このページでは、管理クラスタとは異なるデータセンターにユーザー クラスタを作成する方法について説明します。
Anthos clusters on VMware(GKE On-Prem)バージョン 1.9 以降では、異なる vSphere データセンターを持つ管理クラスタとユーザー クラスタを作成できます。このドキュメントでは、この公開プレビュー機能の使用方法について説明します。
前提条件
管理ワークステーションのバージョンが 1.9 以上にアップグレードされていることを確認します。
ステップ 1: 新しいユーザー クラスタのユーザー クラスタ構成ファイルを作成する
ユーザー クラスタの作成の詳細については、ユーザー クラスタを作成するをご覧ください。
新しいユーザー クラスタのユーザー クラスタ構成ファイルを作成するときに、ファイルを管理クラスタとは別のデータセンターに配置する場合は、vCenter.datacenter フィールドを含める必要があります。vCenter.datacenter フィールドを含める場合は、vCenter.cluster、vCenter.datastore、vCenter.networkName フィールドも追加する必要があります。
管理クラスタとユーザー クラスタが別々の仮想 vSphere データセンターにある場合、masterNode.vSphere.datastore フィールドは必須です。管理クラスタ コントロール プレーンとユーザー クラスタ コントロール プレーンでデータストアの障害発生ドメインが分離されるように、管理クラスタ データセンター内のユーザー クラスタ コントロール プレーンごとに別々のデータストアを作成することをおすすめします。ユーザー コントロールプレーン ノードには、管理クラスタ データストアを使用できますが、これによりユーザー コントロールプレーン ノードと管理クラスタが同じデータストア障害ドメインに配置されます。
この例では、管理クラスタが ADMIN_DATACENTER にあり、新しいユーザー クラスタが USER_DATACENTER にあります。
apiVersion: v1
kind: UserCluster
# ...
gkeOnPremVersion: 1.9.0-gke.x
# ...
vCenter:
datacenter: USER_DATACENTER # Required
cluster: USER_CLUSTER # Required if resourcePool is not specified.
folder: USER_FOLDER # Optional
resourcePool: USER_RESOURCE_POOL # Required if cluster is not specified.
datastore: USER_DATASTORE # Required
credentials: # Optional
fileRef:
path: USER_VCENTER_CREDENTIAL_PATH
entry: vCenter
masterNode:
vsphere:
datastore: USER_MASTER_DATASTORE # Required.
network:
vCenter:
networkName: USER_NETWORK # Required
ステップ 2: OS イメージ テンプレートをアップロードする
次に、gkectl prepare を実行して OS イメージ テンプレートを USER_DATACENTER にアップロードします。
gkectl prepare --kubeconfig ADMIN_KUBECONFIG --bundle-path BUNDLE_TARBALL --user-cluster-config USER_CLUSTER_CONFIG
次のように置き換えます。
BUNDLE_TARBALLは、1.9.0-gke.x バンドル tarball へのパスに置き換えます。ADMIN_KUBECONFIG: 管理クラスタの kubeconfig ファイルのパス。USER_CLUSTER_CONFIGは、ユーザー クラスタの構成ファイルのパスに置き換えます。
ステップ 3: 別のデータセンターにユーザー クラスタを作成する
gkectl create を実行して、別のデータセンターに新しいユーザー クラスタを作成します。このコマンドは、管理クラスタと同じデータセンターに対するものと同一です。
gkectl create cluster --kubeconfig ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG
新しいユーザー クラスタのサービス アカウント
ユーザー クラスタでは、管理クラスタとは異なる vCenter.credentials の vSphere サービス アカウントを使用できます。管理サービス アカウントでアクセスできるのは管理データセンターのみであり、ユーザー サービス アカウントは対応するユーザー データセンターのみにアクセスする必要があります。
新しいユーザー クラスタのファイアウォール ルール
管理クラスタとユーザー クラスタは、異なる VLAN と異なるデータセンターで networkName を使用できます。ただし、次の VLAN 間通信を許可する必要があります。
- 管理クラスタノードは、ユーザー クラスタノードの IP アドレスのポート 22 にアクセスできます。このアクセス権は、ユーザー コントロール プレーンがユーザーノードへの ssh トンネルを作成するために必要です。
- ユーザーノードで、ユーザー コントロール プレーンの VIP アドレスのポート 443 にアクセスできます。このアクセス権は、ユーザーノードと Pod で API サーバーと通信するために必要です。