Auf dieser Seite werden die Felder in der Clusterkonfigurationsdatei beschrieben, die in Anthos-Clustern auf VMware-GKE-Versionen (1.3) und früher verwendet wurden.
In Anthos-Clustern auf VMware-Version 1.4 wurden die Konfigurationsdateien geringfügig verändert. Die neuen Dateien werden als Konfigurationsdateien der Version 1 bezeichnet. Die Konfigurationsdateien, die in Anthos-Clustern auf VMware-Versionen vor 1.4 verwendet wurden, werden als Konfigurationsdateien der Version 0 bezeichnet.
Wenn Sie neue Funktionen verwenden möchten, die in Anthos-Clustern auf VMware Version 1.4 eingeführt wurden, müssen Sie v1-Konfigurationsdateien verwenden.
Die v0-Konfigurationsdateien sind mit den Tools in Anthos-Clustern auf VMware 1.4 kompatibel. Sie können beispielsweise eine v0-Konfigurationsdatei an den gkectl create cluster
-Befehl in Anthos-Clustern auf VMware 1.4 übergeben.
Außerdem können Sie Befehle ausführen, mit denen Ihre v0-Konfigurationsdateien in v1-Konfigurationsdateien konvertiert werden.
Konfigurationsdateien konvertieren
Anthos-Cluster auf VMware 1.4 verwenden separate Konfigurationsdateien für die Administrator- und Nutzercluster. Sie verwenden also eine Konfigurationsdatei, um Ihren Administratorcluster zu erstellen, und eine andere Konfigurationsdatei, um einen Nutzercluster zu erstellen.
So konvertieren Sie eine v0-Konfigurationsdatei in eine v1-Administratorcluster-Konfigurationsdatei:
gkectl create-config admin --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]
Dabei gilt:
[OLD_CONFIG_PATH] ist der Pfad Ihrer v0-Konfigurationsdatei.
[OUTPUT_PATH] ist ein Pfad Ihrer Wahl für die generierte v1-Administratorcluster-Konfigurationsdatei. Wenn Sie dieses Flag weglassen, benennt
gkectl
die Dateiadmin-cluster.yaml
und speichert sie im aktuellen Verzeichnis.
So konvertieren Sie eine v0-Konfigurationsdatei in eine v1-Nutzercluster-Konfigurationsdatei:
gkectl create-config cluster --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]
[OLD_CONFIG_PATH] ist der Pfad Ihrer v0-Konfigurationsdatei.
[OUTPUT_PATH] ist ein Pfad Ihrer Wahl für die generierte v1-Nutzercluster-Konfigurationsdatei. Wenn Sie dieses Flag weglassen, benennt
gkectl
die Dateiuser-cluster.yaml
und speichert sie im aktuellen Verzeichnis.
Vorlage für die v0-Konfigurationsdatei
v0-Konfigurationsdatei ausfüllen
Wenn Sie eine v0-Konfigurationsdatei verwenden, geben Sie die in diesem Abschnitt beschriebenen Feldwerte ein.
bundlepath
Die Bundle-Datei von Anthos-Cluster auf VMware enthält alle Komponenten in einem bestimmten Release von Anthos-Cluster auf VMware.
Wenn Sie eine Administrator-Workstation erstellen, erhalten Sie ein vollständiges Bundle unter /var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz
. Die Version dieses Bundles entspricht der Version der OVA, die Sie zum Erstellen der Administratorworkstation importiert haben.
Legen Sie den Wert von bundlepath
auf den Pfad der Bundle-Datei Ihrer Administratorworkstation fest. Setzen Sie also bundlepath
auf:
/var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz
Dabei ist [VERSION] die Version von Anthos-Cluster auf VMware, die Sie installieren. Die neueste Version ist 1.6.0-gke.7.
Sie können Ihre Bundle-Datei an einem anderen Speicherort oder unter einem anderen Namen speichern. Achten Sie aber darauf, dass in Ihrer Konfigurationsdatei der Wert von bundlepath
dem Pfad zu Ihrer Bundle-Datei entspricht.
vCenter-Spezifikation
Die vcenter
-Spezifikation enthält Informationen zu Ihrer vCenter Server-Instanz.
Anthos-Cluster auf VMware benötigt diese Informationen, um mit Ihrem vCenter-Server zu kommunizieren.
vcenter.credentials.address
Das Feld vcenter.credentials.address
enthält die IP-Adresse oder den Hostnamen Ihres vCenter-Servers.
Bevor Sie das Feld vsphere.credentials.address field
ausfüllen, laden Sie das bereitgestellte Zertifikat Ihres vCenter-Servers herunter und prüfen Sie es. Geben Sie den folgenden Befehl ein, um das Zertifikat herunterzuladen und in einer Datei namens vcenter.pem
zu speichern:
true | openssl s_client -connect [VCENTER_IP]:443 -showcerts 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' > vcenter.pem
Öffnen Sie die Zertifikatsdatei, um den "Subject Common Name" und den "Subject Alternative Name" zu ermitteln:
openssl x509 -in vcenter.pem -text -noout
Die Ausgabe enthält den Subject
Common Name (CN). Dies kann eine IP-Adresse oder ein Hostname sein. Beispiel:
Subject: ... CN = 203.0.113.100
Subject: ... CN = my-host.my-domain.example
Die Ausgabe kann auch unter Subject Alternative Name
einen oder mehrere DNS-Namen enthalten:
X509v3 Subject Alternative Name: DNS:vcenter.my-domain.example
Wählen Sie den Common Name Subject
oder einen der DNS-Namen unter Subject Alternative Name
als Wert für vcenter.credentials.address
in Ihrer Konfigurationsdatei aus. Beispiel:
vcenter: credentials: address: "203.0.113.1" ...
vcenter: credentials: address: "my-host.my-domain.example" ...
Sie müssen einen Wert auswählen, der im Zertifikat angezeigt wird. Wenn die IP-Adresse beispielsweise nicht im Zertifikat enthalten ist, können Sie sie nicht für vcenter.credentials.address
verwenden.
vcenter.credential.username, .password
Anthos-Cluster auf VMware muss den Nutzernamen und das Passwort Ihres vCenter-Servers kennen. Legen Sie dazu die Werte username
und password
unter vcenter.credentials
fest. Beispiel:
vcenter: credentials: username: "my-name" password: "my-password"
vcenter.datacenter, .datastore, .cluster, .network
Anthos-Cluster auf VMware benötigt Informationen über die Struktur Ihrer vSphere-Umgebung. Legen Sie dazu die Werte unter vcenter
fest.
Beispiel:
vcenter: datacenter: "MY-DATACENTER" datastore: "MY-DATASTORE" cluster: "MY-VSPHERE-CLUSTER" network: "MY-VIRTUAL-NETWORK"
vcenter.resourcepool
Ein vSphere-Ressourcenpool ist eine logische Gruppierung von vSphere-VMs in Ihrem vSphere-Cluster. Wenn Sie einen anderen Ressourcenpool als den Standardpool verwenden, geben Sie seinen Namen in vcenter.resourcepool
an. Beispiel:
vcenter: resourcepool: "my-pool"
Wenn Sie möchten, dass Anthos-Cluster auf VMware seine Knoten im Standardressourcenpool des vSphere-Clusters bereitstellt, stellen Sie für vcenter.resourcepool
einen leeren String bereit. Beispiel:
vcenter: resourcepool: ""
vcenter.datadisk
Anthos-Cluster auf VMware erstellt ein VM-Laufwerk (VMDK) für die Kubernetes-Objektdaten des Administratorclusters. Das Installationsprogramm erstellt das VMDK für Sie, aber Sie müssen im Feld vcenter.datadisk
einen Namen für das VMDK angeben.
Beispiel:
vcenter: datadisk: "my-disk.vmdk"
- vSAN-Datenspeicher: Ordner für das VMDK erstellen
Wenn Sie einen vSAN-Datenspeicher verwenden, müssen Sie das VMDK in einem Ordner ablegen. Sie müssen den Ordner im Voraus manuell erstellen. Erstellen Sie dazu mit
govc
einen Ordner:govc datastore.mkdir -namespace=true my-gke-on-prem-folder
Legen Sie dann
vcenter.datadisk
auf den Pfad des VMDK einschließlich des Ordners fest. Beispiel:vcenter: datadisk: "my-gke-on-prem-folder/my-disk.vmdk"
In Version 1.1.1 und früheren Versionen muss aufgrund eines bekannten Problems der UUID-Pfad (Universally Unique Identifier) des Ordners und nicht den Dateipfad für
vcenter.datadisk
angegeben werden. Kopieren Sie dies aus der Ausgabe des obigengovc
-Befehls.Geben Sie dann die UUID des Ordners in das Feld
vcenter.datadisk
ein. Fügen Sie keinen Schrägstrich vor der UUID ein. Beispiel:vcenter: datadisk: "14159b5d-4265-a2ba-386b-246e9690c588/my-disk.vmdk"
Dieses Problem wurde ab der Version 1.1.2 behoben.
vcenter.cacertpath
Wenn ein Client wie Anthos-Cluster auf VMware eine Anfrage an vCenter-Server sendet, muss der Server seine Identität gegenüber dem Client durch Vorlage eines Zertifikats oder eines Zertifikatpakets bestätigen. Zum Bestätigen des Zertifikats oder Bundles muss Anthos-Cluster auf VMware das Stammzertifikat in der Vertrauenskette haben.
Legen Sie für vcenter.cacertpath
den Pfad des Root-Zertifikats fest. Beispiel:
vcenter: cacertpath: "/my-cert-folder/the-root.crt"
Ihre VM-Installation hat eine Zertifizierungsstelle (Certificate Authority, CA), die ein Zertifikat für Ihren vCenter-Server ausstellt. Das Root-Zertifikat in der Vertrauenskette ist ein selbst signiertes Zertifikat, das von VMware erstellt wurde.
Wenn Sie nicht die VMware-Standardzertifizierungsstelle verwenden möchten, können Sie VMware so konfigurieren, dass eine andere Zertifizierungsstelle genutzt wird.
Sollte Ihr vCenter-Server ein von der VMware-Standardzertifizierungsstelle ausgestelltes Zertifikat verwenden, gibt es mehrere Möglichkeiten, das Root-Zertifikat abzurufen:
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
Dabei ist [SERVER_ADDRESS] die Adresse Ihres vCenter-Servers.
Geben Sie in einem Browser die Adresse Ihres vCenter-Servers ein. Klicken Sie im grauen Feld rechts auf Vertrauenswürdige Root-CA-Zertifikate herunterladen.
Geben Sie den folgenden Befehl ein, um das bereitgestellte Zertifikat abzurufen:
true | openssl s_client -connect [SERVER_ADDRESS]:443 -showcerts
Suchen Sie in der Ausgabe nach einer URL wie dieser: https://[SERVER_ADDRESS]/afd/vecs/ca. Geben Sie die URL in einen Browser ein. Dadurch wird das Root-Zertifikat heruntergeladen.
Die heruntergeladene Datei heißt downloads.zip
.
Entpacken Sie die Datei:
unzip downloads.zip
Wenn der Befehl zum Entpacken beim ersten Mal nicht funktioniert, geben Sie ihn noch einmal ein.
Suchen Sie die Zertifikatsdatei in certs/lin
.
Proxy-Spezifikation
Wenn sich Ihr Netzwerk hinter einem Proxyserver befindet, füllen Sie das Feld proxy
mit dem HTTPS-Proxy und den Adressen, die vom Proxy ausgeschlossen werden sollen. Beispiel:
proxy: url: "https://username:password@domain" noproxy: "10.0.1.0/24,private-registry.example,10.0.2.1"
proxy.url
ist die URL des HTTPS-Proxys.proxy.noproxy
enthält die CIDR-Bereiche, IP-Adressen, Domains und Hostnamen, die nicht weitergeleitet werden sollten. Beispielsweise sollten Aufrufe von IP-Adressen von Clusterknoten nicht weitergeleitet werden. Wenn Sie also ein Subnetz haben, das nur Clusterknoten enthält, können Sie den CIDR-Bereich des Subnetzes im Feldnoproxy
auflisten. Achten Sie auf Folgendes: Wennprivateregistryconfig
angegeben ist, wird diese Adresse automatisch hinzugefügt, um Aufrufe Ihrer privaten Registry zu verhindern.
Spezifikation des Administratorclusters
Die Spezifikation admincluster
enthält Informationen, die Anthos-Cluster auf VMware benötigt, um den Administratorcluster zu erstellen.
admincluster.vcenter.network
In admincluster.vcenter.network
können Sie ein vCenter-Netzwerk für Ihre Administratorclusterknoten angeben. Dadurch wird die globale Einstellung überschrieben, die Sie in vcenter
angegeben haben. Beispiel:
admincluster: vcenter: network: MY-ADMIN-CLUSTER-NETWORK
admincluster.ipblockfilepath
Da Sie statische IP-Adressen verwenden, benötigen Sie eine Hostkonfigurationsdatei, wie unter Statische IP-Adressen konfigurieren beschrieben. Geben Sie im Feld admincluster.ipblockfilepath
den Pfad zu Ihrer Hostkonfigurationsdatei ein. Beispiel:
admincluster: ipblockfilepath: "/my-config-folder/my-admin-hostconfig.yaml"
admincluster.manuallbspec.ingresshttpnoodeport, .ingresshttpsnodeport
Diese Fehler entfernen. Sie werden nicht im Administratorcluster verwendet.
admincluster.manuallbspec.controlplanenodeport, .addonsnodeport (manueller Load-Balancing-Modus)
Der Kubernetes API-Server im Administratorcluster ist als Dienst vom Typ NodePort
implementiert. Wenn Sie das manuelle Load-Balancing verwenden, müssen Sie einen Wert von nodePort
für den Dienst auswählen. Geben Sie den nodePort
-Wert in controlplanenodeport
an. Beispiel:
admincluster: manuallbspec: controlplanenodeport: 30968
Der Add-on-Server im Administratorcluster ist als Dienst vom Typ NodePort
implementiert. Wenn Sie das manuelle Load-Balancing verwenden, müssen Sie einen Wert von nodePort
für den Dienst auswählen. Geben Sie den nodePort
-Wert in controlplanenodeport
an. Beispiel:
admincluster: manuallbspec: addonsnodeport: 30562
admincluster.bigip.credentials (integrierter Load-Balancing-Modus)
Wenn Sie das integrierte Load-Balancing nicht verwenden, lassen Sie admincluster.bigip
auskommentiert.
Wenn Sie den integrierten Load-Balancing-Modus verwenden, muss Anthos-Cluster auf VMware die IP-Adresse oder den Hostnamen, den Nutzernamen und das Passwort Ihres F5 BIG-IP-Load-Balancers kennen. Legen Sie dazu die Werte unter admincluster.bigip
fest.
Beispiel:
admincluster: bigip: credentials: address: "203.0.113.2" username: "my-admin-f5-name" password: "rJDlm^%7aOzw"
admincluster.bigip.partition (integrierter Load-Balancing-Modus)
Wenn Sie den eingebundenen Load-Balancing-Modus verwenden, müssen Sie eine BIG-IP-Partition für Ihren Administratorcluster erstellen. Setzen Sie admincluster.bigip.partition
auf den Namen Ihrer Partition. Beispiel:
admincluster: bigip: partition: "my-admin-f5-partition"
admincluster.vips
Unabhängig davon, ob Sie eingebundenes oder manuelles Load-Balancing für den Administratorcluster verwenden, müssen Sie das Feld admincluster.vips
ausfüllen.
Setzen Sie den Wert von admincluster.vips.controlplanevip
auf die IP-Adresse, die Sie für den Load-Balancer für den Kubernetes API-Server des Administratorclusters konfiguriert haben. Legen Sie den Wert von addonsvip
auf die IP-Adresse fest, die Sie im Load-Balancer für Add-ons konfiguriert haben. Beispiel:
admincluster: vips: controlplanevip: 203.0.113.3 addonsvip: 203.0.113.4
admincluster.serviceiprange und admincluster.podiprange
Der Administratorcluster muss einen Bereich von IP-Adressen für Dienste und einen Bereich von IP-Adressen für Pods haben. Diese Bereiche werden durch die Felder admincluster.serviceiprange
und admincluster.podiprange
festgelegt. Diese Felder werden ausgefüllt, wenn Sie gkectl create-config
ausführen. Sie können die Werte auch ändern.
Die Bereich für Dienste und Pods dürfen sich nicht überschneiden. Außerdem dürfen sich diese beiden Bereiche nicht mit IP-Adressen überschneiden, die für Knoten in einem Cluster verwendet werden.
Beispiel:
admincluster: serviceiprange: 10.96.232.0/24 podiprange: 192.168.0.0/16
admincluster.antiaffinitygrous.enabled
Boolescher Wert. Legen Sie dafür true
fest, wenn das Erstellen von DRS-Regeln aktiviert werden soll. Andernfalls legen Sie false
fest. Beispiel:
admincluster: antiAffinityGroups: enabled true
Nutzercluster-Spezifikation
Die Nutzerclusterspezifikation usercluster
enthält Informationen, die Anthos-Cluster auf VMware benötigt, um den ersten Nutzercluster zu erstellen.
usercluster.vcenter.network
In usercluster.vcenter.network
können Sie ein vCenter-Netzwerk für Ihre Nutzercluster-Knoten angeben. Dadurch wird die globale Einstellung überschrieben, die Sie in vcenter
angegeben haben. Beispiel:
usercluster: vcenter: network: MY-USER-CLUSTER-NETWORK
usercluster.ipblockfilepath
Da Sie statische IP-Adressen verwenden, benötigen Sie eine Hostkonfigurationsdatei, wie unter Statische IP-Adressen konfigurieren beschrieben.
Geben Sie im Feld usercluster.ipblockfilepath
den Pfad zu Ihrer Hostkonfigurationsdatei ein. Beispiel:
usercluster: ipblockfilepath: "/my-config-folder/my-user-hostconfig.yaml"
usercluster.manuallbspec
(manueller Load-Balancing-Modus)
Der Ingress-Controller im Nutzercluster ist als Dienst vom Typ NodePort implementiert.
Der Dienst hat einen ServicePort für HTTP und einen weiteren ServicePort für HTTPS. Wenn Sie den manuellen Load-Balancing-Modus verwenden, müssen Sie nodePort
-Werte für diese ServicePorts auswählen.
Geben Sie die nodePort
-Werte in ingresshttpnodeport
und ingresshttpsnodeport
an. Beispiel:
usercluster: manuallbspec: ingresshttpnodeport: 30243 ingresshttpsnodeport: 30879
Der Kubernetes API-Server im Nutzercluster ist als Dienst vom Typ NodePort
implementiert. Wenn Sie das manuelle Load-Balancing verwenden, müssen Sie einen Wert von nodePort
für den Dienst auswählen. Geben Sie den nodePort
-Wert in controlplanenodeport
an. Beispiel:
usercluster: manuallbspec: controlplanenodeport: 30562
usercluster.bigip.credentials
(eingebundener Load-Balancing-Modus)
Wenn Sie den integrierten Load-Balancing-Modus verwenden, muss Anthos-Cluster auf VMware die IP-Adresse oder den Hostnamen, den Nutzernamen und das Passwort des F5 BIG-IP-Load-Balancers kennen, den Sie für den Nutzercluster verwenden möchten. Legen Sie dazu die Werte unter usercluster.bigip
fest.
Beispiel:
usercluster: bigip: credentials: address: "203.0.113.5" username: "my-user-f5-name" password: "8%jfQATKO$#z"
usercluster.bigip.partition
(eingebundener Load-Balancing-Modus)
Wenn Sie den eingebundenen Load-Balancing-Modus verwenden, müssen Sie für Ihren Nutzercluster eine BIG-IP-Partition erstellen. Setzen Sie usercluster.bigip.partition
auf den Namen Ihrer Partition. Beispiel:
usercluster: bigip: partition: "my-user-f5-partition"
usercluster.vips
Unabhängig davon, ob Sie eingebundenes oder manuelles Load-Balancing für den Nutzercluster verwenden, müssen Sie das Feld usercluster.vips
ausfüllen.
Setzen Sie den Wert von usercluster.vips.controlplanevip
auf die IP-Adresse, die Sie für den Load-Balancer für den Kubernetes API-Server des Nutzerclusters konfiguriert haben. Setzen Sie den Wert von ingressvip
auf die IP-Adresse, die Sie für den Load-Balancer für den Ingress-Controller des Nutzerclusters konfiguriert haben. Beispiel:
usercluster: vips: controlplanevip: 203.0.113.6 ingressvip: 203.0.113.7
usercluster.clustername
Setzen Sie den Wert von usercluster.clustername
auf einen Namen Ihrer Wahl. Wählen Sie einen Namen aus, der aus höchstens 40 Zeichen besteht. Beispiel:
usercluster: clustername: "my-user-cluster-1"
usercluster.masternode.cpus
und usercluster.masternode.memorymb
Durch die Felder usercluster.masternode.cpus
und usercluster.masternode.memorymb
wird festgelegt, wie viele CPUs und wie viel Arbeitsspeicher (in Megabyte) jedem Knoten für die Steuerungsebene des Nutzerclusters zugewiesen werden. Beispiel:
usercluster: masternode: cpus: 4 memorymb: 8192
usercluster.masternode.replicas
Das Feld usercluster.masternode.replicas
legt fest, wie viele Knoten der Steuerungsebene der Nutzercluster haben soll. Ein Knoten der Steuerungsebene eines Nutzerclusters führt die Nutzersteuerungsebene aus, die Komponenten der Kubernetes-Steuerungsebene. Dieser Wert muss 1
oder 3
sein.
- Legen Sie für dieses Feld
1
fest, um eine Nutzersteuerungsebene auszuführen. - Legen Sie dieses Feld auf
3
fest, wenn Sie eine hochverfügbare Nutzersteuerungsebene aus drei Knoten für die Steuerungsebene haben möchten, die jeweils eine Nutzersteuerungsebene ausführen.
usercluster.workernode.cpus
und usercluster.workernode.memorymb
Durch die Felder usercluster.workernode.cpus
und usercluster.workernode.memorymb
wird angegeben, wie viele CPUs und wie viel Arbeitsspeicher (in Megabyte) jedem Worker-Knoten des Nutzerclusters zugewiesen werden. Beispiel:
usercluster: workernode: cpus: 4 memorymb: 8192 replicas: 3
usercluster.workernode.replicas
Das Feld usercluster.workernode.replicas
gibt an, wie viele Worker-Knoten der Nutzercluster haben soll. Die Clusterarbeitslasten werden von den Worker-Knoten ausgeführt.
usercluster.antiaffinitygrous.enabled
Boolescher Wert. Legen Sie dafür true
fest, wenn das Erstellen von DRS-Regeln aktiviert werden soll. Andernfalls legen Sie false
fest. Beispiel:
antiAffinityGroups: enabled true
usercluster.serviceiprange
und usercluster.podiprange
Der Nutzercluster muss einen IP-Adressbereich für Dienste und einen für Pods haben. Diese Bereiche werden durch die Felder usercluster.serviceiprange
und usercluster.podiprange
angegeben. Diese Felder werden ausgefüllt, wenn Sie gkectl create-config
ausführen. Sie können die Werte auch ändern.
Die Bereich für Dienste und Pods dürfen sich nicht überschneiden. Außerdem dürfen sich diese beiden Bereiche nicht mit IP-Adressen überschneiden, die für Knoten in einem Cluster verwendet werden.
Beispiel:
usercluster: serviceiprange: 10.96.233.0/24 podiprange: 172.16.0.0/12
usercluster.oidc
Wenn Sie möchten, dass Clients des Nutzerclusters die OIDC-Authentifizierung verwenden, legen Sie Werte für die Felder unter usercluster.oidc
fest. Die Konfiguration von OIDC ist optional.
Informationen zum Konfigurieren von OIDC finden Sie unter Mit OIDC authentifizieren.
- Informationen zur Installation von Version 1.0.2-gke.3
In Version 1.0.2-gke.3 werden die folgenden OIDC-Felder (
usercluster.oidc
) eingeführt. Mit diesen Feldern können Sie sich von der Google Cloud Console aus in einem Cluster anmelden:- usercluster.oidc.kubectlredirecturl
- usercluster.oidc.clientsecret
- usercluster.oidc.usehttpproxy
Wenn Sie in Version 1.0.2-gke.3 OIDC verwenden möchten, ist das Feld
clientsecret
erforderlich, auch wenn Sie sich nicht über die Google Cloud Console bei einem Cluster anmelden möchten. In diesem Fall können Sie einen Platzhalterwert fürclientsecret
angeben:oidc: clientsecret: "secret"
usercluster.sni
Server Name Indication (SNI), eine Erweiterung von Transport Layer Security (TLS), ermöglicht es Servern, je nach vom Client angegebenen Hostnamen mehrere Zertifikate an einer einzigen IP-Adresse und einem TCP-Port zu zeigen.
Wenn Ihre Zertifizierungsstelle bereits als vertrauenswürdige Zertifizierungsstelle an Clients außerhalb Ihres Nutzerclusters verteilt ist und Sie diese Kette zur Identifizierung vertrauenswürdiger Cluster verwenden möchten, können Sie den Kubernetes API-Server mit einem zusätzlichen Zertifikat konfigurieren, das externen Clients der Load Balancer-IP-Adresse angezeigt wird.
Wenn Sie SNI mit Ihren Nutzerclustern verwenden möchten, benötigen Sie eine eigene Zertifizierungsstelle und eine Public-Key-Infrastruktur (PKI). Sie stellen für jeden Nutzercluster ein separates Bereitstellungszertifikat bereit und Anthos-Cluster auf VMware fügt jedes zusätzliche Bereitstellungszertifikat zu dem entsprechenden Nutzercluster hinzu.
Um SNI für den Kubernetes API-Server des Nutzerclusters zu konfigurieren, geben Sie Werte für usercluster.sni.certpath
(Pfad zum externen Zertifikat) und usercluster.sni.keypath
(Pfad zur Datei des privaten Schlüssels des externen Zertifikats) an.
Beispiel:
usercluster: sni: certpath: "/my-cert-folder/example.com.crt" keypath: "/my-cert-folder/example.com.key"
usagemetering
Wenn Sie die Nutzungsmessung für Ihren Cluster aktivieren möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.
usagemetering.bigqueryprojectid
String. Die ID des Google Cloud-Projekts, in dem Sie Nutzungsmessdaten speichern möchten. Beispiel:
usagemetering: bigqueryprojectid: "my-bq-project"
usagemetering.bigquerydatasetid
String. Die ID des BigQuery-Datasets, in dem Sie Nutzungsmessdaten speichern möchten. Beispiel:
usagemetering: bigquerydatasetid: "my-bq-dataset"
usagemetering.bigqueryserviceaccountkepPath
String. Der Pfad der JSON-Schlüsseldatei für Ihr BigQuery-Dienstkonto. Beispiel:
usagemetering: bigqueryserviceaccountkeypath: "my-key-folder/bq-key.json"
usagemetering.enableconsumptionmetering
Boolescher Wert. Legen Sie für dieses Feld true
fest, wenn Sie die verbrauchsbasierte Messung aktivieren möchten.
Andernfalls legen Sie false
fest. Beispiel:
usagemetering: enableconsumptionmetering: true
lbmode
Sie können das eingebundene oder das manuelle Load-Balancing verwenden. Der ausgewählte Load-Balancing-Modus gilt für Ihren Administratorcluster und Ihren ersten Nutzercluster. Er gilt auch für alle zusätzlichen Nutzercluster, die Sie in Zukunft erstellen.
Geben Sie das gewünschte Load-Balancing an. Setzen Sie dazu den Wert von lbmode
auf Integrated
oder Manual
. Beispiel:
lbmode: Integrated
gkeconnect
Die Spezifikation gkeconnect
enthält Informationen, die Anthos-Cluster auf VMware verwenden muss, um die Verwaltung Ihrer lokalen Cluster über die Google Cloud Console einzurichten.
Legen Sie für gkeconnect.projectid
die Projekt-ID des Google Cloud-Projekts fest, in dem Sie Ihre lokalen Cluster verwalten möchten.
Legen Sie den Wert von gkeconnect.registerserviceaccountkeypath
auf den Pfad der JSON-Schlüsseldatei für Ihr Registrierungsdienstkonto fest.
Legen Sie den Wert von gkeconnect.agentserviceaccountkeypath
auf den Pfad der JSON-Schlüsseldatei für Ihr Verbindungsdienstkonto fest.
Beispiel:
gkeconnect: projectid: "my-project" registerserviceaccountkeypath: "/my-key-folder/register-key.json" agentserviceaccountkeypath: "/my-key-folder/connect-key.json"
stackdriver
Die stackdriver
-Spezifikation enthält Informationen, die Anthos-Cluster auf VMware speichern muss, um Logeinträge zu speichern, die von Ihren lokalen Clustern generiert wurden.
Legen Sie für stackdriver.projectid
die Projekt-ID des Google Cloud-Projekts fest, in dem Sie Stackdriver-Logs zu Ihren lokalen Clustern aufrufen möchten.
Legen Sie stackdriver.clusterlocation
für eine Google Cloud-Region fest, in der Sie Stackdriver-Logs speichern möchten. Es empfiehlt sich, eine Region in der Nähe Ihres lokalen Rechenzentrums auszuwählen.
Setzen Sie stackdriver.enablevpc
auf true
, wenn das Netzwerk Ihres Clusters durch eine VPC gesteuert wird. So wird gewährleistet, dass alle Telemetriedaten über die eingeschränkten IP-Adressen von Google übertragen werden.
Legen Sie stackdriver.serviceaccountkeypath
auf den Pfad der JSON-Schlüsseldatei für Ihr Stackdriver Logging-Dienstkonto fest.
Beispiel:
stackdriver: projectid: "my-project" clusterlocation: "us-west1" enablevpc: false serviceaccountkeypath: "/my-key-folder/stackdriver-key.json"
cloudrun.enabled
Boolescher Wert. Legen Sie für dieses Feld true
fest, wenn Sie Cloud Run aktivieren möchten. Andernfalls legen Sie false
fest. Beispiel:
cloudrun: enabled: true
privateregistryconfig
Wenn Sie eine private Docker-Registry haben, enthält das Feld privateregistryconfig
Informationen, mit denen Anthos-Cluster auf VMware Images in Ihre private Registry überträgt. Wenn Sie keine private Registry angeben, ruft gkectl
während der Installation die Container-Images von Anthos-Cluster auf VMware aus dessen Container Registry-Repository, gcr.io/gke-on-prem-release
, ab.
Legen Sie unter privatedockerregistry.credentials
address
auf die IP-Adresse des Computers fest, auf dem Ihre private Docker-Registry ausgeführt wird. Legen Sie username
und password
auf den Nutzernamen sowie das Passwort Ihrer privaten Docker-Registry fest. Der Wert, den Sie für address
festlegen, wird automatisch proxy.noproxy
hinzugefügt.
Wenn Docker ein Image aus Ihrer privaten Registry abruft, muss die Registry ihre Identität anhand eines Zertifikats nachweisen. Das Zertifikat der Registry wird von einer Zertifizierungsstelle signiert. Docker verwendet das Zertifikat der Zertifizierungsstelle, um das Zertifikat der Registry zu validieren.
Setzen Sie privateregistryconfig.cacertpath
auf den Pfad des Zertifikats der Zertifizierungsstelle. Beispiel:
privateregistryconfig: cacertpath: /my-cert-folder/registry-ca.crt
gcrkeypath
Legen Sie den Wert von gcrkeypath
auf den Pfad der JSON-Schlüsseldatei für Ihr Dienstkonto für den Zugriff auf Komponenten fest.
Beispiel:
gcrkeypath: "/my-key-folder/component-access-key.json"
cloudauditlogging
Wenn Sie Ihre Kubernetes-Audit-Logs an Ihr Google Cloud-Projekt senden möchten, füllen Sie die cloudauditlogging
-Spezifikation aus. Beispiel:
cloudauditlogging: projectid: "my-project" # A GCP region where you would like to store audit logs for this cluster. clusterlocation: "us-west1" # The absolute or relative path to the key file for a GCP service account used to # send audit logs from the cluster serviceaccountkeypath: "/my-key-folder/audit-logging-key.json"