Diese Seite richtet sich an Infrastrukturbetreiber.
Der private Anthos-Modus ist eine Version von Anthos, die in einer Umgebung mit Luftspalt aus dem Internet vollständig isoliert werden kann. Sie können den privaten Anthos-Modus verwenden, um hochgradig regulierte Arbeitslasten lokal auszuführen, und gleichzeitig von vielen Vorteilen einer cloudnativen Infrastruktur profitieren.
Einführung
Die Architektur des privaten Anthos-Modus ähnelt der Architektur der verbundenen Version von Anthos auf Bare-Metal: Es gibt einen Administratorcluster, mit dem Sie den Nutzercluster erstellen und verwalten können. Ihre Arbeitslasten werden auf den Nutzerclustern ausgeführt. Sie haben auch eine Administrator-Workstation, die eine einzelne Maschine mit den Tools zum Installieren und Verwalten der Bereitstellung im privaten Anthos-Modus ist.
Im Vergleich zur verbundenen Version von Anthos on Bare Metal werden im privaten Anthos-Modus drei zusätzliche Komponenten hinzugefügt:
- Eine optionale Container Registry, die auf der Administrator-Workstation ausgeführt wird, um alle Anthos-Container-Images zu speichern (erforderlich in einem Szenario, in dem Sie keinen Zugriff auf eine Container Registry haben).
- Ein
actl-Befehlszeilentool, mit dem der private Anthos-Modus installiert und andere administrative Aufgaben ausgeführt werden können. - Anthos Management Center, mit dem Sie die Autorisierung und Authentifizierung, die Beobachtbarkeit und die Verwaltung von Multi-Cluster-Anthos-Features verwalten können. Management Center enthält eine webbasierte Console, die auf dem Administratorcluster ausgeführt wird. Über die Benutzeroberfläche der Management Center Console können Sie alle Ressourcen verwalten, aus denen die Anthos-Bereitstellung besteht, einschließlich Maschinen, Adresspools und Nutzerclustern. Sie können die Management Center Console auch verwenden, um die Anthos-Features zu verwalten und Ihre Arbeitslasten zu überwachen.
Abbildung: Architekturbild für den privaten Anthos-Modus.
Umgebung vorbereiten
Zugriff auf den Produktrelease erhalten, die neueste Version herunterladen und Abhängigkeiten installieren
Hinweis
Bevor Sie die Anleitung auf dieser Seite durcharbeiten, müssen Sie dafür sorgen, dass die technischen Anforderungen für den privaten Anthos-Modus erfüllt sind.
Zugriff auf den privaten Anthos-Modus erhalten
Google muss Ihnen Zugriff auf Releases des privaten Anthos-Modus gewähren. Teilen Sie Ihrem Ansprechpartner bei Google eine E-Mail-Adresse für jeden Tester mit, damit wir ihm Zugriff auf das Download-Repository gewähren können. Diese E-Mail-Adressen müssen Google-Konten sein.
Wenn Ihr Ansprechpartner bei Google bestätigt hat, dass Sie Zugriff auf die im Rahmen des privaten Anthos-Modus verteilten Releases haben, prüfen Sie, ob Sie die Berechtigungen zum Herunterladen der Releases des privaten Anthos-Modus haben. Führen Sie dazu den folgenden Befehl aus:
gsutil ls gs://anthos-private-mode-release/
Wenn eine Fehlermeldung angezeigt wird, prüfen Sie, ob gsutil dasselbe Google-Konto verwendet, das Sie Ihrem Google-Ansprechpartner bereitgestellt haben. Führen Sie dazu den Befehl gcloud auth list aus.
Alternativ können Sie den neuesten Release-Bucket aufrufen, um zu prüfen, ob Sie die richtigen Berechtigungen haben. Sie müssen mit dem Google-Konto angemeldet sein, das Sie zuvor angegeben haben.
Wenn Sie Probleme beim Zugriff auf die Releases des privaten Anthos-Modus haben, wenden Sie sich an Ihren Ansprechpartner bei Google.
Privaten Anthos-Modus herunterladen
In diesem Abschnitt laden Sie den Release für den privaten Anthos-Modus herunter, der in mehreren Dateien mit mehreren Gigabyte enthalten ist. Je nach Internetverbindung kann das Herunterladen länger dauern.
Privaten Anthos-Modus herunterladen
Führen Sie auf Ihrer Administrator-Workstation die folgenden Befehle aus:
# Login with the account granted access to Anthos private mode
gcloud auth login
# Download the script which helps download all the latest components
export VERSION=1.9.3-gke.0
# Please use official 'INSTALLER_DIGEST' value from https://cloud.google.com/anthos/private-mode/docs/1.9/installing/infrastructure#download
export INSTALLER_DIGEST=ad410b7450e8ecaaa94821592dd0f49a1ade75e460e9ab18205c3b1364c6e910
export INSTALLER=get-anthos-private-mode-$VERSION.sh
gsutil cp gs://anthos-private-mode-release/$VERSION/$INSTALLER .
if [[ -n "$INSTALLER_DIGEST" ]]; then echo "$INSTALLER_DIGEST $INSTALLER" | sha256sum -c; fi && chmod +x $INSTALLER && ./$INSTALLER
# If you are working on a workstation shared with other users,
# we recommend that you revoke your credentials after downloading the release.
gcloud auth revoke YOUR_EMAIL_ADDRESS
Verbleibende Abhängigkeiten installieren
Sobald der Download des privaten Anthos-Modus abgeschlossen ist, führen Sie die folgenden Befehle aus:
cd anthos-baremetal-private-mode
# Add actl command line tool and tools directory to the PATH
export PATH=$PWD/bin:$PATH
# Download Harbor offline installer
curl -SL \
https://github.com/goharbor/harbor/releases/download/v2.2.0/harbor-offline-installer-v2.2.0.tgz \
--output "local-registry/harbor-offline-installer.tgz"
# Install docker-compose
curl -SL \
https://github.com/docker/compose/releases/download/1.28.5/docker-compose-Linux-x86_64 \
--output "local-registry/docker-compose"
Das sind die einzigen beiden Schritte des Vorgangs, die eine Internetverbindung erfordern. Wenn Sie den privaten Anthos-Modus in einer Umgebung installieren, die vollständig vom Internet isoliert ist, haben Sie folgende Möglichkeiten:
- Verbinden Sie zuerst Ihre Administrator-Workstation mit dem Internet und laden Sie den Release wie oben beschrieben herunter. Trennen Sie dann Ihre Workstation vom Internet und stellen Sie eine Verbindung zur Umgebung mit Luftspalt her.
- Laden Sie den Release von einer mit dem Internet verbundenen Entwickler-Workstation herunter, kopieren Sie ihn auf ein tragbares Speichergerät und verschieben Sie dieses tragbare Speichergerät auf Ihre Administrator-Workstation mit Luftspalt.
Sie können sich den Inhalt des privaten Anthos-Modus ansehen:
./anthos-baremetal-private-mode
├── actl-workspace
│ └── admin
│ └── admin.yaml
├── baremetal
│ ├── images
│ └── package-spec.yaml
├── bin
│ ├── actl
│ ├── istioctl
│ └── nomos
├── local-registry
│ ├── cleanup.sh
│ ├── docker-compose
│ ├── generate-certs.sh
│ ├── harbor-offline-installer.tgz
│ └── install.sh
├── managementcenter
│ ├── images
│ └── management-center.yaml
├── services
│ ├── anthos-config-management
│ ├── anthos-service-mesh
│ └── images
├── third_party
└── updatecenter
└── images
- Das Verzeichnis
local-registryenthält die Ressourcen zum Einrichten einer lokalen Container Registry. - Andere Verzeichnisse wie
managementcenter,servicesundbaremetalenthalten alles, was zur Installation des Administratorclusters und von Anthos Management Center erforderlich ist.
Optional: Automatische actl-Shell-Vervollständigung aktivieren
Das actl-Befehlszeilentool unterstützt die automatische Shell-Vervollständigung für Bash, Zsh und Fish. Folgen Sie der Anleitung in actl help
completion, um die Einrichtung abzuschließen. Beispiel für Ubuntu/Debian, Bash:
# One time setup: install bash-completion
sudo apt update && sudo apt install bash-completion
# In ~/.bashrc
source /etc/profile.d/bash_completion.sh
source <(actl completion bash)
Container Registry einrichten
Im privaten Anthos-Modus werden die Anthos-Container-Images in einer lokalen Container Registry gespeichert. Sie können entweder eine eigene vorhandene Container Registry verwenden oder die gebündelte Container Registry vom privaten Anthos-Modus verwenden.
Exportieren Sie die folgenden Umgebungsvariablen:
export REGISTRY_HOST=REGISTRY_HOST
export REGISTRY_PASSWORD=REGISTRY_PASSWORD
# By default, a public project called 'library' is created,
# and you can also create other public or private projects with the container registry portal.
export PRIVATE_REGISTRY=${REGISTRY_HOST}/library
Dabei gilt:
REGISTRY_HOSTist Ihre Registry-IP-Adresse. Wenn Sie die Container-Registry des privaten Anthos-Modus auf der Administrator-Workstation installieren und verwenden möchten, verwenden Sie hier die IP-Adresse Ihrer Administrator-Workstation.REGISTRY_PASSWORDist der Wert, den Sie für Ihr Registry-Passwort festgelegt haben.
Wenn Sie eine eigene Container Registry verwenden möchten, fahren Sie mit dem Abschnitt Images in Container Registry hochladen fort.
Container Registry im privaten Anthos-Modus einrichten
In diesem Abschnitt richten Sie eine private Container Registry auf der Administrator-Workstation ein. Führen Sie alle unten genannten Befehle auf der Administrator-Workstation aus.
Wenn Sie keine eigene private Container-Registry haben, installieren Sie die Container-Registry des privaten Anthos-Modus.
cd ~/anthos-baremetal-private-mode # Move it to a path under $PATH chmod a+x local-registry/docker-compose sudo cp local-registry/docker-compose /usr/bin # Install local registry ./local-registry/install.shMelden Sie sich in der Registry an, um zu prüfen, ob Sie Zugriff haben. Wenn Sie eine Fehlermeldung erhalten, müssen Sie möglicherweise einige Sekunden warten.
docker login ${REGISTRY_HOST} -u admin -p ${REGISTRY_PASSWORD}
Hinweise:
- Die Container Registry für den privaten Modus von Anthos wird nur für das Installieren des privaten Modus von Anthos verwendet. Der Produktionsdienst ist noch nicht einsatzbereit.
- Das öffentliche Standard-Registry-Projekt ist
library. Es kann standardmäßig verwendet werden. Sie haben aber auch die Möglichkeit, sich anzumelden und ein neues Projekt zu erstellen. - Die Container-Registry ist nach dem Start des Dienstes unter
https://REGISTRY_HOST/verfügbar. Die Anmeldedaten sind der NutzernameadminundREGISTRY_PASSWORDals Passwort. - Die Anmeldedaten werden unverschlüsselt in
/home/<USER>/.docker/config.jsongespeichert.
Images in Container Registry hochladen
In diesem Abschnitt laden Sie die Container-Images im privaten Anthos-Modus in Ihre Container Registry hoch.
Bereiten Sie die Container-Images des privaten Anthos-Modus vor und laden Sie sie in Ihre Container-Registry hoch. Wenn Sie dazu aufgefordert werden, wählen Sie die Option Use that credential aus oder geben Sie die neuen Anmeldedaten ein.
actl images push --private-registry=${PRIVATE_REGISTRY} \
--images ~/anthos-baremetal-private-mode
Hinweis: Wenn Sie auf Ihrer Workstation einen HTTP-Proxy verwenden, müssen Sie möglicherweise die folgenden Umgebungsvariablen deaktivieren, damit der Befehl actl images push funktioniert:
unset http_proxy
unset https_proxy
unset HTTP_PROXY
unset HTTPS_PROXY
Optional: Helm-Diagramme in die Container Registry hochladen
In diesem Abschnitt laden Sie die optionalen Helm-Diagramme des privaten Anthos-Modus in Ihre Container Registry hoch. Version 1.9 des privaten Anthos-Modus enthält gebündelte Helm-Diagramme für zwei Google Cloud Marketplace-Lösungen: PostgreSQL und Redis. Diese beliebten Open-Source-Software-Stacks wurden von Google verpackt und für die Ausführung in nicht verbundenen Umgebungen entwickelt.
Bereiten Sie die Helm-Diagramme des privaten Anthos-Modus vor und laden Sie sie in Ihre Container Registry hoch. Wenn Sie dazu aufgefordert werden, wählen Sie die Option
Use that credentialaus oder geben Sie die neuen Anmeldedaten ein.actl packages push --private-registry=${PRIVATE_REGISTRY} \ ~/anthos-baremetal-private-mode/services/third_party-postgresql/package-spec.yaml actl packages push --private-registry=${PRIVATE_REGISTRY} \ ~/anthos-baremetal-private-mode/services/third_party-redis-ha/package-spec.yamlUm die Helm-Diagramme des privaten Anthos-Modus über die Container Registry abzurufen, aktivieren Sie die experimentelle Helm-OCI-Unterstützung:
export HELM_EXPERIMENTAL_OCI=1Wenn Ihre private Registry ein selbst signiertes Zertifikat verwendet, müssen Sie auch die Zertifikate der Zertifizierungsstelle auf Ihrem System aktualisieren. Weitere Informationen finden Sie unter Helm-Problem.
sudo cp local-registry/ca.crt /usr/local/share/ca-certificates/ sudo update-ca-certificatesMelden Sie sich in der Registry an, um zu prüfen, ob Sie Zugriff haben:
helm registry login ${REGISTRY_HOST} -u admin -p ${REGISTRY_PASSWORD}Rufen Sie die Helm-Diagramme des privaten Anthos-Modus aus Ihrer Container-Registry ab und exportieren Sie sie:
helm chart pull ${PRIVATE_REGISTRY}/<CHART>:<TAG> helm chart export ${PRIVATE_REGISTRY}/<CHART>:<TAG> .