Alte Clusterkonfigurationsdatei

Auf dieser Seite werden die Felder in der Clusterkonfigurationsdatei beschrieben, die in Anthos-Clustern auf VMware-GKE-Versionen (1.3) und früher verwendet wurden.

In Anthos-Clustern auf VMware-Version 1.4 wurden die Konfigurationsdateien geringfügig verändert. Die neuen Dateien werden als Konfigurationsdateien der Version 1 bezeichnet. Die Konfigurationsdateien, die in Anthos-Clustern auf VMware-Versionen vor 1.4 verwendet wurden, werden als Konfigurationsdateien der Version 0 bezeichnet.

Wenn Sie neue Funktionen verwenden möchten, die in Anthos-Clustern auf VMware Version 1.4 eingeführt wurden, müssen Sie v1-Konfigurationsdateien verwenden.

Die v0-Konfigurationsdateien sind mit den Tools in Anthos-Clustern auf VMware 1.4 kompatibel. Sie können beispielsweise eine v0-Konfigurationsdatei an den gkectl create cluster-Befehl in Anthos-Clustern auf VMware 1.4 übergeben. Außerdem können Sie Befehle ausführen, mit denen Ihre v0-Konfigurationsdateien in v1-Konfigurationsdateien konvertiert werden.

Konfigurationsdateien konvertieren

Anthos-Cluster auf VMware 1.4 verwenden separate Konfigurationsdateien für die Administrator- und Nutzercluster. Sie verwenden also eine Konfigurationsdatei, um Ihren Administratorcluster zu erstellen, und eine andere Konfigurationsdatei, um einen Nutzercluster zu erstellen.

So konvertieren Sie eine v0-Konfigurationsdatei in eine v1-Administratorcluster-Konfigurationsdatei:

gkectl create-config admin --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]

Dabei gilt:

• [OLD_CONFIG_PATH] ist der Pfad Ihrer v0-Konfigurationsdatei.

• [OUTPUT_PATH] ist ein Pfad Ihrer Wahl für die generierte v1-Administratorcluster-Konfigurationsdatei. Wenn Sie dieses Flag weglassen, benennt gkectl die Datei admin-cluster.yaml und speichert sie im aktuellen Verzeichnis.

So konvertieren Sie eine v0-Konfigurationsdatei in eine v1-Nutzercluster-Konfigurationsdatei:

gkectl create-config cluster --from [OLD_CONFIG_PATH] --config [OUTPUT_PATH]

• [OLD_CONFIG_PATH] ist der Pfad Ihrer v0-Konfigurationsdatei.

• [OUTPUT_PATH] ist ein Pfad Ihrer Wahl für die generierte v1-Nutzercluster-Konfigurationsdatei. Wenn Sie dieses Flag weglassen, benennt gkectl die Datei user-cluster.yaml und speichert sie im aktuellen Verzeichnis.

Vorlage für die v0-Konfigurationsdatei

# Absolute path to a GKE bundle on disk
# Absolute path to a GKE bundle on disk
bundlepath: ""
# Specify which vCenter resources to use for deployment
vcenter:
  # The credentials and address GKE should use to connect to vCenter
  credentials:
    address: ""
    username: ""
    password: ""
  datacenter: ""
  datastore: ""
  cluster: ""
  network: ""
  resourcepool: ""
  # Provide the name for the persistent disk to be used by the deployment (ending
  # in .vmdk). Any directory in the supplied path must be created before deployment.
  # Not required when adding additional user clusters
  datadisk: ""
  # Provide the path to vCenter CA certificate pub key for SSL verification
  cacertpath: ""
# Specify the proxy configuration.
proxy:
  # The URL of the proxy
  url: ""
  # The domains and IP addresses excluded from proxying
  noproxy: ""
# Specify admin cluster settings for a fresh Anthos clusters on VMware deployment. Omit this section
# and use the --kubeconfig flag when adding a new user cluster to an existing deployment
admincluster:
  # In-Cluster vCenter configuration
  vcenter:
    # If specified it overwrites the network field in global vcenter configuration
    network: ""
  # # The absolute or relative path to the yaml file to use for static IP allocation.
  # # Do not include if using DHCP
  # ipblockfilepath: ""
  # # Specify pre-defined nodeports if using "manual" load balancer mode
  # manuallbspec:
  #   ingresshttpnodeport: 0
  #   ingresshttpsnodeport: 0
  #   controlplanenodeport: 30968
  #   addonsnodeport: 31405
  # Specify the already-existing partition and credentials to use with F5
  bigip:
    # To re-use credentials across clusters we recommend using YAML node anchors.
    # See https://yaml.org/spec/1.2/spec.html#id2785586
    credentials:
      address: ""
      username: ""
      password: ""
    partition: ""
    # # Optionally specify a pool name if using SNAT
    # snatpoolname: ""
  # The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlplanevip: ""
    # # Used for admin cluster addons (needed for multi cluster features). Must be the same
    # # across clusters
    # addonsvip: ""
  # The Kubernetes service CIDR range for the cluster. Must not overlap with the pod
  # CIDR range
  serviceiprange: 10.96.232.0/24
  # The Kubernetes pod CIDR range for the cluster. Must not overlap with the service
  # CIDR range
  podiprange: 192.168.0.0/16
  # Spread nodes across at least three physical hosts (requires at least three hosts)
  antiaffinitygroups:
    # Set to false to disable DRS rule creation
    enabled: true
# Specify settings when deploying a new user cluster. Used both with a fresh deployment
# or when adding a new cluster to an existing deployment.
usercluster:
  # In-Cluster vCenter configuration
  vcenter:
    # If specified it overwrites the network field in global vcenter configuration
    network: ""
  # # The absolute or relative path to the yaml file to use for static IP allocation.
  # # Do not include if using DHCP
  # ipblockfilepath: ""
  # # Specify pre-defined nodeports if using "manual" load balancer mode
  # manuallbspec:
  #   ingresshttpnodeport: 30243
  #   ingresshttpsnodeport: 30879
  #   controlplanenodeport: 30562
  #   addonsnodeport: 0
  # Specify the already-existing partition and credentials to use with F5
  bigip:
    # To re-use credentials across clusters we recommend using YAML node anchors.
    # See https://yaml.org/spec/1.2/spec.html#id2785586
    credentials:
      address: ""
      username: ""
      password: ""
    partition: ""
    # # Optionally specify a pool name if using SNAT
    # snatpoolname: ""
  # The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlplanevip: ""
    # Shared by all services for ingress traffic
    ingressvip: ""
    # # Used for admin cluster addons (needed for multi cluster features). Must be the same
    # # across clusters
    # addonsvip: ""
  # A unique name for this cluster
  clustername: ""
  # User cluster master nodes must have either 1 or 3 replicas
  masternode:
    cpus: 4
    memorymb: 8192
    # How many machines of this type to deploy
    replicas: 1
  # The number of worker nodes to deploy and their size. Min. 3 replicas
  workernode:
    cpus: 4
    memorymb: 8192
    # How many machines of this type to deploy
    replicas: 3
  # Spread nodes across at least three physical hosts (requires at least three hosts)
  antiaffinitygroups:
    # Set to false to disable DRS rule creation
    enabled: true
  # The Kubernetes service CIDR range for the cluster
  serviceiprange: 10.96.0.0/12
  # The Kubernetes pod CIDR range for the cluster
  podiprange: 192.168.0.0/16
  # # Uncomment this section to use OIDC authentication
  # oidc:
  #   issuerurl: ""
  #   kubectlredirecturl: ""
  #   clientid: ""
  #   clientsecret: ""
  #   username: ""
  #   usernameprefix: ""
  #   group: ""
  #   groupprefix: ""
  #   scopes: ""
  #   extraparams: ""
  #   # Set value to string "true" or "false"
  #   usehttpproxy: ""
  #   # # The absolute or relative path to the CA file (optional)
  #   # capath: ""
  # # Optionally provide an additional serving certificate for the API server
  # sni:
  #   certpath: ""
  #   keypath: ""
  # # Specify whether or not to enable the GKE usage metering feature
  # usagemetering:
  #   bigqueryprojectid: ""
  #   # The ID of the BigQuery Dataset in which the usage metering data will be stored
  #   bigquerydatasetid: ""
  #   # The absolute or relative path to the key file for a GCP service account used by
  #   # gke-usage-metering to report to BigQuery
  #   bigqueryserviceaccountkeypath: ""
  #   # Whether or not to enable the consumption-based metering feature
  #   enableconsumptionmetering: false
# Which load balancer mode to use "Manual" or "Integrated"
lbmode: Integrated
# Specify which GCP project to connect your GKE clusters to
gkeconnect:
  projectid: ""
  # The absolute or relative path to the key file for a GCP service account used to
  # register the cluster
  registerserviceaccountkeypath: ""
  # The absolute or relative path to the key file for a GCP service account used by
  # the GKE connect agent
  agentserviceaccountkeypath: ""
# Specify which GCP project to connect your logs and metrics to
stackdriver:
  projectid: ""
  # A GCP region where you would like to store logs and metrics for this cluster.
  clusterlocation: ""
  enablevpc: false
  # The absolute or relative path to the key file for a GCP service account used to
  # send logs and metrics from the cluster
  serviceaccountkeypath: ""
# Specify Cloud Run configuration
cloudrun:
  enabled: false
# # Optionally use a private Docker registry to host GKE images
# privateregistryconfig:
#   # Do not include the scheme with your registry address
#   credentials:
#     address: ""
#     username: ""
#     password: ""
#   # The absolute or relative path to the CA certificate for this registry
#   cacertpath: ""
# The absolute or relative path to the GCP service account key that will be used to
# pull GKE images
gcrkeypath: ""
# # Configure kubernetes apiserver audit logging
# cloudauditlogging:
#   projectid: ""
#   # A GCP region where you would like to store audit logs for this cluster.
#   clusterlocation: ""
#   # The absolute or relative path to the key file for a GCP service account used to
#   # send audit logs from the cluster
#   serviceaccountkeypath: ""

v0-Konfigurationsdatei ausfüllen

Wenn Sie eine v0-Konfigurationsdatei verwenden, geben Sie die in diesem Abschnitt beschriebenen Feldwerte ein.

bundlepath

Die Bundle-Datei von Anthos-Cluster auf VMware enthält alle Komponenten in einem bestimmten Release von Anthos-Cluster auf VMware. Wenn Sie eine Administrator-Workstation erstellen, erhalten Sie ein vollständiges Bundle unter /var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz. Die Version dieses Bundles entspricht der Version der OVA, die Sie zum Erstellen der Administratorworkstation importiert haben.

Legen Sie den Wert von bundlepath auf den Pfad der Bundle-Datei Ihrer Administratorworkstation fest. Setzen Sie also bundlepath auf:

/var/lib/gke/bundles/gke-onprem-vsphere-[VERSION]-full.tgz

Dabei ist [VERSION] die Version von Anthos-Cluster auf VMware, die Sie installieren. Die neueste Version ist 1.6.0-gke.7.

Sie können Ihre Bundle-Datei an einem anderen Speicherort oder unter einem anderen Namen speichern. Achten Sie aber darauf, dass in Ihrer Konfigurationsdatei der Wert von bundlepath dem Pfad zu Ihrer Bundle-Datei entspricht.

vCenter-Spezifikation

Die vcenter-Spezifikation enthält Informationen zu Ihrer vCenter Server-Instanz. Anthos-Cluster auf VMware benötigt diese Informationen, um mit Ihrem vCenter-Server zu kommunizieren.

vcenter.credentials.address

Das Feld vcenter.credentials.address enthält die IP-Adresse oder den Hostnamen Ihres vCenter-Servers.

Bevor Sie das Feld vsphere.credentials.address field ausfüllen, laden Sie das bereitgestellte Zertifikat Ihres vCenter-Servers herunter und prüfen Sie es. Geben Sie den folgenden Befehl ein, um das Zertifikat herunterzuladen und in einer Datei namens vcenter.pem zu speichern:

true | openssl s_client -connect [VCENTER_IP]:443 -showcerts 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' > vcenter.pem

Öffnen Sie die Zertifikatsdatei, um den "Subject Common Name" und den "Subject Alternative Name" zu ermitteln:

openssl x509 -in vcenter.pem -text -noout

Die Ausgabe enthält den Subject Common Name (CN). Dies kann eine IP-Adresse oder ein Hostname sein. Beispiel:

Subject: ... CN = 203.0.113.100

Subject: ... CN = my-host.my-domain.example

Die Ausgabe kann auch unter Subject Alternative Name einen oder mehrere DNS-Namen enthalten:

X509v3 Subject Alternative Name:
    DNS:vcenter.my-domain.example

Wählen Sie den Common Name Subject oder einen der DNS-Namen unter Subject Alternative Name als Wert für vcenter.credentials.address in Ihrer Konfigurationsdatei aus. Beispiel:

vcenter:
  credentials:
    address: "203.0.113.1"
    ...

vcenter:
  credentials:
    address: "my-host.my-domain.example"
    ...

Sie müssen einen Wert auswählen, der im Zertifikat angezeigt wird. Wenn die IP-Adresse beispielsweise nicht im Zertifikat enthalten ist, können Sie sie nicht für vcenter.credentials.address verwenden.

vcenter.credential.username, .password

Anthos-Cluster auf VMware muss den Nutzernamen und das Passwort Ihres vCenter-Servers kennen. Legen Sie dazu die Werte username und password unter vcenter.credentials fest. Beispiel:

vcenter:
  credentials:
    username: "my-name"
    password: "my-password"

vcenter.datacenter, .datastore, .cluster, .network

Anthos-Cluster auf VMware benötigt Informationen über die Struktur Ihrer vSphere-Umgebung. Legen Sie dazu die Werte unter vcenter fest. Beispiel:

vcenter:
  datacenter: "MY-DATACENTER"
  datastore: "MY-DATASTORE"
  cluster: "MY-VSPHERE-CLUSTER"
  network: "MY-VIRTUAL-NETWORK"

vcenter.resourcepool

Ein vSphere-Ressourcenpool ist eine logische Gruppierung von vSphere-VMs in Ihrem vSphere-Cluster. Wenn Sie einen anderen Ressourcenpool als den Standardpool verwenden, geben Sie seinen Namen in vcenter.resourcepool an. Beispiel:

vcenter:
  resourcepool: "my-pool"

Wenn Sie möchten, dass Anthos-Cluster auf VMware seine Knoten im Standardressourcenpool des vSphere-Clusters bereitstellt, stellen Sie für vcenter.resourcepool einen leeren String bereit. Beispiel:

vcenter:
  resourcepool: ""

vcenter.datadisk

Anthos-Cluster auf VMware erstellt ein VM-Laufwerk (VMDK) für die Kubernetes-Objektdaten des Administratorclusters. Das Installationsprogramm erstellt das VMDK für Sie, aber Sie müssen im Feld vcenter.datadisk einen Namen für das VMDK angeben. Beispiel:

vcenter:
  datadisk: "my-disk.vmdk"

vSAN-Datenspeicher: Ordner für das VMDK erstellen

Wenn Sie einen vSAN-Datenspeicher verwenden, müssen Sie das VMDK in einem Ordner ablegen. Sie müssen den Ordner im Voraus manuell erstellen. Erstellen Sie dazu mit govc einen Ordner:

govc datastore.mkdir -namespace=true my-gke-on-prem-folder

Legen Sie dann vcenter.datadisk auf den Pfad des VMDK einschließlich des Ordners fest. Beispiel:

vcenter:
datadisk: "my-gke-on-prem-folder/my-disk.vmdk"

In Version 1.1.1 und früheren Versionen muss aufgrund eines bekannten Problems der UUID-Pfad (Universally Unique Identifier) des Ordners und nicht den Dateipfad für vcenter.datadisk angegeben werden. Kopieren Sie dies aus der Ausgabe des obigen govc-Befehls.

Geben Sie dann die UUID des Ordners in das Feld vcenter.datadisk ein. Fügen Sie keinen Schrägstrich vor der UUID ein. Beispiel:

vcenter:
datadisk: "14159b5d-4265-a2ba-386b-246e9690c588/my-disk.vmdk"

Dieses Problem wurde ab der Version 1.1.2 behoben.

vcenter.cacertpath

Wenn ein Client wie Anthos-Cluster auf VMware eine Anfrage an vCenter-Server sendet, muss der Server seine Identität gegenüber dem Client durch Vorlage eines Zertifikats oder eines Zertifikatpakets bestätigen. Zum Bestätigen des Zertifikats oder Bundles muss Anthos-Cluster auf VMware das Stammzertifikat in der Vertrauenskette haben.

Legen Sie für vcenter.cacertpath den Pfad des Root-Zertifikats fest. Beispiel:

vcenter:
  cacertpath: "/my-cert-folder/the-root.crt"

Ihre VM-Installation hat eine Zertifizierungsstelle (Certificate Authority, CA), die ein Zertifikat für Ihren vCenter-Server ausstellt. Das Root-Zertifikat in der Vertrauenskette ist ein selbst signiertes Zertifikat, das von VMware erstellt wurde.

Wenn Sie nicht die VMware-Standardzertifizierungsstelle verwenden möchten, können Sie VMware so konfigurieren, dass eine andere Zertifizierungsstelle genutzt wird.

Sollte Ihr vCenter-Server ein von der VMware-Standardzertifizierungsstelle ausgestelltes Zertifikat verwenden, gibt es mehrere Möglichkeiten, das Root-Zertifikat abzurufen:

• curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

  Dabei ist [SERVER_ADDRESS] die Adresse Ihres vCenter-Servers.

• Geben Sie in einem Browser die Adresse Ihres vCenter-Servers ein. Klicken Sie im grauen Feld rechts auf Vertrauenswürdige Root-CA-Zertifikate herunterladen.

• Geben Sie den folgenden Befehl ein, um das bereitgestellte Zertifikat abzurufen:

  true | openssl s_client -connect [SERVER_ADDRESS]:443 -showcerts

  Suchen Sie in der Ausgabe nach einer URL wie dieser: https://[SERVER_ADDRESS]/afd/vecs/ca. Geben Sie die URL in einen Browser ein. Dadurch wird das Root-Zertifikat heruntergeladen.

Die heruntergeladene Datei heißt downloads.zip.

Entpacken Sie die Datei:

unzip downloads.zip

Wenn der Befehl zum Entpacken beim ersten Mal nicht funktioniert, geben Sie ihn noch einmal ein.

Suchen Sie die Zertifikatsdatei in certs/lin.

proxy:
  url: "https://username:password@domain"
  noproxy: "10.0.1.0/24,private-registry.example,10.0.2.1"

• proxy.url ist die URL des HTTPS-Proxys.
• proxy.noproxy enthält die CIDR-Bereiche, IP-Adressen, Domains und Hostnamen, die nicht weitergeleitet werden sollten. Beispielsweise sollten Aufrufe von IP-Adressen von Clusterknoten nicht weitergeleitet werden. Wenn Sie also ein Subnetz haben, das nur Clusterknoten enthält, können Sie den CIDR-Bereich des Subnetzes im Feld noproxy auflisten. Achten Sie auf Folgendes: Wenn privateregistryconfig angegeben ist, wird diese Adresse automatisch hinzugefügt, um Aufrufe Ihrer privaten Registry zu verhindern.

Spezifikation des Administratorclusters

Die Spezifikation admincluster enthält Informationen, die Anthos-Cluster auf VMware benötigt, um den Administratorcluster zu erstellen.

admincluster.vcenter.network

In admincluster.vcenter.network können Sie ein vCenter-Netzwerk für Ihre Administratorclusterknoten angeben. Dadurch wird die globale Einstellung überschrieben, die Sie in vcenter angegeben haben. Beispiel:

admincluster:
  vcenter:
    network: MY-ADMIN-CLUSTER-NETWORK

admincluster.ipblockfilepath

Da Sie statische IP-Adressen verwenden, benötigen Sie eine Hostkonfigurationsdatei, wie unter Statische IP-Adressen konfigurieren beschrieben. Geben Sie im Feld admincluster.ipblockfilepath den Pfad zu Ihrer Hostkonfigurationsdatei ein. Beispiel:

admincluster:
  ipblockfilepath: "/my-config-folder/my-admin-hostconfig.yaml"

admincluster.manuallbspec.ingresshttpnoodeport, .ingresshttpsnodeport

Diese Fehler entfernen. Sie werden nicht im Administratorcluster verwendet.

admincluster.manuallbspec.controlplanenodeport, .addonsnodeport (manueller Load-Balancing-Modus)

Der Kubernetes API-Server im Administratorcluster ist als Dienst vom Typ NodePort implementiert. Wenn Sie das manuelle Load-Balancing verwenden, müssen Sie einen Wert von nodePort für den Dienst auswählen. Geben Sie den nodePort-Wert in controlplanenodeport an. Beispiel:

admincluster:
  manuallbspec:
    controlplanenodeport: 30968

Der Add-on-Server im Administratorcluster ist als Dienst vom Typ NodePort implementiert. Wenn Sie das manuelle Load-Balancing verwenden, müssen Sie einen Wert von nodePort für den Dienst auswählen. Geben Sie den nodePort-Wert in controlplanenodeport an. Beispiel:

admincluster:
  manuallbspec:
    addonsnodeport: 30562

admincluster.bigip.credentials (integrierter Load-Balancing-Modus)

Wenn Sie das integrierte Load-Balancing nicht verwenden, lassen Sie admincluster.bigip auskommentiert.

Wenn Sie den integrierten Load-Balancing-Modus verwenden, muss Anthos-Cluster auf VMware die IP-Adresse oder den Hostnamen, den Nutzernamen und das Passwort Ihres F5 BIG-IP-Load-Balancers kennen. Legen Sie dazu die Werte unter admincluster.bigip fest. Beispiel:

admincluster:
  bigip:
    credentials:
      address: "203.0.113.2"
      username: "my-admin-f5-name"
      password: "rJDlm^%7aOzw"

admincluster.bigip.partition (integrierter Load-Balancing-Modus)

Wenn Sie den eingebundenen Load-Balancing-Modus verwenden, müssen Sie eine BIG-IP-Partition für Ihren Administratorcluster erstellen. Setzen Sie admincluster.bigip.partition auf den Namen Ihrer Partition. Beispiel:

admincluster:
  bigip:
    partition: "my-admin-f5-partition"

admincluster.vips

Unabhängig davon, ob Sie eingebundenes oder manuelles Load-Balancing für den Administratorcluster verwenden, müssen Sie das Feld admincluster.vips ausfüllen.

Setzen Sie den Wert von admincluster.vips.controlplanevip auf die IP-Adresse, die Sie für den Load-Balancer für den Kubernetes API-Server des Administratorclusters konfiguriert haben. Legen Sie den Wert von addonsvip auf die IP-Adresse fest, die Sie im Load-Balancer für Add-ons konfiguriert haben. Beispiel:

admincluster:
  vips:
    controlplanevip: 203.0.113.3
    addonsvip: 203.0.113.4

admincluster.serviceiprange und admincluster.podiprange

Der Administratorcluster muss einen Bereich von IP-Adressen für Dienste und einen Bereich von IP-Adressen für Pods haben. Diese Bereiche werden durch die Felder admincluster.serviceiprange und admincluster.podiprange festgelegt. Diese Felder werden ausgefüllt, wenn Sie gkectl create-config ausführen. Sie können die Werte auch ändern.

Die Bereich für Dienste und Pods dürfen sich nicht überschneiden. Außerdem dürfen sich diese beiden Bereiche nicht mit IP-Adressen überschneiden, die für Knoten in einem Cluster verwendet werden.

Beispiel:

admincluster:
  serviceiprange: 10.96.232.0/24
  podiprange: 192.168.0.0/16

admincluster.antiaffinitygrous.enabled

Boolescher Wert. Legen Sie dafür true fest, wenn das Erstellen von DRS-Regeln aktiviert werden soll. Andernfalls legen Sie false fest. Beispiel:

admincluster:
  antiAffinityGroups:
    enabled true

Nutzercluster-Spezifikation

Die Nutzerclusterspezifikation usercluster enthält Informationen, die Anthos-Cluster auf VMware benötigt, um den ersten Nutzercluster zu erstellen.

usercluster.vcenter.network

In usercluster.vcenter.network können Sie ein vCenter-Netzwerk für Ihre Nutzercluster-Knoten angeben. Dadurch wird die globale Einstellung überschrieben, die Sie in vcenter angegeben haben. Beispiel:

usercluster:
  vcenter:
    network: MY-USER-CLUSTER-NETWORK

usercluster.ipblockfilepath

Da Sie statische IP-Adressen verwenden, benötigen Sie eine Hostkonfigurationsdatei, wie unter Statische IP-Adressen konfigurieren beschrieben. Geben Sie im Feld usercluster.ipblockfilepath den Pfad zu Ihrer Hostkonfigurationsdatei ein. Beispiel:

usercluster:
  ipblockfilepath: "/my-config-folder/my-user-hostconfig.yaml"

usercluster.manuallbspec (manueller Load-Balancing-Modus)

Der Ingress-Controller im Nutzercluster ist als Dienst vom Typ NodePort implementiert. Der Dienst hat einen ServicePort für HTTP und einen weiteren ServicePort für HTTPS. Wenn Sie den manuellen Load-Balancing-Modus verwenden, müssen Sie nodePort-Werte für diese ServicePorts auswählen. Geben Sie die nodePort-Werte in ingresshttpnodeport und ingresshttpsnodeport an. Beispiel:

usercluster:
  manuallbspec:
    ingresshttpnodeport: 30243
    ingresshttpsnodeport: 30879

Der Kubernetes API-Server im Nutzercluster ist als Dienst vom Typ NodePort implementiert. Wenn Sie das manuelle Load-Balancing verwenden, müssen Sie einen Wert von nodePort für den Dienst auswählen. Geben Sie den nodePort-Wert in controlplanenodeport an. Beispiel:

usercluster:
  manuallbspec:
    controlplanenodeport: 30562

usercluster.bigip.credentials (eingebundener Load-Balancing-Modus)

Wenn Sie den integrierten Load-Balancing-Modus verwenden, muss Anthos-Cluster auf VMware die IP-Adresse oder den Hostnamen, den Nutzernamen und das Passwort des F5 BIG-IP-Load-Balancers kennen, den Sie für den Nutzercluster verwenden möchten. Legen Sie dazu die Werte unter usercluster.bigip fest. Beispiel:

usercluster:
  bigip:
    credentials:
      address: "203.0.113.5"
      username: "my-user-f5-name"
      password: "8%jfQATKO$#z"

usercluster.bigip.partition (eingebundener Load-Balancing-Modus)

Wenn Sie den eingebundenen Load-Balancing-Modus verwenden, müssen Sie für Ihren Nutzercluster eine BIG-IP-Partition erstellen. Setzen Sie usercluster.bigip.partition auf den Namen Ihrer Partition. Beispiel:

usercluster:
  bigip:
    partition: "my-user-f5-partition"

usercluster.vips

Unabhängig davon, ob Sie eingebundenes oder manuelles Load-Balancing für den Nutzercluster verwenden, müssen Sie das Feld usercluster.vips ausfüllen.

Setzen Sie den Wert von usercluster.vips.controlplanevip auf die IP-Adresse, die Sie für den Load-Balancer für den Kubernetes API-Server des Nutzerclusters konfiguriert haben. Setzen Sie den Wert von ingressvip auf die IP-Adresse, die Sie für den Load-Balancer für den Ingress-Controller des Nutzerclusters konfiguriert haben. Beispiel:

usercluster:
  vips:
    controlplanevip: 203.0.113.6
    ingressvip: 203.0.113.7

usercluster.clustername

Setzen Sie den Wert von usercluster.clustername auf einen Namen Ihrer Wahl. Wählen Sie einen Namen aus, der aus höchstens 40 Zeichen besteht. Beispiel:

usercluster:
  clustername: "my-user-cluster-1"

usercluster.masternode.cpus und usercluster.masternode.memorymb

Durch die Felder usercluster.masternode.cpus und usercluster.masternode.memorymb wird festgelegt, wie viele CPUs und wie viel Arbeitsspeicher (in Megabyte) jedem Knoten für die Steuerungsebene des Nutzerclusters zugewiesen werden. Beispiel:

usercluster:
  masternode:
    cpus: 4
    memorymb: 8192

usercluster.masternode.replicas

Das Feld usercluster.masternode.replicas legt fest, wie viele Knoten der Steuerungsebene der Nutzercluster haben soll. Ein Knoten der Steuerungsebene eines Nutzerclusters führt die Nutzersteuerungsebene aus, die Komponenten der Kubernetes-Steuerungsebene. Dieser Wert muss 1 oder 3 sein.

• Legen Sie für dieses Feld 1 fest, um eine Nutzersteuerungsebene auszuführen.
• Legen Sie dieses Feld auf 3 fest, wenn Sie eine hochverfügbare Nutzersteuerungsebene aus drei Knoten für die Steuerungsebene haben möchten, die jeweils eine Nutzersteuerungsebene ausführen.

usercluster.workernode.cpus und usercluster.workernode.memorymb

Durch die Felder usercluster.workernode.cpus und usercluster.workernode.memorymb wird angegeben, wie viele CPUs und wie viel Arbeitsspeicher (in Megabyte) jedem Worker-Knoten des Nutzerclusters zugewiesen werden. Beispiel:

usercluster:
  workernode:
    cpus: 4
    memorymb: 8192
    replicas: 3

usercluster.workernode.replicas

Das Feld usercluster.workernode.replicas gibt an, wie viele Worker-Knoten der Nutzercluster haben soll. Die Clusterarbeitslasten werden von den Worker-Knoten ausgeführt.

usercluster.antiaffinitygrous.enabled

Boolescher Wert. Legen Sie dafür true fest, wenn das Erstellen von DRS-Regeln aktiviert werden soll. Andernfalls legen Sie false fest. Beispiel:

antiAffinityGroups:
  enabled true

usercluster.serviceiprange und usercluster.podiprange

Der Nutzercluster muss einen IP-Adressbereich für Dienste und einen für Pods haben. Diese Bereiche werden durch die Felder usercluster.serviceiprange und usercluster.podiprange angegeben. Diese Felder werden ausgefüllt, wenn Sie gkectl create-config ausführen. Sie können die Werte auch ändern.

Die Bereich für Dienste und Pods dürfen sich nicht überschneiden. Außerdem dürfen sich diese beiden Bereiche nicht mit IP-Adressen überschneiden, die für Knoten in einem Cluster verwendet werden.

Beispiel:

usercluster:
  serviceiprange: 10.96.233.0/24
  podiprange: 172.16.0.0/12

usercluster.oidc

Wenn Sie möchten, dass Clients des Nutzerclusters die OIDC-Authentifizierung verwenden, legen Sie Werte für die Felder unter usercluster.oidc fest. Die Konfiguration von OIDC ist optional.

Informationen zum Konfigurieren von OIDC finden Sie unter Mit OIDC authentifizieren.

Informationen zur Installation von Version 1.0.2-gke.3

In Version 1.0.2-gke.3 werden die folgenden OIDC-Felder (usercluster.oidc) eingeführt. Mit diesen Feldern können Sie sich von der Google Cloud Console aus in einem Cluster anmelden:

• usercluster.oidc.kubectlredirecturl
• usercluster.oidc.clientsecret
• usercluster.oidc.usehttpproxy

Wenn Sie in Version 1.0.2-gke.3 OIDC verwenden möchten, ist das Feld clientsecret erforderlich, auch wenn Sie sich nicht über die Google Cloud Console bei einem Cluster anmelden möchten. In diesem Fall können Sie einen Platzhalterwert für clientsecret angeben:

oidc:
clientsecret: "secret"

usercluster.sni

Server Name Indication (SNI), eine Erweiterung von Transport Layer Security (TLS), ermöglicht es Servern, je nach vom Client angegebenen Hostnamen mehrere Zertifikate an einer einzigen IP-Adresse und einem TCP-Port zu zeigen.

Wenn Ihre Zertifizierungsstelle bereits als vertrauenswürdige Zertifizierungsstelle an Clients außerhalb Ihres Nutzerclusters verteilt ist und Sie diese Kette zur Identifizierung vertrauenswürdiger Cluster verwenden möchten, können Sie den Kubernetes API-Server mit einem zusätzlichen Zertifikat konfigurieren, das externen Clients der Load Balancer-IP-Adresse angezeigt wird.

Wenn Sie SNI mit Ihren Nutzerclustern verwenden möchten, benötigen Sie eine eigene Zertifizierungsstelle und eine Public-Key-Infrastruktur (PKI). Sie stellen für jeden Nutzercluster ein separates Bereitstellungszertifikat bereit und Anthos-Cluster auf VMware fügt jedes zusätzliche Bereitstellungszertifikat zu dem entsprechenden Nutzercluster hinzu.

Um SNI für den Kubernetes API-Server des Nutzerclusters zu konfigurieren, geben Sie Werte für usercluster.sni.certpath (Pfad zum externen Zertifikat) und usercluster.sni.keypath (Pfad zur Datei des privaten Schlüssels des externen Zertifikats) an. Beispiel:

usercluster:
  sni:
    certpath: "/my-cert-folder/example.com.crt"
    keypath: "/my-cert-folder/example.com.key"

usagemetering

Wenn Sie die Nutzungsmessung für Ihren Cluster aktivieren möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.

usagemetering.bigqueryprojectid

String. Die ID des Google Cloud-Projekts, in dem Sie Nutzungsmessdaten speichern möchten. Beispiel:

usagemetering:
  bigqueryprojectid: "my-bq-project"

usagemetering.bigquerydatasetid

String. Die ID des BigQuery-Datasets, in dem Sie Nutzungsmessdaten speichern möchten. Beispiel:

usagemetering:
  bigquerydatasetid: "my-bq-dataset"

usagemetering.bigqueryserviceaccountkepPath

String. Der Pfad der JSON-Schlüsseldatei für Ihr BigQuery-Dienstkonto. Beispiel:

usagemetering:
  bigqueryserviceaccountkeypath: "my-key-folder/bq-key.json"

usagemetering.enableconsumptionmetering

Boolescher Wert. Legen Sie für dieses Feld true fest, wenn Sie die verbrauchsbasierte Messung aktivieren möchten. Andernfalls legen Sie false fest. Beispiel:

usagemetering:
  enableconsumptionmetering: true

lbmode

Sie können das eingebundene oder das manuelle Load-Balancing verwenden. Der ausgewählte Load-Balancing-Modus gilt für Ihren Administratorcluster und Ihren ersten Nutzercluster. Er gilt auch für alle zusätzlichen Nutzercluster, die Sie in Zukunft erstellen.

Geben Sie das gewünschte Load-Balancing an. Setzen Sie dazu den Wert von lbmode auf Integrated oder Manual. Beispiel:

lbmode: Integrated

gkeconnect

Die Spezifikation gkeconnect enthält Informationen, die Anthos-Cluster auf VMware verwenden muss, um die Verwaltung Ihrer lokalen Cluster über die Google Cloud Console einzurichten.

Legen Sie für gkeconnect.projectid die Projekt-ID des Google Cloud-Projekts fest, in dem Sie Ihre lokalen Cluster verwalten möchten.

Legen Sie den Wert von gkeconnect.registerserviceaccountkeypath auf den Pfad der JSON-Schlüsseldatei für Ihr Registrierungsdienstkonto fest. Legen Sie den Wert von gkeconnect.agentserviceaccountkeypath auf den Pfad der JSON-Schlüsseldatei für Ihr Verbindungsdienstkonto fest.

Beispiel:

gkeconnect:
  projectid: "my-project"
  registerserviceaccountkeypath: "/my-key-folder/register-key.json"
  agentserviceaccountkeypath: "/my-key-folder/connect-key.json"

stackdriver

Die stackdriver-Spezifikation enthält Informationen, die Anthos-Cluster auf VMware speichern muss, um Logeinträge zu speichern, die von Ihren lokalen Clustern generiert wurden.

Legen Sie für stackdriver.projectid die Projekt-ID des Google Cloud-Projekts fest, in dem Sie Stackdriver-Logs zu Ihren lokalen Clustern aufrufen möchten.

Legen Sie stackdriver.clusterlocation für eine Google Cloud-Region fest, in der Sie Stackdriver-Logs speichern möchten. Es empfiehlt sich, eine Region in der Nähe Ihres lokalen Rechenzentrums auszuwählen.

Setzen Sie stackdriver.enablevpc auf true, wenn das Netzwerk Ihres Clusters durch eine VPC gesteuert wird. So wird gewährleistet, dass alle Telemetriedaten über die eingeschränkten IP-Adressen von Google übertragen werden.

Legen Sie stackdriver.serviceaccountkeypath auf den Pfad der JSON-Schlüsseldatei für Ihr Stackdriver Logging-Dienstkonto fest.

Beispiel:

stackdriver:
  projectid: "my-project"
  clusterlocation: "us-west1"
  enablevpc: false
  serviceaccountkeypath: "/my-key-folder/stackdriver-key.json"

cloudrun.enabled

Boolescher Wert. Legen Sie für dieses Feld true fest, wenn Sie Cloud Run aktivieren möchten. Andernfalls legen Sie false fest. Beispiel:

cloudrun:
  enabled: true

privateregistryconfig

Wenn Sie eine private Docker-Registry haben, enthält das Feld privateregistryconfig Informationen, mit denen Anthos-Cluster auf VMware Images in Ihre private Registry überträgt. Wenn Sie keine private Registry angeben, ruft gkectl während der Installation die Container-Images von Anthos-Cluster auf VMware aus dessen Container Registry-Repository, gcr.io/gke-on-prem-release, ab.

Legen Sie unter privatedockerregistry.credentials address auf die IP-Adresse des Computers fest, auf dem Ihre private Docker-Registry ausgeführt wird. Legen Sie username und password auf den Nutzernamen sowie das Passwort Ihrer privaten Docker-Registry fest. Der Wert, den Sie für address festlegen, wird automatisch proxy.noproxy hinzugefügt.

Wenn Docker ein Image aus Ihrer privaten Registry abruft, muss die Registry ihre Identität anhand eines Zertifikats nachweisen. Das Zertifikat der Registry wird von einer Zertifizierungsstelle signiert. Docker verwendet das Zertifikat der Zertifizierungsstelle, um das Zertifikat der Registry zu validieren.

Setzen Sie privateregistryconfig.cacertpath auf den Pfad des Zertifikats der Zertifizierungsstelle. Beispiel:

privateregistryconfig:
  cacertpath: /my-cert-folder/registry-ca.crt

gcrkeypath

Legen Sie den Wert von gcrkeypath auf den Pfad der JSON-Schlüsseldatei für Ihr Dienstkonto für den Zugriff auf Komponenten fest.

Beispiel:

gcrkeypath: "/my-key-folder/component-access-key.json"

cloudauditlogging

Wenn Sie Ihre Kubernetes-Audit-Logs an Ihr Google Cloud-Projekt senden möchten, füllen Sie die cloudauditlogging-Spezifikation aus. Beispiel:

cloudauditlogging:
  projectid: "my-project"
  # A GCP region where you would like to store audit logs for this cluster.
  clusterlocation: "us-west1"
  # The absolute or relative path to the key file for a GCP service account used to
  # send audit logs from the cluster
  serviceaccountkeypath: "/my-key-folder/audit-logging-key.json"