Mit Anthos verbundene Cluster einrichten

Auf dieser Seite erfahren Sie, wie Sie konforme Kubernetes-Cluster an Anthos anhängen. Durch das Anhängen von Clustern können Sie Ihre vorhandenen Kubernetes-Cluster in der Google Cloud Console zusammen mit Ihren Anthos-Clustern anzeigen und eine Teilmenge von Anthos-Funktionen auf ihnen aktivieren, einschließlich der Konfiguration mit Anthos Config Management.

Vorbereitung

Sie können jeden einheitlichen Kubernetes-Cluster an Anthos anhängen und mit Ihren Anthos-Clustern in der Cloud Console aufrufen.

Die folgenden Clustertypen und -versionen wurden von Google überprüft. Dies schließt die Verwendung zusätzlicher unterstützter Anthos-Funktionen ein:

  • Amazon Elastic Kubernetes Service (Amazon EKS) unter Kubernetes-Versionen 1.18, 1.19. 1.20
  • Microsoft Azure Kubernetes Service (Microsoft AKS) unter Kubernetes-Versionen 1.18, 1.19, 1.20
  • Red Hat OpenShift Kubernetes Engine (OKE) Version 4.6, 4.7
  • Red Hat OpenShift Container Platform (OCP) Version 4.6. 4.7
  • Rancher Kubernetes Engine (RKE) Version 1.2.4, 1.2.5, 1.2.6
  • KIND Version 0.10

Hinweis

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

  4. Aktivieren Sie die Anthos API.

    Aktivieren Sie die API

  5. Installieren und initialisieren Sie das Cloud SDK.
  6. Prüfen Sie die Voraussetzungen für die Verbindung, um sicherzustellen, dass Sie die erforderlichen Berechtigungen und die aktivierten APIs haben, um einen Cluster zu registrieren. Weitere Informationen zu speziellen Einrichtungsschritten für den Clustertyp finden Sie im Abschnitt Voraussetzungen für angehängte Cluster.

Angehängte Cluster registrieren

Sie müssen alle Cluster, die Sie mit Anthos verwenden möchten, bei der Flotte Ihres Projekts registrieren. Eine Flotte (ehemals Environ) ermöglicht die einheitliche Anzeige und Verwaltung mehrerer Cluster und ihrer Arbeitslasten als Teil von Google Cloud. Weitere Informationen zu Flotten und deren Funktionalität finden Sie in unserer Übersicht zu Flotten.

Nachdem Sie Cluster in Ihrem Anthos-Projekt registriert haben, können Sie in allen registrierten Cluster über die Anthos-Cluster-Seite in der Cloud Console suchen und sie verwalten. Sie sind berechtigt, Anthos-Funktionen in diesen Clustern zu aktivieren und zu verwenden. Einige Anthos-Funktionen in Ihrer Flotte können Sie auf der Seite „Anthos-Features“ aktivieren. Anthos-Gebühren gelten nur für Ihre registrierten Cluster.

Identität einrichten

Alle angehängten Cluster erfordern eine Identität, die der Connect Agent für die Authentifizierung bei Google verwenden soll. Wenn Ihr Cluster die Anforderungen erfüllt, können Sie ihn mit aktivierter Workload Identity der Flotte für die Authentifizierung registrieren. Cluster, für die dieses Feature aktiviert ist, verwenden Identitäten aus dem Workload Identity-Pool der Flotte. Weitere Informationen zu Workload Identity für Flotten finden Sie unter Workload Identity der Flotte.

Wenn Sie Workload Identity der Flotte nicht verwenden können, ist für die Registrierung eines angehängten Clusters ein Google Cloud-Dienstkonto zur Authentifizierung erforderlich. Wir empfehlen Ihnen, für jeden Cluster, den Sie anhängen möchten, ein neues Dienstkonto zu erstellen. Folgen Sie der Anleitung unter Google Cloud-Dienstkonto mit gcloud erstellen, um ein Dienstkonto für einen Cluster mit den entsprechenden Rollen zu erstellen. Nachdem Sie Ihr Dienstkonto erstellt haben, können Sie die JSON-Datei mit den Anmeldedaten des Dienstkontos (Schlüsseldatei) verwenden, um Ihren Cluster wie im nächsten Abschnitt beschrieben zu registrieren.

Cluster registrieren

gcloud

Führen Sie den folgenden Befehl aus:

 gcloud container hub memberships register MEMBERSHIP_NAME \
   --context=KUBECONFIG_CONTEXT \
   --kubeconfig=KUBECONFIG_PATH \
   --service-account-key-file=SERVICE_ACCOUNT_KEY_PATH

Dabei gilt:

  • MEMBERSHIP_NAME ist der Name der Mitgliedschaft, den Sie auswählen und der eindeutig dem Cluster entspricht, der für die Flotte registriert wird.
  • SERVICE_ACCOUNT_KEY_PATH ist der lokale Dateipfad zur JSON-Datei des privaten Schlüssels des Dienstkontos, die als Teil der Voraussetzungen heruntergeladen wurde. Dieser Dienstkontoschlüssel wird als Secret mit dem Namen creds-gcp im Namespace gke-connect gespeichert.
  • KUBECONFIG_CONTEXT: der Clusterkontext des zu registrierenden Clusters, wie er in der Datei "kubeconfig" angezeigt wird. Sie erhalten diesen Wert über die Befehlszeile, indem Sie kubectl config current-context ausführen.
  • KUBECONFIG_PATH ist der lokale Dateipfad, in dem das kubeconfig mit einem Eintrag für den registrierten Cluster gespeichert ist. Dies ist der Standardwert $KUBECONFIG, wenn diese Umgebungsvariable gesetzt ist; andernfalls ist dies der Standardwert für $HOME/.kube/config.

Zugewiesenen Cluster mit Workload Identity der Flotte registrieren

Führen Sie einen der folgenden Befehle aus, um einen angehängten Cluster mit aktivierter Workload Identity der Flotte zu registrieren. Weitere Informationen dazu, welche angehängten Clustertypen dieses Feature verwenden können, sowie zusätzliche Anforderungen finden Sie unter Voraussetzungen für angehängte Cluster.

kind, OpenShift-Cluster:

 gcloud container hub memberships register MEMBERSHIP_NAME \
   --context=KUBECONFIG_CONTEXT \
   --kubeconfig=KUBECONFIG_PATH \
   --enable-workload-identity \
   --has-private-issuer

EKS-Cluster:

  1. Rufen Sie die URL des OIDC-Anbieters für Ihren Cluster ab und sorgen Sie dafür, dass er öffentlich sichtbar ist. Wenn kein Anbieter vorhanden ist, folgen Sie der Anleitung unter IAM-OIDC-Anbieter für Ihren Cluster erstellen und führen Sie den Befehl dann noch einmal aus.

    aws eks describe-cluster --name MEMBERSHIP_NAME --query "cluster.identity.oidc.issuer" --output text
    
  2. Führen Sie den folgenden Befehl aus. Ersetzen Sie dabei OIDC_URL durch die vom vorherigen Befehl zurückgegebene URL:

     gcloud container hub memberships register MEMBERSHIP_NAME \
      --context=KUBECONFIG_CONTEXT \
      --kubeconfig=KUBECONFIG_PATH \
      --enable-workload-identity \
      --public-issuer-url=OIDC_URL
    

Console

Registrierungsbefehl generieren

Mit der Cloud Console können Sie einen gcloud-Registrierungsbefehl generieren, um Ihren Cluster zu registrieren (nur mit einem Dienstkonto).

So registrieren Sie einen Cluster:

  1. Rufen Sie in der Google Cloud Console die Seite Anthos-Cluster auf. Auf dieser Seite werden alle registrierten Cluster angezeigt.

    Zur Seite „Anthos-Cluster”

  2. Klicken Sie auf Vorhandenen Cluster registrieren.

  3. Klicken Sie auf Externen Cluster hinzufügen.

  4. Geben Sie im Feld Clustername den Namen des Clusters ein, den Sie registrieren möchten.

  5. Optional: Google Cloud-Labels zum Cluster hinzufügen.

  6. Klicken Sie auf Anmeldebefehl generieren.

  7. Bearbeiten Sie den Befehl gcloud, der auf der Seite angezeigt wird, in Cloud Shell oder wo Sie die Anmeldedaten für Ihr Dienstkonto gespeichert haben. Sie müssen die folgenden Werte angeben:

    • CLUSTER_CONTEXT ist der Kontext des Clusters, wie er in der Datei "kubeconfig" angezeigt wird. Sie erhalten diesen Wert über die Befehlszeile, indem Sie kubectl config current-context ausführen.
    • KUBECONFIG_PATH der lokale Dateipfad ist, in dem Ihre "kubeconfig"-Datei gespeichert ist. Dies ist der Standardwert $KUBECONFIG, wenn diese Umgebungsvariable gesetzt ist; andernfalls ist dies der Standardwert für $HOME/.kube/config.
    • LOCAL_KEY_PATH ist der Pfad zu Ihrer Dienstkonto-Schlüsseldatei.

    Mit diesem Befehl wird der Connect Agent in Ihrem Nutzercluster bereitgestellt. Wenn der Connect Agent eine Verbindung zu Google Cloud herstellt und Ihr Cluster registriert ist, wird eine Bestätigungsmeldung auf der Seite angezeigt.

  8. Klicken Sie auf Labels festlegen oder auf Überspringen, wenn Sie keine Labels festgelegt haben.

Anthos-Funktionen in angehängten Clustern aktivieren

Nachdem Sie Ihre Cluster registriert haben, können Sie verfügbare Anthos-Funktionen für Ihre Anwendungen aktivieren. Diese Funktionen werden nur von unseren bestätigten Clustertypen unterstützt. Die jeweils unterstützten Funktionsversionen für diese Typen finden Sie unter Versions- und Upgrade-Support.

In den folgenden Anleitungen erfahren Sie, wie Sie unterstützte Funktionen in Clustern aktivieren:

Vollständige Dokumentationen für alle Anthos-Komponenten, einschließlich Anleitungen, Referenzmaterial und mehr, finden Sie unter Anthos-Komponenten.

Auf angehängte Cluster zugreifen

Nachdem Sie einen angehängten Cluster registriert haben, wird er auf den GKE- und Anthos-Clusterseiten in der Google Cloud Console angezeigt. Wenn Sie jedoch weitere Details wie Knoten und Arbeitslasten sehen möchten, müssen Sie sich beim Cluster anmelden und sich bei diesem authentifizieren. Folgen Sie der Anleitung unter Über die Cloud Console bei Clustern anmelden, um sich über die Cloud Console bei Ihren angehängten Clustern anzumelden.

Informationen zum Zugreifen auf angehängte Cluster über die Befehlszeile finden Sie unter Verbinden mit registrierten Clustern mit dem Connect-Gateway.

Informationen zum Authentifizieren bei angehängten Clustern mit Ihrem externen Identitätsanbieter (nur EKS in AWS-Clustern, Vorschaufeature) finden Sie unter Anthos Identity Service für eine Flotte einrichten und Mit Anthos Identity Service auf Cluster zugreifen.

Nächste Schritte