Planifica una instalación básica en tu hardware

Esta página es la primera parte de una guía que te guía por el uso de Google Distributed Cloud (solo software) para Bare Metal (antes conocido como Google Distributed Cloud Virtual, antes conocido como clústeres de Anthos en Bare Metal) para crear una pequeña instalación de prueba de concepto de clústeres de GKE en tu hardware Bare Metal. En este documento, se muestra cómo configurar un entorno de hardware mínimo y planificar tus direcciones IP. En la sección complementaria Crea clústeres básicos, se muestra cómo crear un clúster de administrador y uno de usuario.

Esta página está destinada a administradores, arquitectos y operadores que configuran, supervisan y administran el ciclo de vida de la infraestructura tecnológica subyacente. Para obtener más información sobre los roles comunes y las tareas de ejemplo a las que hacemos referencia en el contenido deGoogle Cloud , consulta Tareas y roles comunes de los usuarios de GKE Enterprise.

Es posible que la infraestructura que configures con esta guía no sea adecuada para tus necesidades de producción y casos de uso reales. Para obtener más información sobre las instalaciones de producción, consulta Elige un modelo de implementación.

Antes de comenzar

  1. Lee Acerca de Google Distributed Cloud.
  2. Familiarízate con algunos conceptos Google Cloud básicos, incluidos los proyectos, los permisos de IAM y las cuentas de servicio.
  3. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Make sure that billing is enabled for your Google Cloud project.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Toma nota del Google Cloud ID del proyecto, ya que lo necesitarás más adelante.

Descripción general del procedimiento

La configuración de infraestructura mínima consta de los siguientes pasos principales:

  1. Configura tu estación de trabajo de administrador. Configura una estación de trabajo de administrador de Linux para las tareas de administración locales. Puede ser una máquina existente o dedicada que puede administrar varios clústeres.

  2. Configura las máquinas de los nodos del clúster. Configura al menos tres máquinas para los nodos: un nodo del clúster de administrador, un nodo del plano de control del clúster de usuario y un nodo trabajador del clúster de usuario.

  3. Planifica tu red. Planifica las direcciones IP de las máquinas de nodos, las direcciones IP virtuales (VIP) y los rangos de CIDR de los servicios y los pods.

  4. Revisa los Google Cloud recursos necesarios. Para crear clústeres, tu proyecto de Google Cloud requiere APIs y cuentas de servicio de Google específicas.

1. Configura tu estación de trabajo de administrador

La estación de trabajo de administrador aloja herramientas y archivos de configuración para crear clústeres y trabajar con ellos.

Requisitos de hardware

La estación de trabajo de administrador requiere una potencia de procesamiento, memoria y almacenamiento significativas para ejecutar herramientas y almacenar los recursos asociados con la creación y administración de clústeres.

Asegúrate de que tu estación de trabajo de administrador cumpla con los siguientes requisitos de hardware:

  • Al menos 2 núcleos de CPU
  • Al menos 4 GiB de RAM
  • Al menos 128 GiB de almacenamiento

Requisitos del sistema operativo

Para ejecutar bmctl y crear un clúster, la estación de trabajo de administrador tiene los mismos requisitos del sistema operativo (SO) que los nodos. Cada máquina debe ejecutar una versión compatible de Ubuntu.

Configura el sistema operativo y el software

En la estación de trabajo del administrador, instala y configura lo siguiente:

  • Configura Ubuntu

  • Instala gcloud CLI

  • Instalar kubectl

  • Instalar bmctl

Configura el sistema operativo

Ejecuta los siguientes comandos para actualizar la configuración del firewall, instalar y configurar Docker, y asegurarte de que cada máquina use la sincronización del tiempo:

  1. Inhabilita el firewall sin complicaciones (UFW) y verifica su estado:

    sudo ufw disable
    sudo ufw status
    
  2. Quita cualquier versión anterior de Docker, actualiza el administrador de paquetes y, luego, instala la versión más reciente de Docker:

    sudo apt-get remove docker docker-engine docker.io containerd runc
    sudo apt-get update
    sudo apt-get install \
      apt-transport-https \
      ca-certificates \
      curl \
      gnupg-agent \
      software-properties-common \
      docker.io
    
  3. Verifica que estés ejecutando la versión 19.03 o posterior de Docker:

    sudo docker version
    

    Tanto la versión del cliente como la del servidor deben ser 19.03 o una posterior, como se muestra en la siguiente respuesta de muestra:

    Client:
     Version:           20.10.21
     API version:       1.41
     Go version:        go1.18.1
     ...
    
    Server:
     Engine:
      Version:          20.10.21
      API version:      1.41 (minimum version 1.12)
      Go version:       go1.18.1
      ...
    
  4. Crea el grupo docker.

    sudo groupadd docker
    
  5. Agregate al grupo de Docker:

    sudo usermod -aG docker $USER
    
  6. Ejecuta el siguiente comando para activar los cambios de tu grupo:

    newgrp docker
    
  7. Ejecuta el siguiente comando para verificar que el reloj del sistema esté sincronizado:

    timedatectl
    

    El resultado de timedatectl debería contener el siguiente estado:

    System clock synchronized: yes
    

Instala Google Cloud CLI

Para instalar Google Cloud CLI en Ubuntu, sigue las instrucciones de esta guía de instalación.

Realiza los siguientes pasos en tu estación de trabajo de administrador para configurar la CLI de gcloud:

  1. Accede para establecer la propiedad account de gcloud CLI:

    gcloud auth login
    
  2. Configura la propiedad project de gcloud CLI:

    gcloud config set project PROJECT_ID
    

    Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud.

  3. Verifica que las propiedades account y project estén configuradas de forma correcta:

    gcloud config list
    

    En el resultado, se muestran los valores de las propiedades account y project. Por ejemplo:

    [core]
    account = my-name@google.com
    disable_usage_reporting = False
    project = my-project-1234
    Your active configuration is: [default]
    

Instalar kubectl

Para instalar kubectl:

  1. Ejecuta el siguiente comando en tu estación de trabajo de administrador:

    gcloud components install kubectl
    

Instalar bmctl

bmctl es la herramienta de línea de comandos propietaria de Google Distributed Cloud que puedes usar para la creación y administración de clústeres.

Para instalar bmctl en tu estación de trabajo de administrador, haz lo siguiente:

  1. Crea un directorio baremetal y agrégalo a tu ruta. Si estás en tu directorio principal, los comandos son los siguientes:

    mkdir baremetal
    export PATH="$HOME/baremetal:$PATH"
    
  2. Ejecuta el siguiente comando para descargar la versión más reciente del archivo binario bmctl y hacerlo ejecutable:

    gcloud storage cp gs://anthos-baremetal-release/bmctl/1.31.0-gke.889/linux-amd64/bmctl .
    chmod +x ./bmctl
    
  3. Verifica que bmctl esté instalado y ejecutable:

    bmctl version
    

    La respuesta debería ser similar a la siguiente:

    [2023-05-12 17:36:16+0000] bmctl version: 1.14.2-gke.11, git commit: 4ff1347446a93925a079000b50437d4ecebcdf3a, build date: Mon Feb 27 14:07:30 PST 2023

Conectividad

La estación de trabajo de administrador necesita acceso a Google Cloud y a todos los nodos del clúster.

Acceso a Google Cloud

La estación de trabajo del administrador accede a Google Cloud para descargar e instalar herramientas y imágenes, procesar solicitudes de autorización, crear cuentas de servicio, administrar el registro y la supervisión, y mucho más. No puedes crear clústeres sin acceso aGoogle Cloud.

Accede desde la estación de trabajo de administrador

Para crear y administrar clústeres desde tu estación de trabajo de administrador, necesitas el siguiente acceso a las máquinas de nodos:

  • Conectividad de capa 3 a todas las máquinas de nodo del clúster.
  • Acceso a la VIP del plano de control.
  • Acceso SSH sin contraseña a todas las máquinas de nodos del clúster como root o como un usuario con privilegios sudo sin contraseña

En la siguiente sección, se incluyen instrucciones para configurar SSH en la estación de trabajo de administrador y en las máquinas de nodos.

2. Configura las máquinas de los nodos del clúster

Para la instalación mínima de un solo clúster de administrador sin alta disponibilidad y un solo clúster de usuario sin alta disponibilidad, necesitas tres máquinas:

  • Una máquina para un clúster de administrador con un nodo del plano de control

  • Dos máquinas para un clúster de usuario con un nodo del plano de control y un nodo trabajador

Requisitos de hardware

Cada máquina de nodo debe cumplir con los siguientes requisitos de hardware:

  • Al menos 2 núcleos de CPU
  • Al menos 4 GiB de RAM
  • Al menos 128 GiB de almacenamiento

Requisitos del sistema operativo

Cada máquina de nodo debe ejecutar una versión compatible de Ubuntu.

Configura Ubuntu

Configura Ubuntu en cada nodo con las mismas instrucciones que se usaron para la estación de trabajo de administrador.

Configura el acceso SSH a los nodos

La estación de trabajo de administrador necesita acceso SSH sin contraseña a todas las máquinas de nodos del clúster. Puedes configurar SSH como root o con un usuario que tenga privilegios sudo sin contraseña.

Estos son los pasos de alto nivel para configurar SSH para Google Distributed Cloud:

  1. Instala y configura SSH en todas las máquinas

  2. Crea claves SSH y copia la clave pública en cada máquina de nodo

  3. Cómo inhabilitar la autenticación con contraseña en máquinas de nodos

  4. Verifica el acceso de SSH entre la estación de trabajo de administrador y las máquinas de nodo

Instala y configura SSH en todas las máquinas

Google Distributed Cloud requiere comunicación SSH sin contraseña entre la estación de trabajo del administrador y los nodos del clúster. Los siguientes pasos se deben realizar en la estación de trabajo del administrador y en cada máquina del nodo.

Para configurar SSH en máquinas que ejecutan Ubuntu, haz lo siguiente:

  1. Si aún no tienes un servidor SSH en ejecución, instálalo ahora:

    sudo apt update
    sudo apt install openssh-server
    sudo systemctl status ssh
    
  2. Para habilitar la autenticación de contraseña SSH de root, quita los comentarios o agrega las líneas PermitRootLogin y PasswordAuthentication en el archivo /etc/ssh/sshd_config y establece los valores en yes:

    # Authentication:
    
    #LoginGraceTime 2m
    PermitRootLogin yes
    #StrictModes yes
    #MaxAuthTries 6
    #MaxSessions 10
    ...
    PasswordAuthentication yes
    
  3. Establece una contraseña raíz:

    sudo passwd root
    
  4. Para aplicar los cambios de configuración de SSH, reinicia el servicio de SSH:

    sudo systemctl restart ssh.service
    
  5. Reinicia la máquina.

  6. Para verificar que SSH funcione, establece una conexión SSH desde otra máquina.

Crea claves SSH y copia la clave pública en cada máquina del nodo

Para establecer conexiones seguras y sin contraseña entre la estación de trabajo de administrador y los nodos, crea una clave SSH en tu estación de trabajo de administrador y comparte la clave pública con los nodos.

  1. En tu estación de trabajo de administrador, genera un par de claves públicas y privadas. No configures una frase de contraseña para las claves:

    ssh-keygen -t rsa
    
  2. En tu estación de trabajo de administrador, copia la clave pública generada en cada una de las máquinas de nodo:

    ssh-copy-id -i PUBLIC_KEY root@CLUSTER_NODE_IP
    

    Reemplaza lo siguiente:

    • PUBLIC_KEY: Es la ruta de acceso al archivo que contiene la clave pública SSH. De forma predeterminada, la ruta de acceso es /home/USERNAME/.ssh/id_rsa.pub.
    • CLUSTER_NODE_IP: La dirección IP de la máquina del nodo
Inhabilita la autenticación de contraseña en las máquinas de nodos

En este punto, ya no es necesario que tengas habilitada la autenticación con contraseña.

Para cada máquina de nodo:

  1. Abre /etc/ssh/sshd_config y configura PasswordAuthentication como no y guarda el archivo.

  2. Reinicia el servicio de SSH.

    sudo systemctl restart ssh.service
    
Verifica el acceso de SSH entre la estación de trabajo de administrador y las máquinas de nodo

Cuando SSH está configurado correctamente, puedes establecer una conexión SSH a la máquina del nodo desde la estación de trabajo de administrador (como raíz) sin una contraseña.

Para verificar que la autenticación de clave pública funcione entre la estación de trabajo de administrador y los nodos del clúster, haz lo siguiente:

  1. En la estación de trabajo de administrador, ejecuta el siguiente comando para cada máquina de nodo:

    ssh -o IdentitiesOnly=yes -i PRIVATE_KEY root@CLUSTER_NODE_IP
    

    Reemplaza lo siguiente:

    • PRIVATE_KEY: Es la ruta de acceso al archivo que contiene la clave privada SSH. De forma predeterminada, la ruta de acceso es /home/USERNAME/.ssh/id_rsa.
    • CLUSTER_NODE_IP: La dirección IP de la máquina del nodo

3. Planifica tu red

Cuando instales clústeres, es importante que planifiques tus direcciones IP, lo que incluye asegurarte de no crear conflictos de direcciones. Es posible que necesites que el administrador de red te ayude a encontrar direcciones adecuadas, incluso para esta instalación sencilla. Sin contar los CIDR de Pods y Services, necesitas al menos 15 direcciones IP únicas para una instalación mínima de clústeres de administrador y de usuario.

Planifica y especifica las direcciones IP para los siguientes componentes del clúster:

  • Nodos del clúster: Necesitas una dirección IP para cada máquina del nodo.
  • Direcciones IP virtuales (VIP): Necesitas VIP para acceder a los servidores de la API de Kubernetes, el proxy de entrada y los servicios de tipo LoadBalancer.
  • Pods y servicios: Necesitas rangos de direcciones CIDR para admitir todos los Pods y servicios que se ejecutan en tus clústeres.

En el resto de esta sección, se incluyen ejemplos ilustrativos de valores que funcionan para esta instalación en una red hipotética; tus valores serán diferentes.

Para esta instalación pequeña, coloca tu estación de trabajo de administrador, el nodo del clúster de administrador y los nodos del clúster de usuario en el mismo dominio de la capa 2. Por ejemplo, supongamos que todas las direcciones IP del rango 172.16.20.0/24 se enrutan a un dominio de capa 2 en particular. Además, supongamos que tu administrador de red indica que puedes usar 172.16.20.10 - 172.16.20.12 para las direcciones de máquinas de nodos y 172.16.0.13 - 172.16.20.24 para las VIP.

En el siguiente diagrama, se ilustra un dominio de capa 2 que tiene una estación de trabajo de administrador, un clúster de administrador y un clúster de usuario:

Direcciones IP para un clúster de administrador y un clúster de usuario.
Direcciones IP para un clúster de administrador y un clúster de usuario (haz clic para ampliar)

Direcciones IP de ejemplo de nodos del clúster

En la siguiente tabla, se muestra un ejemplo de cómo se pueden usar las direcciones IP para los nodos del clúster:

Máquina Descripción Dirección IP
Nodo del plano de control del clúster de administrador Máquina física que funciona como el nodo del plano de control del clúster de administrador 172.16.20.10
Nodo del plano de control del clúster de usuario Máquina física que funciona como el nodo del plano de control del clúster de usuario 172.16.20.11
Nodo trabajador del clúster de usuario Máquina física que ejecuta cargas de trabajo del usuario 172.16.20.12

Direcciones IP virtuales (VIP) de ejemplo

En la siguiente tabla, se muestra un ejemplo de cómo podrías especificar las VIP para tus clústeres:

VIP Descripción Dirección IP
Dirección VIP del plano de control del clúster de administrador Dirección VIP del plano de control del clúster de administrador (servidor de la API de Kubernetes del clúster de administrador) 172.16.20.13
Dirección VIP del plano de control del clúster de usuario Dirección VIP del plano de control del clúster de usuario (servidor de la API de Kubernetes del clúster de usuario) 172.16.20.14
Dirección VIP de entrada VIP de entrada (incluida en el rango de grupos de direcciones de MetalLB) 172.16.20.15
Direcciones VIP del servicio Diez direcciones para usar como direcciones IP externas para los Services de tipo LoadBalancer. Las direcciones se asignan según sea necesario en los nodos del clúster de usuario.

Este rango incluye la VIP de entrada. Esta superposición de direcciones IP es un requisito para MetalLB, el balanceador de cargas incluido de forma predeterminada.

172.16.20.15 - 172.16.20.24

Direcciones IP para Pods y servicios

Además de las direcciones IP que especificaste para los nodos del clúster y las VIP, debes especificar direcciones para los Pods y los servicios. Especificas un rango CIDR para usar en las direcciones IP del Pod y otro rango en CIDR que se usará en las direcciones ClusterIP de los servicios de Kubernetes. Usa direcciones IP en el espacio de direcciones privadas, como se describe en RFC 1918. Estas direcciones se especifican como parte de la configuración del clúster, como se ilustra en la siguiente parte de esta guía.

Como parte de tu planificación de IP, decide qué rangos de CIDR quieres usar para los Pods y los Servicios. A menos que tengas una razón para hacer lo contrario, usa los siguientes rangos sugeridos:

Objetivo Rango de CIDR preprovisto
Pods del clúster de administrador 192.168.0.0/16
Services de clústeres de administrador 10.96.0.0/20
Pods del clúster de usuario 192.168.0.0/16
Services de clústeres de usuarios 10.96.0.0/20

Los rangos sugeridos ilustran estos puntos:

  • El rango de CIDR de Pod puede ser el mismo para varios clústeres en el modelo de red predeterminado del modo isla.

  • El rango de CIDR de Services puede ser el mismo para varios clústeres.

  • Por lo general, necesitarás más Pods que Services en un clúster, por lo que es probable que quieras un rango de CIDR de pod que sea mayor que el rango de CIDR de Service. Por ejemplo, el rango de Pod sugerido para un clúster de usuario tiene 2(32-16) = 216 direcciones, pero el rango de Service sugerido para un clúster de usuario solo tiene 2(32-20) = 212 direcciones.

Evita la superposición

Para evitar la superposición con las direcciones IP a las que se pueda acceder en tu red, es posible que debas usar rangos CIDR diferentes de las sugerencias anteriores. Los rangos de Service y Pod no deben superponerse con ninguna dirección fuera del clúster a la que deseas llegar desde dentro del clúster.

Por ejemplo, supongamos que el rango de Service es 10.96.232.0/24 y el rango de Pod es 192.168.0.0/16. El tráfico enviado desde un Pod a una dirección en cualquiera de esos rangos se trata como tráfico en el clúster y no puede llegar a ningún destino fuera del clúster.

En particular, los rangos de Service y Pod no deben superponerse con lo siguiente:

  • Direcciones IP de nodos en cualquier clúster

  • Direcciones IP que usan las máquinas del balanceador de cargas

  • VIP que usan los balanceadores de cargas y los nodos del plano de control

  • Dirección IP de los servidores DNS o NTP

4. Revisa los Google Cloud recursos necesarios

Antes de que puedas crear clústeres, Google Distributed Cloud requiere que se habilite un conjunto específico de APIs de Google en tu proyecto de Google Cloud asociado. Para usar las APIs de Google, Google Distributed Cloud requiere cuentas de servicio configuradas con roles de IAM específicos en tu proyecto de Google Cloud asociado.

El proceso para crear clústeres en la siguiente parte de esta guía, Crea clústeres básicos, habilita las APIs y crea cuentas de servicio por ti automáticamente.

Estas son las APIs de Google que se habilitan automáticamente:

  • anthos.googleapis.com
  • anthosaudit.googleapis.com
  • anthosgke.googleapis.com
  • cloudresourcemanager.googleapis.com
  • connectgateway.googleapis.com
  • container.googleapis.com
  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • gkeonprem.googleapis.com
  • iam.googleapis.com
  • logging.googleapis.com
  • monitoring.googleapis.com
  • opsconfigmonitoring.googleapis.com
  • serviceusage.googleapis.com
  • stackdriver.googleapis.com
  • storage.googleapis.com

En la siguiente tabla, se describen las cuentas de servicio que se crean automáticamente:

Cuenta de servicio Objetivo Funciones
anthos-baremetal-gcr Google Distributed Cloud usa esta cuenta de servicio para descargar imágenes de contenedor de Container Registry. Ninguno
anthos-baremetal-connect El agente de Connect usa esta cuenta de servicio para mantener una conexión entre tu clúster y Google Cloud. Esto permite el acceso al clúster y a las funciones de administración de cargas de trabajo, incluida la consola de Google Cloud y la puerta de enlace de conexión para interactuar con tu clúster. roles/gkehub.connect
anthos-baremetal-register El agente de Connect usa esta cuenta de servicio para registrar tus clústeres en una flota. roles/gkehub.admin
anthos-baremetal-cloud-ops El agente de Stackdriver usa esta cuenta de servicio para exportar registros y métricas de clústeres a Cloud Logging y Cloud Monitoring. roles/logging.logWriter
roles/monitoring.metricWriter
roles/stackdriver.resourceMetadata.writer
roles/opsconfigmonitoring.resourceMetadata.writer
roles/monitoring.dashboardEditor

¿Qué sigue?

Crea clústeres básicos