Admincluster erstellen

Auf dieser Seite wird gezeigt, wie Sie einen Administratorcluster für Anthos-Cluster auf VMware (GKE On-Prem) erstellen.

Diese Anleitung ist vollständig. Eine kürzere Einführung zum Erstellen eines Administratorclusters finden Sie unter Administratorcluster erstellen (Kurzanleitung).

Hinweis

Erstellen Sie eine Administrator-Workstation.

SSH-Verbindung zu Ihrer Administrator-Workstation abrufen

SSH-Verbindung zu Ihrer Administrator-Workstation abrufen.

Denken Sie daran, dass gkeadm Ihr Dienstkonto für den Komponentenzugriff auf der Administrator-Workstation aktiviert hat.

Führen Sie alle verbleibenden Schritte in diesem Thema auf Ihrer Administrator-Workstation im Basisverzeichnis aus.

Konfigurationsdatei für Anmeldedaten

Wenn Sie gkeadm zum Erstellen Ihrer Administrator-Workstation verwendet haben, haben Sie die Anmeldedaten-Konfigurationsdatei namens credential.yaml ausgefüllt. Diese Datei enthält den Nutzernamen und das Passwort für Ihren vCenter-Server.

Konfigurationsdatei für den Admincluster

Als gkeadm die Administrator-Workstation erstellt hat, wurde eine zweite Konfigurationsdatei mit dem Namen admin-cluster.yaml erzeugt. Diese Konfigurationsdatei dient zum Erstellen Ihres Administratorclusters.

Konfigurationsdatei ausfüllen

name

Wenn Sie einen Namen für den Administratorcluster angeben möchten, füllen Sie das Feld name aus.

bundlePath

Dieses Feld ist bereits für Sie ausgefüllt.

vCenter

Die meisten Felder in diesem Abschnitt sind bereits mit den Werten gefüllt, die Sie beim Erstellen der Administrator-Workstation eingegeben haben. Eine Ausnahme ist das Feld dataDisk, das Sie jetzt ausfüllen müssen.

network

Legen Sie fest, wie die Clusterknoten ihre IP-Adressen abrufen sollen. Folgende Optionen sind verfügbar:

  • Von einem DHCP-Server. Setzen Sie network.ipMode.type auf "dhcp".

  • Aus einer Liste der von Ihnen angegebenen statischen IP-Adressen. Legen Sie network.ipMode.type auf "static" fest und erstellen Sie eine IP-Blockdatei, die die statischen IP-Adressen bereitstellt.

Geben Sie Werte für die verbleibenden Felder im Abschnitt network an.

Unabhängig davon, ob Sie einen DHCP-Server verwenden oder eine Liste statischer IP-Adressen angeben, benötigen Sie genügend IP-Adressen, um Folgendes abzudecken:

  • Drei Knoten im Administratorcluster, um die Steuerungsebene und Add-ons des Administratorclusters auszuführen.

  • Einen zusätzlichen Knoten im Administratorcluster, der während Upgrades vorübergehend verwendet wird.

  • Für jeden Nutzercluster, den Sie erstellen möchten, einen oder drei Knoten im Administratorcluster, um die Komponenten der Steuerungsebene für den Nutzercluster auszuführen. Wenn Sie eine Steuerungsebene mit Hochverfügbarkeit für einen Nutzercluster verwenden möchten, benötigen Sie drei Knoten im Administratorcluster für die Steuerungsebene des Nutzerclusters. Andernfalls benötigen Sie nur einen Knoten im Administratorcluster für die Steuerungsebene des Nutzerclusters.

Angenommen, Sie möchten zwei Nutzercluster erstellen: einen mit einer HA-Steuerungsebene und einen mit einer Nicht-HA-Steuerungsebene. Dann benötigen Sie acht IP-Adressen für die folgenden Knoten im Administratorcluster:

  • Drei Knoten für die Steuerungsebene und Add-ons des Administratorclusters
  • Einen temporären Knoten
  • Drei Knoten für die HA-Nutzercluster-Steuerungsebene
  • Einen Knoten für die Nicht-HA-Nutzercluster-Steuerungsebene

Wie bereits erwähnt, müssen Sie eine IP-Blockdatei angeben, wenn Sie statische IP-Adressen verwenden möchten. Hier ein Beispiel für eine IP-Blockdatei mit acht Hosts:

blocks:
  - netmask: 255.255.252.0
    gateway: 172.16.23.254
    ips:
    - ip: 172.16.20.10
      hostname: admin-host1
    - ip: 172.16.20.11
      hostname: admin-host2
    - ip: 172.16.20.12
      hostname: admin-host3
    - ip: 172.16.20.13
      hostname: admin-host4
    - ip: 172.16.20.14
      hostname: admin-host5
    - ip: 172.16.20.15
      hostname: admin-host6
    - ip: 172.16.20.16
      hostname: admin-host7
    - ip: 172.16.20.17
      hostname: admin-host8

loadBalancer

Legen Sie eine VIP für den Kubernetes API-Server Ihres Administratorclusters fest. Legen Sie eine andere VIP für den Add-on-Server fest. Geben Sie Ihre VIPs als Werte für loadBalancer.vips.controlPlaneVIP und loadBalancer.vips.addonsVIP an.

Entscheiden Sie, welche Art von Load-Balancing Sie verwenden möchten. Folgende Optionen sind verfügbar:

  • Gebündeltes Seesaw-Load-Balancing. Legen Sie loadBalancer.kind auf "Seesaw" fest und füllen Sie den Abschnitt loadBalancer.seesaw aus.

  • Integriertes Load-Balancing mit F5 BIG-IP. Legen Sie loadBalancer.kind auf "F5BigIP" fest und füllen Sie den Abschnitt f5BigIP aus.

  • Manuelles Load-Balancing. Legen Sie loadBalancer.kind auf "ManualLB" fest und füllen Sie den Abschnitt manualLB aus.

antiAffinityGroups

Legen Sie antiAffinityGroups.enabled entsprechend Ihren Anforderungen auf true oder false fest.

adminMaster

Füllen Sie den Abschnitt adminMaster aus oder entfernen Sie ihn entsprechend Ihren Anforderungen.

addonNode

Legen Sie addonNode.autoResize.enabled entsprechend Ihren Anforderungen auf true oder false fest.

proxy

Wenn sich das Netzwerk mit den Knoten des Administratorclusters hinter einem Proxyserver befindet, füllen Sie den Abschnitt proxy aus.

privateRegistry

Entscheiden Sie, wo Sie Container-Images für die Anthos-Cluster auf VMware-Komponenten beibehalten möchten. Folgende Optionen sind verfügbar:

  • gcr.io. Füllen Sie den Abschnitt privateRegistry nicht aus.

  • Ihre eigene private Docker-Registry.

So erstellen Sie eine eigene private Docker-Registry:

  1. Füllen Sie den Abschnitt privateRegistry aus.

  2. Kopieren Sie das Registry-Zertifikat an den erforderlichen Speicherort unter /etc/docker/certs.d/REGISTRY_SERVER_ADDRESS/ca.crt, falls es nicht vorhanden ist. Das Registry-Zertifikat ist in der Datei privateRegistry.caCertPath in der Quellkonfiguration des Administrators festgelegt.

    mkdir -p /etc/docker/certs.d/REGISTRY_SERVER_ADDRESS
cp CERTIFICATE_PATH /etc/docker/certs.d/REGISTRY_SERVER_ADDRESS/ca.crt

    Ersetzen Sie Folgendes:

    • REGISTRY_SERVER_ADDRESS durch die IP-Adresse Ihrer privaten Registry.
    • CERTIFICATE_PATH durch den Pfad zum Registry-Zertifikat.

componentAccessServiceAccountKeyPath

Dieses Feld ist bereits für Sie ausgefüllt.

gkeConnect

Wenn Sie Ihren Administratorcluster in einer Google Cloud-Flotte registrieren möchten, füllen Sie den Abschnitt gkeConnect aus.

stackdriver

Wenn Sie Cloud Logging und Cloud Monitoring für Ihren Cluster aktivieren möchten, füllen Sie den Abschnitt stackdriver aus.

cloudAuditLogging

Wenn Sie Cloud-Audit-Logs für Ihren Cluster aktivieren möchten, füllen Sie den Abschnitt cloudAuditLogging aus.

clusterBackup

Legen Sie clusterBackup.datastore entsprechend Ihren Anforderungen auf true oder false fest.

autoRepair

Legen Sie autoRepair.enabled entsprechend Ihren Anforderungen auf true oder false fest.

secretsEncryption

Wenn Sie die immer aktive Secret-Verschlüsselung aktivieren möchten, füllen Sie den Abschnitt secretsEncryption aus.

Konfigurationsdatei validieren

Nachdem Sie die Konfigurationsdatei des Administratorclusters ausgefüllt haben, führen Sie gkectl check-config aus, um zu prüfen, ob die Datei gültig ist:

gkectl check-config --config [CONFIG_PATH]

Dabei ist [CONFIG_PATH] der Pfad Ihrer Administratorcluster-Konfigurationsdatei.

Wenn der Befehl Fehlermeldungen zurückgibt, beheben Sie die Probleme und validieren Sie die Datei noch einmal.

Wenn Sie die zeitaufwendigeren Validierungen überspringen möchten, übergeben Sie das Flag --fast. Verwenden Sie die Flags --skip-validation-xxx, um einzelne Validierungen zu überspringen. Weitere Informationen zum Befehl check-config finden Sie unter Vorabprüfungen ausführen.

gkectl prepare ausführen

Führen Sie gkectl prepare aus, um Ihre vSphere-Umgebung zu initialisieren:

gkectl prepare --config [CONFIG_PATH]

Mit dem Befehl gkectl prepare werden folgende vorbereitende Aufgaben ausgeführt:

  • Importiert die Betriebssystem-Images in vSphere und markiert sie als VM-Vorlagen.

  • Wenn Sie eine private Docker-Registry verwenden, überträgt dieser Befehl die Docker-Container-Images an Ihre Registry.

  • Optional validiert dieser Befehl die Build-Attestierungen des Container-Images. Dadurch wird sichergestellt, dass die Images von Google erstellt und signiert wurden und bereit für die Bereitstellung sind.

Seesaw-Load-Balancer für Ihren Administratorcluster erstellen

Wenn Sie den gebündelten Seesaw-Load-Balancer verwenden möchten, führen Sie den Schritt in diesem Abschnitt aus. Andernfalls können Sie diesen Abschnitt überspringen.

Erstellen und konfigurieren Sie die VMs für den Seesaw-Load-Balancer:

gkectl create loadbalancer --config [CONFIG_PATH]

Administratorcluster erstellen

Erstellen Sie den Administratorcluster:

gkectl create admin --config [CONFIG_PATH]

Dabei ist [CONFIG_PATH] der Pfad Ihrer Administratorcluster-Konfigurationsdatei.

Kubeconfig-Datei des Administratorclusters suchen

Mit dem Befehl gkectl create admin wird im aktuellen Verzeichnis die kubeconfig-Datei kubeconfig erstellt. Sie benötigen diese kubeconfig-Datei später, um mit Ihrem Administratorcluster zu interagieren.

Wenn Sie möchten, können Sie den Namen und den Speicherort der kubeconfig-Datei ändern.

Ausführung des Administratorclusters prüfen

Prüfen Sie, ob der Administratorcluster ausgeführt wird:

kubectl get nodes --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Ersetzen Sie ADMIN_CLUSTER_KUBECONFIG durch den Pfad der kubeconfig-Datei des Administratorclusters.

Die Ausgabe zeigt die Knoten des Administratorclusters. Beispiel:

gke-admin-master-hdn4z            Ready    control-plane,master ...
gke-admin-node-7f46cc8c47-g7w2c   Ready ...
gke-admin-node-7f46cc8c47-kwlrs   Ready ...

checkpoint.yaml-Datei verwalten

Wenn Sie den Befehl gkectl create admin zum Erstellen des Administratorclusters ausgeführt haben, wird eine checkpoint.yaml-Datei im selben Datenspeicherordner wie das Datenlaufwerk des Administratorclusters erstellt. Standardmäßig hat diese Datei den Namen DATA_DISK_NAME‑checkpoint.yaml. Wenn die Länge von DATA_DISK_NAME größer oder gleich 245 Zeichen ist, lautet der Name aufgrund des vSphere-Limits für die Dateinamenlänge DATA_DISK_NAME.yaml. Ersetzen Sie DATA_DISK_NAME durch den Namen des Datenlaufwerks.

Diese Datei enthält den Status des Administratorclusters und die Anmeldedaten. Sie wird für zukünftige Upgrades verwendet. Löschen Sie diese Datei wie beim Administratorcluster-Datenlaufwerk nur, wenn Sie dem Verfahren zum Löschen des Administratorclusters folgen.

Wenn Sie die VM-Verschlüsselung in Ihrem vCenter aktiviert haben, benötigen Sie die Berechtigung Cryptographer.Access, bevor Sie den Administratorcluster erstellen oder upgraden, wenn Sie die Prüfpunktdatei hochladen möchten. Wenn Sie diese Berechtigung nicht erhalten, können Sie das Hochladen der Prüfpunktdatei mit dem ausgeblendeten Flag --disable-checkpoint deaktivieren, wenn Sie einen relevanten Befehl ausführen.

Die Datei checkpoint.yaml wird automatisch aktualisiert, wenn Sie den Befehl gkectl upgrade admin ausführen oder wenn Sie einen Befehl gkectl update ausführen, der sich auf den Administratorcluster auswirkt.

Problembehebung

Siehe Fehlerbehebung beim Erstellen und Upgraden von Clustern.

Weitere Informationen

Nutzercluster erstellen