Auf dieser Seite werden einige Schritte beschrieben, die Sie ausführen sollten, bevor Sie GKE On-Prem in Ihrer Umgebung installieren.
Hinweis
Sehen Sie sich die folgenden Themen an:
Platzhalterwerte in der GKE On-Prem-Dokumentation
Wenn Sie die Dokumentation zu GKE On-Prem verwenden, können Sie Platzhalterwerte (placeholder values) in Codeblöcken ändern, indem Sie darauf klicken.
Enter your name: [YOUR_NAME]
Dies kann nützlich sein, wenn Sie vor dem Kopieren und Ausführen von Befehlen Platzhalterwerte eingeben möchten.
Beschränkungen
Beschränkung | Beschreibung |
---|---|
Höchst- und Mindestwerte für Cluster und Knoten | Siehe Kontingente und Limits. Die Leistung Ihrer Umgebung kann sich auf diese Limits auswirken. |
Ein Administratorcluster pro Projekt | Sie können nur einen Administratorcluster pro Google Cloud-Projekt registrieren. Wenn Sie mehrere Administratorcluster ausführen müssen, müssen Sie ein separates Google Cloud-Projekt verwenden. |
Google Cloud-Projekt erstellen
Erstellen Sie ein Google Cloud-Projekt, falls Sie noch keines haben. Sie benötigen ein Projekt, um GKE On-Prem auszuführen.
Erforderliche Befehlszeilentools installieren
- Installieren Sie Google Cloud CLI, einschließlich
gcloud
, der Befehlszeilenschnittstelle zu Google Cloud. - Installieren Sie govc, die Befehlszeilenschnittstelle zu VMware vSphere.
- Installieren Sie Terraform 0.11, das die
terraform
-Befehlszeile enthält. Folgen Sie der Installationsanleitung von Terraform, um die Installation zu prüfen und die VariablePATH
einzurichten.
gcloud
für den Zugriff auf Google Cloud autorisieren
Nachdem Sie die gcloud CLI installiert haben, autorisieren Sie gcloud
für den Zugriff auf Google Cloud:
gcloud auth login
Google Cloud-Standardprojekt festlegen
Wenn Sie ein Google Cloud-Standardprojekt festlegen, werden alle gcloud CLI-Befehle für dieses Projekt ausgeführt, sodass Sie es nicht bei jedem einzelnen Befehl angeben müssen. Führen Sie den folgenden Befehl aus, um ein Standardprojekt festzulegen:
gcloud config set project [PROJECT_ID]
Ersetzen Sie [PROJECT_ID]
durch Ihre Projekt-ID.
Sie können Ihre Projekt-ID in der Google Cloud Console oder durch Ausführen von gcloud config get-value project
ermitteln.
Google Cloud-Dienstkonten erstellen
Bevor Sie GKE On-Prem zum ersten Mal installieren, verwenden Sie gcloud
, um vier Google Cloud-Dienstkonten zu erstellen.
GKE On-Prem verwendet diese Dienstkonten, um in Ihrem Namen Aufgaben auszuführen. In den folgenden Abschnitten wird der Zweck jedes Kontos beschrieben.
Zugriffsdienstkonto
Sie verwenden dieses Dienstkonto, um die Binärdateien von GKE On-Prem aus Cloud Storage herunterzuladen. Es ist das einzige Dienstkonto, das Google auf die Zulassungsliste setzt.
Führen Sie den folgenden Befehl aus, um access-service-account
zu erstellen:
gcloud iam service-accounts create access-service-account
Dienstkonto registrieren
Connect verwendet dieses Dienstkonto, um Ihre GKE On-Prem-Cluster bei der Google Cloud Console zu registrieren.
Führen Sie den folgenden Befehl aus, um register-service-account
zu erstellen:
gcloud iam service-accounts create register-service-account
Connect-Dienstkonto
Connect verwendet dieses Dienstkonto, um eine Verbindung zwischen GKE On-Prem-Clustern und Google Cloud aufrechtzuerhalten.
Führen Sie den folgenden Befehl aus, um connect-service-account
zu erstellen:
gcloud iam service-accounts create connect-service-account
Dienstkonto der Operations-Suite von Google Cloud
Mit diesem Dienstkonto kann GKE On-Prem Logging- und Monitoringdaten in die Operations-Suite von Google Cloud schreiben:
Führen Sie den folgenden Befehl aus, um stackdriver-service-account
zu erstellen:
gcloud iam service-accounts create stackdriver-service-account
Projekte und Konten auf die Zulassungsliste setzen
Nachdem Sie Anthos erworben haben, setzt Google Folgendes auf die Zulassungsliste, um Ihnen Zugriff auf GKE On-Prem und Connect zu gewähren:
- Ihr Google Cloud-Projekt
- Ihr Google-Konto und einzelne Google-Konten von Teammitgliedern
- Ihr Dienstkonto für den Zugriff
Wenn Sie ein anderes Projekt oder Dienstkonto verwenden oder zusätzliche Nutzer aktivieren möchten, hilft Ihnen der Google Cloud-Support oder Ihr Technical Account Manager weiter. Stellen Sie über die Google Cloud Console oder das Google Cloud-Supportcenter eine Supportanfrage.
Erforderliche APIs im Projekt aktivieren
Sie müssen in Ihrem Google Cloud-Projekt die folgenden APIs aktivieren:
- cloudresourcemanager.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com
- gkehub.googleapis.com
- serviceusage.googleapis.com
- stackdriver.googleapis.com
- monitoring.googleapis.com
- logging.googleapis.com
Aktivieren Sie diese APIs mit folgendem Befehl:
gcloud services enable \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ stackdriver.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com
IAM-Rollen den Dienstkonten zuweisen
IAM (Identity and Access Management) gewährt Konten Berechtigungen zum Aufrufen von Google Cloud APIs. Weisen Sie diesen Dienstkonten zur Berechtigungsisolation dedizierte IAM-Rollen zu.
E-Mail-Adressen von Dienstkonten auflisten
Listen Sie zuerst die Dienstkonten in Ihrem Google Cloud-Projekt auf:
gcloud iam service-accounts list
Für ein Google Cloud-Projekt namens my-gcp-project
sieht die Ausgabe dieses Befehls so aus:
gcloud iam service-accounts list NAME EMAIL access-service-account@my-gcp-project.iam.gserviceaccount.com register-service-account@my-gcp-project.iam.gserviceaccount.com connect-service-account@my-gcp-project.iam.gserviceaccount.com stackdriver-service-account@my-gcp-project.iam.gserviceaccount.com
Notieren Sie sich die E-Mail-Adressen der einzelnen Konten. Geben Sie in jedem der folgenden Abschnitte die E-Mail-Adresse des entsprechenden Kontos an.
Dienstkonto für Registrierung
Weisen Sie dem Dienstkonto für Registrierung die Rollen gkehub.admin
und serviceuserage.serviceUsageViewer
zu:
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member="serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL] \ --role="roles/gkehub.admin"
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member="serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL] \ --role="roles/serviceusage.serviceUsageViewer"
Connect-Dienstkonto
Weisen Sie dem Connect-Dienstkonto die Rolle gkehub.connect
zu:
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member="serviceAccount:[CONNECT_SERVICE_ACCOUNT_EMAIL] \ --role="roles/gkehub.connect"
Dienstkonto der Operations-Suite von Google Cloud
Weisen Sie dem Dienstkonto der Operations-Suite von Google Cloud die Rollen stackdriver.resourceMetadata.writer
, logging.logWriter
und monitoring.metricWriter
zu:
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \ --role "roles/stackdriver.resourceMetadata.writer"
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \ --role "roles/logging.logWriter"
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \ --role "roles/monitoring.metricWriter"
Logging und Monitoring konfigurieren
Stackdriver Logging und Stackdriver Monitoring sind für GKE On-Prem standardmäßig aktiviert.
Google- und HashiCorp-Adressen für den Proxy auf die Zulassungsliste setzen
Wenn Ihre Organisation für den Internetzugriff einen HTTP-Proxy benötigt, setzen Sie die folgenden Google-Adressen im Proxy auf die Zulassungsliste:
- binaryauthorization.googleapis.com
- googlecode.l.googleusercontent.com
- storage.l.googleusercontent.com
- storage.googleapis.com
Sie verwenden HashiCorp Terraform Version 0.11, um in vSphere eine Administrator-Workstation-VM zu erstellen. Zum Ausführen von Terraform in einer Umgebung mit einem Proxy oder einer Firewall müssen Sie die folgenden HashiCorp-Adressen auf die Zulassungsliste setzen:
- checkpoint-api.hashicorp.com
- releases.hashicorp.com
Load-Balancer vorbereiten
GKE On-Prem-Cluster können mit einem der beiden Load-Balancing-Modi ("Integriert" und "Manuell") ausgeführt werden. Beim integrierten Modus werden GKE On-Prem-Cluster mit dem F5 BIG-IP-Load-Balancer ausgeführt. Beim manuellen Modus konfigurieren Sie manuell einen anderen Load-Balancer.
F5 BIG-IP-Partitionen vorbereiten
Wenn Sie den integrierten Modus verwenden, müssen Sie für jeden GKE On-Prem-Cluster, den Sie erstellen möchten, eine F5 BIG-IP-Partition erstellen, die das Load-Balancing verarbeitet.
Zu Beginn müssen Sie mindestens zwei Partitionen erstellen: eine für den Administratorcluster und eine für einen Nutzercluster. Sie müssen eine Partition erstellen, bevor Sie den entsprechenden Cluster erstellen.
Verwenden Sie die Clusterpartitionen nicht für andere Zwecke. Für jeden Ihrer Cluster muss eine Partition vorhanden sein, die ausschließlich durch diesen Cluster verwendet wird.
Weitere Informationen zum Erstellen von Partitionen finden Sie in der Dokumentation zu F5 BIG-IP unter Creating an administrative partition.
Manuellen Load-Balancing-Modus verwenden
Der manuelle Load-Balancing-Modus erfordert mehr Konfiguration als der integrierte Modus. Weitere Informationen finden Sie unter Manuellen Load-Balancing-Modus aktivieren.