Nutzercluster erstellen

In Google Distributed Cloud werden Ihre Arbeitslasten auf Nutzerclustern ausgeführt. In einer Multi-Cluster-Architektur werden Nutzercluster von einem Administratorcluster erstellt und verwaltet.

Wenn Sie einen Administratorcluster erstellt haben, wird durch Aufrufen des Befehls bmctl create config eine YAML-Datei erstellt, die Sie zum Definieren des Nutzerclusters bearbeiten können. Zum Anwenden der Konfiguration und zum Erstellen des Nutzerclusters verwenden Sie den Befehl bmctl create cluster. Preflight-Prüfungen gelten für die Nutzercluster, die mit dem Befehl bmctl create cluster erstellt wurden.

Durch das Fernhalten der Arbeitslasten vom Administratorcluster schützen Sie vertrauliche administrative Daten wie SSH-Schlüssel, die im Administratorcluster gespeichert sind, vor denjenigen, die keinen Zugriff auf diese Informationen benötigen. Darüber hinaus bietet die Trennung von Nutzerclustern eine gute allgemeine Sicherheit für Ihre Arbeitslasten.

Voraussetzungen

  • Die neueste bmctl wird aus Cloud Storage heruntergeladen (gs://anthos-baremetal-release/bmctl/1.30.100-gke.96/linux-amd64/bmctl).
  • Laufender Administratorcluster mit Zugriff auf den Cluster-API-Server (die controlPlaneVIP).
  • Knoten des Administratorclusters haben eine Netzwerkverbindung zu allen Knoten im Ziel-Nutzercluster.
  • Die Workstation, auf der bmctl ausgeführt wird, hat eine Netzwerkverbindung zu allen Knoten in den Ziel-Nutzerclustern.
  • Die Administrator-Workstation kann eine SSH-Verbindung zu jedem Knoten des Nutzerclusters herstellen.
  • Das Connect-Register-Dienstkonto ist auf dem Administratorcluster für die Verwendung mit Connect konfiguriert.

SELinux aktivieren

Wenn Sie SELinux zum Schutz Ihrer Container aktivieren möchten, müssen Sie darauf achten, dass SELinux auf allen Hostcomputern im Enforced-Modus aktiviert ist. Beginnend mit Google Distributed Cloud Release 1.9.0 oder höher können Sie SELinux vor oder nach Clustererstellung oder Clusterupgrades aktivieren oder deaktivieren. SELinux ist unter Red Hat Enterprise Linux (RHEL) standardmäßig aktiviert. Wenn SELinux auf Ihren Hostcomputern deaktiviert ist oder Sie sich nicht sicher sind, finden Sie unter Container mit SELinux sichern Informationen zur Aktivierung.

Google Distributed Cloud unterstützt SELinux nur in RHEL-Systemen.

Nutzercluster-Konfigurationsdatei erstellen

Die Konfigurationsdatei zum Erstellen eines Nutzerclusters ist fast identisch mit der, die zum Erstellen eines Administratorclusters verwendet wird. Der einzige Unterschied besteht darin, dass Sie den Abschnitt mit der Konfiguration der lokalen Anmeldedaten entfernen, damit die Konfigurationsdatei eine gültige Sammlung von Kubernetes-Ressourcen ist. Der Konfigurationsabschnitt befindet sich ganz oben in der Datei unter dem Abschnitt bmctl configuration variables. Beispiele für Nutzercluster-Konfigurationen finden Sie unter Nutzercluster in den Cluster-Konfigurationsbeispielen.

Standardmäßig übernehmen Nutzercluster ihre Anmeldedaten vom Administratorcluster, der sie verwaltet. Sie können einige oder alle diese Anmeldedaten selektiv überschreiben.

  1. Erstellen Sie eine Nutzercluster-Konfigurationsdatei mit dem Befehl bmctl create config:

    bmctl create config -c USER_CLUSTER_NAME
    

    Führen Sie beispielsweise den folgenden Befehl aus, um eine Konfigurationsdatei für einen Nutzercluster user1 zu erstellen:

    bmctl create config -c user1
    

    Die Datei wird in bmctl-workspace/user1/user1.yaml geschrieben. Der generische Pfad zur Datei ist bmctl-workspace/CLUSTER NAME/CLUSTER_NAME.yaml.

  2. Bearbeiten Sie die Konfigurationsdatei mit den folgenden Änderungen:

    • Entfernen Sie die Dateipfade der lokalen Anmeldedaten aus der Konfiguration:

      ...
        gcrKeyPath: (path to GCR service account key)
        sshPrivateKeyPath: (path to SSH private key, used for node access)
        gkeConnectAgentServiceAccountKeyPath: (path to Connect agent service account key)
        gkeConnectRegisterServiceAccountKeyPath: (path to Hub registration service account key)
        cloudOperationsServiceAccountKeyPath: (path to Cloud Operations service account key)
      ...
      
    • Ändern Sie die Konfiguration, um den Clustertyp user anstelle von admin anzugeben:

      ...
      spec:
        # Cluster type. This can be:
        #   1) admin:  to create an admin cluster. This can later be used to create
        #   user clusters.
        #   2) user:   to create a user cluster. Requires an existing admin cluster.
        #   3) hybrid: to create a hybrid cluster that runs admin cluster
        #   components and user workloads.
        #   4) standalone: to create a cluster that manages itself, runs user
        #   workloads, but does not manage other clusters.
        type: user
      ...
      
    • Registrieren Sie Ihre Cluster bei einer Flotte. Geben Sie dazu Ihre Projekt-ID im Feld gkeConnect.projectID an. Dieses Projekt wird als Flotten-Hostprojekt bezeichnet.

      ...
      gkeConnect:
         projectID: my-project-123
      ...
      
      • Optional können Sie gkeConnect.location zur Clusterspezifikation hinzufügen, um die Google Cloud-Region anzugeben, in der die Flotte und die Connect-Dienste ausgeführt werden. Diese regionale Mitgliedschaft beschränkt den Flottendienst-Traffic auf Ihre Region. Wenn Sie gkeConnect.location in die Cluster-Spezifikation aufnehmen, muss die Region, die Sie angeben, mit der in clusterOperations.location konfigurierten Region übereinstimmen. Wenn die Regionen nicht identisch sind, schlägt die Cluster-Erstellung fehl.
    • Wenn die GKE On-Prem API in Ihrem Google Cloud-Projekt aktiviert ist, werden alle Cluster im Projekt automatisch in der GKE On-Prem API in der Region angemeldet, die in clusterOperations.location konfiguriert wurde.

      • Wenn Sie alle Cluster im Projekt für die GKE On-Prem API registrieren möchten, müssen Sie die Schritte unter Vorbereitung zur Aktivierung und Verwendung der GKE On-Prem API im Projekt ausführen.

      • Wenn Sie den Cluster nicht in der GKE On-Prem API registrieren möchten, fügen Sie diesen Abschnitt hinzu und setzen Sie gkeOnPremAPI.enabled auf false. Wenn Sie keine Cluster in dem Projekt registrieren möchten, deaktivieren Sie gkeonprem.googleapis.com (der Dienstname für die GKE On-Prem API) in dem Projekt. Anweisungen dafür finden Sie unter Dienste deaktivieren.

    • Geben Sie die IP-Adresse des Knotens der Steuerungsebene an.

      ...
      # Sample control plane config
      controlPlane:
       nodePoolSpec:
         nodes:
         - address: 10.200.0.20
      ...
      
    • Achten Sie darauf, dass die Administrator- und Nutzerclusterspezifikationen für die Load-Balancer-VIPs und Adresspools komplementär sind und sich nicht mit vorhandenen Clustern überschneiden. Das folgende Beispiel zeigt ein Beispielpaar von Administrator- und Nutzercluster-Konfigurationen, in denen Load Balancing und Adresspools angegeben sind:

      ...
      # Sample admin cluster config for load balancer and address pools
        loadBalancer:
          vips:
            controlPlaneVIP: 10.200.0.49
            ingressVIP: 10.200.0.50
          addressPools:
          - name: pool1
            addresses:
            - 10.200.0.50-10.200.0.70
      ...
      ...
      # Sample user cluster config for load balancer and address pools
      loadBalancer:
          vips:
            controlPlaneVIP: 10.200.0.71
            ingressVIP: 10.200.0.72
          addressPools:
          - name: pool1
            addresses:
            - 10.200.0.72-10.200.0.90
      ...
      

      Die restlichen Konfigurationsdateien des Nutzerclusters sind mit der Konfiguration des Administratorclusters identisch.

    • Gibt die Pod-Dichte von Clusterknoten an

      ...
      # NodeConfig specifies the configuration that applies to all nodes in the cluster.
      nodeConfig:
        # podDensity specifies the pod density configuration.
        podDensity:
          # maxPodsPerNode specifies at most how many pods can be run on a single node.
          maxPodsPerNode: 110
      ...
      

      Für Nutzercluster sind die zulässigen Werte für maxPodsPerNode 32-250. Der Standardwert, wenn nichts angegeben ist, lautet 110. Sobald der Cluster erstellt ist, kann dieser Wert nicht mehr aktualisiert werden.

      Die Pod-Dichte wird auch durch die verfügbaren IP-Ressourcen des Clusters begrenzt. Weitere Informationen finden Sie unter Pod-Netzwerk.

Nutzercluster erstellen

Führen Sie den Befehl bmctl aus, um die Nutzerclusterkonfiguration anzuwenden und den Cluster zu erstellen:

bmctl create cluster -c USER_CLUSTER_NAME --kubeconfig ADMIN_KUBECONFIG

Ersetzen Sie dabei Folgendes:

  • USER_CLUSTER_NAME: Der im vorherigen Abschnitt erstellte Clustername.
  • ADMIN_KUBECONFIG: Der Pfad zur kubeconfig-Datei des Administratorclusters.

Für einen Nutzercluster mit dem Namen user1 und eine kubeconfig-Datei des Administratorclusters mit dem Pfad kubeconfig bmctl-workspace/admin/admin-kubeconfig würde der Befehl so lauten:

bmctl create cluster -c user1 --kubeconfig bmctl-workspace/admin/admin-kubeconfig

Beispiele für Nutzercluster-Konfigurationen

Beispiele für Nutzercluster-Konfigurationen finden Sie unter Nutzercluster in den Beispielen für Clusterkonfigurationen.