Questa pagina è dedicata agli operatori dell'infrastruttura.
La modalità privata di Anthos è una versione di Anthos che può essere eseguita completamente isolata da Internet in un ambiente con air gap. Puoi utilizzare la modalità privata Anthos per eseguire carichi di lavoro altamente regolamentati on-premise, pur continuando a sfruttare i numerosi vantaggi di un'infrastruttura cloud-native.
Introduzione
L'architettura della modalità privata di Anthos è simile all'architettura della versione connessa di Anthos su Bare Metal: è presente un cluster admin per la creazione e la gestione dei cluster user. I carichi di lavoro vengono eseguiti nei cluster utente. Hai anche una workstation di amministrazione, ovvero un'unica macchina contenente gli strumenti necessari per installare e gestire il tuo deployment in modalità privata di Anthos.
Rispetto alla versione collegata di Anthos su Bare Metal, la modalità privata di Anthos è dotata di tre componenti aggiuntivi:
- Un Container Registry facoltativo in esecuzione sulla workstation di amministrazione per archiviare tutte le immagini di Anthos Anthos (necessario in uno scenario in cui non hai accesso a un Container Registry).
- Uno strumento a riga di comando
actlche consente di installare la modalità privata di Anthos ed eseguire altre attività amministrative. - Anthos Management Center ti aiuta a gestire autorizzazioni e autenticazione, osservabilità e gestione delle funzionalità Anthos multi-cluster. Il Centro di gestione include una console basata sul Web in esecuzione sul cluster di amministrazione. La console utente di Management Center consente di gestire tutte le risorse che costituiscono il deployment di Anthos, inclusi computer, pool di indirizzi e cluster utente. Puoi anche utilizzare la console del Centro gestione per gestire le funzionalità di Anthos e monitorare i tuoi carichi di lavoro.
Figura: figura architettura della modalità privata Anthos.
Prepara l'ambiente
Ottieni l'accesso alla release del prodotto, scarica la versione più recente e installa le dipendenze.
Prima di iniziare
Prima di seguire le istruzioni riportate in questa pagina, assicurati di soddisfare i requisiti tecnici per la modalità privata di Anthos.
Accedere alla modalità privata di Anthos
Google deve concederti l'accesso alle release in modalità privata di Anthos. Fornisci al tuo punto di contatto Google un indirizzo email per ogni tester in modo che possiamo concedere loro l'accesso al repository di download. Questi indirizzi email devono essere Account Google.
Una volta che il tuo punto di contatto Google conferma che hai accesso alle release in modalità privata di Anthos, verifica di avere le autorizzazioni per scaricare le release in modalità privata di Anthos eseguendo questo comando:
gsutil ls gs://anthos-private-mode-release/
Se ricevi un messaggio di errore, verifica che gsutil utilizzi lo stesso Account Google
che hai indicato dal punto di contatto Google eseguendo il comando
gcloud auth list.
In alternativa, puoi visitare il bucket di release più recente per verificare di disporre delle autorizzazioni corrette. Devi aver eseguito l'accesso con l'Account Google fornito in precedenza.
Se hai problemi ad accedere alle release in modalità privata di Anthos, contatta il tuo punto di contatto Google per ricevere assistenza.
Scarica la modalità privata di Anthos
In questa sezione scarichi la release in modalità privata di Anthos, contenuta in più file di diversi gigabyte. Il download potrebbe richiedere molto tempo, a seconda della connessione a Internet.
Scarica la modalità privata di Anthos
Sulla workstation di amministrazione, esegui questi comandi:
# Login with the account granted access to Anthos private mode
gcloud auth login
# Download the script which helps download all the latest components
export VERSION=1.9.3-gke.0
# Please use official 'INSTALLER_DIGEST' value from https://cloud.google.com/anthos/private-mode/docs/1.9/installing/infrastructure#download
export INSTALLER_DIGEST=ad410b7450e8ecaaa94821592dd0f49a1ade75e460e9ab18205c3b1364c6e910
export INSTALLER=get-anthos-private-mode-$VERSION.sh
gsutil cp gs://anthos-private-mode-release/$VERSION/$INSTALLER .
if [[ -n "$INSTALLER_DIGEST" ]]; then echo "$INSTALLER_DIGEST $INSTALLER" | sha256sum -c; fi && chmod +x $INSTALLER && ./$INSTALLER
# If you are working on a workstation shared with other users,
# we recommend that you revoke your credentials after downloading the release.
gcloud auth revoke YOUR_EMAIL_ADDRESS
Installa le dipendenze rimanenti
Al termine del download della modalità privata di Anthos, esegui i comandi seguenti:
cd anthos-baremetal-private-mode
# Add actl command line tool and tools directory to the PATH
export PATH=$PWD/bin:$PATH
# Download Harbor offline installer
curl -SL \
https://github.com/goharbor/harbor/releases/download/v2.2.0/harbor-offline-installer-v2.2.0.tgz \
--output "local-registry/harbor-offline-installer.tgz"
# Install docker-compose
curl -SL \
https://github.com/docker/compose/releases/download/1.28.5/docker-compose-Linux-x86_64 \
--output "local-registry/docker-compose"
Questi sono gli unici due passaggi della procedura che richiedono una connessione a Internet. Se stai installando la modalità privata di Anthos in un ambiente completamente isolato da Internet, puoi:
- Innanzitutto, connetti la workstation di amministrazione a Internet e scarica la release come mostrato sopra. Quindi, disconnetti la workstation da Internet e collegala all'ambiente con air gap.
- Scarica la release da una workstation per sviluppatori connessa a Internet, copiala su un dispositivo di archiviazione portatile e sposta questo dispositivo nella tua workstation di amministrazione con air gap.
Puoi esplorare i contenuti della release in modalità privata di Anthos:
./anthos-baremetal-private-mode
├── actl-workspace
│ └── admin
│ └── admin.yaml
├── baremetal
│ ├── images
│ └── package-spec.yaml
├── bin
│ ├── actl
│ ├── istioctl
│ └── nomos
├── local-registry
│ ├── cleanup.sh
│ ├── docker-compose
│ ├── generate-certs.sh
│ ├── harbor-offline-installer.tgz
│ └── install.sh
├── managementcenter
│ ├── images
│ └── management-center.yaml
├── services
│ ├── anthos-config-management
│ ├── anthos-service-mesh
│ └── images
├── third_party
└── updatecenter
└── images
- La directory
local-registrycontiene le risorse per configurare un Container Registry locale. - Altre directory come
managementcenter,servicesebaremetalcontengono tutto il necessario per installare il cluster di amministrazione e Anthos Management Center.
Facoltativo: abilita il completamento automatico della shell Actt
Lo strumento a riga di comando actl supporta il completamento automatico della shell per Bash, Zsh e Fish. Puoi configurare il completamento nella tua shell seguendo le istruzioni in actl help
completion, ad esempio in Ubuntu/Debian, bash:
# One time setup: install bash-completion
sudo apt update && sudo apt install bash-completion
# In ~/.bashrc
source /etc/profile.d/bash_completion.sh
source <(actl completion bash)
Configurare Container Registry
La modalità privata di Anthos funziona archiviando le immagini dei container Anthos in un Container Registry locale. Puoi utilizzare il tuo registro di container esistente o il Container Registry in modalità privata Anthos.
Esporta le seguenti variabili di ambiente.
export REGISTRY_HOST=REGISTRY_HOST
export REGISTRY_PASSWORD=REGISTRY_PASSWORD
# By default, a public project called 'library' is created,
# and you can also create other public or private projects with the container registry portal.
export PRIVATE_REGISTRY=${REGISTRY_HOST}/library
Sostituisci quanto segue:
REGISTRY_HOSTè l'indirizzo IP del tuo registro. Se vuoi installare e utilizzare il registro dei container in modalità privata di Anthos nella workstation di amministrazione, utilizza qui l'indirizzo IP della workstation di amministrazione.REGISTRY_PASSWORDè il valore che imposti per la tua password del Registro di sistema.
Se decidi di utilizzare un tuo registro dei container, vai alla sezione Caricare immagini nel registro dei container.
Configurare Container Registry in modalità privata
In questa sezione configurerai un Container Registry privato nella workstation di amministrazione. Esegui tutti i comandi seguenti dalla workstation di amministrazione.
Se non hai un tuo Container Registry privato, installa Anthos Registry in modalità privata.
cd ~/anthos-baremetal-private-mode # Move it to a path under $PATH chmod a+x local-registry/docker-compose sudo cp local-registry/docker-compose /usr/bin # Install local registry ./local-registry/install.shAccedi al registry per verificare di avere l'accesso. Se ricevi un errore, potrebbe essere necessario attendere qualche secondo.
docker login ${REGISTRY_HOST} -u admin -p ${REGISTRY_PASSWORD}
Note:
- Registry Registry per la modalità privata di Anthos viene utilizzato solo per installare la modalità privata di Anthos. Non è ancora adatto all'uso in produzione.
- Il progetto registro pubblico predefinito è
librarye può essere utilizzato per impostazione predefinita. Tuttavia, se vuoi, puoi accedere al registry e creare un nuovo progetto. - Container Registry è disponibile all'indirizzo
https://REGISTRY_HOST/dopo l'avvio del servizio. Le credenziali di accesso sono il nome utenteadmineREGISTRY_PASSWORDper la password. - Le credenziali vengono memorizzate in modalità non criptata in
/home/<USER>/.docker/config.json.
Carica immagini in Container Registry
In questa sezione caricherai le immagini container Anthos in modalità privata nel tuo Container Registry.
Prepara e carica le immagini dei container in modalità privata di Anthos nel tuo registro dei container. Se richiesto, scegli l'opzione Use that credential o inserisci le nuove credenziali.
actl images push --private-registry=${PRIVATE_REGISTRY} \
--images ~/anthos-baremetal-private-mode
Nota: se utilizzi un proxy HTTP sulla workstation, potresti dover annullare l'impostazione delle seguenti variabili di ambiente per consentire il funzionamento del comando actl images push:
unset http_proxy
unset https_proxy
unset HTTP_PROXY
unset HTTPS_PROXY
(Facoltativo) Caricare i grafici Helm in Container Registry
In questa sezione caricherai i grafici facoltativi Helm in modalità privata su Container Registry. La versione 1.9 di Anthos in modalità privata include grafici Helm in bundle per due soluzioni Google Cloud Marketplace: PostgreSQL e Redis. Questi popolari stack software open source sono pacchettizzati da Google e progettati per essere eseguiti in ambienti scollegati.
Prepara e carica i grafici Helm in modalità privata di Anthos nel tuo registry dei container. Se richiesto, scegli l'opzione
Use that credentialo inserisci le nuove credenziali:actl packages push --private-registry=${PRIVATE_REGISTRY} \ ~/anthos-baremetal-private-mode/services/third_party-postgresql/package-spec.yaml actl packages push --private-registry=${PRIVATE_REGISTRY} \ ~/anthos-baremetal-private-mode/services/third_party-redis-ha/package-spec.yamlPer estrarre i grafici Helm in modalità privata di Anthos da Container Registry, abilita il supporto sperimentale OCI per Helm:
export HELM_EXPERIMENTAL_OCI=1Se il tuo registro privato utilizza un certificato autofirmato, devi aggiornare anche i certificati dell'autorità di certificazione (CA) nel sistema. Per informazioni dettagliate, consulta questo problema di Helm.
sudo cp local-registry/ca.crt /usr/local/share/ca-certificates/ sudo update-ca-certificatesAccedi al registry per verificare di avere accesso:
helm registry login ${REGISTRY_HOST} -u admin -p ${REGISTRY_PASSWORD}Trascina ed esporta i grafici Helm in modalità privata di Anthos dal tuo registro dei container:
helm chart pull ${PRIVATE_REGISTRY}/<CHART>:<TAG> helm chart export ${PRIVATE_REGISTRY}/<CHART>:<TAG> .