Como criar um cluster de administrador

Nesta página, mostramos como criar um cluster de administrador para clusters do Anthos no VMware (GKE On-Prem).

As instruções aqui são completas. Para uma introdução mais rápida à criação de um cluster de administrador, consulte Criar um cluster de administração (guia de início rápido).

Antes de começar

Criar uma estação de trabalho de administrador.

Consiga uma conexão SSH para a estação de trabalho do administrador

Consiga uma conexão SSH para a estação de trabalho do administrador

Lembre-se de que gkeadm ativou a conta de serviço de acesso a componentes na estação de trabalho de administrador.

Realize todas as etapas restantes neste tópico na estação de trabalho de administrador no diretório inicial.

Arquivo de configuração de credenciais

Quando você usou gkeadm para criar a estação de trabalho de administrador, preencheu um arquivo de configuração de credenciais chamado credential.yaml. Esse arquivo contém o nome de usuário e a senha do servidor vCenter.

Arquivo de configuração do cluster de administrador

Quando gkeadm criou a estação de trabalho do administrador, foi gerado um arquivo de configuração chamado admin-cluster.yaml. Esse arquivo de configuração serve para criar seu cluster de administrador.

Como preencher o arquivo de configuração

name

Se você quiser especificar um nome para o cluster de administrador, preencha o campo name.

bundlePath

Este campo já foi preenchido para você.

vCenter

A maioria dos campos nesta seção já está preenchida com os valores que você inseriu quando criou sua estação de trabalho de administrador. A exceção é o campo dataDisk, que precisa ser preenchido agora.

network

Decida como você quer que os nós de cluster recebam os endereços IP deles. As opções são:

  • A partir de um servidor DHCP. Defina network.ipMode.type como "dhcp".

  • A partir de uma lista de endereços IP estáticos fornecidos. Defina network.ipMode.type como "static" e crie um arquivo de bloco de IPs que forneça os endereços IP estáticos.

Forneça valores para os campos restantes na seção network.

Independentemente de você depender de um servidor DHCP ou de especificar uma lista de endereços IP estáticos, você precisa de endereços IP suficientes para atender às seguintes condições:

  • Três nós no cluster de administrador para executar o plano de controle e os complementos do cluster de administrador.

  • Outro nó no cluster de administrador que será usado temporariamente durante os upgrades.

  • Para cada cluster de usuário que você pretende criar, um ou três nós no cluster de administrador para executar os componentes do plano de controle para o cluster do usuário. Se você quiser um plano de controle de alta disponibilidade (HA, na sigla em inglês) para um cluster de usuário, precisará de três nós no cluster de administrador do plano de controle do cluster de usuário. Caso contrário, só é necessário um nó no cluster de administrador para o plano de controle do cluster do usuário.

Por exemplo, suponha que você pretenda criar dois clusters de usuário: um com um plano de controle de alta disponibilidade e outro que não seja de alta disponibilidade. Nesse caso, você precisará de oito endereços IP para os seguintes nós no cluster de administrador:

  • Três nós para o plano de controle e complementos do cluster do administrador
  • Um nó temporário
  • Três nós para o plano de controle do cluster de usuário de alta disponibilidade
  • Um nó para o plano de controle do cluster de usuário que não é de alta disponibilidade

Conforme mencionado anteriormente, se você quiser usar endereços IP estáticos, será necessário fornecer um arquivo de bloco de IPs. Veja um exemplo de arquivo de bloco de IP com oito hosts:

blocks:
  - netmask: 255.255.252.0
    gateway: 172.16.23.254
    ips:
    - ip: 172.16.20.10
      hostname: admin-host1
    - ip: 172.16.20.11
      hostname: admin-host2
    - ip: 172.16.20.12
      hostname: admin-host3
    - ip: 172.16.20.13
      hostname: admin-host4
    - ip: 172.16.20.14
      hostname: admin-host5
    - ip: 172.16.20.15
      hostname: admin-host6
    - ip: 172.16.20.16
      hostname: admin-host7
    - ip: 172.16.20.17
      hostname: admin-host8

loadBalancer

Separe um VIP para o servidor da API do Kubernetes do cluster de administrador. Reserve outro VIP para o servidor de complementos. Forneça seus VIPs como valores para loadBalancer.vips.controlPlaneVIP e loadBalancer.vips.addonsVIP.

Decida qual tipo de balanceamento de carga você quer usar. Veja as opções abaixo:

  • Segue o balanceamento de carga em pacote. Defina loadBalancer.kind como "Seesaw" e preencha a seção loadBalancer.seesaw.

  • Balanceamento de carga integrado com a F5 BIG-IP. Defina loadBalancer.kind como "F5BigIP" e preencha a seção f5BigIP.

  • Balanceamento de carga manual. Defina loadBalancer.kind como "ManualLB" e preencha a seção manualLB.

antiAffinityGroups

Defina antiAffinityGroups.enabled como true ou false de acordo com sua preferência.

adminMaster

Preencha a seção adminMaster ou remova-a de acordo com sua preferência.

addonNode

Defina addonNode.autoResize.enabled como true ou false de acordo com sua preferência.

proxy

Se a rede que terá os nós do cluster de administrador estiver atrás de um servidor proxy, preencha a seção proxy.

privateRegistry

Decida onde você quer manter as imagens de contêiner para os clusters do Anthos nos componentes do VMware. Veja as opções abaixo:

  • gcr.io. Não preencha a seção privateRegistry.

  • Seu próprio registro particular do Docker.

Para criar seu próprio registro particular do Docker:

  1. Preencha a seção privateRegistry.

  2. Copie o certificado do registro para o local exigido em /etc/docker/certs.d/REGISTRY_SERVER_ADDRESS/ca.crt se ele não existir. O certificado de registro está definido em privateRegistry.caCertPath na configuração de semente do administrador.

    mkdir -p /etc/docker/certs.d/REGISTRY_SERVER_ADDRESS
cp CERTIFICATE_PATH /etc/docker/certs.d/REGISTRY_SERVER_ADDRESS/ca.crt

    Substitua:

    • REGISTRY_SERVER_ADDRESS pelo endereço IP do registro particular
    • CERTIFICATE_PATH pelo caminho do certificado de registro

componentAccessServiceAccountKeyPath

Este campo já foi preenchido para você.

gkeConnect

Se você quiser registrar seu cluster de administrador em uma frota do Google Cloud, preencha a seção gkeConnect.

stackdriver

Se você quiser ativar o Cloud Logging e o Cloud Monitoring para o cluster, preencha a seção stackdriver.

cloudAuditLogging

Se você quiser ativar os registros de auditoria do Cloud do cluster, preencha a seção cloudAuditLogging.

clusterBackup

Defina clusterBackup.datastore como true ou false de acordo com sua preferência.

autoRepair

Defina autoRepair.enabled como true ou false de acordo com sua preferência.

secretsEncryption

Se você quiser ativar a criptografia de Secrets sempre ativada, preencha a seção secretsEncryption.

Como validar seu arquivo de configuração

Depois de preencher o arquivo de configuração do cluster de administrador, execute gkectl check-config para verificar se o arquivo é válido:

gkectl check-config --config [CONFIG_PATH]

em que [CONFIG_PATH] é o caminho do arquivo de configuração do cluster de administrador.

Se o comando retornar mensagens, corrija os problemas e valide o arquivo novamente.

Se quiser pular as validações mais demoradas, transmita a sinalização --fast. Para pular validações individuais, use as sinalizações --skip-validation-xxx. Para saber mais sobre o comando check-config, consulte Como executar verificações de simulação.

Como executar gkectl prepare

Execute gkectl prepare para inicializar o ambiente do vSphere:

gkectl prepare --config [CONFIG_PATH]

O comando gkectl prepare executa as seguintes tarefas preparatórias:

  • Importa as imagens do SO para o vSphere e as marca como modelos de VM.

  • Se você estiver usando um registro particular do Docker, esse comando enviará as imagens do contêiner do Docker para o registro.

  • Opcionalmente, esse comando valida os atestados de build das imagens do contêiner, verificando se as imagens foram criadas e assinadas pelo Google e estão prontas para implantação.

Como criar um balanceador de carga do Seesaw para o cluster de administrador

Se você escolheu usar o balanceador de carga do Seesaw em pacote, siga as etapas nesta seção. Caso contrário, pule esta seção.

Crie e configure as VMs para o balanceador de carga do Seesaw:

gkectl create loadbalancer --config [CONFIG_PATH]

Como criar o cluster de administrador

Crie o cluster de administrador:

gkectl create admin --config [CONFIG_PATH]

em que [CONFIG_PATH] é o caminho do arquivo de configuração do cluster de administrador.

Como localizar o arquivo kubeconfig do cluster de administrador

O comando gkectl create admin cria um arquivo kubeconfig chamado kubeconfig no diretório atual. Você precisará desse arquivo kubeconfig mais tarde para interagir com o cluster de administrador.

Se preferir, é possível alterar o nome e o local do arquivo kubeconfig.

Como verificar se o cluster de administrador está em execução

Verifique se o cluster de administrador está em execução:

kubectl get nodes --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Substitua ADMIN_CLUSTER_KUBECONFIG pelo caminho do arquivo kubeconfig do cluster de administrador.

A saída mostra os nós do cluster de administrador. Exemplo:

gke-admin-master-hdn4z            Ready    control-plane,master ...
gke-admin-node-7f46cc8c47-g7w2c   Ready ...
gke-admin-node-7f46cc8c47-kwlrs   Ready ...

Como gerenciar o arquivo checkpoint.yaml

Quando você executou o comando gkectl create admin para criar o cluster de administrador, ele criou um arquivo checkpoint.yaml na mesma pasta do armazenamento de dados do disco de dados do cluster de administrador. Por padrão, esse arquivo tem o nome DATA_DISK_NAME‑checkpoint.yaml. Se o comprimento de DATA_DISK_NAME for maior ou igual a 245 caracteres, devido ao limite de vSphere no tamanho do nome de arquivo, o nome será DATA_DISK_NAME.yaml. Substitua DATA_DISK_NAME pelo nome do disco de dados.

Esse arquivo contém o estado e as credenciais do cluster de administrador e é usado para upgrades futuros. Assim como no datadisk cluster de administrador, não exclua esse arquivo, a menos que você esteja seguindo o processo para excluir o cluster de administrador.

Se você ativou a criptografia de VM no vCenter, precisará ter a permissão Cryptographer.Access antes de criar ou fazer upgrade do cluster de administrador para fazer o upload do arquivo de checkpoint. Se não for possível receber essa permissão, desative o upload do arquivo do checkpoint com a sinalização --disable-checkpoint oculta ao executar um comando relevante.

O arquivo checkpoint.yaml é atualizado automaticamente quando você executa o comando gkectl upgrade admin ou um comando gkectl update que afeta o cluster de administrador.

Solução de problemas

Consulte Solução de problemas na criação e no upgrade de clusters.

A seguir

Como criar um cluster de usuários