Infrastruktur installieren

Der private Anthos-Modus ist eine Version von Anthos, die in einer Umgebung mit Luftspalt aus dem Internet vollständig isoliert werden kann. Sie können den privaten Anthos-Modus verwenden, um hochgradig regulierte Arbeitslasten lokal auszuführen, aber dennoch von vielen Vorteilen einer cloudnativen Infrastruktur zu profitieren.

Einführung

Dieses Dokument führt Sie durch die Installation des privaten Anthos-Modus als Infrastrukturbetreiber, der für die Infrastrukturebene wie Bare-Metal-Maschinen, Netzwerke, Speicher und das Betriebssystem verantwortlich ist. Für diesen Vorgang sind Vorkenntnisse im Umgang mit Kubernetes und Systemverwaltung erforderlich.

Die Architektur des privaten Anthos-Modus ähnelt der Architektur der verbundenen Version von Anthos auf Bare-Metal: Es gibt einen Administratorcluster, mit dem Sie den Nutzercluster erstellen und verwalten können. Ihre Arbeitslasten werden auf den Nutzerclustern ausgeführt. Sie haben auch eine Administrator-Workstation, die eine einzelne Maschine mit den Tools zum Installieren und Verwalten der Bereitstellung im privaten Anthos-Modus ist.

Im Vergleich zur verbundenen Version von Anthos auf Bare-Metal werden im privaten Anthos-Modus drei zusätzliche Komponenten hinzugefügt:

  • Eine optionale Container Registry, die auf der Administrator-Workstation ausgeführt wird, um alle Anthos-Container-Images zu speichern (erforderlich in einem Szenario, in dem Sie keinen Zugriff auf eine Container Registry haben).
  • Ein webbasiertes Management Center im privaten Anthos-Modus, das auf dem Administratorcluster ausgeführt wird. Es ermöglicht Ihnen die Verwaltung aller Ressourcen, aus denen die Anthos-Bereitstellung besteht, einschließlich Maschinen, AddressPools und Nutzercluster. Es verwaltet auch die Anthos-Features und bietet Zugriff auf Monitoring und die Sichtbarkeit von Arbeitslasten.
  • Ein actl-Befehlszeilentool, mit dem der private Anthos-Modus installiert und andere administrative Aufgaben ausgeführt werden können.

Diagramm zur Beschreibung der Architektur des privaten Anthos-Modus

Abbildung: Architekturbild für den privaten Anthos-Modus.

Nachdem Sie dieses Dokument gelesen haben, finden Sie unter Anthos Management Center installieren ausführliche Informationen zur Installation einer Umgebung mit privatem Anthos-Modus.

Umgebung vorbereiten

Vorbereitung

Bevor Sie die Anleitung in diesem Dokument durcharbeiten, müssen Sie dafür sorgen, dass die technischen Anforderungen für den privaten Anthos-Modus erfüllt sind.

Zugriff auf den privaten Anthos-Modus ermöglichen

Wir müssen Ihnen Zugriff auf private Anthos-Modus-Releases gewähren. Teilen Sie Ihrem Ansprechpartner bei Google eine E-Mail-Adresse für jeden Tester mit, damit wir ihm Zugriff auf das Download-Repository gewähren können. Diese E-Mail-Adressen müssen Google-Konten sein.

Wenn Ihr Ansprechpartner bei Google bestätigt hat, dass Sie Zugriff auf die im Rahmen des privaten Anthos-Modus verteilten Releases haben, prüfen Sie, ob Sie die Berechtigungen zum Herunterladen der privaten Anthos-Modus-Releases haben. Führen Sie dazu den folgenden Befehl aus: gsutil ls gs://anthos-private-mode-release/.

Wenn eine Fehlermeldung angezeigt wird, prüfen Sie, ob gsutil dasselbe Google-Konto verwendet, das Sie Ihrem Google-Ansprechpartner bereitgestellt haben. Führen Sie dazu den Befehl gcloud auth list aus.

Alternativ können Sie den neuesten Release-Bucket aufrufen, um zu überprüfen, ob Sie die richtigen Berechtigungen haben. Sie müssen mit dem Google-Konto angemeldet sein, das Sie zuvor angegeben haben.

Wenn Sie Probleme beim Zugriff auf die privaten Anthos-Modus-Releases haben, wenden Sie sich an Ihren Google-Ansprechpartner.

Privaten Anthos-Modus herunterladen

In diesem Abschnitt laden Sie den Release für den privaten Anthos-Modus herunter, der in mehreren Dateien mit mehreren Gigabyte enthalten ist. Je nach Internetverbindung kann das Herunterladen länger dauern.

Privaten Anthos-Modus herunterladen

Führen Sie auf Ihrer Administrator-Workstation die folgenden Befehle aus:

# Login with the account granted access to Anthos private mode
gcloud auth login

# Download the script which helps download all the latest components
export VERSION=0.9.0-gke.1
gsutil cp gs://anthos-private-mode-release/$VERSION/get-anthos-private-mode.sh .
chmod +x get-anthos-private-mode.sh
./get-anthos-private-mode.sh

# If you are working on a workstation shared with other users,
# we recommend that you revoke your credentials after downloading the release.
gcloud auth revoke [YOUR_EMAIL]

Verbleibende Abhängigkeiten installieren

Sobald der Download des privaten Anthos-Modus abgeschlossen ist, führen Sie die folgenden Befehle aus:

cd anthos-baremetal-private-mode

# Add actl command line tool and bin directory to the PATH
export PATH=$PWD/bin:$PATH

# Download Harbor offline installer
curl -SL \
  https://github.com/goharbor/harbor/releases/download/v2.2.0/harbor-offline-installer-v2.2.0.tgz \
  --output "local-registry/harbor-offline-installer.tgz"

# Install docker-compose
curl -SL \
  https://github.com/docker/compose/releases/download/1.28.5/docker-compose-Linux-x86_64 \
  --output "local-registry/docker-compose"

Das sind die einzigen beiden Schritte des Vorgangs, die eine Internetverbindung erfordern. Wenn Sie den privaten Anthos-Modus in einer Umgebung installieren, die vollständig vom Internet isoliert ist, haben Sie folgende Möglichkeiten:

  • Verbinden Sie zuerst Ihre Administrator-Workstation mit dem Internet und laden Sie den Release wie oben beschrieben herunter. Trennen Sie dann Ihre Workstation vom Internet und stellen Sie eine Verbindung zur Umgebung mit Luftspalt her.
  • Laden Sie den Release von einer mit dem Internet verbundenen Entwickler-Workstation herunter, kopieren Sie ihn auf ein tragbares Speichergerät und verschieben Sie dieses tragbare Speichergerät auf Ihre Administrator-Workstation.

Sie können sich den Inhalt des privaten Anthos-Modus ansehen:

./anthos-baremetal-private-mode
├── baremetal
   ├── images
   └── package-spec.yaml
├── bin
   ├── actl
   ├── istioctl
   └── nomos
├── bmctl-workspace
   └── admin
       └── admin.yaml
├── local-registry
   ├── cleanup.sh
   ├── docker-compose
   ├── generate-certs.sh
   ├── harbor-offline-installer.tgz
   └── install.sh
├── managementcenter
   ├── images
   └── management-center.yaml
├── services
   ├── anthos-config-management
   ├── anthos-service-mesh
   └── images
├── third_party
└── updatecenter
    └── images
  • Das Verzeichnis local-registry enthält die Ressourcen zum Einrichten einer lokalen Container Registry.
  • Andere Verzeichnisse wie managementcenter, services und baremetal enthalten alles, was zum Installieren des Administratorclusters und des Management Centers für den privaten Anthos-Modus erforderlich ist.

[Optional] Autovac-Shell-Vervollständigung aktivieren

actl unterstützt die automatische Vervollständigung von Shells für Bash, Zsh und Fish. Folgen Sie der Anleitung in actl help completion, um die Einrichtung abzuschließen. Beispiel für Ubuntu/Debian, Bash:

# One time setup: install bash-completion
sudo apt update && sudo apt install bash-completion

# In ~/.bashrc
source /etc/profile.d/bash_completion.sh
source <(actl completion bash)

Container Registry einrichten

Im privaten Anthos-Modus werden die Anthos-Container-Images in einer lokalen Container Registry gespeichert. Sie können entweder eine eigene vorhandene Container Registry verwenden oder die gebündelte Container Registry vom privaten Anthos-Modus verwenden.

  1. Exportieren Sie die folgenden Umgebungsvariablen:

    export REGISTRY_IP=[YOUR_REGISTRY_IP]
    export REGISTRY_PASSWORD=[YOUR_REGISTRY_PASSWORD]
    
    # By default, a "library" public project is created,
    # and you can also create other private projects via the Harbor portal.
    export PRIVATE_REGISTRY=${REGISTRY_IP}/library
    

    Dabei gilt:

  2. [YOUR_REGISTRY_IP] ist Ihre Registry-IP-Adresse. Wenn Sie die Container Registry des privaten Anthos-Modus auf der Administrator-Workstation installieren und verwenden möchten, verwenden Sie hier die IP-Adresse Ihrer Administrator-Workstation.

  3. [YOUR_REGISTRY_PASSWORD] ist das Passwort für Ihre vorhandene Registry oder ein neues Passwort, wenn Sie eine neue Container Registry erstellen.

Wenn Sie eine eigene Container Registry verwenden möchten, fahren Sie mit dem Abschnitt Images in Container Registry hochladen fort.

Container Registry im privaten Anthos-Modus einrichten

In diesem Abschnitt richten Sie eine private Container Registry auf der Administrator-Workstation ein. Führen Sie alle unten genannten Befehle auf der Administrator-Workstation aus.

  1. Wenn Sie keine eigene private Container Registry haben, installieren Sie die Container Registry des privaten Anthos-Modus.

    cd ~/anthos-baremetal-private-mode
    
    # Move it to a path under $PATH
    chmod a+x local-registry/docker-compose
    sudo cp local-registry/docker-compose /usr/bin
    
    # Install local registry
    ./local-registry/install.sh
    

Hinweise:

  • Die Container Registry für den privaten Modus von Anthos wird nur für das Installieren des privaten Modus von Anthos verwendet. Der Produktionsdienst ist noch nicht einsatzbereit.
  • Das öffentliche Standard-Registry-Projekt ist library. Es kann standardmäßig verwendet werden. Sie haben aber auch die Möglichkeit, sich anzumelden und ein neues Projekt zu erstellen.
  • Die Container Registry ist unter https://${REGISTRY_IP}/ verfügbar. Die Anmeldedaten sind der Nutzername admin und ${REGISTRY_PASSWORD} für das Passwort.
  • Die Anmeldedaten werden unverschlüsselt in /home/<USER>/.docker/config.json gespeichert.

Melden Sie sich in der Registry an, um zu prüfen, ob Sie Zugriff haben. Wenn Sie eine Fehlermeldung erhalten, müssen Sie möglicherweise einige Sekunden warten.

docker login ${REGISTRY_IP} -u admin -p ${REGISTRY_PASSWORD}

Images in Container Registry hochladen

In diesem Abschnitt laden Sie die Container-Images im privaten Anthos-Modus in Ihre Container Registry hoch.

  1. Bereiten Sie die Container-Images des privaten Anthos-Modus in Ihre Container Registry vor und laden Sie sie hoch. Wenn Sie dazu aufgefordert werden, wählen Sie die Option Use that credential aus.

    actl images push --private-registry=${PRIVATE_REGISTRY} \
        --images ~/anthos-baremetal-private-mode