Anthos clusters on bare metal è ora Google Distributed Cloud (solo software) per bare metal. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Crea cluster di amministrazione

In Google Distributed Cloud, configuri i cluster di amministrazione per gestire altri cluster in modo sicuro. Puoi creare, aggiornare, eseguire l'upgrade o eliminare i cluster utente dai cluster di amministrazione. I cluster di utenti eseguono i carichi di lavoro separatamente dall'amministrazione, pertanto le informazioni sensibili sono protette.

I cluster di amministrazione che gestiscono carichi di lavoro multi-cluster possono fornire un'affidabilità ad alta disponibilità. In un cluster ad alta disponibilità, se un nodo del piano di controllo non funziona, gli altri nodi continueranno a funzionare.

Un cluster di amministrazione in un ambiente multi-cluster offre la migliore sicurezza di base. Poiché l'accesso ai dati amministrativi è separato dai carichi di lavoro, chi accede ai carichi di lavoro degli utenti non ha accesso ai dati amministrativi sensibili, come le chiavi SSH e i dati degli account di servizio. Di conseguenza, esiste un compromesso tra la sicurezza e le risorse richieste, poiché un cluster amministrativo separato richiede risorse dedicate per la gestione e i carichi di lavoro.

Crea un cluster di amministrazione utilizzando il comando bmctl. Dopo aver creato un cluster di amministrazione, devi creare cluster utente per eseguire i carichi di lavoro.

Prerequisiti:

L'ultima versione di bmctl viene scaricata (gs://anthos-baremetal-release/bmctl/1.30.300-gke.84/linux-amd64/bmctl) da Cloud Storage.
La workstation su cui è in esecuzione bmctl ha connettività di rete con tutti i nodi dei cluster di utenti di destinazione.
La workstation che esegue bmctl ha connettività di rete con il server API del cluster (VIP del piano di controllo).
La chiave SSH utilizzata per creare il cluster di amministrazione è disponibile per root o per un utente utente root con privilegi sudo senza password su tutti i nodi del cluster di amministrazione di destinazione.
L'account di servizio Connect-register è configurato per l'utilizzo con Connect.

Consulta la guida rapida di Google Distributed Cloud per istruzioni dettagliate sulla creazione di un cluster ibrido. La creazione di un cluster di amministrazione è simile alla creazione di un cluster ibrido, tranne per il fatto che non esegui i carichi di lavoro sul cluster di amministrazione.

Abilita SELinux

Se vuoi attivare SELinux per proteggere i tuoi container, devi assicurarti che sia attivato in modalità Enforced su tutte le macchine host. A partire dalla release 1.9.0 o successive di Google Distributed Cloud, puoi abilitare o disabilitare SELinux prima o dopo la creazione o gli upgrade dei cluster. SELinux è abilitato per impostazione predefinita su Red Hat Enterprise Linux (RHEL). Se SELinux è disattivato sulle tue macchine host o non hai la certezza, consulta la sezione Protezione dei container mediante SELinux per istruzioni su come attivarlo.

Google Distributed Cloud supporta SELinux solo nei sistemi RHEL.

Accedi a gcloud CLI e crea un file di configurazione del cluster di amministrazione

Imposta le credenziali predefinite che Google Distributed Cloud può utilizzare per creare il cluster con il seguente comando:
```
gcloud auth application-default login
```
Per utilizzare le funzionalità di attivazione automatica dell'API e di creazione degli account di servizio in questa pagina, concedi il ruolo Proprietario progetto a questo principale. Se il principale non può avere il ruolo Proprietario progetto, vai al passaggio successivo.
Per assicurarti che la creazione del cluster possa essere completata senza concedere il ruolo Project Proprietario, aggiungi i seguenti ruoli IAM all'entità:
- Amministratore account di servizio
- Service Account Key Admin
- Amministratore IAM progetto
- Compute Viewer
- Amministratore Service Usage
Se l'entità è un account di servizio con questi ruoli, puoi eseguire:
```
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
```
Sostituisci JSON_KEY_FILE con il percorso del file della chiave JSON dell'account di servizio.
Recupera l'ID del tuo progetto Google Cloud e memorizzalo in una variabile di ambiente per usarlo per la creazione del cluster:
```
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
```

Crea una configurazione del cluster di amministrazione con `bmctl`

Dopo aver eseguito l'accesso all'interfaccia alla gcloud CLI e aver configurato il progetto, puoi creare il file di configurazione del cluster con il comando bmctl.

Nell'esempio seguente, tutti gli account di servizio vengono creati automaticamente dal comando bmctl create config:

bmctl create config -c ADMIN_CLUSTER_NAME --enable-apis \
    --create-service-accounts --project-id=CLOUD_PROJECT_ID

Sostituisci quanto segue:

ADMIN_CLUSTER_NAME: il nome del nuovo cluster.
CLOUD_PROJECT_ID: il tuo ID progetto Google Cloud o la variabile di ambiente $CLOUD_PROJECT_ID.

Ecco un esempio per creare un file di configurazione per un cluster di amministrazione chiamato admin1 associato all'ID progetto my-gcp-project:

bmctl create config -c admin1 --create-service-accounts --enable-apis --project-id=my-gcp-project

Il file viene scritto in bmctl-workspace/admin1/admin1.yaml.

In alternativa all'abilitazione automatica delle API e alla creazione di account di servizio, puoi anche fornire ai tuoi account di servizio esistenti le autorizzazioni IAM appropriate. Ciò significa che puoi saltare la creazione automatica dell'account di servizio nell'esempio precedente nel comando bmctl:

bmctl create config -c admin1 --project-id=my-gcp-project

Modifica il file di configurazione del cluster

Ora che hai un file di configurazione del cluster, modificalo apportando le seguenti modifiche:

Fornisci la chiave privata SSH per accedere ai nodi del cluster di amministrazione:

# bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes
# resource, this section can only be included when using bmctl to
# create the initial admin/admin cluster. Afterwards, when creating user clusters by directly
# applying the cluster and node pool resources to the existing cluster, you must remove this
# section.
gcrKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
sshPrivateKeyPath: /path/to/your/ssh_private_key
gkeConnectAgentServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
gkeConnectRegisterServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
cloudOperationsServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json

Registra i cluster in un parco risorse. L'ID progetto specificato nel comando bmctl create config viene aggiunto automaticamente al campo gkeConnect.projectID nel file di configurazione del cluster. Questo progetto è definito progetto host del parco risorse.
- Se hai creato il file di configurazione utilizzando le funzionalità di attivazione automatica dell'API e di creazione dell'account di servizio, puoi saltare questo passaggio.
- Se hai creato il file di configurazione senza utilizzare le funzionalità di attivazione automatica dell'API e di creazione dell'account di servizio, fai riferimento alle chiavi JSON dell'account di servizio scaricate nei campi gkeConnectAgentServiceAccountKeyPath e gkeConnectRegisterServiceAccountKeyPath corrispondenti del file di configurazione del cluster.
- Se vuoi, puoi aggiungere gkeConnect.location alla specifica del cluster per specificare la regione Google Cloud in cui vengono eseguiti i servizi Fleet e Connect. L'abbonamento regionale limita il traffico del servizio di parchi alla tua regione. Se includi gkeConnect.location nella spec del cluster, la regione specificata deve essere la stessa configurata in clusterOperations.location. Se le regioni non sono uguali, la creazione del cluster non riesce.

Verifica che la configurazione specifichi un tipo di cluster admin (il valore predefinito):

spec:
  # Cluster type. This can be:
  #   1) admin:  to create an admin cluster. This can later be used to create user clusters.
  #   2) user:   to create a user cluster. Requires an existing admin cluster.
  #   3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads.
  #   4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters.
  type: admin

Se l'API GKE On-Prem è abilitata nel tuo progetto Google Cloud, tutti i cluster del progetto vengono registrati nell'API GKE On-Prem automaticamente nella regione configurata in clusterOperations.location.
- Se vuoi registrare tutti i cluster del progetto nell'API GKE On-Prem, assicurati di seguire i passaggi descritti in Prima di iniziare per attivare e utilizzare l'API GKE On-Prem nel progetto.
- Se non vuoi registrare il cluster nell'API GKE On-Prem, includi questa sezione e imposta gkeOnPremAPI.enabled su false. Se non vuoi registrare cluster nel progetto, disattiva gkeonprem.googleapis.com (il nome del servizio per l'API GKE On-Prem) nel progetto. Per le istruzioni, vedi Disattivare i servizi.
Modifica il file di configurazione per specificare un piano di controllo ad alta disponibilità multi-nodo. Specifica un numero dispari di nodi per avere un quorum di maggioranza per l'alta disponibilità:
```
  # Control plane configuration
  controlPlane:
    nodePoolSpec:
      nodes:
      # Control plane node pools. Typically, this is either a single machine
      # or 3 machines if using a high availability deployment.
      - address: 10.200.0.4
      - address: 10.200.0.5
      - address: 10.200.0.6
```
Nota: se hai temporaneamente un numero pari di nodi mentre aggiungi o rimuovi nodi per manutenzione o sostituzione, il tuo deployment mantiene l'HA se hai un quorum sufficiente.
Specifica la densità dei pod dei nodi del cluster:
```
....
# NodeConfig specifies the configuration that applies to all nodes in the cluster.
nodeConfig:
  # podDensity specifies the pod density configuration.
  podDensity:
    # maxPodsPerNode specifies at most how many pods can be run on a single node.
    maxPodsPerNode: 250
....
```
Per i cluster di amministrazione, i valori consentiti per maxPodsPerNode sono 32-250 per i cluster ad alta disponibilità e 64-250 per i cluster non ad alta disponibilità. Il valore predefinito se non specificato è 110. Una volta creato il cluster, questo valore non può essere aggiornato.

La densità dei pod è limitata anche dalle risorse IP disponibili del cluster. Per maggiori dettagli, consulta Networking dei pod.

Crea il cluster di amministrazione con la configurazione del cluster

Utilizza il comando bmctl per eseguire il deployment del cluster:

bmctl create cluster -c ADMIN_CLUSTER_NAME

ADMIN_CLUSTER_NAME specifica il nome del cluster creato nella sezione precedente.

Di seguito è riportato un esempio del comando per creare un cluster chiamato admin1:

bmctl create cluster -c admin1

Configurazioni di esempio del cluster di amministrazione

Ad esempio, per le configurazioni dei cluster di amministrazione, consulta Cluster di amministrazione negli Esempi di configurazione dei cluster.