Questa pagina è stata tradotta dall'API Cloud Translation.

Crea cluster di amministrazione

In Google Distributed Cloud, configuri i cluster di amministrazione per gestire in modo sicuro altri cluster. Puoi creare, aggiornare, eseguire l'upgrade o eliminare i cluster utente dai cluster di amministrazione. I cluster utente eseguono i carichi di lavoro separatamente dall'amministrazione, quindi le informazioni sensibili sono protette.

I cluster di amministrazione che gestiscono carichi di lavoro multi-cluster possono fornire un'affidabilità ad alta disponibilità (HA). In un cluster HA, se un nodo del control plane non funziona, gli altri nodi continueranno a funzionare.

Un cluster di amministrazione in un ambiente multi-cluster offre la migliore sicurezza fondamentale. Poiché l'accesso ai dati amministrativi è separato dai carichi di lavoro, chi accede ai carichi di lavoro degli utenti non ha accesso a dati amministrativi sensibili, come chiavi SSH e dati deaccount di serviziont. Di conseguenza, esiste un compromesso tra la sicurezza e le risorse richieste, poiché un cluster di amministrazione separato significa che hai bisogno di risorse dedicate per la gestione e i carichi di lavoro.

Crea un cluster di amministrazione utilizzando il comando bmctl. Dopo aver creato un cluster di amministrazione, crei cluster utente per eseguire i carichi di lavoro.

Prerequisiti:

Viene scaricata l'ultima versione di bmctl (gs://anthos-baremetal-release/bmctl/1.32.200-gke.104/linux-amd64/bmctl) da Cloud Storage.
La workstation che esegue bmctl ha connettività di rete a tutti i nodi nei cluster utente di destinazione.
La workstation che esegue bmctl ha connettività di rete al server API del cluster (VIP del control plane).
La chiave SSH utilizzata per creare il cluster di amministrazione è disponibile per root o per un utente utente root con privilegi sudo senza password su tutti i nodi del cluster di amministrazione di destinazione.
Il account di servizio Connect-register è configurato per l'utilizzo con Connect.

Consulta la guida rapida di Google Distributed Cloud per istruzioni dettagliate sulla creazione di un cluster ibrido. La creazione di un cluster di amministrazione è simile alla creazione di un cluster ibrido, tranne per il fatto che non esegui carichi di lavoro sul cluster di amministrazione.

Abilitare SELinux

Se vuoi attivare SELinux per proteggere i tuoi container, devi assicurarti che SELinux sia attivato in modalità Enforced su tutti i tuoi computer host. A partire dalla versione 1.9.0 o successive di Google Distributed Cloud, puoi abilitare o disabilitare SELinux prima o dopo la creazione o gli upgrade del cluster. SELinux è abilitato per impostazione predefinita su Red Hat Enterprise Linux (RHEL). Se SELinux è disattivato sulle macchine host o non ne hai la certezza, consulta Protezione dei container mediante SELinux per istruzioni su come attivarlo.

Google Distributed Cloud supporta SELinux solo nei sistemi RHEL.

Accedi a gcloud CLI e crea un file di configurazione del cluster di amministrazione

Imposta le credenziali predefinite che Google Distributed Cloud può utilizzare per creare il cluster con il seguente comando:
```
gcloud auth application-default login
```
Per utilizzare le funzionalità di attivazione automatica delle API e creazione di account di servizio in questa pagina, concedi il ruolo Proprietario progetto a questa entità. Se l'entità non può avere il ruolo Proprietario progetto, completa il passaggio successivo.
Per garantire la riuscita della creazione del cluster senza concedere il ruolo Proprietario progetto, aggiungi i seguenti ruoli IAM all'entità:
- Amministratore account di servizio
- Service Account Key Admin
- Amministratore IAM progetto
- Compute Viewer
- Amministratore Service Usage
Se l'entità è un account di servizio con questi ruoli, puoi eseguire:
```
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
```
Sostituisci JSON_KEY_FILE con il percorso del file JSON della chiave dell'account di servizio.
Recupera l'ID del tuo progetto Google Cloud e memorizzalo in una variabile di ambiente da utilizzare per la creazione del cluster:
```
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
```

Crea una configurazione del cluster di amministrazione con `bmctl`

Dopo aver eseguito l'accesso alla gcloud CLI e aver configurato il progetto, puoi creare il file di configurazione del cluster con il comando bmctl.

Nell'esempio seguente, tutti i service account vengono creati automaticamente dal comando bmctl create config:

bmctl create config -c ADMIN_CLUSTER_NAME --enable-apis \
    --create-service-accounts --project-id=CLOUD_PROJECT_ID

Sostituisci quanto segue:

ADMIN_CLUSTER_NAME: il nome del nuovo cluster.
CLOUD_PROJECT_ID: il tuo ID progetto Google Cloud o la variabile di ambiente $CLOUD_PROJECT_ID.

Ecco un esempio per creare un file di configurazione per un cluster di amministrazione denominato admin1 associato all'ID progetto my-gcp-project:

bmctl create config -c admin1 --create-service-accounts --enable-apis --project-id=my-gcp-project

Il file viene scritto in bmctl-workspace/admin1/admin1.yaml.

In alternativa all'attivazione automatica delle API e alla creazione di service account, puoi anche fornire ai service account esistenti le autorizzazioni IAM appropriate. Ciò significa che puoi saltare la creazione automatica del account di servizio nell'esempio precedente nel comando bmctl:

bmctl create config -c admin1 --project-id=my-gcp-project

Modifica il file di configurazione del cluster

Ora che hai un file di configurazione del cluster, modificalo per apportare le seguenti modifiche:

Fornisci la chiave privata SSH per accedere ai nodi del cluster di amministrazione:

# bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes
# resource, this section can only be included when using bmctl to
# create the initial admin/admin cluster. Afterwards, when creating user clusters by directly
# applying the cluster and node pool resources to the existing cluster, you must remove this
# section.
gcrKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
sshPrivateKeyPath: /path/to/your/ssh_private_key
gkeConnectAgentServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
gkeConnectRegisterServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
cloudOperationsServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json

Registra i cluster in un parco risorse. L'ID progetto che hai specificato nel comando bmctl create config viene aggiunto automaticamente al campo gkeConnect.projectID nel file di configurazione del cluster. Questo progetto è denominato progetto host del parco risorse.
- Se hai creato il file di configurazione utilizzando le funzionalità di attivazione automatica delle API e creazione dell'account di servizio, puoi ignorare questo passaggio.
- Se hai creato il file di configurazione senza utilizzare le funzionalità di attivazione automatica dell'API e di creazione dell'account di servizio, fai riferimento alle chiavi JSON dell'account di servizio scaricate nei campi gkeConnectAgentServiceAccountKeyPath e gkeConnectRegisterServiceAccountKeyPath corrispondenti del file di configurazione del cluster.
- Se vuoi, puoi aggiungere gkeConnect.location alla specifica del cluster per specificare la regione Google Cloud in cui vengono eseguiti i servizi Fleet e Connect. Questo abbonamento regionale limita il traffico del servizio di gestione della flotta alla tua regione. Se includi gkeConnect.location nella specifica del cluster, la regione che specifichi deve essere la stessa della regione configurata in clusterOperations.location. Se le regioni non sono le stesse, la creazione del cluster non va a buon fine.

Verifica che la configurazione specifichi un tipo di cluster admin (il valore predefinito):

spec:
  # Cluster type. This can be:
  #   1) admin:  to create an admin cluster. This can later be used to create user clusters.
  #   2) user:   to create a user cluster. Requires an existing admin cluster.
  #   3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads.
  #   4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters.
  type: admin

Se l'API GKE On-Prem è abilitata nel tuo progettoGoogle Cloud , tutti i cluster del progetto vengono registrati automaticamente nell'API GKE On-Prem nella regione configurata in clusterOperations.location.
- Se vuoi registrare tutti i cluster del progetto nell'API GKE On-Prem, assicurati di eseguire i passaggi descritti in Prima di iniziare per attivare e utilizzare l'API GKE On-Prem nel progetto.
- Se non vuoi registrare il cluster nell'API GKE On-Prem, includi questa sezione e imposta gkeOnPremAPI.enabled su false. Se non vuoi registrare cluster nel progetto, disabilita gkeonprem.googleapis.com (il nome del servizio per l'API GKE On-Prem) nel progetto. Per le istruzioni, vedi Disabilitare i servizi.
Modifica il file di configurazione per specificare un control plane multi-nodo ad alta disponibilità. Specifica un numero dispari di nodi per avere un quorum di maggioranza per l'alta disponibilità:
```
  # Control plane configuration
  controlPlane:
    nodePoolSpec:
      nodes:
      # Control plane node pools. Typically, this is either a single machine
      # or 3 machines if using a high availability deployment.
      - address: 10.200.0.4
      - address: 10.200.0.5
      - address: 10.200.0.6
```
Nota :se hai un numero pari di nodi temporaneamente durante l'aggiunta o la rimozione di nodi per la manutenzione o la sostituzione, il deployment mantiene l'alta disponibilità finché hai un quorum sufficiente.
Specifica la densità dei pod dei nodi del cluster:
```
....
# NodeConfig specifies the configuration that applies to all nodes in the cluster.
nodeConfig:
  # podDensity specifies the pod density configuration.
  podDensity:
    # maxPodsPerNode specifies at most how many pods can be run on a single node.
    maxPodsPerNode: 250
....
```
Per i cluster di amministrazione, i valori consentiti per maxPodsPerNode sono 32-250 per i cluster HA e 64-250 per i cluster non HA. Il valore predefinito se non specificato è 110. Una volta creato il cluster, questo valore non può essere aggiornato.

La densità dei pod è limitata anche dalle risorse IP disponibili del cluster. Per maggiori dettagli, vedi Networking dei pod.

Crea il cluster di amministrazione con la configurazione del cluster

Utilizza il comando bmctl per eseguire il deployment del cluster:

bmctl create cluster -c ADMIN_CLUSTER_NAME

ADMIN_CLUSTER_NAME specifica il nome del cluster creato nella sezione precedente.

Di seguito è riportato un esempio del comando per creare un cluster denominato admin1:

bmctl create cluster -c admin1

Esempi di configurazioni del cluster di amministrazione

Per esempi di configurazioni del cluster di amministrazione, consulta Cluster di amministrazione in Esempi di configurazione dei cluster.