Sie dieses Feld aus Ihrer Konfigurationsdatei. Es wird in einem Administratorcluster nicht verwendet.

loadBalancer.manualLB.controlPlaneNodePort

Integer. Der Kubernetes API-Server im Administratorcluster ist als Dienst vom Typ NodePort implementiert. Für den Dienst müssen Sie einen nodePort-Wert auswählen.

Legen Sie für dieses Feld den Wert nodePort fest. Beispiel:

loadBalancer:
  manualLB:
    contolPlaneNodePort: 30968

loadBalancer.manualLB.addonsNodePort

Integer. Der Add-on-Server im Administratorcluster ist als Dienst vom Typ NodePort implementiert. Für den Dienst müssen Sie einen nodePort-Wert auswählen.

Legen Sie für dieses Feld den Wert nodePort fest. Beispiel:

loadBalancer:
  manualLB:
    addonsNodePort: 31405

loadBalancer.f5BigIP

Wenn Sie für loadbalancer.kind den Wert "f5BigIP" festlegen, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.

loadBalancer.f5BigIP.address

String. Die Adresse Ihres F5 BIG-IP-Load-Balancers. Beispiel:

loadBalancer:
  f5BigIP:
    address: "203.0.113.2"

loadBalancer.f5BigIP.credentials.fileRef.path

String. Der Pfad einer Konfigurationsdatei mit Anmeldedaten, die den Nutzernamen und das Passwort eines Kontos enthält, mit dem Anthos-Cluster auf VMware eine Verbindung zu Ihrem F5 BIG-IP-Load-Balancer herstellen kann.

Das Nutzerkonto muss eine Nutzerrolle mit ausreichenden Berechtigungen zum Einrichten und Verwalten des Load-Balancers haben. Die Rolle „Administrator“ oder „Ressourcenadministrator“ ist ausreichend.

Beispiel:

loadBalancer:
  f5BigIP:
    credentials:
      fileRef:
        path: ""my-config-folder/admin-creds.yaml"

loadBalancer.f5BigIP.credentialsfileRef.entry

String. Der Name des Anmeldedatenblocks in Ihrer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres F5 BIG-IP-Kontos enthält. Beispiel:

loadBalancer:
  f5BigIP:
    credentials:
      fileRef:
        entry: "f5-creds"

loadBalancer.f5BigIP.partition

String. Der Name einer BIG-IP-Partition, die Sie für Ihren Administratorcluster erstellt haben. Beispiel:

loadBalancer:
  f5BigIP:
    partition: "my-f5-admin-partition"

loadBalancer.f5BigIP.snatPoolName

String. Wenn Sie SNAT verwenden, ist dies der Name Ihres SNAT-Pools. Wenn Sie SNAT nicht verwenden, entfernen Sie dieses Feld. Beispiel:

loadBalancer:
  f5BigIP:
    snatPoolName: "my-snat-pool"

loadBalancer.seesaw

Wenn Sie für loadbalancer.kind den Wert "Seesaw" festlegen, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.

Informationen zum Einrichten des Seesaw-Load-Balancer finden Sie unter Kurzanleitung: Seesaw-Load-Balancer und Gebündeltes Load-Balancing mit Seesaw.

loadBalancer.seesaw.ipBlockFilePath

String. Legen Sie dies auf den Pfad der IP-Blockdatei für Ihre Seesaw-VMs fest. Beispiel:

loadBalancer:
  seesaw:
    ipBlockFilePath: "config-folder/admin-seesaw-ipblock.yaml"

loadBalancer.seesaw.vrid

Integer. Die virtuelle Router-ID Ihrer Seesaw-VM. Diese Kennung, die eine Ganzzahl Ihrer Wahl ist, muss in einem VLAN einmalig sein. Gültiger Bereich ist 1 – 255. Beispiel:

loadBalancer:
  seesaw:
    vrid: 125

loadBalancer.seesaw.masterIP

String. Die virtuelle IP-Adresse, die auf Ihrer Master-Seesaw-VM konfiguriert ist. Beispiel:

loadBalancer:
  seesaw:
    masterIP: 172.16.20.21

loadBalancer.seesaw.cpus

Integer. Die Anzahl der CPUs für jeder Seesaw-VM. Beispiel:

loadBalancer:
  seesaw:
    cpus: 8

loadBalancer.seesaw.memoryMB

Integer. Die Größe des Arbeitsspeichers in Megabyte für jede Seesaw-VM. Beispiel:

loadBalancer:
  seesaw:
    memoryMB: 8192

loadBalancer.seesaw.vCenter.networkName

String. Der Name des vCenter-Netzwerks, das Ihre Seesaw-VMs enthält. Beispiel:

loadBalancer:
  seesaw:
    vCenter:
      networkName: "my-seesaw-network"

loadBalancer.seesaw.enableHA

Boolescher Wert. Wenn Sie einen hochverfügbaren Seesaw-Load-Balancer erstellen möchten, legen Sie für dieses Feld true fest. Andernfalls legen Sie false fest. Ein HA-Seesaw-Load-Balancer verwendet ein VM-Paar(Master, Backup). Beispiel:

loadBalancer:
  seesaw:
    enableHA: true

loadBalancer.seesaw.disableVRRPMAC

Boolescher Wert. Wenn Sie true festlegen, verwendet der Seesaw-Load-Balancer das MAC-Lernen für Failover nicht. Stattdessen wird eine überflüssige ARP verwendet. Wenn Sie false auf den Seesaw-Load-Balancer setzen, verwendet der Seesaw-Load-Balancer MAC-Lernen. Es wird empfohlen, dass Sie hier true festlegen. Wenn Sie vSphere 7 oder höher verwenden und einen Seesaw-Load-Balancer mit Hochverfügbarkeit haben, müssen Sie dies auf true setzen. Beispiel:

loadBalancer:
  seesaw:
    disableVRRPMAC: true

antiAffinityGroups.enabled

Boolescher Wert. Legen Sie dafür true fest, wenn das Erstellen von DRS-Regeln aktiviert werden soll. Andernfalls legen Sie false fest. Beispiel:

antiAffinityGroups:
  enabled: true

Anthos-Cluster auf VMware erstellt automatisch VMware-DRS (Distributed Resource Scheduler)Anti-Affinitätsregeln für die Knoten Ihres Administratorclusters, wodurch sie auf mindestens drei physische Hosts in Ihrem Rechenzentrum verteilt werden.

Für diese Funktion muss die vSphere-Umgebung die folgenden Bedingungen erfüllen:

• VMware DRS ist aktiviert. Für VMware DRS ist die vSphere Enterprise Plus-Lizenzversion erforderlich.

• Ihr vSphere-Nutzerkonto hat die Berechtigung Host.Inventory.Modify cluster.

• Es sind mindestens drei physische Hosts verfügbar.

Wenn Sie eine vSphere Standard-Lizenz haben, können Sie VMware DRS nicht aktivieren.

Wenn Sie DRS nicht aktiviert haben oder wenn Sie nicht mindestens drei Hosts haben, für die vSphere-VMs geplant werden können, legen Sie für antiAffinityGroups.enabled den Wert false fest.

adminMaster

Vorschau.

Wenn Sie CPU und Arbeitsspeicher für den Knoten der Steuerungsebene des Administratorclusters angeben möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.

adminMaster.cpus

Integer. Die Anzahl der CPUs für den Knoten der Steuerungsebene des Administratorclusters. Beispiel:

adminMaster:
  cpus: 4

adminMaster.memoryMB

Integer. Die Anzahl der Megabyte des Arbeitsspeichers für den Knoten der Steuerungsebene des Administratorclusters. Beispiel:

adminMaster:
  memoryMB: 16384

addonNode.autoResize.enabled

Boolescher Wert. Setzen Sie diesen Wert auf true, um die automatische Größenanpassung der Add-on-Knoten im Administratorcluster zu aktivieren. Beispiel:

addonNode:
  autoResize:
    enabled: true

connectivity

String. Optional. Verbindung zu Google Cloud festlegen. Der einzige mögliche Wert für die Verbindung ist "connected". Beispiel:

connectivity: "connected"

proxy

Wenn sich Ihr Netzwerk hinter einem Proxyserver befindet, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.

proxy.url

String. Die HTTP-Adresse Ihres Proxyservers. Geben Sie die Portnummer an, auch wenn sie mit dem Standardport des Schemas identisch ist. Beispiel:

proxy:
  url: "http://my-proxy.example.local:80"

Der hier angegebene Proxyserver wird von Ihren Anthos-Cluster auf VMware-Clustern verwendet. Außerdem wird Ihre Administratorworkstation automatisch so konfiguriert, dass sie denselben Proxyserver verwendet, sofern Sie nicht die Umgebungsvariable HTTPS_PROXY auf Ihrer Administratorworkstation festgelegt haben.

Wenn Sie proxy.url angeben, müssen Sie auch proxy.noProxy angeben.

Nachdem die Proxykonfiguration für den Administratorcluster festgelegt wurde, kann sie nicht mehr geändert oder gelöscht werden, es sei denn, der Cluster wird neu erstellt.

proxy.noProxy

String. Eine durch Kommas getrennte Liste mit IP-Adressen, IP-Adressbereichen, Hostnamen und Domainnamen, die nicht durch den Proxyserver geleitet werden sollen. Wenn Anthos-Cluster auf VMware eine Anfrage an eine dieser Adressen, Hosts oder Domains sendet, wird die Anfrage direkt gesendet. Beispiel:

proxy:
  noProxy: "10.151.222.0/24, my-host.example.local,10.151.2.1"

privateRegistry

Wenn Sie eine private Docker-Registry haben, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt. Die im Abschnitt privateregistry ausgewählten Einstellungen werden nicht nur für den Administratorcluster, sondern auch für die Nutzercluster übernommen.

privateRegistry.address

String. Die IP-Adresse oder der FQDN (Fully Qualified Domain Name) der Maschine, auf dem Ihre private Docker-Registry ausgeführt wird. Beispiel:

privateRegistry:
  address: "203.0.113.10"

privateRegistry:
  address: "fqdn.example.com"

privateRegistry.credentials.fileRef.path

String. Der Pfad einer Konfigurationsdatei mit Anmeldedaten, die den Nutzernamen und das Passwort eines Kontos enthält, mit dem Anthos-Cluster auf VMware auf Ihre private Docker-Registry zugreifen kann. Beispiel:

privateRegistry:
  credentials:
    fileRef:
      path: "my-config-folder/admin-creds.yaml"

privateRegistry.credentials.fileRef.entry

String. Der Name des Anmeldedatenblocks in Ihrer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres privaten Docker-Registry-Kontos enthält.

privateRegistry:
  credentials:
    fileRef:
      entry: "private-registry-creds"

privateRegistry.caCertPath

String. Wenn Docker ein Image aus Ihrer privaten Registry abruft, muss die Registry ihre Identität anhand eines Zertifikats nachweisen. Das Zertifikat der Registry wird von einer Zertifizierungsstelle signiert. Docker verwendet das Zertifikat der Zertifizierungsstelle, um das Zertifikat der Registry zu validieren.

Legen Sie in diesem Feld den Pfad des Zertifikats der Zertifizierungsstelle fest. Beispiel:

privateRegistry:
  caCertPath: "my-cert-folder/registry-ca.crt"

componentAccessServiceAccountKeyPath

String. Der Pfad der JSON-Schlüsseldatei für Ihr Dienstkonto für den Komponentenzugriff. Beispiel:

componentAccessServiceAccountKeyPath: "my-key-folder/access-key.json"

gkeConnect

Optional.

Dieser Abschnitt enthält Informationen zum Google Cloud-Projekt und zum Dienstkonto, mit dem Sie Ihren Cluster bei einer Google Cloud-Flotte registrieren möchten.

gkeConnect.projectID

String. Die ID Ihres Flotten-Hostprojekts. Beispiel:

gkeConnect:
  projectID: "my-connect-project-123"

gkeConnect.registerServiceAccountKeyPath

String. Der Pfad der JSON-Schlüsseldatei für Ihr Connect-Register-Dienstkonto. Beispiel:

gkeConnect:
  registerServiceAccountKeyPath: "my-key-folder/connect-register-key.json"

stackdriver

Wenn Sie Cloud Logging und Cloud Monitoring für Ihren Cluster aktivieren möchten, füllen Sie diesen Abschnitt aus. Andernfalls können Sie es löschen oder auskommentieren.

stackdriver.projectID

String. Die Projekt-ID des Google Cloud-Projekts, in dem Sie Logs aufrufen möchten. Beispiel:

stackdriver:
  projectID: "my-logs-project"

stackdriver.clusterLocation

String. Die Google Cloud-Region, in der Sie Logs speichern möchten. Es empfiehlt sich, eine Region in der Nähe Ihres lokalen Rechenzentrums auszuwählen. Beispiel:

stackdriver:
  clusterLocation: "us-central1"

stackdriver.enableVPC

Boolescher Wert. Wenn das Netzwerk des Clusters von einer VPC gesteuert wird, legen Sie dieses Feld auf true fest. So wird gewährleistet, dass alle Telemetriedaten über die eingeschränkten IP-Adressen von Google übertragen werden. Andernfalls legen Sie für dieses Feld false fest. Beispiel:

stackdriver:
  enableVPC: false

stackdriver.serviceAccountKeyPath

String. Der Pfad der JSON-Schlüsseldatei für Ihr Logging-Monitoring-Dienstkonto. Beispiel:

stackdriver:
  serviceAccountKeyPath: "my-key-folder/log-mon-key.json"

stackdriver.disableVsphereResourceMetrics

Boolescher Wert. Setzen Sie diesen Wert auf true, um die Erfassung von Messwerten aus vSphere zu deaktivieren. Setzen Sie ihn andernfalls auf false. Beispiel:

stackdriver:
  disableVsphereResourceMetrics: true

Wert von stackdriver.disableVsphereResourceMetrics aktualisieren

cloudAuditLogging

Wenn Sie Cloud-Audit-Logs für Ihren Cluster aktivieren möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.

cloudAuditLogging.projectID

String. Die Projekt-ID des Google Cloud-Projekts, in dem Sie Audit-Logs aufrufen möchten. Beispiel:

cloudAuditLogging:
  projectID: "my-audit-project"

cloudAuditLogging.clusterLocation

String. Die Google Cloud-Region, in der Sie Audit-Logs speichern möchten. Es empfiehlt sich, eine Region in der Nähe Ihres lokalen Rechenzentrums auszuwählen. Beispiel:

cloudAuditLogging:
  clusterLocation: "us-central1"

cloudAuditLogging.serviceAccountKeyPath

String. Der Pfad der JSON-Schlüsseldatei für Ihr Audit-Logging-Dienstkonto. Beispiel:

cloudAuditLogging:
  serviceAccountKeyPath: "my-key-folder/audit-log-key.json"

clusterBackup.datastore

Vorschau.

String. Wenn Sie die Sicherung des Administratorclusters aktivieren möchten, legen Sie diesen auf den vSphere-Datenspeicher fest, in dem Sie Clustersicherungen speichern möchten.

Beispiel:

clusterBackup:
  datastore: "my-datastore"

autoRepair.enabled

Boolescher Wert. Legen Sie für diesen Wert true fest, um die automatische Knotenreparatur zu aktivieren. Andernfalls legen Sie false fest. Beispiel:

autoRepair:
  enabled: true

secretsEncryption

Wenn Sie die immer aktive Secret-Verschlüsselung aktivieren möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt oder kommentieren Sie ihn aus.

secretsEncryption.mode

String. Secret-Verschlüsselungsmodus. Legen Sie für dieses Feld "GeneratedKey" fest.

secretsEncryption:
  mode: "GeneratedKey"

secretsEncryption.generatedKey.keyVersion

Integer. Eine Ganzzahl Ihrer Wahl für die Schlüsselversionsnummer. Unsere Empfehlung ist 1. Geben Sie dieses Feld nicht an, wenn Sie secretsEncryption.generatedKey.disabled angegeben haben. Beispiel:

secretsEncryption:
  mode: "GeneratedKey"
  generatedKey:
    keyVersion: 1

Wenn Sie den Schlüssel rotieren möchten, erhöhen Sie keyVersion um 1 und führen Sie dann gkectl update aus.

secretsEncryption.generatedKey.disabled

Boolescher Wert. Wenn Sie die Always-On-Secret-Verschlüsselung deaktivieren möchten, legen Sie für dieses Feld true fest. Geben Sie dieses Feld nicht an, wenn Sie secretsEncryption.generatedKey.keyVersion angegeben haben. Beispiel:

secretsEncryption:
  mode: "GeneratedKey"
  generatedKey:
    disabled: true