Cette page s'adresse aux opérateurs d'infrastructure ou aux administrateurs de plate-forme.
Dans Anthos en mode privé, vous pouvez exécuter des vérifications préliminaires pour différentes situations :
- Anthos en mode privé exécute des vérifications préliminaires lorsque vous créez ou mettez à jour des clusters d'administrateur ou d'utilisateur et des ressources de pool de nœuds à l'aide de
actl. En cas d'échec des vérifications, aucune modification n'est effectuée. Vous pouvez également contourner ces vérifications. - Anthos en mode privé exécute des vérifications internes préliminaires lorsque vous appliquez des ressources Kubernetes à des clusters d'utilisateur à partir d'un cluster d'administrateur. Les vérifications sont exécutées avant que les modifications ne soient réellement appliquées aux clusters d'utilisateur concernés. En cas d'échec des vérifications, aucune modification n'est effectuée. Vous pouvez également contourner ces vérifications ou les exécuter explicitement.
Vérifications préliminaires lors de la création de clusters à l'aide de actl
Lorsque vous créez des clusters d'administrateur ou d'utilisateur avec la commande actl, Anthos en mode privé exécute automatiquement des vérifications préliminaires avant toute modification.
Une fois les vérifications effectuées et validées, Anthos en mode privé crée les clusters.
Ignorer les résultats des vérifications préliminaires automatiques
Si vous souhaitez contourner ces vérifications préliminaires automatiques, vous pouvez utiliser l'option facultative --force dans la commande.
Exécuter des vérifications préliminaires indépendamment
Vous pouvez également effectuer vous-même des vérifications préliminaires avant de créer un cluster. Cela peut vous faire gagner du temps en vous assurant que vos ressources machine et de nœud répondent aux besoins des vérifications.
Cette commande vérifie si les machines et le réseau sont prêts pour la création du cluster:
actl clusters baremetal check preflight CLUSTER_NAME
Vérifications préliminaires pour la création d'un cluster d'utilisateur
Les clusters d'utilisateur sont créés à partir d'un cluster d'administrateur existant. Anthos en mode privé exécute automatiquement des vérifications préliminaires avant toute modification. Vous pouvez également effectuer des vérifications préliminaires avec kubectl avant de créer un cluster.
Créez un fichier de configuration de cluster d'utilisateur en suivant l'exemple de fichier de configuration de cluster d'utilisateur.
Créez un espace de noms pour le nouveau cluster d'utilisateur. Par exemple, pour créer un cluster d'utilisateur nommé
user1, vous pouvez créer un espace de noms nommécluster-user1. Voici la commandekubectlpermettant de créer l'espace de noms, où ADMIN_KUBECONFIG spécifie le chemin d'accès au fichierkubeconfigdu cluster d'administrateur :kubectl --kubeconfig ADMIN_KUBECONFIG create namespace cluster-user1
Importez votre fichier de clé privée SSH dans le nouvel espace de noms en tant que secret pour définir vos identifiants. Voici un exemple de commande, où ADMIN_KUBECONFIG spécifie le chemin d'accès au fichier
kubeconfigdu cluster administrateur et SSH_PRIVATE_KEY_FILE_PATH spécifie le chemin d'accès au fichier de clé privée SSH :kubectl --kubeconfig ADMIN_KUBECONFIG create secret generic ssh-key -n cluster-user1 --from-file=id_rsa=SSH_PRIVATE_KEY_FILE_PATH
Créez un fichier YAML de vérification préliminaire avec la structure suivante : Dans le champ
configYAML, saisissez le contenu textuel du fichier de configuration de cluster d'utilisateur que vous avez créé à l'étape 1 :apiVersion: baremetal.cluster.gke.io/v1 kind: PreflightCheck metadata: generateName: preflightcheck- namespace: cluster-user1 spec: configYAML: | # insert user cluster config file content here.
La commande
kubectlsuivante exécute la vérification préliminaire pour le cluster d'utilisateur, où ADMIN_KUBECONFIG spécifie le chemin d'accès au fichier kubeconfig du cluster d'administrateur, et USER_CLUSTER_PREFLIGHT_CHECK_CONFIG spécifie le chemin d'accès au fichier YAML de vérification préliminaire que vous avez créé à l'étape précédente :kubectl --kubeconfig ADMIN_KUBECONFIG create -f USER_CLUSTER_PREFLIGHT_CHECK_CONFIG
user1-preflight.yaml, la commande est la suivante :kubectl --kubeconfig ADMIN_KUBECONFIG create -f user1-preflight.yaml
preflightcheck.baremetal.cluster.gke.io/preflightcheck-g7hfo4 created
Pour obtenir l'état de la tâche de vérification préliminaire, utilisez la commande
kubectl:kubectl --kubeconfig ADMIN_KUBECONFIG -n cluster-user1 get preflightchecks preflightcheck-g7hfo4
En cas d'échec de la tâche de vérification préliminaire, vérifiez son état, puis consultez les journaux de tâches détaillés pour identifier la vérification en question. Corrigez les problèmes mentionnés dans les tâches en conséquence, puis exécutez de nouveau les vérifications.
Vérifications préliminaires internes sur les clusters existants
Anthos en mode privé effectue également des vérifications préliminaires internes lorsque vous appliquez des ressources Kubernetes Cluster à un cluster d'administrateur existant. Si l'une des vérifications échoue, Anthos en mode privé n'apporte aucune modification aux nœuds associés, sauf si vous avez spécifiquement choisi de contourner ces vérifications.
Contourner les vérifications préliminaires lors de l'application de ressources Kubernetes
Pour ignorer les vérifications internes préliminaires lors de l'application de ressources Cluster à un cluster d'administrateur existant, vous devez définir le champ BypassPreflightCheck sur true dans la ressource de cluster.
Voici un fragment d'un fichier de configuration YAML du cluster, avec le champ bypassPreflightCheck défini sur true.
# Sample cluster config to bypass preflight check errors: apiVersion: v1 kind: Namespace metadata: name: cluster-user1 --- apiVersion: baremetal.cluster.gke.io/v1 kind: Cluster metadata: name: user1 namespace: cluster-user1 spec: type: user bypassPreflightCheck: true # Anthos cluster version. anthosBareMetalVersion: 1.9.3 ....
Réactiver les vérifications préliminaires
Vous pouvez déclencher explicitement une nouvelle série de vérifications préliminaires afin qu'Anthos en mode privé puisse mettre à jour ou créer des clusters une fois la vérification préliminaire effectuée et validée.
Créez un fichier YAML de vérification préliminaire avec le contenu suivant : Renseignez les champs
namespaceetclusterNameavec le nom du cluster que vous créez :apiVersion: baremetal.cluster.gke.io/v1 kind: PreflightCheck metadata: generateName: preflightcheck- namespace: CLUSTER_NAMESPACE spec: clusterName: CLUSTER_NAME
Exécutez la commande
kubectlafin d'exécuter la vérification préliminaire du cluster, où ADMIN_KUBECONFIG spécifie le chemin d'accès au fichier kubeconfig du cluster d'administrateur, et CLUSTER_PREFLIGHT_CHECK_CONFIG spécifie le chemin d'accès au fichier YAML de vérification préliminaire que vous avez créé précédemment :kubectl --kubeconfig ADMIN_KUBECONFIG create -f CLUSTER_PREFLIGHT_CHECK_CONFIG
user1-preflight.yaml, la commande est la suivante :kubectl --kubeconfig ADMIN_KUBECONFIG create -f user1-preflight.yaml
preflightcheck.baremetal.cluster.gke.io/preflightcheck-g7hfo4 created
Pour obtenir l'état de l'ID de la tâche de vérification préliminaire, utilisez la commande
kubectl:kubectl --kubeconfig ADMIN_KUBECONFIG -n cluster-cluster1 get preflightchecks preflightcheck-g7hfo4
Une fois la tâche de vérification préliminaire terminée, Anthos en mode privé crée le cluster et ses ressources.
Détails des vérifications préliminaires lors de l'installation
Anthos en mode privé vérifie un certain nombre de conditions préalables à l'exécution du système d'exploitation, du logiciel et du matériel dans le cadre des vérifications préliminaires.
Pour en savoir plus, consultez la section décrivant les Conditions requises.
Vérifications préliminaires lors de l'authentification
À des fins d'authentification, les vérifications préliminaires vérifient la configuration OpenID Connect (OIDC) pour empêcher l'application d'un profil OIDC incorrect.
Ces vérifications incluent l'action de pinguer le point de terminaison OIDC à l'aide du mécanisme de découverte OIDC à /.well-known/openid-configuration.