Fichier de configuration de cluster d'utilisateur

Cette page décrit les champs du fichier de configuration de cluster d'utilisateur.

Générer un modèle pour votre fichier de configuration

Si vous avez utilisé gkeadm pour créer le poste de travail administrateur, gkeadm a généré un modèle pour le fichier de configuration de votre cluster d'utilisateur, et gkdadm a rempli certains champs automatiquement.

Si vous n'avez pas utilisé gkeadm pour créer le poste de travail administrateur, vous pouvez utiliser gkectl pour générer un modèle pour le fichier de configuration de votre cluster d'utilisateur.

Pour générer un modèle pour le fichier de configuration de votre cluster d'utilisateur, exécutez la commande suivante :

gkectl create-config cluster --config=[OUTPUT_FILENAME]

où [OUTPUT_FILENAME] est le chemin d'accès de votre choix pour le modèle généré. Si vous omettez cette option, gkectl nomme le fichier user-cluster.yaml et le place dans le répertoire actuel.

apiVersion: v1
kind: UserCluster
# (Required) A unique name for this cluster
name: ""
# (Required) GKE on-prem version (example: 1.3.0-gke.16)
gkeOnPremVersion: ""
# # (Optional) vCenter configuration (default: inherit from the admin cluster)
# vCenter:
#   resourcePool: ""
#   datastore: ""
#   # Provide the path to vCenter CA certificate pub key for SSL verification
#   caCertPath: ""
#   # The credentials and address to connect to vCenter
#   credentials:
#     username: ""
#     password: ""
# (Required) Network configuration; vCenter section is optional and inherits from
# the admin cluster if not specified
network:
  ipMode:
    # (Required) Define what IP mode to use ("dhcp" or "static")
    type: dhcp
    # # (Required when using "static" mode) The absolute or relative path to the yaml file
    # # to use for static IP allocation
    # ipBlockFilePath: ""
  # (Required) The Kubernetes service CIDR range for the cluster. Must not overlap
  # with the pod CIDR range
  serviceCIDR: 10.96.0.0/12
  # (Required) The Kubernetes pod CIDR range for the cluster. Must not overlap with
  # the service CIDR range
  podCIDR: 192.168.0.0/16
  vCenter:
    # vSphere network name
    networkName: ""
# (Required) Load balancer configuration
loadBalancer:
  # (Required) The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlPlaneVIP: ""
    # Shared by all services for ingress traffic
    ingressVIP: ""
  # (Required) Which load balancer to use "F5BigIP" "Seesaw" or "ManualLB". Uncomment
  # the corresponding field below to provide the detailed spec
  kind: Seesaw
  # # (Required when using "ManualLB" kind) Specify pre-defined nodeports
  # manualLB:
  #   ingressHTTPNodePort: 30243
  #   ingressHTTPSNodePort: 30879
  #   controlPlaneNodePort: 30562
  #   addonsNodePort: 0
  # # (Required when using "F5BigIP" kind) Specify the already-existing partition and
  # # credentials
  # f5BigIP:
  #   address: ""
  #   credentials:
  #     username: ""
  #     password: ""
  #   partition: ""
  #   # # (Optional) Specify a pool name if using SNAT
  #   # snatPoolName: ""
  # (Required when using "Seesaw" kind) Specify the Seesaw configs
  seesaw:
    # (Required) The absolute or relative path to the yaml file to use for IP allocation
    # for LB VMs. Must contain one or two IPs.
    ipBlockFilePath: ""
    # (Required) The Virtual Router IDentifier of VRRP for the Seesaw group. Must
    # be between 1-255 and unique in a VLAN.
    vrid: 0
    # (Required) The IP announced by the control plane of Seesaw group
    masterIP: ""
    # (Required) The number CPUs per machine
    cpus: 4
    # (Required) Memory size in MB per machine
    memoryMB: 8192
    # (Optional) Network that the LB interface of Seesaw runs in (default: cluster
    # network)
    vCenter:
      # vSphere network name
      networkName: ""
    # (Optional) Run two LB VMs to achieve high availability (default: false)
    enableHA: false
# (Optional) User cluster control plane nodes must have either 1 or 3 replicas (default:
# 4 CPUs; 16384 MB memory; 1 replica)
masterNode:
  cpus: 4
  memoryMB: 8192
  # How many machines of this type to deploy
  replicas: 1
# (Required) List of node pools. The total un-tainted replicas across all node pools
# must be greater than or equal to 3
nodePools:
- name: pool-1
  # # Labels to apply to Kubernetes Node objects
  # labels: {}
  # # Taints to apply to Kubernetes Node objects
  # taints:
  # - key: ""
  #   value: ""
  #   effect: ""
  cpus: 4
  memoryMB: 8192
  # How many machines of this type to deploy
  replicas: 3
# Spread nodes across at least three physical hosts (requires at least three hosts)
antiAffinityGroups:
  # Set to false to disable DRS rule creation
  enabled: true
# # (Optional): Configure additional authentication
# authentication:
#   # (Optional) Configure OIDC authentication
#   oidc:
#     issuerURL: ""
#     kubectlRedirectURL: ""
#     clientID: ""
#     clientSecret: ""
#     username: ""
#     usernamePrefix: ""
#     group: ""
#     groupPrefix: ""
#     scopes: ""
#     extraParams: ""
#     # Set value to string "true" or "false"
#     deployCloudConsoleProxy: ""
#     # # The absolute or relative path to the CA file (optional)
#     # caPath: ""
#   # (Optional) Provide an additional serving certificate for the API server
#   sni:
#     certPath: ""
#     keyPath: ""
# (Optional) Specify which GCP project to connect your logs and metrics to
stackdriver:
  projectID: ""
  # A GCP region where you would like to store logs and metrics for this cluster.
  clusterLocation: ""
  enableVPC: false
  # The absolute or relative path to the key file for a GCP service account used to
  # send logs and metrics from the cluster
  serviceAccountKeyPath: ""
# (Optional) Specify which GCP project to connect your GKE clusters to
gkeConnect:
  projectID: ""
  # The absolute or relative path to the key file for a GCP service account used to
  # register the cluster
  registerServiceAccountKeyPath: ""
  # The absolute or relative path to the key file for a GCP service account used by
  # the GKE connect agent
  agentServiceAccountKeyPath: ""
# (Optional) Specify Cloud Run configuration
cloudRun:
  enabled: false
# # (Optional/Alpha) Configure the GKE usage metering feature
# usageMetering:
#   bigQueryProjectID: ""
#   # The ID of the BigQuery Dataset in which the usage metering data will be stored
#   bigQueryDatasetID: ""
#   # The absolute or relative path to the key file for a GCP service account used by
#   # gke-usage-metering to report to BigQuery
#   bigQueryServiceAccountKeyPath: ""
#   # Whether or not to enable consumption-based metering
#   enableConsumptionMetering: false
# # (Optional/Alpha) Configure kubernetes apiserver audit logging
# cloudAuditLogging:
#   projectid: ""
#   # A GCP region where you would like to store audit logs for this cluster.
#   clusterlocation: ""
#   # The absolute or relative path to the key file for a GCP service account used to
#   # send audit logs from the cluster
#   serviceaccountkeypath: ""

Remplir votre fichier de configuration

Dans votre fichier de configuration, saisissez les valeurs des champs comme décrit dans les sections suivantes.

name

Chaîne. Nom de votre choix pour le cluster d'utilisateur. Exemple :

name: "my-user-cluster"

gkeOnPremVersion

Chaîne. Version de GKE On-Prem pour le cluster d'utilisateur. Exemple :

gkeOnPremVersion: 1.4.3-gke.3

vCenter

Si vous souhaitez que tous les aspects de votre environnement vCenter soient identiques à ceux que vous avez spécifiés pour votre cluster d'administrateur, supprimez cette section ou laissez-la en commentaire.

Si vous souhaitez que certains aspects de votre environnement vCenter diffèrent de ceux que vous avez spécifiés pour votre cluster d'administrateur, remplissez les champs appropriés de cette section. Tous les champs que vous définissez ici dans la section vCenter remplacent les champs correspondants dans le fichier de configuration de votre cluster d'administrateur.

vCenter.credentials.address

Chaîne. Adresse IP ou nom d'hôte du serveur vCenter pour votre cluster d'utilisateur.

Avant de remplir le champ address, téléchargez et inspectez le certificat de diffusion de votre serveur vCenter. Saisissez la commande suivante pour télécharger le certificat et l'enregistrer dans un fichier nommé vcenter.pem.

true | openssl s_client -connect [VCENTER_IP]:443 -showcerts 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' > vcenter.pem

où [VCENTER_IP] est l'adresse IP du serveur vCenter.

Ouvrez le fichier de certificat pour afficher le nom commun d'objet et le nom alternatif d'objet :

openssl x509 -in vcenter.pem -text -noout

Le résultat indique le nom commun (CN) d'objet (Subject). Il peut s'agir d'une adresse IP ou d'un nom d'hôte. Exemple :

Subject: ... CN = 203.0.113.101

Subject: ... CN = my-user-vc-server.my-domain.example

Le résultat peut également inclure un ou plusieurs noms DNS sous Subject Alternative Name :

X509v3 Subject Alternative Name:
    DNS:vcenter.my-domain.example

Choisissez le nom commun Subject ou l'un des noms DNS sous Subject Alternative Name pour l'utiliser comme valeur du champ vcenter.credentials.address dans votre fichier de configuration. Exemple :

vCenter:
  credentials:
    address: "203.0.113.101"
    ...

vCenter:
  credentials:
    address: "my-user-vc-server.my-domain.example"
    ...

vCenter.credentials.username

Chaîne. Compte utilisateur vCenter Server permettant d'accéder au serveur vCenter de votre cluster d'utilisateur. Le compte utilisateur doit disposer du rôle d'administrateur ou de privilèges équivalents. Consultez les exigences concernant vSphere.

Exemple :

vCenter:
  credentials:
    username: "my-user-account@vsphere.local"

vCenter.credentials.password

Chaîne. Mot de passe du compte utilisateur vCenter Server. Exemple :

vCenter:
  credentials:
    password: "#STyZ2T#Ko2o"

vCenter.datastore

Chaîne. Nom du datastore vCenter pour votre cluster d'utilisateur. Exemple :

vCenter:
  datastore: "MY-USER-DATASTORE"

vCenter.resourcePool

Chaîne. Nom du pool de ressources vCenter pour votre cluster d'utilisateur. Si vous utilisez un pool de ressources autre que celui par défaut, indiquez le nom de votre pool de ressources vCenter.

Exemple :

vCenter:
  resourcePool: "MY-USER-POOL"

Si vous utilisez le pool de ressources par défaut, indiquez la valeur suivante :

vCenter:
  resourcePool: "[VCENTER_CLUSTER]/Resources"

où [VCENTER_CLUSTER] est le nom de votre cluster vCenter.

Consultez la section Spécifier le pool de ressources racine pour un hôte autonome.

vCenter.caCertPath

Chaîne. Lorsqu'un client, tel que GKE On-Prem, envoie une requête à votre serveur vCenter, celui-ci doit prouver son identité au client en présentant un certificat ou un bundle de certificats. Pour valider le certificat ou le bundle, GKE On-Prem doit avoir le certificat racine dans la chaîne de confiance.

Définissez vCenter.caCertPath sur le chemin d'accès au certificat racine. Exemple :

vCenter:
  caCertPath: "/usr/local/google/home/me/certs/user-vcenter-ca-cert.pem"

Votre installation VMware comporte une autorité de certification qui émet un certificat sur votre serveur vCenter. Le certificat racine de la chaîne de confiance est un certificat autosigné créé par VMware.

Si vous ne souhaitez pas utiliser l'autorité de certification VMWare, qui est définie par défaut, vous pouvez configurer VMware de sorte à utiliser une autre autorité de certification.

Si votre serveur vCenter utilise un certificat émis par l'autorité de certification VMware par défaut, téléchargez-le comme suit :

curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

où [SERVER_ADDRESS] est l'adresse de votre serveur vCenter.

Installez la commande unzip et décompressez le fichier de certificat :

sudo apt-get install unzip
unzip downloads.zip

Si la commande de décompression ne fonctionne pas au premier essai, saisissez-la à nouveau.

Recherchez le fichier de certificat dans certs/lin.

network

Cette section contient des informations sur le réseau de votre cluster d'utilisateur.

network.ipMode.type

Chaîne. Si vous souhaitez que les nœuds de votre cluster obtiennent leur adresse IP à partir d'un serveur DHCP, définissez la valeur sur "dhcp". Si vous souhaitez que les nœuds de votre cluster aient des adresses IP statiques venant d'une liste que vous fournissez, définissez ce paramètre sur "static". Exemple :

network:
  ipMode:
    type: "static"

network.ipBlockFilePath

Si vous définissez ipMode.type sur "static", renseignez ce champ.

Si vous définissez ipMode.type sur "dhcp", supprimez ce champ ou laissez-le en commentaire.

Chaîne. Chemin d'accès du fichier hostconfig de votre cluster. Exemple :

network:
  ipBlockFilePath: "/my-config-directory/user-hostconfig.yaml"

network.serviceCIDR et network.podCiDR

Chaînes. Le cluster d'utilisateur doit disposer d'une plage d'adresses IP à utiliser pour les services et d'une plage d'adresses IP à utiliser pour les pods. Ces plages sont spécifiées par les champs network.serviceCIDR et network.podCIDR. Ces champs sont renseignés avec des valeurs par défaut. Si vous le souhaitez, vous pouvez remplacer les valeurs renseignées par les valeurs de votre choix.

Les plages de services et de pods ne doivent pas se chevaucher. En outre, les plages de services et de pods ne doivent pas chevaucher les adresses IP utilisées pour les nœuds d'un cluster.

Exemple :

network:
  serviceCIDR: "10.96.232.0/24"
  podCIDR: "192.168.0.0/16"

network.vCenter.networkName

Chaîne. Nom du réseau vSphere pour les nœuds de votre cluster d'utilisateur.

Si le nom contient un caractère spécial, vous devez utiliser une séquence d'échappement pour celui-ci.

Si le nom du réseau n'est pas unique, il est possible de spécifier un chemin d'accès au réseau, tel que /DATACENTER/network/NETWORK_NAME.

Exemple :

network:
  vCenter:
    networkName: "MY-USER-CLUSTER-NETWORK"

loadBalancer

Cette section contient des informations sur l'équilibreur de charge de votre cluster d'utilisateur.

loadBalancer.vips.controlPlaneVIP

Adresse IP que vous avez choisie de configurer sur l'équilibreur de charge pour le serveur d'API Kubernetes du cluster d'administrateur. Exemple :

loadBalancer:
  vips:
    controlplaneVIP: "203.0.113.3"

loadBalancer.vips.ingressVIP

Adresse IP que vous avez choisie pour configurer l'équilibreur de charge pour le trafic entrant. Exemple :

loadBalancer:
  vips:
    ingressVIP: "203.0.113.4"

loadBalancer.kind

Chaîne. Définissez ce paramètre sur "Seesaw", "F5BigIP" ou "ManualLB". Exemple :

loadBalancer:
  kind: "Seesaw"

loadBalancer.manualLB

Si vous définissez loadbalancer.kind sur "manualLB", remplissez cette section. Sinon, supprimez cette section ou laissez-la en commentaire.

loadBalancer.manualLB.ingressHTTPNodePort

Entier. Le service d'entrée du cluster d'administrateur est mis en œuvre en tant que service de type NodePort. Le service dispose d'un ServicePort pour HTTP. Vous devez choisir une valeur nodePort pour les ServicePorts HTTP.

Définissez ce champ sur la valeur nodePort. Exemple :

loadBalancer:
  manualLB:
    ingressHTTPNodePort: 32527

loadBalancer.manualLB.ingressHTTPSNodePort

Entier. Le service d'entrée du cluster d'administrateur est mis en œuvre en tant que service de type NodePort. Le service dispose d'un ServicePort pour HTTPS. Vous devez choisir une valeur nodePort pour le ServicePort HTTPS.

Définissez ce champ sur la valeur nodePort. Exemple :

loadBalancer:
  manualLB:
    ingressHTTPSNodePort: 30139

loadBalancer.manualLB.controlPlaneNodePort

Entier. Le serveur d'API Kubernetes du cluster d'administrateur est mis en œuvre en tant que service de type NodePort. Vous devez choisir une valeur nodePort pour le service.

Définissez ce champ sur la valeur nodePort. Exemple :

loadBalancer:
  manualLB:
    contolPLaneNodePort: 30968

loadBalancer.manualLB.addonsNodePort

Entier. Le serveur de modules complémentaires est mis en œuvre en tant que service de type NodePort. Vous devez choisir une valeur nodePort pour le service.

Définissez ce champ sur la valeur nodePort. Exemple :

loadBalancer:
  manualLB:
    addonsNodePort: 31405

loadBalancer.f5BigIP

Si vous définissez loadbalancer.kind sur "f5BigIP", remplissez cette section. Sinon, supprimez cette section ou laissez-la en commentaire.

loadBalancer.f5BigIP.credentials.address

Chaîne. Adresse de votre équilibreur de charge F5 BIG-IP. Exemple :

loadBalancer:
  f5BigIP:
    credentials:
      address: "203.0.113.2"

loadBalancer.f5BigIP.credentials.username

Chaîne. Nom d'utilisateur d'un compte que GKE On-Prem peut utiliser pour se connecter à votre équilibreur de charge F5 BIG-IP. Exemple :

loadBalancer:
  f5BigIP:
    credentials:
      username: "my-admin-f5-name"

loadBalancer.f5BigIP.credentials.password

Chaîne. Mot de passe que GKE On-Prem peut utiliser pour se connecter à votre équilibreur de charge F5 BIG-IP. Exemple :

loadBalancer:
  f5BigIP:
    credentials:
      password: "rJDlm^%7aOzw"

loadBalancer.f5BigIP.partition

Chaîne. Nom d'une partition BIG-IP que vous avez créée pour votre cluster d'administrateur. Exemple :

loadBalancer:
  f5BigIP:
    partition: "my-f5-admin-partition"

loadBalancer.f5BigIP.snatPoolName

Chaîne. Si vous utilisez SNAT, nom de votre pool SNAT. Si vous n'utilisez pas SNAT, supprimez ce champ ou laissez-le en commentaire. Exemple :

loadBalancer:
  f5BigIP:
    snatPoolName: "my-snat-pool"

loadBalancer.seesaw

Si vous définissez loadbalancer.kind sur "Seesaw", remplissez cette section. Sinon, supprimez cette section ou laissez-la en commentaire.

loadBalancer.seesaw.ipBlockFilePath

Chaîne. Définissez ce paramètre sur le chemin du fichier hostconfig de votre VM Seesaw. Exemple :

loadbalancer:
  seesaw:
    ipBlockFilePath: "admin-seesaw-hostconfig.yaml"

loadBalancer.seesaw.vird

Entier. Identifiant de routeur virtuel de votre VM Seesaw ou de votre paire de VM. Cet identifiant doit être unique dans un VLAN. La plage valide est comprise entre 1 et 255. Exemple :

loadBalancer:
  seesaw:
    vrid: 125

loadBalancer.seesaw.masterIP

Chaîne. Adresse IP virtuelle de votre choix qui sera annoncée par votre VM Seesaw de plan de contrôle. Exemple :

loadBalancer:
  seesaw:
    masterIP: 172.16.20.21

loadBalancer.seesaw.cpus

Entier. Nombre de processeurs pour chacune de vos VM Seesaw. Exemple :

loadBalancer:.
  seesaw:
    cpus: 8

loadBalancer.seesaw.memoryMB

Entier. Nombre de mégaoctets de mémoire pour chacune de vos VM Seesaw. Exemple :

loadBalancer:.
  seesaw:
    memoryMB: 8192

loadBalancer.seesaw.vCenter.networkName

Chaîne. Nom du réseau contenant vos VM Seesaw. Exemple :

loadBalancer:
  seesaw:
    vCenter:
      networkName: "my-seesaw-network"

loadBalancer.seesaw.enableHA

Valeur booléenne. Si vous souhaitez créer un équilibreur de charge Seesaw à haute disponibilité, définissez cette valeur sur true. Sinon, définissez cette valeur sur false. Exemple :

loadBalancer:.
  seesaw:
    enableHA: true

masterNode

Cette section contient des informations sur les nœuds du cluster d'administrateur qui servent de nœuds de plan de contrôle pour votre cluster d'utilisateur.

masterNode.cpus

Entier. Nombre de processeurs pour chaque nœud de cluster d'administrateur servant de plans de contrôle pour ce cluster d'utilisateur. Exemple :

masterNode:
  cpus: 8

masterNode.memoryMB

Entier. Nombre de mégaoctets de mémoire pour chaque nœud de cluster d'administrateur servant de plan de contrôle pour ce cluster d'utilisateur. Exemple :

masterNode:
  memoryMB: 8192

masterNode.replicas

Entier. Nombre de nœuds de plan de contrôle pour ce cluster d'utilisateur. Définissez ce champ sur 1 ou 3. Exemple :

masterNode:
  replicas: 3

nodePools

Tableau d'objets, chacun décrivant un pool de nœuds.

nodePools[i].name

Chaîne. Nom de votre choix pour un pool de nœuds. Exemple :

nodePools:
- name: "my-node-pool"

noodePools[i].labels

Mappage. Libellés à appliquer à chaque nœud du pool. Exemple :

nodePools:
- name: "my-node-pool"
  labels:
    environment: "production"
    tier: "cache"

nodePools[i].taints

Tableau d'objets, chacun décrivant un rejet. Exemple :

nodePools:
- name: "my-node-pool"
  taints:
  - key: "staging"
    value: "true"
    effect: "NoSchedule"

nodePools[i].cpus

Entier. Nombre de processeurs de chaque nœud du pool. Exemple :

nodePools"
- name: "my-node-pool"
  cpus: 8

nodePools[i].memoryMB

Entier. Mégaoctets de mémoire pour chaque nœud du pool. Exemple :

nodePools"
- name: "my-node-pool"
  memoryMB: 8192

nodePools[i].replicas

Entier. Nombre de nœuds du pool. Exemple :

nodePools:
- name: "my-node-pool"
  replicas: 5

nodePools[i].vsphere.datastore

Chaîne. Nom du datastore vCenter sur lequel chaque nœud du pool sera créé. Exemple :

nodePools:
- name: "my-node-pool"
  vsphere:
    datastore: "my-datastore"

antiAffinityGroups.enabled

Valeur booléenne. Définissez ce paramètre sur true pour activer la création de règles DRS. Sinon, définissez cette valeur sur false. Exemple :

antiAffinityGroups:
  enabled: true

authentication

Cette section contient des informations sur la manière dont les utilisateurs du cluster sont authentifiés et autorisés.

authentication.oidc

Si vous souhaitez utiliser OpenID Connect (OIDC) pour gérer l'accès à ce cluster, remplissez cette section. Sinon, supprimez cette section ou laissez-la en commentaire.

authentication.oidc.issuerURL

Chaîne. URL de votre fournisseur OpenID. Les applications clientes, telles que la gcloud CLI et la console Google Cloud, envoient des requêtes d'autorisation à cette URL. Le serveur d'API Kubernetes utilise cette URL pour découvrir les clés publiques permettant de valider les jetons. Vous devez utiliser HTTPS. Exemple :

authentication:
  oidc:
    issuerURL: "https://example.com/adfs"

authentication.oidc.kubectlRedirectURL

Chaîne. URL de redirection de gcloud CLI. Exemple :

authentication:
  oidc:
    kubectlRedirectURL: "https://localhost:1025/callback"

authentication.oidc.clientID

Chaîne. ID de l'application cliente qui envoie des requêtes d'authentification au fournisseur OpenID. La gcloud CLI et la console Google Cloud utilisent cet ID. Exemple :

authentication:
  oidc:
    clientID: "my-big-hex-string"

authentication.oidc.clientSecret

Chaîne. Code secret de l'application cliente. La gcloud CLI et la console Google Cloud utilisent ce code secret. Exemple :

authentication:
  oidc:
    clientSecret: "N3i&JlLZoD!W"

authentication.oidc.username

Chaîne. Revendication JWT à utiliser comme nom d'utilisateur. La valeur par défaut est sub, qui est censé être un identifiant unique de l'utilisateur final. Vous pouvez choisir d'autres revendications, telles que email ou name, en fonction du fournisseur OpenID. Toutefois, les revendications autres que email sont précédées de l'URL de l'émetteur afin d'éviter les conflits de noms avec d'autres plug-ins. Exemple :

authentication:
  oidc:
    username: "sub"

authentication.oidc.usernamePrefix

Chaîne. Préfixe ajouté aux revendications de nom d'utilisateur pour éviter les conflits avec les noms existants. Si vous ne renseignez pas ce champ et que username est une valeur autre que email, le préfixe est défini par défaut sur issuerurl#. Vous pouvez utiliser la valeur - pour désactiver tous les préfixes. Exemple :

authentication:
  oidc:
    usernamePrefix: "my-prefix"

authentication.oidc.group

Chaîne. Revendication JWT que le fournisseur utilisera pour renvoyer vos groupes de sécurité. Exemple :

authentication:
  oidc:
    group: "sec-groups"

authentication.oidc.groupPrefix

Chaîne. Préfixe ajouté aux revendications de groupe pour éviter les conflits avec les noms existants. Par exemple, pour un groupe foobar et un préfixe gid- donnés, gid-foobar. Par défaut, cette valeur est vide et il n'y a pas de préfixe. Exemple :

authentication:
  oidc:
    groupPrefix: "gid-"

authentication.oidc.scopes

Chaîne. Liste de champs d'application supplémentaires séparés par des virgules à envoyer au fournisseur OpenID. Exemple :

authentication:
  oidc:
    scopes: "offline-access"

Pour l'authentification avec Microsoft Azure ou Okta, définissez ce paramètre sur offline_access.

authentication.oidc.extraParams

Chaîne. Liste de paramètres clé/valeur supplémentaires séparés par des virgules à envoyer au fournisseur OpenID.

• Pour obtenir une liste des paramètres d'authentification, consultez la section Paramètres de l'URI d'authentification.

• Si vous autorisez un groupe, définissez ce champ sur "resource=token-groups-claim".

• Si votre serveur d'autorisation vous invite à donner votre autorisation, définissez ce champ sur "prompt=consent".

Exemple :

authentication:
  oidc:
    extraparams: "prompt=consent"

authentication.oidc.deployCloudConsoleProxy

Chaîne. Spécifie si un proxy inverse doit être déployé dans le cluster pour permettre à Google Cloud Console d'accéder au fournisseur OIDC sur site afin d'authentifier les utilisateurs. Doit être une chaîne : "true" ou "false". Si votre fournisseur d'identité n'est pas accessible via le réseau Internet public et que vous souhaitez vous authentifier à l'aide de Google Cloud Console, vous devez définir ce champ sur "true". Si ce champ n'est pas renseigné, il prend par défaut la valeur "false".

authentication.oidc.caPath

Chaîne. Chemin d'accès au certificat de l'autorité de certification qui a émis le certificat Web de votre fournisseur d'identité. Cette valeur peut ne pas être nécessaire. Par exemple, si le certificat de votre fournisseur d'identité a été émis par une autorité de certification publique connue, vous n'avez pas besoin de fournir une valeur ici. Toutefois, si deployCloudConsoleProxy est "true", vous devez fournir cette valeur, même pour une autorité de certification publique connue.

Exemple :

authentication:
  oidc:
    caPath: "my-cert-folder/provider-root-cert.pem"

authentication.sni

Si vous souhaitez fournir un certificat de diffusion supplémentaire pour le serveur d'API Kubernetes du cluster, renseignez cette section. Sinon, supprimez cette section ou laissez-la en commentaire.

authentication.sni.certPath

Chaîne. Chemin d'accès à un certificat de diffusion pour le serveur d'API Kubernetes. Exemple :

authentication:
  sni:
    certPath: "my-cert-folder/example.com.crt"

authentication.sni.keyPath

Chaîne. Chemin d'accès au fichier de clé privée du certificat. Exemple :

authentication:
  sni:
    keyPath: "my-cert-folder/example.com.key"

stackdriver

Cette section contient des informations sur le projet et le compte de service Google Cloud que vous souhaitez utiliser pour stocker les journaux et les métriques.

stackdriver.projectID

Chaîne. ID du projet Google Cloud dans lequel vous souhaitez afficher les journaux. Exemple :

stackdriver:
  projectID: "my-logs-project"

stackdriver.clusterLocation

Chaîne. Région Google Cloud dans laquelle vous souhaitez stocker les journaux. Nous vous recommandons de choisir une région à proximité de votre centre de données sur site. Exemple :

stackdriver:
  clusterLocation: "us-central1"

stackdriver.enableVPC

Valeur booléenne. Si le réseau de votre cluster est contrôlé par un VPC, définissez ce champ sur true. Ainsi, toute la télémétrie passe par les adresses IP restreintes de Google. Sinon, définissez ce champ sur false. Exemple :

stackdriver:
  enableVPC: false

stackdriver.serviceAccountKeyPath

Chaîne. Chemin du fichier de clé JSON pour votre compte de service de journalisation-surveillance. Exemple :

stackdriver:
  serviceAccountKeyPath: "my-key-folder/log-mon-key.json"

cloudAuditLogging

Si vous souhaitez intégrer les journaux d'audit du serveur d'API Kubernetes de votre cluster aux journaux d'audit Cloud, remplissez cette section. Sinon, supprimez cette section ou laissez-la en commentaire.

cloudAuditLogging.projectid`

Chaîne. ID du projet Google Cloud dans lequel vous souhaitez stocker les journaux d'audit. Exemple :

cloudAuditLogging:
  projectid: "my-audit-project"

cloudAuditLogging.clusterlocation

Chaîne. Région Google Cloud dans laquelle vous souhaitez stocker les journaux d'audit. Nous vous recommandons de choisir une région à proximité de votre centre de données sur site. Exemple :

cloudAuditLogging:
  clusterlocation: "us-central1"

cloudAuditLogging.serviceaccountkeypath

Chaîne. Chemin d'accès au fichier de clé JSON de votre compte de service de journalisation-audit. Exemple :

cloudAuditLogging:
  serviceaccountkeypath: "my-key-folder/audit-log-key.json"

gkeConnect

Cette section contient des informations sur le projet et les comptes de service Google Cloud que vous souhaitez utiliser pour connecter votre cluster à Google Cloud.

gkeConnect.projectID

Chaîne. ID du projet Google Cloud que vous souhaitez utiliser pour connecter votre cluster à Google Cloud. Exemple :

gkeConnect:
  projectID: "my-connect-project-123"

gkeConnect.registerServiceAccountKeyPath

Chaîne. Chemin d'accès au fichier de clé JSON de votre compte de service connect-register. Exemple :

gkeConnect:
  registerServiceAccountKeyPath: "my-key-folder/connect-register-key.json"

gkeConnect.agentServiceAccountKeyPath

Chaîne. Chemin d'accès au fichier de clé JSON de votre compte de service connect-agent. Exemple :

gkeConnect:
  agentServiceAccountKeyPath: "my-key-folder/connect-agent-key.json"

usageMetering

Si vous souhaitez activer la mesure de l'utilisation de votre cluster, renseignez cette section. Sinon, supprimez cette section ou laissez-la en commentaire.

usageMetering.bigQueryProjectID

Chaîne. ID du projet Google Cloud dans lequel vous souhaitez stocker les données de mesure de l'utilisation. Exemple :

usageMetering:
  bigQueryProjectID: "my-bq-project"

usageMetering.bigQueryDatasetID

Chaîne. ID de l'ensemble de données BigQuery dans lequel vous souhaitez stocker les données de mesure de l'utilisation. Exemple :

usageMetering:
  bigQueryDatasetID: "my-bq-dataset"

usageMetering.bigQueryServiceAccountKeyPath

Chaîne. Chemin d'accès au fichier de clé JSON de votre compte de service BigQuery. Exemple :

usageMetering:
  bigQueryServiceAccountKeyPath: "my-key-folder/bq-key.json"

usageMetering.enableConsumptionMetering

Valeur booléenne. Définissez cette valeur sur true si vous souhaitez activer la mesure basée sur la consommation. Sinon, définissez-la sur "false". Exemple :

usageMetering:
  enableConsumptionMetering: true

cloudRun.enabled

Valeur booléenne. Définissez cette valeur sur true si vous souhaitez activer Cloud Run. Sinon, définissez cette valeur sur false. Exemple :

cloudRun:
  enabled: true