このページでは、GKE On-Prem バージョン 1.3 以前で使用されていたクラスタ構成ファイルのフィールドについて説明します。
GKE On-Prem バージョン 1.4 では、構成ファイルが大幅に変更されています。新しいファイルはバージョン 1 構成ファイルと呼ばれます。1.4 より前の GKE On-Prem バージョンで使用されていた構成ファイルは、バージョン 0 構成ファイルと呼ばれます。
GKE On-Prem バージョン 1.4 で導入された新機能を使用する場合は、v1 構成ファイルを使用する必要があります。
v0 構成ファイルは、GKE On-Prem 1.4 のツールと互換性があります。たとえば、v0 構成ファイルを GKE On-Prem 1.4 の gkectl create cluster
コマンドに渡すことができます。また、v0 構成ファイルを v1 構成ファイルに変換するコマンドを実行することもできます。
構成ファイルの変換
GKE On-Prem 1.4 では、管理クラスタとユーザー クラスタに個別の構成ファイルが使用されます。つまり、1 つの構成ファイルを使用して管理クラスタを作成し、別の構成ファイルを使用してユーザー クラスタを作成します。
v0 構成ファイルを v1 管理クラスタ構成ファイルに変換するには:
gkectl create-config admin --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]
ここで
[OLD_CONFIG_PATH] は v0 構成ファイルのパスです。
[OUTPUT_PATH] は、生成された v1 管理クラスタ構成ファイルの任意のパスです。このフラグを省略すると、
gkectl
はファイルにadmin-cluster.yaml
という名前を付け、現在のディレクトリに配置します。
v0 構成ファイルを v1 ユーザー クラスタ構成ファイルに変換するには:
gkectl create-config cluster --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]
[OLD_CONFIG_PATH] は v0 構成ファイルのパスです。
[OUTPUT_PATH] は、生成された v1 ユーザー クラスタ構成ファイルの任意のパスです。このフラグを省略すると、
gkectl
はファイルにuser-cluster.yaml
という名前を付け、現在のディレクトリに配置します。
v0 構成ファイルのテンプレート
v0 構成ファイルの入力
v0 構成ファイルを使用している場合は、このセクションの説明に従ってフィールド値を入力します。
bundlepath
GKE On-Prem のバンドル ファイルには、GKE On-Prem の特定のリリースのすべてのコンポーネントが含まれています。管理ワークステーションを作成すると、フルバンドルが /var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz
に追加されます。このバンドルのバージョンは、管理ワークステーションを作成するためにインポートした OVA のバージョンと一致します。
bundlepath
の値を管理ワークステーションのバンドル ファイルのパスに設定します。すなわち、bundlepath
を以下に設定します。
/var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz
[VERSION] は、インストールする GKE On-Prem のバージョンです。最新バージョンは 1.5.2-gke.3 です。
バンドル ファイルは別の場所に保存できます。また、別の名前を付けることもできます。構成ファイルで、bundlepath
の値がバンドル ファイルへのパスであることを確認してください。
vCenter の仕様
vcenter
仕様には、vCenter Server インスタンスに関する情報が含まれます。GKE On-Prem は、vCenter Server と通信する際にこの情報を必要とします。
vcenter.credentials.address
vcenter.credentials.address
フィールドには、vCenter Server の IP アドレスまたはホスト名が格納されます。
vsphere.credentials.address field
を入力する前に、vCenter Server のサービス証明書をダウンロードして検査します。次のコマンドを入力して証明書をダウンロードし、vcenter.pem
という名前のファイルに保存します。
true | openssl s_client -connect [VCENTER_IP]:443 -showcerts 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' > vcenter.pem
証明書ファイルを開き、サブジェクトの共通名とサブジェクトの代替名を表示します。
openssl x509 -in vcenter.pem -text -noout
出力に Subject
共通名(CN)が表示されます。これが IP アドレスである場合も、ホスト名である場合もあります。次に例を示します。
Subject: ... CN = 203.0.113.100
Subject: ... CN = my-host.my-domain.example
出力では、Subject Alternative Name
に 1 つ以上の DNS 名を含めることもできます。
X509v3 Subject Alternative Name: DNS:vcenter.my-domain.example
Subject
共通名または Subject Alternative Name
のいずれか 1 つの DNS 名を選択して、構成ファイルの vcenter.credentials.address
の値として使用します。次に例を示します。
vcenter: credentials: address: "203.0.113.1" ...
vcenter: credentials: address: "my-host.my-domain.example" ...
証明書に含まれる値は選択する必要があります。たとえば、IP アドレスが証明書に含まれていない場合は、vcenter.credentials.address
には使用できません。
vcenter.credential.username、.password
GKE On-Prem では、vCenter Server のユーザー名とパスワードの情報が必要です。この情報を指定するには、vcenter.credentials
で username
値と password
値を設定します。次に例を示します。
vcenter: credentials: username: "my-name" password: "my-password"
vcenter.datacenter、.datastore、.cluster、.network
GKE On-Prem には、vSphere 環境の構造に関する情報が必要です。vcenter
で値を設定して、この情報を指定します。次に例を示します。
vcenter: datacenter: "MY-DATACENTER" datastore: "MY-DATASTORE" cluster: "MY-VSPHERE-CLUSTER" network: "MY-VIRTUAL-NETWORK"
vcenter.resourcepool
vSphere リソースプールは、vSphere クラスタ内の vSphere VM の論理グループです。デフォルト以外のリソースプールを使用している場合は、その名前を vcenter.resourcepool
に指定します。次に例を示します。
vcenter: resourcepool: "my-pool"
GKE On-Prem でそのノードを vSphere クラスタのデフォルト リソースプールにデプロイするには、空の文字列を vcenter.resourcepool
に指定します。次に例を示します。
vcenter: resourcepool: ""
vcenter.datadisk
GKE On-Prem は、管理クラスタの Kubernetes オブジェクト データを保持する仮想マシンディスク(VMDK)を作成します。インストーラによって VMDK が作成されますが、vcenter.datadisk
フィールドに VMDK の名前を指定する必要があります。次に例を示します。
vcenter: datadisk: "my-disk.vmdk"
- vSAN データストア: VMDK 用フォルダの作成
vSAN データストアを使用する場合は、VMDK をフォルダに格納する必要があります。フォルダは、事前に手動で作成する必要があります。
govc
を使用してフォルダを作成することで、これを行えます。govc datastore.mkdir -namespace=true my-gke-on-prem-folder
次に、
vcenter.datadisk
を VMDK のパス(フォルダを含む)に設定します。次に例を示します。vcenter: datadisk: "my-gke-on-prem-folder/my-disk.vmdk"
バージョン 1.1.1 以前では、既知の問題により、フォルダのファイルパスではなく、Universally Unique Identifier(UUID)のパスを
vcenter.datadisk
に指定する必要があります。上記のgovc
コマンドの出力からコピーします。次に、
vcenter.datadisk
フィールドにフォルダの UUID を入力します。UUID の前にスラッシュを付けないでください。次に例を示します。vcenter: datadisk: "14159b5d-4265-a2ba-386b-246e9690c588/my-disk.vmdk"
この問題は、バージョン 1.1.2 以降で修正されています。
vcenter.cacertpath
GKE On-Prem などのクライアントが vCenter Server にリクエストを送信する場合、サーバーはクライアントに証明書または証明書バンドルを提示して ID を証明する必要があります。証明書またはバンドルを確認するには、GKE On-Prem に信頼チェーン内のルート証明書が必要です。
vcenter.cacertpath
をルート証明書のパスに設定します。次に例を示します。
vcenter: cacertpath: "/my-cert-folder/the-root.crt"
ご使用の VMware インストレーションには、vCenter サーバーに証明書を発行する認証局(CA)があります。信頼チェーンのルート証明書は、VMware が作成した自己署名証明書です。
デフォルトの VMWare CA を使用しない場合は、別の認証局を使用するように VMware を構成できます。
vCenter サーバーでデフォルトの VMware CA が発行した証明書を使用している場合は、いくつかの方法でルート証明書を取得できます。
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
[SERVER_ADDRESS] は vCenter サーバーのアドレスです。
ブラウザで、vCenter サーバーのアドレスを入力します。右側の灰色のボックスで、[信頼されたルート CA 証明書をダウンロード] をクリックします。
提供中の証明書を取得するには、次のコマンドを入力します。
true | openssl s_client -connect [SERVER_ADDRESS]:443 -showcerts
出力で、https://[SERVER_ADDRESS]/afd/vecs/ca のような URL を見つけます。ブラウザで URL を入力します。これにより、ルート証明書がダウンロードされます。
ダウンロードしたファイルの名前は downloads.zip
です。
ZIP ファイルを解凍します。
unzip downloads.zip
1 回の unzip コマンドで解凍できない場合は、再度コマンドを入力します。
certs/lin
で証明書ファイルを見つけます。
プロキシの仕様
ネットワークがプロキシ サーバーの背後にある場合は、HTTPS プロキシとプロキシから除外するアドレスを proxy
フィールドに入力します。次に例を示します。
proxy: url: "https://username:password@domain" noproxy: "10.0.1.0/24,private-registry.example,10.0.2.1"
proxy.url
は HTTPS プロキシの URL です。proxy.noproxy
には、プロキシされるべきではない CIDR 範囲、IP アドレス、ドメイン、ホスト名が含まれています。たとえば、クラスタノードの IP アドレスへの呼び出しはプロキシされるべきではありません。したがって、クラスタノードのみを含むサブネットがある場合は、サブネットの CIDR 範囲をnoproxy
フィールドに記入します。privateregistryconfig
を指定すると、そのアドレスが自動的に追加され、非公開レジストリへの呼び出しが防止されます。
管理クラスタの仕様
admincluster
仕様には、管理クラスタを作成するために GKE On-Prem で必要な情報が含まれています。
admincluster.vcenter.network
admincluster.vcenter.network
では、管理クラスタノード用の vCenter ネットワークを指定できます。これは、vcenter
で指定したグローバル設定よりも優先されます。次に例を示します。
admincluster: vcenter: network: MY-ADMIN-CLUSTER-NETWORK
admincluster.ipblockfilepath
静的 IP アドレスを使用しているため、静的 IP の構成で説明されているホスト構成ファイルが必要です。ホスト構成ファイルへのパスを admincluster.ipblockfilepath
フィールドに入力します。次に例を示します。
admincluster: ipblockfilepath: "/my-config-folder/my-admin-hostconfig.yaml"
admincluster.manuallbspec.ingresshttpnoodeport、.ingresshttpsnodeport
このフィールドは削除してください。管理クラスタでは使用されません。
admincluster.manuallbspec.controlplanenodeport、.addonsnodeport(手動負荷分散モード)
管理クラスタの Kubernetes API サーバーは、NodePort
型の Service として実装されます。手動負荷分散を使用する場合は、この Service で nodePort
値を選択する必要があります。controlplanenodeport
で nodePort
値を指定します。次に例を示します。
admincluster: manuallbspec: controlplanenodeport: 30968
管理クラスタ内のアドオン サーバーは、NodePort
型の Service として実装されます。手動負荷分散を使用する場合は、この Service で nodePort
値を選択する必要があります。controlplanenodeport
で nodePort
値を指定します。次に例を示します。
admincluster: manuallbspec: addonsnodeport: 30562
admincluster.bigip.credentials(統合負荷分散モード)
統合負荷分散モードを使用しない場合は、admincluster.bigip
をコメントアウトしたままにします。
統合負荷分散モードを使用している場合、GKE On-Prem は F5 BIG-IP ロードバランサの IP アドレスまたはホスト名、ユーザー名、パスワードを知る必要があります。admincluster.bigip
で値を設定して、この情報を指定します。次に例を示します。
admincluster: bigip: credentials: address: "203.0.113.2" username: "my-admin-f5-name" password: "rJDlm^%7aOzw"
admincluster.bigip.partition(統合負荷分散モード)
統合負荷分散モードを使用している場合は、管理クラスタの BIG-IP パーティションを作成する必要があります。admincluster.bigip.partition
をパーティションの名前に設定します。次に例を示します。
admincluster: bigip: partition: "my-admin-f5-partition"
admincluster.vips
管理クラスタに統合負荷分散と手動負荷分散のどちらを使用するかによらず、admincluster.vips
フィールドに値を入力する必要があります。
admincluster.vips.controlplanevip
の値を、管理クラスタの Kubernetes API サーバー用のロードバランサに構成するよう選択した IP アドレスに設定します。addonsvip
の値を、ロードバランサでアドオン用に構成するよう選択した IP アドレスに設定します。次に例を示します。
admincluster: vips: controlplanevip: 203.0.113.3 addonsvip: 203.0.113.4
admincluster.serviceiprange と admincluster.podiprange
管理クラスタには、Service に使用する IP アドレスの範囲と Pod に使用する IP アドレスの範囲が必要です。これらの範囲は、admincluster.serviceiprange
フィールドと admincluster.podiprange
フィールドで指定します。gkectl create-config
を実行すると、これらのフィールドに入力されます。入力した値は、必要に応じて任意の値に変更できます。
Service と Pod の範囲は重複しないようにします。また、Service と Pod の範囲が、クラスタ内のノードで使用する IP アドレスと重複しないようにしてください。
例:
admincluster: serviceiprange: 10.96.232.0/24 podiprange: 192.168.0.0/16
admincluster.antiaffinitygrous.enabled
ブール値。DRS ルールの作成を有効にするには、この値を true
に設定します。それ以外の場合は false
に設定します。次に例を示します。
admincluster: antiAffinityGroups: enabled true
ユーザー クラスタの仕様
ユーザー クラスタの仕様 usercluster
には、初期ユーザー クラスタを作成するために GKE On-Prem で必要な情報が含まれています。
usercluster.vcenter.network
usercluster.vcenter.network
では、ユーザー クラスタノード用の vCenter ネットワークを指定できます。これは、vcenter
で指定したグローバル設定よりも優先されます。例:
usercluster: vcenter: network: MY-USER-CLUSTER-NETWORK
usercluster.ipblockfilepath
静的 IP アドレスを使用しているため、静的 IP の構成で説明されているホスト構成ファイルが必要です。ホスト構成ファイルへのパスを usercluster.ipblockfilepath
フィールドに入力します。例:
usercluster: ipblockfilepath: "/my-config-folder/my-user-hostconfig.yaml"
usercluster.manuallbspec
(手動負荷分散モード)
ユーザー クラスタの Ingress コントローラは、NodePort 型の Service として実装されます。Service には、HTTP 用の ServicePort が 1 つ、HTTPS 用の別の ServicePort が 1 つあります。手動負荷分散モードを使用する場合は、これらの ServicePort で nodePort
値を選択する必要があります。ingresshttpnodeport
と ingresshttpsnodeport
に nodePort
値を指定します。次に例を示します。
usercluster: manuallbspec: ingresshttpnodeport: 30243 ingresshttpsnodeport: 30879
ユーザー クラスタの Kubernetes API サーバーは、NodePort
型の Service として実装されます。手動負荷分散を使用する場合は、この Service で nodePort
値を選択する必要があります。controlplanenodeport
に nodePort
値を指定します。次に例を示します。
usercluster: manuallbspec: controlplanenodeport: 30562
usercluster.bigip.credentials
(統合負荷分散モード)
統合負荷分散モードを使用している場合、GKE On-Prem はユーザー クラスタに使用する F5 BIG-IP ロードバランサの IP アドレスまたはホスト名、ユーザー名、パスワードを知る必要があります。usercluster.bigip
で値を設定して、この情報を指定します。次に例を示します。
usercluster: bigip: credentials: address: "203.0.113.5" username: "my-user-f5-name" password: "8%jfQATKO$#z"
usercluster.bigip.partition
(統合負荷分散モード)
統合負荷分散モードを使用している場合は、ユーザー クラスタの BIG-IP パーティションを作成する必要があります。usercluster.bigip.partition
をパーティションの名前に設定します。例:
usercluster: bigip: partition: "my-user-f5-partition"
usercluster.vips
ユーザー クラスタに統合負荷分散と手動負荷分散のどちらを使用するかによらず、usercluster.vips
フィールドに値を入力する必要があります。
usercluster.vips.controlplanevip
の値を、ユーザー クラスタの Kubernetes API サーバー用のロードバランサに構成するよう選択した IP アドレスに設定します。ingressvip
の値を、ユーザー クラスタの Ingress コントローラのロードバランサに構成するよう選択した IP アドレスに設定します。次に例を示します。
usercluster: vips: controlplanevip: 203.0.113.6 ingressvip: 203.0.113.7
usercluster.clustername
usercluster.clustername
の値を任意の名前に設定します。名前は 40 文字以下にしてください。次に例を示します。
usercluster: clustername: "my-user-cluster-1"
usercluster.masternode.cpus
と usercluster.masternode.memorymb
。
usercluster.masternode.cpus
フィールドと usercluster.masternode.memorymb
フィールドは、ユーザー クラスタの各コントロール プレーン ノードに割り当てられる CPU 数とメモリ量をメガバイト単位で指定します。次に例を示します。
usercluster: masternode: cpus: 4 memorymb: 8192
usercluster.masternode.replicas
usercluster.masternode.replicas
フィールドには、ユーザー クラスタに割り当てるコントロール プレーン ノードの数を指定します。ユーザー クラスタのコントロール プレーン ノードは、ユーザー コントロール プレーン(Kubernetes コントロール プレーン コンポーネント)を実行します。この値は 1
または 3
にする必要があります。
- 1 つのユーザー コントロール プレーンを実行する場合は、このフィールドを
1
に設定します。 - ユーザー コントロール プレーンを実行する 3 つのコントロール プレーン ノードから高可用性(HA)ユーザー コントロール プレーンを構成する場合は、このフィールドを
3
に設定します。
usercluster.workernode.cpus
と usercluster.workernode.memorymb
。
usercluster.workernode.cpus
フィールドと usercluster.workernode.memorymb
フィールドは、ユーザー クラスタの各ワーカーノードに割り当てられる CPU 数とメモリ量をメガバイト単位で指定します。次に例を示します。
usercluster: workernode: cpus: 4 memorymb: 8192 replicas: 3
usercluster.workernode.replicas
usercluster.workernode.replicas
フィールドには、ユーザー クラスタに割り当てるワーカーノードの数を指定します。ワーカーノードは、クラスタ ワークロードを実行します。
usercluster.antiaffinitygrous.enabled
ブール値。DRS ルールの作成を有効にするには、この値を true
に設定します。それ以外の場合は false
に設定します。次に例を示します。
antiAffinityGroups: enabled true
usercluster.serviceiprange
と usercluster.podiprange
。
ユーザー クラスタには、Service に使用する IP アドレスの範囲と Pod に使用する IP アドレスの範囲が必要です。これらの範囲は、usercluster.serviceiprange
フィールドと usercluster.podiprange
フィールドで指定します。gkectl create-config
を実行すると、これらのフィールドに入力されます。入力した値は、必要に応じて任意の値に変更できます。
Service と Pod の範囲は重複しないようにします。また、Service と Pod の範囲が、クラスタ内のノードで使用する IP アドレスと重複しないようにしてください。
例:
usercluster: serviceiprange: 10.96.233.0/24 podiprange: 172.16.0.0/12
usercluster.oidc
ユーザー クラスタのクライアントで OIDC 認証を使用する場合は、usercluster.oidc
にあるフィールドに値を設定します。OIDC の構成は任意です。
OIDC の構成方法については、OIDC による認証をご覧ください。
- バージョン 1.0.2-gke.3 のインストールの概要
バージョン 1.0.2-gke.3 では、次の OIDC フィールド(
usercluster.oidc
)が導入されています。こうしたフィールドで、Google Cloud コンソールからクラスタにログインできるようになります。- usercluster.oidc.kubectlredirecturl
- usercluster.oidc.clientsecret
- usercluster.oidc.usehttpproxy
バージョン 1.0.2-gke.3 では、OIDC を使用する場合でも、Google Cloud コンソールからクラスタにログインしない場合でも、
clientsecret
フィールドは必須です。その場合、以下のようにclientsecret
にプレースホルダの値を指定できます。oidc: clientsecret: "secret"
usercluster.sni
Server Name Indication(SNI)は、Transport Layer Security(TLS)の拡張機能です。クライアントが指定したホスト名に応じて、単一の IP アドレスと TCP ポートで複数の証明書を提示できます。
CA が信頼できる CA としてユーザー クラスタ外のクライアントにすでに配布されており、このチェーンを利用して信頼できるクラスタを特定する場合は、ロードバランサ IP アドレスの外部クライアントに提示される追加の証明書で Kubernetes API サーバーを構成できます。
ユーザー クラスタで SNI を使用するには、独自の CA と公開鍵基盤(PKI)が必要です。個別のサービス証明書を各ユーザー クラスタにプロビジョニングし、GKE On-Prem は追加のサービス証明書をそれぞれのユーザー クラスタに追加します。
ユーザー クラスタの Kubernetes API サーバーの SNI を構成するには、usercluster.sni.certpath
(外部証明書へのパス)と usercluster.sni.keypath
(外部証明書の秘密鍵ファイルへのパス)の値を指定します。次に例を示します。
usercluster: sni: certpath: "/my-cert-folder/example.com.crt" keypath: "/my-cert-folder/example.com.key"
usagemetering
クラスタの使用状況の測定を有効にする場合は、このセクションに入力します。それ以外の場合は、このセクションを削除します。
usagemetering.bigqueryprojectid
文字列。使用状況の測定データを保存する Google Cloud プロジェクトの ID。例:
usagemetering: bigqueryprojectid: "my-bq-project"
usagemetering.bigquerydatasetid
文字列。使用状況の測定データを格納する BigQuery データセットの ID。次に例を示します。
usagemetering: bigquerydatasetid: "my-bq-dataset"
usagemetering.bigqueryserviceaccountkepPath
文字列。BigQuery サービス アカウントの JSON 鍵ファイルのパス。次に例を示します。
usagemetering: bigqueryserviceaccountkeypath: "my-key-folder/bq-key.json"
usagemetering.enableconsumptionmetering
ブール値。使用量をベースとした測定を有効にするには、これを true
に設定します。それ以外の場合は false
に設定します。次に例を示します。
usagemetering: enableconsumptionmetering: true
lbmode
統合負荷分散または手動負荷分散を使用できます。選択した負荷分散モードは、管理クラスタと初期ユーザー クラスタに適用されます。また、今後作成するユーザー クラスタにも適用されます。
lbmode
の値を Integrated
または Manual
に設定して、負荷分散の選択を指定します。次に例を示します。
lbmode: Integrated
gkeconnect
gkeconnect
仕様には、GKE On-Prem で Google Cloud Console からオンプレミス クラスタの管理を設定するために必要な情報が含まれています。
gkeconnect.projectid
を、オンプレミス クラスタを管理する Google Cloud プロジェクトのプロジェクト ID に設定します。
gkeconnect.registerserviceaccountkeypath
の値を、登録サービス アカウントの JSON キーファイルのパスに設定します。gkeconnect.agentserviceaccountkeypath
の値を、接続サービス アカウントの JSON キーファイルのパスに設定します。
例:
gkeconnect: projectid: "my-project" registerserviceaccountkeypath: "/my-key-folder/register-key.json" agentserviceaccountkeypath: "/my-key-folder/connect-key.json"
stackdriver
stackdriver
仕様には、オンプレミス クラスタで生成されたログエントリの保存のために GKE On-Prem で必要な情報が含まれています。
stackdriver.projectid
を、オンプレミス クラスタに関連する Stackdriver のログを表示させる Google Cloud プロジェクトのプロジェクト ID に設定します。
stackdriver.clusterlocation
を、Stackdriver ログを保存する Google Cloud リージョンに設定します。お使いのオンプレミス データセンターの近くのリージョンを選択することをおすすめします。
クラスタのネットワークが VPC によって制御されている場合は、stackdriver.enablevpc
を true
に設定します。これにより、すべてのテレメトリーが Google の制限された IP アドレスを通過するようになります。
stackdriver.serviceaccountkeypath
の値を、Stackdriver Logging サービス アカウントの JSON キーファイルのパスに設定します。
例:
stackdriver: projectid: "my-project" clusterlocation: "us-west1" enablevpc: false serviceaccountkeypath: "/my-key-folder/stackdriver-key.json"
cloudrun.enabled
ブール値。Cloud Run を有効にする場合は、これを true
に設定します。それ以外の場合は false
に設定します。次に例を示します。
cloudrun: enabled: true
privateregistryconfig
非公開 Docker レジストリがある場合、privateregistryconfig
フィールドには、GKE On-Prem がイメージを非公開レジストリに push するために使用する情報が保持されます。非公開レジストリを指定しない場合、gkectl
は、インストール中に GKE On-Prem のコンテナ イメージを Container Registry リポジトリ(gcr.io/gke-on-prem-release
)から pull します。
privatedockerregistry.credentials
で、address
を、非公開 Docker レジストリを実行するマシンの IP アドレスに設定します。username
と password
を、非公開 Docker レジストリのユーザー名とパスワードに設定します。address
に設定した値は自動的に proxy.noproxy
に追加されます。
Docker が非公開レジストリからイメージを pull する場合、レジストリは証明書を提示して自身の ID を証明する必要があります。レジストリの証明書は、認証局(CA)によって署名されます。Docker は、CA 証明書を使用してレジストリの証明書を検証します。
privateregistryconfig.cacertpath
を CA 証明書のパスに設定します。例:
privateregistryconfig: cacertpath: /my-cert-folder/registry-ca.crt
gcrkeypath
gcrkeypath
の値を、コンポーネント アクセス サービス アカウントの JSON キーファイルのパスに設定します。
次に例を示します。
gcrkeypath: "/my-key-folder/component-access-key.json"
cloudauditlogging
Kubernetes 監査ログを Google Cloud プロジェクトに送信する場合は、cloudauditlogging
仕様を入力します。例:
cloudauditlogging: projectid: "my-project" # A GCP region where you would like to store audit logs for this cluster. clusterlocation: "us-west1" # The absolute or relative path to the key file for a GCP service account used to # send audit logs from the cluster serviceaccountkeypath: "/my-key-folder/audit-logging-key.json"