GKE su VMware viene eseguito on-premise in un ambiente vSphere. Questo documento descrive i requisiti per il tuo ambiente vSphere.
Compatibilità delle versioni
I requisiti di vSphere variano in base alla versione di GKE su VMware in uso. Per ulteriori informazioni, consulta la matrice di compatibilità della versione per le versioni completamente supportate e le versioni precedenti.
Versioni supportate
vSphere è il software di virtualizzazione server di VMware. vSphere include ESXi e vCenter Server.
GKE su VMware supporta queste versioni di ESXi e vCenter Server
- 7.0 Update 2 e successivi aggiornamenti della versione 7.0
- 8.0 e aggiornamenti successivi della versione 8.0
Ti consigliamo di utilizzare la versione 8.0 o 7.0 Update 3 o un aggiornamento successivo della versione 7.0.
Se vuoi creare snapshot di volumi CSI, devi avere una delle seguenti versioni:
- 7.0 Aggiornamento 3 o un aggiornamento successivo della versione 7.0
- 8.0 o un aggiornamento successivo della versione 8.0
Requisiti relativi alle licenze
È necessaria una delle seguenti licenze:
Licenza vSphere Enterprise Plus. Insieme a questa licenza, devi avere un abbonamento all'assistenza valido.
Licenza vSphere Standard. Insieme a questa licenza, devi avere un abbonamento all'assistenza valido. Con questa licenza, non puoi abilitare i gruppi anti-affinità. Inoltre, non puoi specificare il tuo pool di risorse. Devi utilizzare il pool di risorse predefinito.
Requisiti hardware
GKE su VMware viene eseguito su un insieme di host fisici che eseguono l'hypervisor ESXi VMware. Per informazioni sui requisiti hardware per ESXi, consulta la pagina relativa ai requisiti hardware ESXi.
Per gli ambienti di produzione, consigliamo vivamente quanto segue:
Disporre di almeno quattro host ESXi per le VM del cluster.
Abilita il traffico Network File Copy (NFC) tra host ESXi per consentire la condivisione dei modelli di sistema operativo se prevedi di eseguire il deployment di Cluster Anthos su VMware su diversi cluster vSphere o pool di risorse all'interno dello stesso data center vSphere.
Imposta
antiAffinityGroups.enabled
sutrue
nei file di configurazione del cluster.
Se imposti antiAffinityGroups.enabled
su true
, GKE su VMware crea regole di anti-affinità DRS per i nodi del cluster, in modo che siano distribuite tra almeno tre host ESXi fisici. Anche se le regole DRS richiedono che i nodi del cluster siano distribuiti tra tre host ESXi, consigliamo vivamente di disporre di almeno quattro host ESXi. In questo modo eviterai di perdere il piano di controllo del cluster. Ad esempio, supponiamo di avere solo tre host ESXi e che il nodo del piano di controllo del cluster di amministrazione si trovi su un host ESXi che presenta errori. La regola DRS impedisce che il nodo del piano di controllo venga posizionato su uno dei restanti due host ESXi.
Per la valutazione e il proof of concept, puoi impostare antiAffinityGroups.enabled
su
false
e utilizzare un solo host ESXi. Per maggiori informazioni, consulta
Configurare un'infrastruttura minima.
Privilegi dell'account utente vCenter
Per configurare un ambiente vSphere, un amministratore dell'organizzazione potrebbe scegliere di utilizzare un account utente vCenter con il ruolo Amministratore server vCenter. Questo ruolo fornisce l'accesso completo a tutti gli oggetti vSphere.
Dopo aver configurato l'ambiente vSphere, un amministratore del cluster può creare cluster di amministrazione e cluster utente. L'amministratore del cluster non ha bisogno di tutti i privilegi forniti dal ruolo Amministratore server vCenter.
Quando un amministratore o uno sviluppatore di cluster crea un cluster, fornisce un account utente vCenter in un file di configurazione delle credenziali. Consigliamo di assegnare all'account utente vCenter elencato in un file di configurazione delle credenziali uno o più ruoli personalizzati con i privilegi minimi necessari per la creazione e la gestione dei cluster.
Un amministratore dell'organizzazione può scegliere tra due diversi approcci:
Crea diversi ruoli con diversi gradi di privilegio. Quindi crea le autorizzazioni per assegnare questi ruoli limitati a un utente o a un gruppo su singoli oggetti vSphere.
Crea un ruolo con tutti i privilegi necessari. Quindi crea un'autorizzazione globale che assegna quel ruolo a un determinato utente o gruppo su tutti gli oggetti nelle gerarchie di vSphere.
Consigliamo il primo approccio, poiché limita l'accesso e aumenta la sicurezza del tuo ambiente vCenter Server. Per ulteriori informazioni, consulta Utilizzo dei ruoli per l'assegnazione di privilegi e Best practice per ruoli e autorizzazioni
Per informazioni sull'utilizzo del secondo approccio, consulta Creare un'autorizzazione globale.
La tabella seguente mostra quattro ruoli personalizzati che un amministratore dell'organizzazione può creare. L'amministratore può quindi utilizzare i ruoli personalizzati per assegnare le autorizzazioni su oggetti vSphere specifici:
Ruolo personalizzato | Privilegi | Oggetti | Propagare agli oggetti secondari? |
---|---|---|---|
ClusterEditor |
Sistema.Lettura System.View System.Anonimo Host.Inventory.Modifica cluster |
cluster | Sì |
SessionValidator |
System.Read System.View System.Anonimo Sessions.Convalida sessione Cns.Searchable Archiviazione basata sul profilo.Visualizzazione dell'archiviazione basata sul profilo |
Server vCenter radice | No |
ReadOnly |
System.Read System.View System.Anonimo |
data center rete |
Sì |
Anthos | Privilegi nel ruolo Anthos |
datastore pool di risorse Cartella VM rete |
Sì |
Privilegi nel ruolo personalizzato Anthos
Creare ruoli e autorizzazioni personalizzati
Un amministratore dell'organizzazione può utilizzare lo strumento a riga di comando govc per creare autorizzazioni e ruoli personalizzati.
L'amministratore dell'organizzazione deve avere un account vCenter Server con privilegi sufficienti per la creazione di ruoli e autorizzazioni. Ad esempio, un account con il ruolo Amministratore è appropriato.
Prima di eseguire govc
, imposta alcune variabili di ambiente:
Imposta GOVC_URL sull'URL della tua istanza di vCenter Server.
Imposta GOVC_USERNAME con il nome utente dell'account vCenter Server dell'amministratore dell'organizzazione.
Imposta GOVC_PASSWORD sulla password dell'account vCenter Server dell'amministratore dell'organizzazione.
Ad esempio:
export GOVC_URL=vc-01.example export GOVC_USERNAME=alice@vsphere.local export GOVC_PASSWORD=8ODQYHo2Yl@
Creazione di ruoli personalizzati
Crea i ruoli personalizzati ClusterEditor, SessionValidator e ReadOnly:
govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View govc role.create ReadOnly System.Read System.View System.Anonymous
Crea un'autorizzazione che concede il ruolo ClusterEditor
Un'autorizzazione prende una coppia (utente, ruolo) e la associa a un oggetto. Quando assegni un'autorizzazione su un oggetto, puoi specificare se l'autorizzazione viene propagata agli oggetti secondari. Con govc
, puoi farlo impostando il flag --propagate
su true
o false
. Il valore predefinito è false
.
Crea un'autorizzazione che concede il ruolo ClusterEditor a un utente in un oggetto cluster. Questa autorizzazione si propaga a tutti gli oggetti secondari dell'oggetto cluster:
govc permissions.set -principal ACCOUNT \ -role ClusterEditor -propagate=true CLUSTER_PATH`
Sostituisci quanto segue:
ACCOUNT: l'account utente vCenter Server a cui viene concesso il ruolo
CLUSTER_PATH: il percorso del cluster nella gerarchia degli oggetti vSphere
Ad esempio, il seguente comando crea un'autorizzazione che associa la coppia (bob@vSphere.local, ClusterEditor con my-dc/host/my-cluster. L'autorizzazione si propaga a tutti gli oggetti secondari di my-dc/host/my-cluster:
govc permissions.set -principal bob@vsphere.local \ -role ClusterEditor -propagate=true my-dc/host/my-cluster
Crea autorizzazioni aggiuntive
Questa sezione fornisce esempi sulla creazione di autorizzazioni aggiuntive. Sostituisci i percorsi degli oggetti di esempio in base alle esigenze del tuo ambiente.
Crea un'autorizzazione che concede il ruolo SessionValidator a un account nell'oggetto principale di vCenter Server. Questa autorizzazione non si propaga agli oggetti secondari:
govc permissions.set -principal ACCOUNT \ -role SessionValidator -propagate=false
Creare autorizzazioni che concedono il ruolo di sola lettura a un account per un oggetto data center e un oggetto di rete. Queste autorizzazioni si propagano agli oggetti secondari:
govc permissions.set -principal ACCOUNT \ -role ReadOnly -propagate=true \ /my-dc \ /my-dc/network/my-net
Crea autorizzazioni che concedono il ruolo Anthos a un account su quattro oggetti: un datastore, una cartella VM, un pool di risorse e una rete. Queste autorizzazioni si propagano agli oggetti secondari:
govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \ /my-dc/datastore/my-ds \ /my-dc/vm/my-folder \ /my-dc/host/my-cluster/Resources/my-rp \ /my-dc/network/my-net
Crea un'autorizzazione globale
Questa sezione offre un'alternativa alla creazione di vari ruoli e diverse autorizzazioni. Non consigliamo questo approccio perché concede un ampio insieme di privilegi su tutti gli oggetti nelle gerarchie vSphere.
Se non hai ancora creato il ruolo personalizzato Anthos, crealo ora.
Crea un'autorizzazione globale:
govc permissions.set -principal ACCOUNT \ -role Anthos -propagate=true
Sostituisci quanto segue:
Sostituisci ACCOUNT con l'account utente vCenter Server a cui viene concesso il ruolo
Ad esempio, il comando seguente crea un'autorizzazione globale che assegna il ruolo Anthos a bob@vSsfera.local. L'autorizzazione si propaga a tutti gli oggetti nelle gerarchie vSphere:
govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true
Problemi noti
Vedi Il programma di installazione non riesce durante la creazione del disco dati vSphere.
Passaggi successivi
Requisiti di CPU, RAM e spazio di archiviazione