Version 1.1 Diese Version wird nicht vollständig unterstützt.

Installation vorbereiten

Auf dieser Seite werden einige Schritte beschrieben, die Sie ausführen sollten, bevor Sie GKE On-Prem in Ihrer Umgebung installieren.

Hinweis

Sehen Sie sich die folgenden Themen an:

Beschränkungen

Beschränkung Beschreibung
Höchst- und Mindestwerte für Cluster und Knoten

Siehe Kontingente und Limits. Die Leistung Ihrer Umgebung kann sich auf diese Einschränkungen auswirken.

Eindeutigkeit für Nutzerclusternamen

Alle im selben Google Cloud-Projekt registrierten Nutzercluster müssen eindeutige Namen haben.

Kann nicht in mehr als einem vCenter und/oder vSphere-Rechenzentrum bereitgestellt werden

Derzeit können Sie einen Administratorcluster und eine Reihe von verknüpften Nutzerclustern nur in einem einzelnen vCenter und/oder vSphere Rechenzentrum bereitstellen. Sie können dieselben Administrator- und Nutzercluster nicht in mehr als einem vCenter und/oder vSphere-Rechenzentrum bereitstellen.

Clusterkonfigurationen können nach der Erstellung nicht deklarativ geändert werden Sie können zusätzliche Cluster erstellen und die Größe vorhandener Cluster ändern. Sie können einen vorhandenen Cluster jedoch nicht über seine Konfigurationsdatei ändern.

Google Cloud-Projekt erstellen

Erstellen Sie ein Google Cloud-Projekt, falls Sie noch keines haben. Sie benötigen ein Projekt, um GKE On-Prem auszuführen.

Erforderliche Befehlszeilentools installieren

  • Installieren Sie das Cloud SDK. Dies enthält gcloud, die Befehlszeilenschnittstelle zu Google Cloud.

  • Installieren Sie govc, die Befehlszeilenschnittstelle zu VMware vSphere.

  • Installieren Sie Terraform 0.11, das die terraform-Befehlszeile enthält. Folgen Sie der Installationsanleitung von Terraform, um die Installation zu prüfen und die Variable PATH einzurichten.

Cloud SDK zur Verwendung des Proxys bzw. der Firewall von Ihrem Laptop/Computer aus konfigurieren

Wenn Sie einen Proxy verwenden, um über Ihren Laptop oder Computer eine Verbindung zum Internet herzustellen, müssen Sie möglicherweise das Cloud SDK für den Proxy konfigurieren, damit Sie die gcloud- und gsutil-Befehle ausführen können. Eine Anleitung finden Sie unter Cloud SDK für die Verwendung hinter einem Proxy bzw. einer Firewall konfigurieren.

gcloud für den Zugriff auf Google Cloud autorisieren

Melden Sie sich nach der Installation des Cloud SDK mit Ihren Anmeldedaten bei Google Cloud an:

gcloud auth login

Google Cloud-Standardprojekt festlegen

Wenn Sie ein Google Cloud-Standardprojekt festlegen, werden alle Cloud SDK-Befehle für dieses Projekt ausgeführt, sodass Sie es nicht bei jedem einzelnen Befehl angeben müssen. Führen Sie den folgenden Befehl aus, um ein Standardprojekt festzulegen:

gcloud config set project [PROJECT_ID]

Ersetzen Sie [PROJECT_ID] durch Ihre Projekt-ID. Sie können Ihre Projekt-ID in der Cloud Console oder durch Ausführen von gcloud config get-value project ermitteln.

Google Cloud-Dienstkonten erstellen

Bevor Sie GKE On-Prem zum ersten Mal installieren, verwenden Sie gcloud, um vier Google Cloud-Dienstkonten zu erstellen. GKE On-Prem verwendet diese Dienstkonten, um in Ihrem Namen Aufgaben auszuführen. In den folgenden Abschnitten wird der Zweck jedes Kontos beschrieben.

Zugriffsdienstkonto

Sie verwenden dieses Dienstkonto, um die Binärdateien von GKE On-Prem aus Cloud Storage herunterzuladen. Es ist das einzige Dienstkonto, das Google auf die Zulassungsliste setzt.

Führen Sie den folgenden Befehl aus, um access-service-account zu erstellen:

gcloud iam service-accounts create access-service-account

Dienstkonto registrieren

Connect verwendet dieses Dienstkonto, um Ihre GKE On-Prem-Cluster bei der Google Cloud Console zu registrieren.

Führen Sie den folgenden Befehl aus, um register-service-account zu erstellen:

gcloud iam service-accounts create register-service-account

Connect-Dienstkonto

Connect verwendet dieses Dienstkonto, um eine Verbindung zwischen GKE On-Prem-Clustern und Google Cloud aufrechtzuerhalten.

Führen Sie den folgenden Befehl aus, um connect-service-account zu erstellen:

gcloud iam service-accounts create connect-service-account

Dienstkonto der Operations-Suite von Google Cloud

Mit diesem Dienstkonto kann GKE On-Prem Logging- und Monitoringdaten in die Operations-Suite von Google Cloud schreiben:

Führen Sie den folgenden Befehl aus, um stackdriver-service-account zu erstellen:

gcloud iam service-accounts create stackdriver-service-account

Projekte und Konten auf die Zulassungsliste setzen

Nachdem Sie Anthos erworben haben, setzt Google Folgendes auf die Zulassungsliste, um Ihnen Zugriff auf GKE On-Prem und Connect zu gewähren:

  • Ihr Google Cloud-Projekt
  • Ihr Google-Konto und einzelne Google-Konten von Teammitgliedern
  • Ihr Dienstkonto für den Zugriff

Wenn Sie ein anderes Projekt oder Dienstkonto verwenden oder zusätzliche Nutzer aktivieren möchten, hilft Ihnen der Google Cloud-Support oder Ihr Technical Account Manager weiter. Stellen Sie über die Cloud Console oder das Google Cloud-Supportcenter eine Supportanfrage.

Erforderliche APIs im Projekt aktivieren

Sie müssen in Ihrem Google Cloud-Projekt die folgenden APIs aktivieren:

  • cloudresourcemanager.googleapis.com
  • container.googleapis.com
  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • serviceusage.googleapis.com
  • stackdriver.googleapis.com
  • monitoring.googleapis.com
  • logging.googleapis.com

Aktivieren Sie diese APIs mit folgendem Befehl:

gcloud services enable \
cloudresourcemanager.googleapis.com \
container.googleapis.com \
gkeconnect.googleapis.com \
gkehub.googleapis.com \
serviceusage.googleapis.com \
stackdriver.googleapis.com \
monitoring.googleapis.com \
logging.googleapis.com

IAM-Rollen den Dienstkonten zuweisen

IAM (Identity and Access Management) gewährt Konten Berechtigungen zum Aufrufen von Google Cloud APIs. Weisen Sie diesen Dienstkonten zur Berechtigungsisolation dedizierte IAM-Rollen zu.

E-Mail-Adressen von Dienstkonten auflisten

Listen Sie zuerst die Dienstkonten in Ihrem Google Cloud-Projekt auf:

gcloud iam service-accounts list

Für ein Google Cloud-Projekt namens my-gcp-project sieht die Ausgabe dieses Befehls so aus:

gcloud iam service-accounts list
NAME                                    EMAIL
                                        access-service-account@my-gcp-project.iam.gserviceaccount.com
                                        register-service-account@my-gcp-project.iam.gserviceaccount.com
                                        connect-service-account@my-gcp-project.iam.gserviceaccount.com
                                        stackdriver-service-account@my-gcp-project.iam.gserviceaccount.com

Notieren Sie sich die E-Mail-Adressen der einzelnen Konten. Geben Sie in jedem der folgenden Abschnitte die E-Mail-Adresse des entsprechenden Kontos an.

Dienstkonto für Registrierung

Weisen Sie dem Dienstkonto für Registrierung die Rollen gkehub.admin und serviceuseage.serviceUsageViewer zu:

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL]" \
--role "roles/gkehub.admin"
gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[REGISTER_SERVICE_ACCOUNT_EMAIL]" \
--role "roles/serviceusage.serviceUsageViewer"

Connect-Dienstkonto

Weisen Sie dem Connect-Dienstkonto die Rolle gkehub.connect zu:

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[CONNECT_SERVICE_ACCOUNT_EMAIL]" \
--role "roles/gkehub.connect"

Dienstkonto der Operations-Suite von Google Cloud

Weisen Sie dem Dienstkonto der Operations-Suite von Google Cloud die Rollen stackdriver.resourceMetadata.writer, logging.logWriter und monitoring.metricWriter zu:

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL]" \
--role "roles/stackdriver.resourceMetadata.writer"
gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL]" \
--role "roles/logging.logWriter"
gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[STACKDRIVER_SERVICE_ACCOUNT_EMAIL]" \
--role "roles/monitoring.metricWriter"

Stackdriver-Arbeitsbereich erstellen

Stackdriver Logging und Stackdriver Monitoring sind für GKE On-Prem standardmäßig aktiviert. Damit Stackdriver Monitoring ordnungsgemäß funktioniert, müssen Sie einen Stackdriver-Arbeitsbereich erstellen.

Informationen zum Erstellen eines Stackdriver-Arbeitsbereichs finden Sie in der Stackdriver Monitoring-Dokumentation unter Arbeitsbereich schnell erstellen.

Adressen für Ihren Proxy auf die Zulassungsliste setzen

Wenn Ihre Organisation für den Internetzugriff einen HTTP-Proxy benötigt, müssen Sie die folgenden Adressen für Ihren Proxy auf die Zulassungsliste setzen.

In den folgenden Abschnitten werden die Adressen ausführlich erläutert.

Google-Adressen

GKE On-Prem verwendet mehrere Google APIs, um Cluster zu erstellen und zu verwalten. Setzen Sie die folgenden Google-Adressen im Proxy auf die Zulassungsliste:

Adresse Zweck
accounts.google.com Ermöglicht den Zugriff auf Google-Konten, um auf Ihr Google Cloud-Projekt zuzugreifen.
cloudresourcemanager.googleapis.com Erstellt, liest und aktualisiert Metadaten von Google Cloud-Ressourcencontainern.
console.cloud.google.com Ermöglicht den Zugriff auf die Google Cloud Console.
container.googleapis.com Ermöglicht den Zugriff auf die Google Kubernetes Engine API.
gcr.io Ermöglicht den Zugriff auf Container Registry-Repositories, einschließlich des GKE On-Prem-Repositorys.
gkeconnect.googleapis.com Ermöglicht den Zugriff auf Connect, um eine langlebige, verschlüsselte Verbindung zu Google Cloud herzustellen.
gkehub.googleapis.com Ermöglicht Zugriff auf die Google Cloud Console zur Registrierung von Clustern in Ihrem Google Cloud-Projekt.
logging.googleapis.com Ermöglicht den Zugriff auf die Cloud Logging API für Logging-Features von Clustermesswerten.
monitoring.googleapis.com Ermöglicht den Zugriff auf die Cloud Monitoring API für Monitoring-Features für Ihr Cluster.
oauth2.googleapis.com Ermöglicht den Zugriff auf die OAuth2 API von Google für die Authentifizierung.
serviceusage.googleapis.com
storage.googleapis.com Ermöglicht den Zugriff auf Cloud Storage-Buckets.
googleapis.com Ermöglicht den Zugriff auf produktspezifische Google Cloud-Endpunkte.

HashiCorp-Adressen

Sie verwenden HashiCorp Terraform Version 0.11, um in vSphere eine Administrator-Workstation-VM zu erstellen. Zum Ausführen von Terraform in einer Umgebung mit einem Proxy oder einer Firewall müssen Sie die folgenden HashiCorp-Adressen auf die Zulassungsliste setzen:

Adresse Zweck
checkpoint-api.hashicorp.com Ermöglicht den Zugriff auf die Versions- und Benachrichtigungsinformationen von HashiCorp für verschiedene Open-Source- und proprietäre Produkte.
releases.hashicorp.com Ermöglicht den Zugriff auf die Binärdateien von HashiCorp.

VMware, Load-Balancer und andere Adressen

Stellen Sie schließlich sicher, dass Sie die folgenden Adressen bei Ihrem Proxy auf die Zulassungsliste setzen. Diese Adressen können variieren:

Adresse Zweck
IP-Adresse von vCenter Server Ermöglicht vCenter Server den Internetzugriff.
Alle IP-Adressen aller ESXi-Hosts Ermöglichen Internet-Traffic für Ihre ESXi-Hosts, auf denen GKE On-Prem-Cluster ausgeführt werden.
Andere IP-Adressen, die Sie auf Ihrem Load-Balancer konfigurieren möchten. Ermöglichen Internet-Traffic für andere IP-Adressen, z. B. Clients und Arbeitslasten.

Bereiche für Pods und Dienste reservieren

Für den Administratorcluster und für jeden Nutzercluster, den Sie erstellen möchten, müssen Sie zwei verschiedene CIDR-IPv4-Blöcke reservieren: einen für Pod-IP-Adressen und einen für Dienst-IP-Adressen.

Die Größen dieser Bereiche hängen davon ab, wie viele Pods und Dienste Sie erstellen möchten. Wenn Sie beispielsweise weniger als 256 Dienste in einem Cluster erstellen möchten, können Sie einen /24-Bereich für Dienste, z. B. 10.96.233.0/24, einrichten. Wenn Sie weniger als 4.096 Pods in Ihrem Cluster erstellen möchten, können Sie einen /20-Bereich für Pods, z. B. 172.16.0.0/20, festlegen.

Für einen bestimmten Cluster dürfen sich die Bereiche für Dienste und Pods nicht überschneiden. Außerdem dürfen sich diese beiden Bereiche nicht mit IP-Adressen überschneiden, die für Knoten in einem Cluster verwendet werden.

Load-Balancer vorbereiten

GKE On-Prem-Cluster können mit einem der beiden Load-Balancing-Modi ("Integriert" und "Manuell") ausgeführt werden. Beim integrierten Modus werden GKE On-Prem-Cluster mit dem F5 BIG-IP-Load-Balancer ausgeführt. Beim manuellen Modus konfigurieren Sie manuell einen anderen Load-Balancer.

F5 BIG-IP-Partitionen vorbereiten

Wenn Sie den integrierten Modus verwenden, müssen Sie für jeden GKE On-Prem-Cluster, den Sie erstellen möchten, eine F5 BIG-IP-Partition erstellen, die das Load-Balancing verarbeitet.

Zu Beginn müssen Sie mindestens zwei Partitionen erstellen: eine für den Administratorcluster und eine für einen Nutzercluster. Sie müssen eine Partition erstellen, bevor Sie den entsprechenden Cluster erstellen.

Verwenden Sie die Clusterpartitionen nicht für andere Zwecke. Für jeden Ihrer Cluster muss eine Partition vorhanden sein, die ausschließlich durch diesen Cluster verwendet wird.

Weitere Informationen zum Erstellen von Partitionen finden Sie in der Dokumentation zu F5 BIG-IP unter Creating an administrative partition.

Manuellen Load-Balancing-Modus verwenden

Der manuelle Load-Balancing-Modus erfordert mehr Konfiguration als der integrierte Modus. Weitere Informationen finden Sie unter Manuellen Load-Balancing-Modus aktivieren.