Configura clústeres de Anthos conectados

En esta página, se muestra cómo conectar clústeres de Kubernetes conformes a Anthos. Conectar clústeres te permite ver tus clústeres de Kubernetes existentes en Google Cloud Console junto con tus clústeres de Anthos y habilitar un subconjunto de funciones de Anthos en ellos, incluida la configuración con Anthos Config Management.

Requisitos previos

Puedes adjuntar cualquier clúster de Kubernetes conforme a las especificaciones a Anthos y verlo en Cloud Console con tus clústeres de Anthos.

Google validó los siguientes tipos y versiones de clústeres, incluido el uso de funciones de Anthos adicionales compatibles:

  • Amazon Elastic Kubernetes Service (Amazon EKS) en las versiones de Kubernetes 1.19, 1.20 y 1.21
  • Microsoft Azure Kubernetes Service (Microsoft AKS) en las versiones de Kubernetes 1.19, 1.20 y 1.21
  • Red Hat OpenShift Kubernetes Engine (OKE) versión 4.6, 4.7
  • Red Hat OpenShift Container Platform (OCP) versión 4.6, 4.7
  • Rancher Kubernetes Engine (RKE) versión 1.2.4, 1.2.5, 1.2.6, 1.3
  • KIND versión 0.10, 0.11
  • K3s versión 1.20
  • K3d versión 4.4.3

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
  2. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Descubre cómo confirmar que tienes habilitada la facturación en un proyecto.

  4. Habilita la API Anthos.

    Habilita la API

  5. Instala e inicializa el SDK de Cloud.
  6. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  7. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Descubre cómo confirmar que tienes habilitada la facturación en un proyecto.

  8. Habilita la API Anthos.

    Habilita la API

  9. Instala e inicializa el SDK de Cloud.
  10. Verifica los requisitos previos de Connect y asegúrate de tener los permisos pertinentes y las API habilitadas para registrar un clúster. Consulta la sección Requisitos previos del clúster adjunto para ver los pasos de configuración especiales que puedes necesitar para tu tipo de clúster.

Registra clústeres conectados

Debes registrar todos los clústeres que desees usar con Anthos con la flota de tu proyecto. Una flota (antes conocida como environ) proporciona una forma unificada de ver y administrar varios clústeres y sus cargas de trabajo como parte de Google Cloud. Puedes obtener más información sobre las flotas y la funcionalidad que habilitan en nuestra Guía sobre flotas.

Después de registrar los clústeres en tu proyecto de Anthos, puedes explorar y administrar todos los clústeres registrados en la página Clústeres de Anthos en Cloud Console. Tienes derecho a habilitar y usar las funciones de Anthos en estos clústeres. Además, puedes habilitar algunas funciones de Anthos en tu flota desde la página Funciones de Anthos. Los cargos de Anthos solo se aplican a tus clústeres registrados.

Configura la identidad

Todos los clústeres adjuntos requieren una identidad para que el agente de Connect los use cuando se autentique en Google. Si tu clúster cumple con los requisitos, puedes registrarlo con la función Workload Identity de la flota habilitada para la autenticación. Los clústeres con esta función habilitada usan identidades del grupo de Workload Identity de la flota de toda la flota. Puedes obtener más información sobre la función Workload Identity de flota en Acerca de Workload Identity de la flota.

Si no puedes usar la función Workload Identity de la flota, el registro de un clúster adjunto requiere una cuenta de servicio de Google Cloud para la autenticación. Recomendamos crear una cuenta de servicio nueva para cada clúster que desees conectar. Si deseas crear una cuenta de servicio para un clúster con las funciones adecuadas, sigue las instrucciones en Crea una cuenta de servicio de Google Cloud con gcloud. Después de crear tu cuenta de servicio, puedes usar el archivo JSON con las credenciales de la cuenta de servicio (archivo de claves) para registrar tu clúster, como se describe en la siguiente sección.

Registra tu clúster

gcloud

Ejecuta el siguiente comando:

 gcloud container hub memberships register MEMBERSHIP_NAME \
   --context=KUBECONFIG_CONTEXT \
   --kubeconfig=KUBECONFIG_PATH \
   --service-account-key-file=SERVICE_ACCOUNT_KEY_PATH

Reemplaza lo siguiente:

  • MEMBERSHIP_NAME: Es el nombre de membresía que elijas y que se usa para representar de forma única el clúster registrado en la flota.
  • SERVICE_ACCOUNT_KEY_PATH: Es la ruta de acceso del archivo local al archivo JSON de clave privada de la cuenta de servicio que se descargó como parte de los requisitos. Esta clave de la cuenta de servicio se almacena como un secreto llamado creds-gcp en el espacio de nombres gke-connect.
  • KUBECONFIG_CONTEXT: Es el contexto de clúster del clúster que se registra como aparece en el archivo kubeconfig. Puedes obtener este valor desde la línea de comandos si ejecutas kubectl config current-context.
  • KUBECONFIG_PATH: Es la ruta de archivo local en la que se almacena tu kubeconfig que contiene una entrada para el clúster que se registra. El valor predeterminado es $KUBECONFIG, si esa variable de entorno está configurada, de lo contrario, el valor predeterminado será $HOME/.kube/config.

Registra un clúster conectado con Workload Identity de flota

Para registrar un clúster conectado con Workload Identity de flota habilitado, ejecuta uno de los siguientes comandos. Para obtener más información sobre qué tipos de clústeres adjuntos pueden usar esta función y otros requisitos adicionales, consulta Requisitos previos del clúster adjunto.

tipo, clústeres de OpenShift:

 gcloud container hub memberships register MEMBERSHIP_NAME \
   --context=KUBECONFIG_CONTEXT \
   --kubeconfig=KUBECONFIG_PATH \
   --enable-workload-identity \
   --has-private-issuer

Clústeres de EKS:

  1. Obtén la URL del proveedor de OIDC para el clúster y asegúrate de que sea visible de forma pública. Si no existe un proveedor, sigue las instrucciones en Crea un proveedor de OIDC de IAM para tu clúster y, luego, vuelve a ejecutar el comando.

    aws eks describe-cluster --name MEMBERSHIP_NAME --query "cluster.identity.oidc.issuer" --output text
    
  2. Ejecuta el siguiente comando y reemplaza OIDC_URL por la URL que muestra el comando anterior:

     gcloud container hub memberships register MEMBERSHIP_NAME \
      --context=KUBECONFIG_CONTEXT \
      --kubeconfig=KUBECONFIG_PATH \
      --enable-workload-identity \
      --public-issuer-url=OIDC_URL
    

Console

Genera un comando de registro

Puedes usar Cloud Console para generar un comando de registro gcloud a fin de registrar tu clúster (solo con una cuenta de servicio).

Para registrar un clúster, sigue estos pasos:

  1. En Google Cloud Console, ve a la página Clústeres de Anthos. En esta página, se muestran todos los clústeres registrados.

    Ir a la página Clústeres de Anthos

  2. Haz clic en Registrar un clúster existente.

  3. Haz clic en Agregar clúster externo.

  4. Ingresa el nombre del clúster que deseas registrar en el campo Nombre del clúster.

  5. Opcional: Agrega etiquetas de Google Cloud a tu clúster.

  6. Haz clic en Generar comandos de registro.

  7. En Cloud Shell o donde sea que hayas guardado las credenciales de tu cuenta de servicio, edita y ejecuta el comando de gcloud que se muestra en la página. Debes especificar los siguientes valores:

    • El CLUSTER_CONTEXT es el contexto del clúster tal como aparece en el archivo kubeconfig. Puedes obtener este valor desde la línea de comandos si ejecutas kubectl config current-context.
    • El KUBECONFIG_PATH es la ruta de acceso del archivo local donde se almacena tu archivo kubeconfig. El valor predeterminado es $KUBECONFIG, si esa variable de entorno está configurada, de lo contrario, el valor predeterminado es $HOME/.kube/config.
    • El LOCAL_KEY_PATH es la ruta al archivo de claves de tu cuenta de servicio.

    Cuando ejecutas este comando, se implementa el agente de Connect en tu clúster de usuarios. Cuando el agente de Connect se conecta a Google Cloud y tu clúster está registrado, se muestra un mensaje de éxito en la página.

  8. Haz clic en Configurar etiquetas o en Omitir si no estableciste ninguna etiqueta.

Habilita funciones de Anthos en clústeres conectados

Después de registrar los clústeres, puedes habilitar las funciones de Anthos disponibles en ellos para tus aplicaciones. Estas funciones solo son compatibles con nuestros tipos de clústeres validados. Para ver las versiones de funciones actuales que admiten estos tipos, consulta Compatibilidad con versiones y actualizaciones.

En las siguientes guías, se muestra cómo habilitar las funciones compatibles en tus clústeres:

A fin de obtener conjuntos de documentación completos para todos los componentes de Anthos, incluidos los instructivos, el material de referencia y más, consulta los componentes de Anthos.

Accede a los clústeres conectados

Después de registrar un clúster conectado, este aparece en las páginas de clústeres de y Anthos y GKE en Google Cloud Console. Sin embargo, para ver más detalles, como nodos y cargas de trabajo, debes acceder a tu cuenta y autenticarte en el clúster. Para acceder a los clústeres adjuntos desde Cloud Console, sigue las instrucciones en Acceder a clústeres desde Cloud Console.

Para acceder a los clústeres conectados desde la línea de comandos, consulta Conéctate a clústeres registrados con la puerta de enlace de Connect.

Para la autenticación en los clústeres adjuntos mediante tu proveedor de identidad de terceros existente (solo clústeres de EKS en AWS, función de vista previa), consulta Configura Anthos Identity Service para una flota y Accede a clústeres con Anthos Identity Service.

Próximos pasos