Ce document explique comment créer un poste de travail administrateur pour Anthos clusters on VMware (GKE On-Prem), qui peut vous servir à créer des clusters.
La procédure décrite dans ce document utilise l'outil de ligne de commande gkeadm, disponible pour Linux 64 bits, Windows 10, Windows Server 2019 et macOS 10.15 et versions ultérieures.
Ces instructions sont complètes. Pour une introduction plus courte à la création d'un poste de travail d'administrateur, consultez la section Créer un poste de travail d'administrateur (guide de démarrage rapide).
Avant de commencer
Notez l'adresse de votre serveur vCenter.
Notez le chemin de votre certificat CA.
Créez un ou plusieurs projets Google Cloud, comme décrit dans Utiliser plusieurs projets Google Cloud.
Planifier les comptes de service
Lorsque vous utilisez gkeadm pour créer un poste de travail d'administrateur, vous avez la possibilité de laisser gkeadm créer la plupart de vos clés et comptes de service. Dans ce cas, gkeadm accorde également les rôles IAM appropriés aux comptes de service.
Vous pouvez également créer manuellement vos comptes de service et vos clés. Dans ce cas, vous devez attribuer manuellement des rôles IAM à vos comptes de service.
La création manuelle de comptes de service offre davantage de flexibilité que lorsque gkeadm les crée pour vous :
Les comptes de service créés automatiquement sont tous des enfants de votre projet Connect. Lorsque vous créez un compte de service manuellement, vous pouvez choisir le projet Google Cloud parent.
Les comptes de service créés automatiquement se voient attribuer tous les rôles IAM sur votre projet Connect. Cela ne pose aucun problème si votre projet Connect est le seul projet Google Cloud associé à vos clusters. Toutefois, si vous souhaitez associer vos clusters à plusieurs projets Google Cloud, vous devez attribuer des rôles à un compte de service sur le projet Google Cloud de votre choix.
Si vous décidez de créer vos propres comptes de service, suivez les instructions de la section Comptes de service et clés.
Que vous utilisiez ou non gkeadm pour créer automatiquement des comptes de service, vous devrez créer manuellement un compte de service : votre compte de service d'accès au composant. Pour savoir comment créer votre compte de service d'accès au composant et lui attribuer les rôles IAM appropriés, consultez la section Compte de service d'accès au composant.
Générer des modèles pour vos fichiers de configuration
Téléchargez gkeadm dans votre répertoire actuel.
Générer des modèles :
./gkeadm create config
La commande précédente a créé ces fichiers dans votre répertoire actuel :
credential.yamladmin-ws-config.yaml
Renseigner credential.yaml
Dans credential.yaml, renseignez votre nom d'utilisateur et votre mot de passe vCenter. Exemple :
kind: CredentialFile items: - name: vCenter username: "my-account-name" password: "AadmpqGPqq!a"
Renseigner admin-ws-config.yaml
Plusieurs champs de admin-ws-config.yaml sont déjà renseignés avec les valeurs par défaut ou générées. Vous pouvez conserver les valeurs renseignées automatiquement ou apporter des modifications le cas échéant.
Champs à renseigner manuellement.
Renseignez les champs obligatoires suivants. Pour en savoir plus sur comment renseigner les champs, consultez le fichier de configuration de poste de travail d'administrateur.
gcp:
whitelistedServiceAccountKeyPath: "Fill in"
vCenter:
credentials:
address: "Fill in"
datacenter: "Fill in"
datastore: "Fill in"
cluster: "Fill in"
network: "Fill in"
resourcePool: "Fill in"
caCertPath: "Fill in"
Si votre poste de travail d'administrateur se trouve derrière un serveur proxy, renseignez le champ proxyURL :
adminWorkstation: proxyURL: "Fill in"
Si vous souhaitez que votre poste de travail d'administrateur obtienne son adresse IP à partir d'un serveur DHCP, définissez ipAllocationMode sur "dhcp" et supprimez la section hostconfig :
adminWorkstation:
network:
ipAllocationMode: "dhcp"
Si vous souhaitez spécifier une adresse IP statique pour votre poste de travail d'administrateur, définissez ipAllocationMode sur "static" et renseignez la section hostconfig :
adminWorkstation:
network:
ipAllocationMode: "static"
hostconfig:
ip: "Fill in"
gateway: "Fill in"
netmask: "Fill in"
dns:
- "Fill in"
Créer votre poste de travail administrateur
Saisissez cette commande pour créer votre poste de travail d'administrateur. Si vous souhaitez que gkeadm crée des comptes de service pour vous, incluez l'option --auto-create-service-accounts. Si vous souhaitez créer manuellement vos propres comptes de service, omettez l'option.
./gkeadm create admin-workstation [--auto-create-service-accounts]
Le résultat fournit des informations détaillées sur la création de votre poste de travail d'administrateur :
... Getting ... service account... ... ******************************************************************** Admin workstation is ready to use. Admin workstation information saved to /usr/local/google/home/me/my-admin-workstation This file is required for future upgrades SSH into the admin workstation with the following command: ssh -i /usr/local/google/home/me/.ssh/gke-admin-workstation ubuntu@172.16.5.1 ********************************************************************
Obtenir une connexion SSH à votre poste de travail d'administrateur
Vers la fin du résultat précédent, vous obtenez une commande que vous pouvez utiliser pour vous connecter en SSH à votre poste de travail d'administrateur. Saisissez cette commande maintenant. Exemple :
ssh -i /usr/local/google/home/me/.ssh/gke-admin-workstation ubuntu@172.16.5.1
Répertoriez les fichiers sur votre poste de travail d'administrateur :
ls -1
Le résultat affiche deux fichiers de configuration de cluster, votre fichier de certificat CA et le fichier de clé JSON pour votre compte de service d'accès au composant. Si gkeadm a créé des comptes de service pour vous, vous pouvez également consulter les fichiers de clé JSON de ces comptes :
admin-cluster.yaml user-cluster.yaml vcenter-ca-cert.pem component-access-key.json
Vérifiez que gkeadm a activé votre compte de service d'accès au composant sur votre poste de travail administrateur :
gcloud config get-value account
Copier un fichier de clé JSON sur votre poste de travail administrateur
Avant de créer un cluster, les fichiers de clé JSON de vos comptes de service doivent se trouver sur le poste de travail administrateur dans le répertoire d'accueil.
La clé de votre compte de service d'accès au composant se trouve déjà sur votre poste de travail administrateur.
Si vous avez inclus l'option --auto-create-service-accounts lors de l'exécution de gkeadm create admin-workstation, les clés des comptes de service suivants se trouvent déjà sur votre poste de travail administrateur dans le répertoire d'accueil. Sinon, vous devez copier manuellement les clés dans le répertoire d'accueil de votre poste de travail administrateur :
- Compte de service connect-register
- Compte de service connect-agent
- Compte de service logging-monitoring
Si vous avez créé l'un des comptes de service suivants, vous devez copier manuellement les clés de ces comptes dans le répertoire d'accueil de votre poste de travail administrateur :
- Compte de service de mesure de l'utilisation
- Compte de service de journalisation d'audit
- Compte de service d'autorisation binaire
Étapes suivantes
Créer un cluster d'administrateur