Cette page décrit les étapes à suivre avant d'installer GKE On-Prem dans votre environnement.
Avant de commencer
Consultez les rubriques suivantes :
Valeurs d'espace réservé dans la documentation GKE On-Prem
Lorsque vous utilisez la documentation GKE On-Prem, vous pouvez modifier placeholder values dans les blocs de code en cliquant dessus :
Enter your name: [YOUR_NAME]
Cette action peut être utile si vous souhaitez renseigner des valeurs d'espace réservé avant de copier et d'exécuter des commandes.
Limites
| Limite | Description |
|---|---|
| Limites maximale et minimale pour les clusters et les nœuds | Consultez la page Quotas et limites pour en savoir plus. Les performances de votre environnement peuvent avoir un impact sur ces limites. |
| Un cluster d'administrateur par projet | Vous ne pouvez enregistrer qu'un seul cluster d'administrateur par projet Google Cloud. Si vous devez exécuter plusieurs clusters d'administrateur, vous devez utiliser un projet Google Cloud distinct. |
Créer un projet Google Cloud
Créez un projet Google Cloud, si vous n'en avez pas déjà un. Vous avez besoin d'un projet pour exécuter GKE On-Prem.
Installer les outils d'interface de ligne de commande requis
- Installez Google Cloud CLI, qui inclut
gcloud, l'interface de ligne de commande (CLI) dans Google Cloud. - Installez govc, la CLI de VMware vSphere.
- Installez Terraform 0.11, qui inclut la CLI
terraform. Suivez les instructions d'installation de Terraform pour vérifier l'installation et configurer votre variablePATH.
Autoriser gcloud à accéder à Google Cloud
Après avoir installé gcloud CLI, autorisez gcloud à accéder à Google Cloud :
gcloud auth login
Définir un projet Google Cloud par défaut
La définition d'un projet Google Cloud par défaut entraîne l'exécution de toutes les commandes de gcloud CLI sur ce projet. Vous n'avez donc pas besoin de spécifier votre projet pour chaque commande. Pour définir un projet par défaut, exécutez la commande suivante :
gcloud config set project [PROJECT_ID]
Remplacez [PROJECT_ID] par votre ID du projet
(vous le trouverez dans la console Google Cloud ou en exécutant gcloud config get-value project).
Créer des comptes de service Google Cloud
Avant d'installer GKE On-Prem pour la première fois, vous devez utiliser gcloud pour créer quatre comptes de service Google Cloud.
GKE On-Prem utilise ces comptes de service pour effectuer des tâches en votre nom. Les sections suivantes décrivent les fonctions de chaque compte.
Accéder au compte de service
Vous utilisez ce compte de service pour télécharger les binaires de GKE On-Prem depuis Cloud Storage. Il s'agit du seul compte de service que Google ajoute à la liste d'autorisation.
Exécutez la commande suivante pour créer access-service-account :
gcloud iam service-accounts create access-service-account
Compte de service d'enregistrement
Connect utilise ce compte de service pour enregistrer vos clusters GKE On-Prem avec la console Google Cloud.
Exécutez la commande suivante pour créer register-service-account :
gcloud iam service-accounts create register-service-account
Compte de service de connexion
Connect utilise ce compte de service pour maintenir une connexion entre les clusters GKE On-Prem et Google Cloud.
Exécutez la commande suivante pour créer connect-service-account :
gcloud iam service-accounts create connect-service-account
Compte de service de la suite Google Cloud Operations
Ce compte de service permet à GKE On-Prem d'écrire des données de journalisation et de surveillance dans la suite Google Cloud Operations :
Exécutez la commande suivante pour créer stackdriver-service-account :
gcloud iam service-accounts create stackdriver-service-account
Ajouter votre projet et vos comptes à la liste d'autorisation
Une fois que vous avez acheté Anthos, Google ajoute les éléments suivants à la liste d'autorisation pour vous permettre d'accéder à GKE On-Prem et à Connect :
- Votre projet Google Cloud
- Votre compte Google et les comptes Google individuels des membres de l'équipe
- Votre compte de service d'accès
Si vous souhaitez utiliser un autre projet ou compte de service, ou si vous souhaitez activer d'autres utilisateurs, l'assistance Google Cloud ou votre responsable de compte technique peuvent vous aider. Ouvrez une demande d'assistance via la console Google Cloud ou via le Centre d'assistance Google Cloud.
Activer les API requises dans votre projet
Vous devez activer les API suivantes dans votre projet Google Cloud :
- cloudresourcemanager.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com
- gkehub.googleapis.com
- serviceusage.googleapis.com
- stackdriver.googleapis.com
- monitoring.googleapis.com
- logging.googleapis.com
Pour activer ces API, exécutez la commande suivante :
gcloud services enable \ cloudresourcemanager.googleapis.com \ container.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ serviceusage.googleapis.com \ stackdriver.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com
Attribuer des rôles Identity and Access Management à vos comptes de service
IAM autorise les comptes à appeler les API Google Cloud. Attribuez des rôles IAM dédiés à ces comptes de service pour isoler les droits.
Répertorier les adresses e-mail des comptes de service
Commencez par répertorier les comptes de service dans votre projet Google Cloud :
gcloud iam service-accounts list
Pour un projet Google Cloud nommé my-gcp-project, le résultat de cette commande se présente comme suit :
gcloud iam service-accounts list
NAME EMAIL
access-service-account@my-gcp-project.iam.gserviceaccount.com
register-service-account@my-gcp-project.iam.gserviceaccount.com
connect-service-account@my-gcp-project.iam.gserviceaccount.com
stackdriver-service-account@my-gcp-project.iam.gserviceaccount.com
Notez l'adresse e-mail de chaque compte. Pour chacune des sections suivantes, indiquez l'adresse e-mail du compte concerné.
Compte de service d'enregistrement
Attribuez les rôles gkehub.admin et serviceuserage.serviceUsageViewer à votre compte de service d'enregistrement :
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member="serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL] \ --role="roles/gkehub.admin"
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member="serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL] \ --role="roles/serviceusage.serviceUsageViewer"
Compte de service de connexion
Attribuez le rôle gkehub.connect à votre compte de service de connexion :
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member="serviceAccount:[CONNECT_SERVICE_ACCOUNT_EMAIL] \ --role="roles/gkehub.connect"
Compte de service de la suite Google Cloud Operations
Attribuez les rôles stackdriver.resourceMetadata.writer, logging.logWriter et monitoring.metricWriter au compte de service de la suite Google Cloud Operations :
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \ --role "roles/stackdriver.resourceMetadata.writer"
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \ --role "roles/logging.logWriter"
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL] \ --role "roles/monitoring.metricWriter"
Configuration de la journalisation et de la surveillance
Stackdriver Logging et Stackdriver Monitoring sont activés par défaut pour GKE On-Prem.
Ajouter des adresses Google et HashiCorp à la liste d'autorisation pour votre proxy
Si votre organisation nécessite que l'accès Internet se fasse par l'intermédiaire d'un proxy HTTP, ajoutez les adresses Google suivantes à la liste d'autorisation du proxy :
- binaryauthorization.googleapis.com
- googlecode.l.googleusercontent.com
- storage.l.googleusercontent.com
- storage.googleapis.com
Vous utilisez la version 0.11 de HashiCorp Terraform pour créer une VM de poste de travail administrateur dans vSphere. Pour exécuter Terraform dans un environnement avec un proxy ou un pare-feu, vous devez ajouter les adresses HashiCorp suivantes à la liste d'autorisation :
- checkpoint-api.hashicorp.com
- releases.hashicorp.com
Préparer votre équilibreur de charge
Les clusters GKE On-Prem peuvent s'exécuter avec l'un des deux modes d'équilibrage de charge : intégré ou manuel. En mode intégré, les clusters GKE On-Prem s'exécutent avec l'équilibreur de charge F5 BIG-IP. En mode manuel, vous configurez manuellement un autre équilibreur de charge.
Préparer des partitions F5 BIG-IP
Si vous choisissez d'utiliser le mode intégré, vous devez créer une partition F5 BIG-IP pour gérer l'équilibrage de charge pour chaque cluster GKE On-Prem que vous souhaitez créer.
Dans un premier temps, vous devez créer au moins deux partitions : une pour le cluster d'administrateur et une autre pour un cluster d'utilisateur. Vous devez créer la partition avant de créer le cluster correspondant.
N'utilisez pas vos partitions de cluster pour autre chose. Chacun de vos clusters doit avoir une partition à son usage exclusif.
Pour savoir comment créer des partitions, consultez la section Creating an administrative partition (Créer une partition d'administration) dans la documentation F5 BIG-IP.
Utiliser le mode d'équilibrage de charge manuel
Le mode d'équilibrage de charge manuel nécessite plus de configuration que le mode intégré. Pour en savoir plus, consultez la page Activer l'équilibrage de charge manuel.