En esta página, se explican algunos pasos que debes seguir antes de instalar GKE On-Prem en tu entorno.
Antes de comenzar
Revisa los siguientes temas:
Valores de marcadores de posición en la documentación de GKE On-Prem
A medida que usas la documentación de GKE On-Prem, puedes hacer clic en los placeholder values en los bloques de código para cambiarlos:
Enter your name: [YOUR_NAME]
Esto puede resultarte útil si deseas completar valores de marcadores de posición antes de copiar y ejecutar comandos.
Limitaciones
Limitación | Descripción |
---|---|
Límites máximos y mínimos de los clústeres y los nodos | Consulta Cuotas y límites. El rendimiento del entorno puede afectar estos límites. |
Un clúster de administrador por proyecto | Solo puedes registrar un clúster de administrador por proyecto de Google Cloud. Si necesitas ejecutar varios clústeres de administrador, debes usar proyectos independientes de Google Cloud. |
Crea un proyecto de Google Cloud
Crea un proyecto de Google Cloud, si aún no tienes uno. Necesitas un proyecto para ejecutar GKE On-Prem.
Instala las herramientas necesarias de la interfaz de línea de comandos
- Instala Google Cloud CLI, que incluye
gcloud
, la interfaz de línea de comandos (CLI) de Google Cloud. - Instala govc, la CLI de VMware vSphere.
- Instala Terraform 0.11, que incluye la CLI
terraform
. Sigue las instrucciones de instalación de Terraform para verificar la instalación y configurar la variablePATH
.
Autoriza a gcloud
para que acceda a Google Cloud
Después de instalar la CLI de gcloud, autoriza a gcloud
para acceder a Google Cloud:
gcloud auth login
Configura un proyecto predeterminado de Google Cloud
Configurar un proyecto predeterminado de Google Cloud hace que todos los comandos de la CLI de gcloud se ejecuten en ese proyecto, de modo que no tengas que especificar el proyecto para cada comando. Para establecer un proyecto predeterminado, ejecuta el siguiente comando:
gcloud config set project [PROJECT_ID]
Reemplaza [PROJECT_ID]
por el ID del proyecto.
(Puedes encontrar el ID del proyecto en la consola de Google Cloud o mediante la ejecución de gcloud config get-value project
).
Crea cuentas de servicio de Google Cloud
Antes de instalar GKE On-Prem por primera vez, debes usar gcloud
para crear cuatro cuentas de servicio de Google Cloud.
GKE On-Prem usa estas cuentas de servicio para completar las tareas por ti. En las siguientes secciones, se describe el propósito de cada cuenta.
Cuenta de servicio de acceso
Usa esta cuenta de servicio para descargar los objetos binarios de GKE On-Prem desde Cloud Storage. Es la única cuenta de servicio que Google incluye en la lista de anunciantes permitidos.
Ejecuta el siguiente comando para crear access-service-account
:
gcloud iam service-accounts create access-service-account
Cuenta de servicio de registro
Connect usa esta cuenta de servicio para registrar tus clústeres de GKE On-Prem en Google Cloud Console.
Ejecuta el siguiente comando para crear register-service-account
:
gcloud iam service-accounts create register-service-account
Cuenta de servicio de Connect
Connect usa esta cuenta de servicio para mantener una conexión entre los clústeres de GKE On-Prem y Google Cloud.
Ejecuta el siguiente comando para crear connect-service-account
:
gcloud iam service-accounts create connect-service-account
Cuenta de servicio de Google Cloud's operations suite
Esta cuenta de servicio permite que GKE On-Prem escriba datos de registro y supervisión en Google Cloud's operations suite:
Ejecuta el siguiente comando para crear stackdriver-service-account
:
gcloud iam service-accounts create stackdriver-service-account
Agrega tu proyecto y tus cuentas a la lista de anunciantes permitidos
Después de comprar Anthos, Google incluye los siguientes elementos en la lista de anunciantes permitidos para otorgar acceso a GKE On-Prem y a Connect:
- Tu proyecto de Google Cloud
- Tu Cuenta de Google y las cuentas individuales de Google de los miembros del equipo
- Tu cuenta de servicio de acceso
Si quieres usar un proyecto o una cuenta de servicio diferentes, o si deseas habilitar usuarios adicionales, el equipo de Google Cloud Support o el administrador técnico de cuentas pueden ayudarte. Abre un caso de ayuda a través de la consola de Google Cloud o de Google Cloud Support Center.
Habilita las API necesarias en tu proyecto
Debes habilitar las siguientes API en el proyecto de Google Cloud:
- cloudresourcemanager.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com
- gkehub.googleapis.com
- serviceusage.googleapis.com
- stackdriver.googleapis.com
- monitoring.googleapis.com
- logging.googleapis.com
Para habilitar estas API, ejecuta el siguiente comando:
gcloud services enable \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ stackdriver.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com
Asigna funciones de administración de identidades y accesos a las cuentas de servicio
IAM otorga permisos a las cuentas para llamar a las API de Google Cloud. Asigna funciones de IAM dedicadas a estas cuentas de servicio para el aislamiento de privilegios.
Enumera las direcciones de correo electrónico de las cuentas de servicio
Primero, enumera las cuentas de servicio en el proyecto de Google Cloud:
gcloud iam service-accounts list
En un proyecto de Google Cloud llamado my-gcp-project
, el resultado de este comando se verá así:
gcloud iam service-accounts list NAME EMAIL access-service-account@my-gcp-project.iam.gserviceaccount.com register-service-account@my-gcp-project.iam.gserviceaccount.com connect-service-account@my-gcp-project.iam.gserviceaccount.com stackdriver-service-account@my-gcp-project.iam.gserviceaccount.com
Toma nota de la dirección de correo electrónico de cada cuenta. En cada una de las siguientes secciones, debes proporcionar la cuenta de correo electrónico de la cuenta correspondiente.
Cuenta de servicio de registro
Otorga las funciones gkehub.admin
y serviceuserage.serviceUsageViewer
a la cuenta de servicio de registro:
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member="serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL] \ --role="roles/gkehub.admin"
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member="serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL] \ --role="roles/serviceusage.serviceUsageViewer"
Cuenta de servicio de Connect
Otorga la función gkehub.connect
a la cuenta de servicio de Connect:
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member="serviceAccount:[CONNECT_SERVICE_ACCOUNT_EMAIL] \ --role="roles/gkehub.connect"
Cuenta de servicio de Google Cloud's operations suite
Otorga las funciones stackdriver.resourceMetadata.writer
, logging.logWriter
y monitoring.metricWriter
a la cuenta de servicio de Google Cloud's operations suite:
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \ --role "roles/stackdriver.resourceMetadata.writer"
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \ --role "roles/logging.logWriter"
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \ --role "roles/monitoring.metricWriter"
Configura los registros y la supervisión
Stackdriver Logging y Stackdriver Monitoring están habilitados de forma predeterminada para GKE On-Prem.
Incluye las direcciones de Google y HashiCorp en la lista de anunciantes permitidos para el proxy
Si la organización requiere acceso a Internet para pasar por un proxy HTTP, incluye las siguientes direcciones de Google en la lista de anunciantes permitidos del proxy:
- binaryauthorization.googleapis.com
- googlecode.l.googleusercontent.com
- storage.l.googleusercontent.com
- storage.googleapis.com
Debes usar la versión 0.11 de HashiCorp Terraform para crear una VM de estación de trabajo de administrador en vSphere. Para ejecutar Terraform en un entorno con un proxy o firewall, debes incluir en la lista de anunciantes permitidos las siguientes direcciones de HashiCorp:
- checkpoint-api.hashicorp.com
- releases.hashicorp.com
Prepara el balanceador de cargas
Los clústeres de GKE On-Prem pueden ejecutarse con uno de los dos modos de balanceo de cargas, “integrado” o “manual”. Con el modo integrado, los clústeres de GKE On-Prem se ejecutan con el balanceador de cargas BIG-IP de F5. Con el modo manual, debes configurar de forma manual un balanceador de cargas diferente.
Prepara particiones de BIG-IP de F5
Si eliges usar el modo integrado, debes crear una partición de BIG-IP de F5 a fin de controlar el balanceo de cargas de cada clúster de GKE On-Prem que decidas crear.
En principio, debes crear al menos dos particiones: una para el clúster de administrador y otra para un clúster de usuario. Debes crear una partición antes de crear el clúster correspondiente.
No uses las particiones del clúster para nada más. Cada uno de los clústeres debe tener una partición para uso exclusivo de ese clúster.
Para aprender cómo crear particiones, consulta Crea una partición administrativa en la documentación de BIG-IP de F5.
Usa el modo de balanceo de cargas manual
El modo de balanceo de cargas manual requiere más configuración que el modo integrado. Para obtener más información, consulta Habilita el balanceo de cargas manual.