Cómo comenzar

En esta página, se explican algunos pasos que debes seguir antes de instalar GKE On-Prem en tu entorno.

Antes de comenzar

Revisa los siguientes temas:

• Requisitos del sistema
• Descripción general de GKE On-Prem

Valores de marcadores de posición en la documentación de GKE On-Prem

A medida que usas la documentación de GKE On-Prem, puedes hacer clic en los placeholder values en los bloques de código para cambiarlos:

Enter your name: [YOUR_NAME]

Esto puede resultarte útil si deseas completar valores de marcadores de posición antes de copiar y ejecutar comandos.

Limitaciones

Limitación	Descripción
Límites máximos y mínimos de los clústeres y los nodos	Consulta Cuotas y límites. El rendimiento del entorno puede afectar estos límites.
Un clúster de administrador por proyecto	Solo puedes registrar un clúster de administrador por proyecto de Google Cloud. Si necesitas ejecutar varios clústeres de administrador, debes usar proyectos independientes de Google Cloud.

Crea un proyecto de Google Cloud

Crea un proyecto de Google Cloud, si aún no tienes uno. Necesitas un proyecto para ejecutar GKE On-Prem.

Instala las herramientas necesarias de la interfaz de línea de comandos

• Instala Google Cloud CLI, que incluye gcloud, la interfaz de línea de comandos (CLI) de Google Cloud.
• Instala govc, la CLI de VMware vSphere.
• Instala Terraform 0.11, que incluye la CLI terraform. Sigue las instrucciones de instalación de Terraform para verificar la instalación y configurar la variable PATH.

Autoriza a gcloud para que acceda a Google Cloud

Después de instalar la CLI de gcloud, autoriza a gcloud para acceder a Google Cloud:

gcloud auth login

Configura un proyecto predeterminado de Google Cloud

Configurar un proyecto predeterminado de Google Cloud hace que todos los comandos de la CLI de gcloud se ejecuten en ese proyecto, de modo que no tengas que especificar el proyecto para cada comando. Para establecer un proyecto predeterminado, ejecuta el siguiente comando:

gcloud config set project [PROJECT_ID]

Reemplaza [PROJECT_ID] por el ID del proyecto. (Puedes encontrar el ID del proyecto en la consola de Google Cloud o mediante la ejecución de gcloud config get-value project).

Crea cuentas de servicio de Google Cloud

Antes de instalar GKE On-Prem por primera vez, debes usar gcloud para crear cuatro cuentas de servicio de Google Cloud. GKE On-Prem usa estas cuentas de servicio para completar las tareas por ti. En las siguientes secciones, se describe el propósito de cada cuenta.

Cuenta de servicio de acceso

Usa esta cuenta de servicio para descargar los objetos binarios de GKE On-Prem desde Cloud Storage. Es la única cuenta de servicio que Google incluye en la lista de anunciantes permitidos.

Ejecuta el siguiente comando para crear access-service-account:

gcloud iam service-accounts create access-service-account

Cuenta de servicio de registro

Connect usa esta cuenta de servicio para registrar tus clústeres de GKE On-Prem en Google Cloud Console.

Ejecuta el siguiente comando para crear register-service-account:

gcloud iam service-accounts create register-service-account

Cuenta de servicio de Connect

Connect usa esta cuenta de servicio para mantener una conexión entre los clústeres de GKE On-Prem y Google Cloud.

Ejecuta el siguiente comando para crear connect-service-account:

gcloud iam service-accounts create connect-service-account

Cuenta de servicio de Google Cloud's operations suite

Esta cuenta de servicio permite que GKE On-Prem escriba datos de registro y supervisión en Google Cloud's operations suite:

Ejecuta el siguiente comando para crear stackdriver-service-account:

gcloud iam service-accounts create stackdriver-service-account

Agrega tu proyecto y tus cuentas a la lista de anunciantes permitidos

Después de comprar Anthos, Google incluye los siguientes elementos en la lista de anunciantes permitidos para otorgar acceso a GKE On-Prem y a Connect:

• Tu proyecto de Google Cloud
• Tu Cuenta de Google y las cuentas individuales de Google de los miembros del equipo
• Tu cuenta de servicio de acceso

Si quieres usar un proyecto o una cuenta de servicio diferentes, o si deseas habilitar usuarios adicionales, el equipo de Google Cloud Support o el administrador técnico de cuentas pueden ayudarte. Abre un caso de ayuda a través de la consola de Google Cloud o de Google Cloud Support Center.

Habilita las API necesarias en tu proyecto

Debes habilitar las siguientes API en el proyecto de Google Cloud:

• cloudresourcemanager.googleapis.com
• container.googleapis.com
• gkeconnect.googleapis.com
• gkehub.googleapis.com
• serviceusage.googleapis.com
• stackdriver.googleapis.com
• monitoring.googleapis.com
• logging.googleapis.com

Para habilitar estas API, ejecuta el siguiente comando:

gcloud services enable \
cloudresourcemanager.googleapis.com \
container.googleapis.com \
gkeconnect.googleapis.com \
gkehub.googleapis.com \
serviceusage.googleapis.com \
stackdriver.googleapis.com \
monitoring.googleapis.com \
logging.googleapis.com

Asigna funciones de administración de identidades y accesos a las cuentas de servicio

IAM otorga permisos a las cuentas para llamar a las API de Google Cloud. Asigna funciones de IAM dedicadas a estas cuentas de servicio para el aislamiento de privilegios.

Enumera las direcciones de correo electrónico de las cuentas de servicio

Primero, enumera las cuentas de servicio en el proyecto de Google Cloud:

gcloud iam service-accounts list

En un proyecto de Google Cloud llamado my-gcp-project, el resultado de este comando se verá así:

gcloud iam service-accounts list
NAME                                    EMAIL
                                        access-service-account@my-gcp-project.iam.gserviceaccount.com
                                        register-service-account@my-gcp-project.iam.gserviceaccount.com
                                        connect-service-account@my-gcp-project.iam.gserviceaccount.com
                                        stackdriver-service-account@my-gcp-project.iam.gserviceaccount.com

Toma nota de la dirección de correo electrónico de cada cuenta. En cada una de las siguientes secciones, debes proporcionar la cuenta de correo electrónico de la cuenta correspondiente.

Cuenta de servicio de registro

Otorga las funciones gkehub.admin y serviceuserage.serviceUsageViewer a la cuenta de servicio de registro:

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member="serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL] \
--role="roles/gkehub.admin"

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member="serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL] \
--role="roles/serviceusage.serviceUsageViewer"

Cuenta de servicio de Connect

Otorga la función gkehub.connect a la cuenta de servicio de Connect:

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member="serviceAccount:[CONNECT_SERVICE_ACCOUNT_EMAIL] \
--role="roles/gkehub.connect"

Cuenta de servicio de Google Cloud's operations suite

Otorga las funciones stackdriver.resourceMetadata.writer, logging.logWriter y monitoring.metricWriter a la cuenta de servicio de Google Cloud's operations suite:

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \
--role "roles/stackdriver.resourceMetadata.writer"

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \
--role "roles/logging.logWriter"

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \
--role "roles/monitoring.metricWriter"

Configura los registros y la supervisión

Stackdriver Logging y Stackdriver Monitoring están habilitados de forma predeterminada para GKE On-Prem.

Incluye las direcciones de Google y HashiCorp en la lista de anunciantes permitidos para el proxy

Si la organización requiere acceso a Internet para pasar por un proxy HTTP, incluye las siguientes direcciones de Google en la lista de anunciantes permitidos del proxy:

• binaryauthorization.googleapis.com
• googlecode.l.googleusercontent.com
• storage.l.googleusercontent.com
• storage.googleapis.com

Debes usar la versión 0.11 de HashiCorp Terraform para crear una VM de estación de trabajo de administrador en vSphere. Para ejecutar Terraform en un entorno con un proxy o firewall, debes incluir en la lista de anunciantes permitidos las siguientes direcciones de HashiCorp:

• checkpoint-api.hashicorp.com
• releases.hashicorp.com

Prepara el balanceador de cargas

Los clústeres de GKE On-Prem pueden ejecutarse con uno de los dos modos de balanceo de cargas, “integrado” o “manual”. Con el modo integrado, los clústeres de GKE On-Prem se ejecutan con el balanceador de cargas BIG-IP de F5. Con el modo manual, debes configurar de forma manual un balanceador de cargas diferente.

Prepara particiones de BIG-IP de F5

Si eliges usar el modo integrado, debes crear una partición de BIG-IP de F5 a fin de controlar el balanceo de cargas de cada clúster de GKE On-Prem que decidas crear.

En principio, debes crear al menos dos particiones: una para el clúster de administrador y otra para un clúster de usuario. Debes crear una partición antes de crear el clúster correspondiente.

No uses las particiones del clúster para nada más. Cada uno de los clústeres debe tener una partición para uso exclusivo de ese clúster.

Para aprender cómo crear particiones, consulta Crea una partición administrativa en la documentación de BIG-IP de F5.

Usa el modo de balanceo de cargas manual

El modo de balanceo de cargas manual requiere más configuración que el modo integrado. Para obtener más información, consulta Habilita el balanceo de cargas manual.