古いクラスタ構成ファイル

このページでは、GKE On-Prem バージョン 1.3 以前で使用されていたクラスタ構成ファイルのフィールドについて説明します。

GKE On-Prem バージョン 1.4 では、構成ファイルが大幅に変更されています。新しいファイルはバージョン 1 構成ファイルと呼ばれます。1.4 より前の GKE On-Prem バージョンで使用されていた構成ファイルは、バージョン 0 構成ファイルと呼ばれます。

GKE On-Prem バージョン 1.4 で導入された新機能を使用する場合は、v1 構成ファイルを使用する必要があります。

v0 構成ファイルは、GKE On-Prem 1.4 のツールと互換性があります。たとえば、v0 構成ファイルを GKE On-Prem 1.4 の gkectl create cluster コマンドに渡すことができます。また、v0 構成ファイルを v1 構成ファイルに変換するコマンドを実行することもできます。

構成ファイルの変換

GKE On-Prem 1.4 では、管理クラスタとユーザー クラスタに個別の構成ファイルが使用されます。つまり、1 つの構成ファイルを使用して管理クラスタを作成し、別の構成ファイルを使用してユーザー クラスタを作成します。

v0 構成ファイルを v1 管理クラスタ構成ファイルに変換するには:

gkectl create-config admin --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]

ここで

• [OLD_CONFIG_PATH] は v0 構成ファイルのパスです。

• [OUTPUT_PATH] は、生成された v1 管理クラスタ構成ファイルの任意のパスです。このフラグを省略すると、gkectl はファイルに admin-cluster.yaml という名前を付け、現在のディレクトリに配置します。

v0 構成ファイルを v1 ユーザー クラスタ構成ファイルに変換するには:

gkectl create-config cluster --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]

• [OLD_CONFIG_PATH] は v0 構成ファイルのパスです。

• [OUTPUT_PATH] は、生成された v1 ユーザー クラスタ構成ファイルの任意のパスです。このフラグを省略すると、gkectl はファイルに user-cluster.yaml という名前を付け、現在のディレクトリに配置します。

v0 構成ファイルのテンプレート

# Absolute path to a GKE bundle on disk
# Absolute path to a GKE bundle on disk
bundlepath: ""
# Specify which vCenter resources to use for deployment
vcenter:
  # The credentials and address GKE should use to connect to vCenter
  credentials:
    address: ""
    username: ""
    password: ""
  datacenter: ""
  datastore: ""
  cluster: ""
  network: ""
  resourcepool: ""
  # Provide the name for the persistent disk to be used by the deployment (ending
  # in .vmdk). Any directory in the supplied path must be created before deployment.
  # Not required when adding additional user clusters
  datadisk: ""
  # Provide the path to vCenter CA certificate pub key for SSL verification
  cacertpath: ""
# Specify the proxy configuration.
proxy:
  # The URL of the proxy
  url: ""
  # The domains and IP addresses excluded from proxying
  noproxy: ""
# Specify admin cluster settings for a fresh GKE On-Prem deployment. Omit this section
# and use the --kubeconfig flag when adding a new user cluster to an existing deployment
admincluster:
  # In-Cluster vCenter configuration
  vcenter:
    # If specified it overwrites the network field in global vcenter configuration
    network: ""
  # # The absolute or relative path to the yaml file to use for static IP allocation.
  # # Do not include if using DHCP
  # ipblockfilepath: ""
  # # Specify pre-defined nodeports if using "manual" load balancer mode
  # manuallbspec:
  #   ingresshttpnodeport: 0
  #   ingresshttpsnodeport: 0
  #   controlplanenodeport: 30968
  #   addonsnodeport: 31405
  # Specify the already-existing partition and credentials to use with F5
  bigip:
    # To re-use credentials across clusters we recommend using YAML node anchors.
    # See https://yaml.org/spec/1.2/spec.html#id2785586
    credentials:
      address: ""
      username: ""
      password: ""
    partition: ""
    # # Optionally specify a pool name if using SNAT
    # snatpoolname: ""
  # The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlplanevip: ""
    # # Used for admin cluster addons (needed for multi cluster features). Must be the same
    # # across clusters
    # addonsvip: ""
  # The Kubernetes service CIDR range for the cluster. Must not overlap with the pod
  # CIDR range
  serviceiprange: 10.96.232.0/24
  # The Kubernetes pod CIDR range for the cluster. Must not overlap with the service
  # CIDR range
  podiprange: 192.168.0.0/16
  # Spread nodes across at least three physical hosts (requires at least three hosts)
  antiaffinitygroups:
    # Set to false to disable DRS rule creation
    enabled: true
# Specify settings when deploying a new user cluster. Used both with a fresh deployment
# or when adding a new cluster to an existing deployment.
usercluster:
  # In-Cluster vCenter configuration
  vcenter:
    # If specified it overwrites the network field in global vcenter configuration
    network: ""
  # # The absolute or relative path to the yaml file to use for static IP allocation.
  # # Do not include if using DHCP
  # ipblockfilepath: ""
  # # Specify pre-defined nodeports if using "manual" load balancer mode
  # manuallbspec:
  #   ingresshttpnodeport: 30243
  #   ingresshttpsnodeport: 30879
  #   controlplanenodeport: 30562
  #   addonsnodeport: 0
  # Specify the already-existing partition and credentials to use with F5
  bigip:
    # To re-use credentials across clusters we recommend using YAML node anchors.
    # See https://yaml.org/spec/1.2/spec.html#id2785586
    credentials:
      address: ""
      username: ""
      password: ""
    partition: ""
    # # Optionally specify a pool name if using SNAT
    # snatpoolname: ""
  # The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlplanevip: ""
    # Shared by all services for ingress traffic
    ingressvip: ""
    # # Used for admin cluster addons (needed for multi cluster features). Must be the same
    # # across clusters
    # addonsvip: ""
  # A unique name for this cluster
  clustername: ""
  # User cluster master nodes must have either 1 or 3 replicas
  masternode:
    cpus: 4
    memorymb: 8192
    # How many machines of this type to deploy
    replicas: 1
  # The number of worker nodes to deploy and their size. Min. 3 replicas
  workernode:
    cpus: 4
    memorymb: 8192
    # How many machines of this type to deploy
    replicas: 3
  # Spread nodes across at least three physical hosts (requires at least three hosts)
  antiaffinitygroups:
    # Set to false to disable DRS rule creation
    enabled: true
  # The Kubernetes service CIDR range for the cluster
  serviceiprange: 10.96.0.0/12
  # The Kubernetes pod CIDR range for the cluster
  podiprange: 192.168.0.0/16
  # # Uncomment this section to use OIDC authentication
  # oidc:
  #   issuerurl: ""
  #   kubectlredirecturl: ""
  #   clientid: ""
  #   clientsecret: ""
  #   username: ""
  #   usernameprefix: ""
  #   group: ""
  #   groupprefix: ""
  #   scopes: ""
  #   extraparams: ""
  #   # Set value to string "true" or "false"
  #   usehttpproxy: ""
  #   # # The absolute or relative path to the CA file (optional)
  #   # capath: ""
  # # Optionally provide an additional serving certificate for the API server
  # sni:
  #   certpath: ""
  #   keypath: ""
  # # Specify whether or not to enable the GKE usage metering feature
  # usagemetering:
  #   bigqueryprojectid: ""
  #   # The ID of the BigQuery Dataset in which the usage metering data will be stored
  #   bigquerydatasetid: ""
  #   # The absolute or relative path to the key file for a GCP service account used by
  #   # gke-usage-metering to report to BigQuery
  #   bigqueryserviceaccountkeypath: ""
  #   # Whether or not to enable the consumption-based metering feature
  #   enableconsumptionmetering: false
# Which load balancer mode to use "Manual" or "Integrated"
lbmode: Integrated
# Specify which GCP project to connect your GKE clusters to
gkeconnect:
  projectid: ""
  # The absolute or relative path to the key file for a GCP service account used to
  # register the cluster
  registerserviceaccountkeypath: ""
  # The absolute or relative path to the key file for a GCP service account used by
  # the GKE connect agent
  agentserviceaccountkeypath: ""
# Specify which GCP project to connect your logs and metrics to
stackdriver:
  projectid: ""
  # A GCP region where you would like to store logs and metrics for this cluster.
  clusterlocation: ""
  enablevpc: false
  # The absolute or relative path to the key file for a GCP service account used to
  # send logs and metrics from the cluster
  serviceaccountkeypath: ""
# Specify Cloud Run configuration
cloudrun:
  enabled: false
# # Optionally use a private Docker registry to host GKE images
# privateregistryconfig:
#   # Do not include the scheme with your registry address
#   credentials:
#     address: ""
#     username: ""
#     password: ""
#   # The absolute or relative path to the CA certificate for this registry
#   cacertpath: ""
# The absolute or relative path to the GCP service account key that will be used to
# pull GKE images
gcrkeypath: ""
# # Configure kubernetes apiserver audit logging
# cloudauditlogging:
#   projectid: ""
#   # A GCP region where you would like to store audit logs for this cluster.
#   clusterlocation: ""
#   # The absolute or relative path to the key file for a GCP service account used to
#   # send audit logs from the cluster
#   serviceaccountkeypath: ""

v0 構成ファイルの入力

v0 構成ファイルを使用している場合は、このセクションの説明に従ってフィールド値を入力します。

bundlepath

GKE On-Prem のバンドル ファイルには、GKE On-Prem の特定のリリースのすべてのコンポーネントが含まれています。管理ワークステーションを作成すると、フルバンドルが /var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz に追加されます。このバンドルのバージョンは、管理ワークステーションを作成するためにインポートした OVA のバージョンと一致します。

bundlepath の値を管理ワークステーションのバンドル ファイルのパスに設定します。すなわち、bundlepath を以下に設定します。

/var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz

[VERSION] は、インストールする GKE On-Prem のバージョンです。最新バージョンは 1.5.2-gke.3 です。

バンドル ファイルは別の場所に保存できます。また、別の名前を付けることもできます。構成ファイルで、bundlepath の値がバンドル ファイルへのパスであることを確認してください。

vCenter の仕様

vcenter 仕様には、vCenter Server インスタンスに関する情報が含まれます。GKE On-Prem は、vCenter Server と通信する際にこの情報を必要とします。

vcenter.credentials.address

vcenter.credentials.address フィールドには、vCenter Server の IP アドレスまたはホスト名が格納されます。

vsphere.credentials.address field を入力する前に、vCenter Server のサービス証明書をダウンロードして検査します。次のコマンドを入力して証明書をダウンロードし、vcenter.pem という名前のファイルに保存します。

true | openssl s_client -connect [VCENTER_IP]:443 -showcerts 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' > vcenter.pem

証明書ファイルを開き、サブジェクトの共通名とサブジェクトの代替名を表示します。

openssl x509 -in vcenter.pem -text -noout

出力に Subject 共通名（CN）が表示されます。これが IP アドレスである場合も、ホスト名である場合もあります。次に例を示します。

Subject: ... CN = 203.0.113.100

Subject: ... CN = my-host.my-domain.example

出力では、Subject Alternative Name に 1 つ以上の DNS 名を含めることもできます。

X509v3 Subject Alternative Name:
    DNS:vcenter.my-domain.example

Subject 共通名または Subject Alternative Name のいずれか 1 つの DNS 名を選択して、構成ファイルの vcenter.credentials.address の値として使用します。次に例を示します。

vcenter:
  credentials:
    address: "203.0.113.1"
    ...

vcenter:
  credentials:
    address: "my-host.my-domain.example"
    ...

証明書に含まれる値は選択する必要があります。たとえば、IP アドレスが証明書に含まれていない場合は、vcenter.credentials.address には使用できません。

vcenter.credential.username、.password

GKE On-Prem では、vCenter Server のユーザー名とパスワードの情報が必要です。この情報を指定するには、vcenter.credentials で username 値と password 値を設定します。次に例を示します。

vcenter:
  credentials:
    username: "my-name"
    password: "my-password"

vcenter.datacenter、.datastore、.cluster、.network

GKE On-Prem には、vSphere 環境の構造に関する情報が必要です。vcenter で値を設定して、この情報を指定します。次に例を示します。

vcenter:
  datacenter: "MY-DATACENTER"
  datastore: "MY-DATASTORE"
  cluster: "MY-VSPHERE-CLUSTER"
  network: "MY-VIRTUAL-NETWORK"

vcenter.resourcepool

vSphere リソースプールは、vSphere クラスタ内の vSphere VM の論理グループです。デフォルト以外のリソースプールを使用している場合は、その名前を vcenter.resourcepool に指定します。次に例を示します。

vcenter:
  resourcepool: "my-pool"

GKE On-Prem でそのノードを vSphere クラスタのデフォルト リソースプールにデプロイするには、空の文字列を vcenter.resourcepool に指定します。次に例を示します。

vcenter:
  resourcepool: ""

vcenter.datadisk

GKE On-Prem は、管理クラスタの Kubernetes オブジェクト データを保持する仮想マシンディスク（VMDK）を作成します。インストーラによって VMDK が作成されますが、vcenter.datadisk フィールドに VMDK の名前を指定する必要があります。次に例を示します。

vcenter:
  datadisk: "my-disk.vmdk"

vSAN データストア: VMDK 用フォルダの作成

vSAN データストアを使用する場合は、VMDK をフォルダに格納する必要があります。フォルダは、事前に手動で作成する必要があります。govc を使用してフォルダを作成することで、これを行えます。

govc datastore.mkdir -namespace=true my-gke-on-prem-folder

次に、vcenter.datadisk を VMDK のパス（フォルダを含む）に設定します。次に例を示します。

vcenter:
datadisk: "my-gke-on-prem-folder/my-disk.vmdk"

バージョン 1.1.1 以前では、既知の問題により、フォルダのファイルパスではなく、Universally Unique Identifier（UUID）のパスを vcenter.datadisk に指定する必要があります。上記の govc コマンドの出力からコピーします。

次に、vcenter.datadisk フィールドにフォルダの UUID を入力します。UUID の前にスラッシュを付けないでください。次に例を示します。

vcenter:
datadisk: "14159b5d-4265-a2ba-386b-246e9690c588/my-disk.vmdk"

この問題は、バージョン 1.1.2 以降で修正されています。

vcenter.cacertpath

GKE On-Prem などのクライアントが vCenter Server にリクエストを送信する場合、サーバーはクライアントに証明書または証明書バンドルを提示して ID を証明する必要があります。証明書またはバンドルを確認するには、GKE On-Prem に信頼チェーン内のルート証明書が必要です。

vcenter.cacertpath をルート証明書のパスに設定します。次に例を示します。

vcenter:
  cacertpath: "/my-cert-folder/the-root.crt"

ご使用の VMware インストレーションには、vCenter サーバーに証明書を発行する認証局（CA）があります。信頼チェーンのルート証明書は、VMware が作成した自己署名証明書です。

デフォルトの VMWare CA を使用しない場合は、別の認証局を使用するように VMware を構成できます。

vCenter サーバーでデフォルトの VMware CA が発行した証明書を使用している場合は、いくつかの方法でルート証明書を取得できます。

• curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

  [SERVER_ADDRESS] は vCenter サーバーのアドレスです。

• ブラウザで、vCenter サーバーのアドレスを入力します。右側の灰色のボックスで、[信頼されたルート CA 証明書をダウンロード] をクリックします。

• 提供中の証明書を取得するには、次のコマンドを入力します。

  true | openssl s_client -connect [SERVER_ADDRESS]:443 -showcerts

  出力で、https://[SERVER_ADDRESS]/afd/vecs/ca のような URL を見つけます。ブラウザで URL を入力します。これにより、ルート証明書がダウンロードされます。

ダウンロードしたファイルの名前は downloads.zip です。

ZIP ファイルを解凍します。

unzip downloads.zip

1 回の unzip コマンドで解凍できない場合は、再度コマンドを入力します。

certs/lin で証明書ファイルを見つけます。

proxy:
  url: "https://username:password@domain"
  noproxy: "10.0.1.0/24,private-registry.example,10.0.2.1"

• proxy.url は HTTPS プロキシの URL です。
• proxy.noproxy には、プロキシされるべきではない CIDR 範囲、IP アドレス、ドメイン、ホスト名が含まれています。たとえば、クラスタノードの IP アドレスへの呼び出しはプロキシされるべきではありません。したがって、クラスタノードのみを含むサブネットがある場合は、サブネットの CIDR 範囲を noproxy フィールドに記入します。privateregistryconfig を指定すると、そのアドレスが自動的に追加され、非公開レジストリへの呼び出しが防止されます。

管理クラスタの仕様

admincluster 仕様には、管理クラスタを作成するために GKE On-Prem で必要な情報が含まれています。

admincluster.vcenter.network

admincluster.vcenter.network では、管理クラスタノード用の vCenter ネットワークを指定できます。これは、vcenter で指定したグローバル設定よりも優先されます。次に例を示します。

admincluster:
  vcenter:
    network: MY-ADMIN-CLUSTER-NETWORK

admincluster.ipblockfilepath

静的 IP アドレスを使用しているため、静的 IP の構成で説明されているホスト構成ファイルが必要です。ホスト構成ファイルへのパスを admincluster.ipblockfilepath フィールドに入力します。次に例を示します。

admincluster:
  ipblockfilepath: "/my-config-folder/my-admin-hostconfig.yaml"

admincluster.manuallbspec.ingresshttpnoodeport、.ingresshttpsnodeport

このフィールドは削除してください。管理クラスタでは使用されません。

admincluster.manuallbspec.controlplanenodeport、.addonsnodeport（手動負荷分散モード）

管理クラスタの Kubernetes API サーバーは、NodePort 型の Service として実装されます。手動負荷分散を使用する場合は、この Service で nodePort 値を選択する必要があります。controlplanenodeport で nodePort 値を指定します。次に例を示します。

admincluster:
  manuallbspec:
    controlplanenodeport: 30968

管理クラスタ内のアドオン サーバーは、NodePort 型の Service として実装されます。手動負荷分散を使用する場合は、この Service で nodePort 値を選択する必要があります。controlplanenodeport で nodePort 値を指定します。次に例を示します。

admincluster:
  manuallbspec:
    addonsnodeport: 30562

admincluster.bigip.credentials（統合負荷分散モード）

統合負荷分散モードを使用しない場合は、admincluster.bigip をコメントアウトしたままにします。

統合負荷分散モードを使用している場合、GKE On-Prem は F5 BIG-IP ロードバランサの IP アドレスまたはホスト名、ユーザー名、パスワードを知る必要があります。admincluster.bigip で値を設定して、この情報を指定します。次に例を示します。

admincluster:
  bigip:
    credentials:
      address: "203.0.113.2"
      username: "my-admin-f5-name"
      password: "rJDlm^%7aOzw"

admincluster.bigip.partition（統合負荷分散モード）

統合負荷分散モードを使用している場合は、管理クラスタの BIG-IP パーティションを作成する必要があります。admincluster.bigip.partition をパーティションの名前に設定します。次に例を示します。

admincluster:
  bigip:
    partition: "my-admin-f5-partition"

admincluster.vips

管理クラスタに統合負荷分散と手動負荷分散のどちらを使用するかによらず、admincluster.vips フィールドに値を入力する必要があります。

admincluster.vips.controlplanevip の値を、管理クラスタの Kubernetes API サーバー用のロードバランサに構成するよう選択した IP アドレスに設定します。addonsvip の値を、ロードバランサでアドオン用に構成するよう選択した IP アドレスに設定します。次に例を示します。

admincluster:
  vips:
    controlplanevip: 203.0.113.3
    addonsvip: 203.0.113.4

admincluster.serviceiprange と admincluster.podiprange

管理クラスタには、Service に使用する IP アドレスの範囲と Pod に使用する IP アドレスの範囲が必要です。これらの範囲は、admincluster.serviceiprange フィールドと admincluster.podiprange フィールドで指定します。gkectl create-config を実行すると、これらのフィールドに入力されます。入力した値は、必要に応じて任意の値に変更できます。

Service と Pod の範囲は重複しないようにします。また、Service と Pod の範囲が、クラスタ内のノードで使用する IP アドレスと重複しないようにしてください。

例:

admincluster:
  serviceiprange: 10.96.232.0/24
  podiprange: 192.168.0.0/16

admincluster.antiaffinitygrous.enabled

ブール値。DRS ルールの作成を有効にするには、この値を true に設定します。それ以外の場合は false に設定します。次に例を示します。

admincluster:
  antiAffinityGroups:
    enabled true

ユーザー クラスタの仕様

ユーザー クラスタの仕様 usercluster には、初期ユーザー クラスタを作成するために GKE On-Prem で必要な情報が含まれています。

usercluster.vcenter.network

usercluster.vcenter.network では、ユーザー クラスタノード用の vCenter ネットワークを指定できます。これは、vcenter で指定したグローバル設定よりも優先されます。例:

usercluster:
  vcenter:
    network: MY-USER-CLUSTER-NETWORK

usercluster.ipblockfilepath

静的 IP アドレスを使用しているため、静的 IP の構成で説明されているホスト構成ファイルが必要です。ホスト構成ファイルへのパスを usercluster.ipblockfilepath フィールドに入力します。例:

usercluster:
  ipblockfilepath: "/my-config-folder/my-user-hostconfig.yaml"

usercluster.manuallbspec（手動負荷分散モード）

ユーザー クラスタの Ingress コントローラは、NodePort 型の Service として実装されます。Service には、HTTP 用の ServicePort が 1 つ、HTTPS 用の別の ServicePort が 1 つあります。手動負荷分散モードを使用する場合は、これらの ServicePort で nodePort 値を選択する必要があります。ingresshttpnodeport と ingresshttpsnodeport に nodePort 値を指定します。次に例を示します。

usercluster:
  manuallbspec:
    ingresshttpnodeport: 30243
    ingresshttpsnodeport: 30879

ユーザー クラスタの Kubernetes API サーバーは、NodePort 型の Service として実装されます。手動負荷分散を使用する場合は、この Service で nodePort 値を選択する必要があります。controlplanenodeport に nodePort 値を指定します。次に例を示します。

usercluster:
  manuallbspec:
    controlplanenodeport: 30562

usercluster.bigip.credentials（統合負荷分散モード）

統合負荷分散モードを使用している場合、GKE On-Prem はユーザー クラスタに使用する F5 BIG-IP ロードバランサの IP アドレスまたはホスト名、ユーザー名、パスワードを知る必要があります。usercluster.bigip で値を設定して、この情報を指定します。次に例を示します。

usercluster:
  bigip:
    credentials:
      address: "203.0.113.5"
      username: "my-user-f5-name"
      password: "8%jfQATKO$#z"

usercluster.bigip.partition（統合負荷分散モード）

統合負荷分散モードを使用している場合は、ユーザー クラスタの BIG-IP パーティションを作成する必要があります。usercluster.bigip.partition をパーティションの名前に設定します。例:

usercluster:
  bigip:
    partition: "my-user-f5-partition"

usercluster.vips

ユーザー クラスタに統合負荷分散と手動負荷分散のどちらを使用するかによらず、usercluster.vips フィールドに値を入力する必要があります。

usercluster.vips.controlplanevip の値を、ユーザー クラスタの Kubernetes API サーバー用のロードバランサに構成するよう選択した IP アドレスに設定します。ingressvip の値を、ユーザー クラスタの Ingress コントローラのロードバランサに構成するよう選択した IP アドレスに設定します。次に例を示します。

usercluster:
  vips:
    controlplanevip: 203.0.113.6
    ingressvip: 203.0.113.7

usercluster.clustername

usercluster.clustername の値を任意の名前に設定します。名前は 40 文字以下にしてください。次に例を示します。

usercluster:
  clustername: "my-user-cluster-1"

usercluster.masternode.cpus と usercluster.masternode.memorymb。

usercluster.masternode.cpus フィールドと usercluster.masternode.memorymb フィールドは、ユーザー クラスタの各コントロール プレーン ノードに割り当てられる CPU 数とメモリ量をメガバイト単位で指定します。次に例を示します。

usercluster:
  masternode:
    cpus: 4
    memorymb: 8192

usercluster.masternode.replicas

usercluster.masternode.replicas フィールドには、ユーザー クラスタに割り当てるコントロール プレーン ノードの数を指定します。ユーザー クラスタのコントロール プレーン ノードは、ユーザー コントロール プレーン（Kubernetes コントロール プレーン コンポーネント）を実行します。この値は 1 または 3 にする必要があります。

• 1 つのユーザー コントロール プレーンを実行する場合は、このフィールドを 1 に設定します。
• ユーザー コントロール プレーンを実行する 3 つのコントロール プレーン ノードから高可用性（HA）ユーザー コントロール プレーンを構成する場合は、このフィールドを 3 に設定します。

usercluster.workernode.cpus と usercluster.workernode.memorymb。

usercluster.workernode.cpus フィールドと usercluster.workernode.memorymb フィールドは、ユーザー クラスタの各ワーカーノードに割り当てられる CPU 数とメモリ量をメガバイト単位で指定します。次に例を示します。

usercluster:
  workernode:
    cpus: 4
    memorymb: 8192
    replicas: 3

usercluster.workernode.replicas

usercluster.workernode.replicas フィールドには、ユーザー クラスタに割り当てるワーカーノードの数を指定します。ワーカーノードは、クラスタ ワークロードを実行します。

usercluster.antiaffinitygrous.enabled

ブール値。DRS ルールの作成を有効にするには、この値を true に設定します。それ以外の場合は false に設定します。次に例を示します。

antiAffinityGroups:
  enabled true

usercluster.serviceiprange と usercluster.podiprange。

ユーザー クラスタには、Service に使用する IP アドレスの範囲と Pod に使用する IP アドレスの範囲が必要です。これらの範囲は、usercluster.serviceiprange フィールドと usercluster.podiprange フィールドで指定します。gkectl create-config を実行すると、これらのフィールドに入力されます。入力した値は、必要に応じて任意の値に変更できます。

Service と Pod の範囲は重複しないようにします。また、Service と Pod の範囲が、クラスタ内のノードで使用する IP アドレスと重複しないようにしてください。

例:

usercluster:
  serviceiprange: 10.96.233.0/24
  podiprange: 172.16.0.0/12

usercluster.oidc

ユーザー クラスタのクライアントで OIDC 認証を使用する場合は、usercluster.oidc にあるフィールドに値を設定します。OIDC の構成は任意です。

OIDC の構成方法については、OIDC による認証をご覧ください。

バージョン 1.0.2-gke.3 のインストールの概要

バージョン 1.0.2-gke.3 では、次の OIDC フィールド（usercluster.oidc）が導入されています。こうしたフィールドで、Google Cloud コンソールからクラスタにログインできるようになります。

• usercluster.oidc.kubectlredirecturl
• usercluster.oidc.clientsecret
• usercluster.oidc.usehttpproxy

バージョン 1.0.2-gke.3 では、OIDC を使用する場合でも、Google Cloud コンソールからクラスタにログインしない場合でも、clientsecret フィールドは必須です。その場合、以下のように clientsecret にプレースホルダの値を指定できます。

oidc:
clientsecret: "secret"

usercluster.sni

Server Name Indication（SNI）は、Transport Layer Security（TLS）の拡張機能です。クライアントが指定したホスト名に応じて、単一の IP アドレスと TCP ポートで複数の証明書を提示できます。

CA が信頼できる CA としてユーザー クラスタ外のクライアントにすでに配布されており、このチェーンを利用して信頼できるクラスタを特定する場合は、ロードバランサ IP アドレスの外部クライアントに提示される追加の証明書で Kubernetes API サーバーを構成できます。

ユーザー クラスタで SNI を使用するには、独自の CA と公開鍵基盤（PKI）が必要です。個別のサービス証明書を各ユーザー クラスタにプロビジョニングし、GKE On-Prem は追加のサービス証明書をそれぞれのユーザー クラスタに追加します。

ユーザー クラスタの Kubernetes API サーバーの SNI を構成するには、usercluster.sni.certpath（外部証明書へのパス）と usercluster.sni.keypath（外部証明書の秘密鍵ファイルへのパス）の値を指定します。次に例を示します。

usercluster:
  sni:
    certpath: "/my-cert-folder/example.com.crt"
    keypath: "/my-cert-folder/example.com.key"

usagemetering

クラスタの使用状況の測定を有効にする場合は、このセクションに入力します。それ以外の場合は、このセクションを削除します。

usagemetering.bigqueryprojectid

文字列。使用状況の測定データを保存する Google Cloud プロジェクトの ID。例:

usagemetering:
  bigqueryprojectid: "my-bq-project"

usagemetering.bigquerydatasetid

文字列。使用状況の測定データを格納する BigQuery データセットの ID。次に例を示します。

usagemetering:
  bigquerydatasetid: "my-bq-dataset"

usagemetering.bigqueryserviceaccountkepPath

文字列。BigQuery サービス アカウントの JSON 鍵ファイルのパス。次に例を示します。

usagemetering:
  bigqueryserviceaccountkeypath: "my-key-folder/bq-key.json"

usagemetering.enableconsumptionmetering

ブール値。使用量をベースとした測定を有効にするには、これを true に設定します。それ以外の場合は false に設定します。次に例を示します。

usagemetering:
  enableconsumptionmetering: true

lbmode

統合負荷分散または手動負荷分散を使用できます。選択した負荷分散モードは、管理クラスタと初期ユーザー クラスタに適用されます。また、今後作成するユーザー クラスタにも適用されます。

lbmode の値を Integrated または Manual に設定して、負荷分散の選択を指定します。次に例を示します。

lbmode: Integrated

gkeconnect

gkeconnect 仕様には、GKE On-Prem で Google Cloud Console からオンプレミス クラスタの管理を設定するために必要な情報が含まれています。

gkeconnect.projectid を、オンプレミス クラスタを管理する Google Cloud プロジェクトのプロジェクト ID に設定します。

gkeconnect.registerserviceaccountkeypath の値を、登録サービス アカウントの JSON キーファイルのパスに設定します。gkeconnect.agentserviceaccountkeypath の値を、接続サービス アカウントの JSON キーファイルのパスに設定します。

例:

gkeconnect:
  projectid: "my-project"
  registerserviceaccountkeypath: "/my-key-folder/register-key.json"
  agentserviceaccountkeypath: "/my-key-folder/connect-key.json"

stackdriver

stackdriver 仕様には、オンプレミス クラスタで生成されたログエントリの保存のために GKE On-Prem で必要な情報が含まれています。

stackdriver.projectid を、オンプレミス クラスタに関連する Stackdriver のログを表示させる Google Cloud プロジェクトのプロジェクト ID に設定します。

stackdriver.clusterlocation を、Stackdriver ログを保存する Google Cloud リージョンに設定します。お使いのオンプレミス データセンターの近くのリージョンを選択することをおすすめします。

クラスタのネットワークが VPC によって制御されている場合は、stackdriver.enablevpc を true に設定します。これにより、すべてのテレメトリーが Google の制限された IP アドレスを通過するようになります。

stackdriver.serviceaccountkeypath の値を、Stackdriver Logging サービス アカウントの JSON キーファイルのパスに設定します。

例:

stackdriver:
  projectid: "my-project"
  clusterlocation: "us-west1"
  enablevpc: false
  serviceaccountkeypath: "/my-key-folder/stackdriver-key.json"

cloudrun.enabled

ブール値。Cloud Run を有効にする場合は、これを true に設定します。それ以外の場合は false に設定します。次に例を示します。

cloudrun:
  enabled: true

privateregistryconfig

非公開 Docker レジストリがある場合、privateregistryconfig フィールドには、GKE On-Prem がイメージを非公開レジストリに push するために使用する情報が保持されます。非公開レジストリを指定しない場合、gkectl は、インストール中に GKE On-Prem のコンテナ イメージを Container Registry リポジトリ（gcr.io/gke-on-prem-release）から pull します。

privatedockerregistry.credentials で、address を、非公開 Docker レジストリを実行するマシンの IP アドレスに設定します。username と password を、非公開 Docker レジストリのユーザー名とパスワードに設定します。address に設定した値は自動的に proxy.noproxy に追加されます。

Docker が非公開レジストリからイメージを pull する場合、レジストリは証明書を提示して自身の ID を証明する必要があります。レジストリの証明書は、認証局（CA）によって署名されます。Docker は、CA 証明書を使用してレジストリの証明書を検証します。

privateregistryconfig.cacertpath を CA 証明書のパスに設定します。例:

privateregistryconfig:
  cacertpath: /my-cert-folder/registry-ca.crt

gcrkeypath

gcrkeypath の値を、コンポーネント アクセス サービス アカウントの JSON キーファイルのパスに設定します。

次に例を示します。

gcrkeypath: "/my-key-folder/component-access-key.json"

cloudauditlogging

Kubernetes 監査ログを Google Cloud プロジェクトに送信する場合は、cloudauditlogging 仕様を入力します。例:

cloudauditlogging:
  projectid: "my-project"
  # A GCP region where you would like to store audit logs for this cluster.
  clusterlocation: "us-west1"
  # The absolute or relative path to the key file for a GCP service account used to
  # send audit logs from the cluster
  serviceaccountkeypath: "/my-key-folder/audit-logging-key.json"