Fichier de configuration du cluster d'administrateur

Cette page décrit les champs du fichier de configuration du cluster d'administrateur pour GKE sur VMware.

Générer un modèle pour votre fichier de configuration

Si vous avez utilisé gkeadm pour créer le poste de travail d'administrateur, gkeadm a généré un modèle pour le fichier de configuration de votre cluster d'administrateur. Par ailleurs, gkeadm renseigne certains champs pour vous.

Si vous n'avez pas utilisé gkeadm pour créer votre poste de travail d'administrateur, vous pouvez utiliser gkectl pour générer un modèle pour votre fichier de configuration de cluster d'administrateur.

Pour générer un modèle pour votre fichier de configuration de cluster d'administrateur :

gkectl create-config admin --config=OUTPUT_FILENAME --gke-on-prem-version=VERSION

Remplacez OUTPUT_FILENAME par le chemin d'accès que vous avez choisi pour le modèle généré. Si vous omettez cette option, gkectl nomme le fichier admin-cluster.yaml et le place dans le répertoire actuel.

Remplacez VERSION par le numéro de version souhaité, qui doit être inférieur ou égal à votre version gkectl. Par exemple : gkectl create-config admin --gke-on-prem-version=1.6.2-gke.0. Si vous omettez cette option, le modèle de configuration généré est renseigné avec des valeurs basées sur la dernière version du cluster.

Modèle

apiVersion: v1
kind: AdminCluster
# (Optional) A unique name for this admin cluster. This will default to a random name
# prefixed with 'gke-admin-'
name: ""
# (Required) Absolute path to a GKE bundle on disk
bundlePath: ""
# # (Optional/Preview) Specify the prepared secret configuration which can be added
# # or edited only during cluster creation
# preparedSecrets:
#   # enable prepared credentials for the admin cluster; it is immutable
#   enabled: false
# (Required) vCenter configuration
vCenter:
  address: ""
  datacenter: ""
  cluster: ""
  # Resource pool to use. Specify [VSPHERE_CLUSTER_NAME]/Resources to use the default
  # resource pool
  resourcePool: ""
  datastore: ""
  # Provide the path to vCenter CA certificate pub key for SSL verification
  caCertPath: ""
  # The credentials to connect to vCenter
  credentials:
    # reference to external credentials file
    fileRef:
      # read credentials from this file
      path: ""
      # entry in the credential file
      entry: ""
  # (Optional) vSphere folder where cluster VMs will be located. Defaults to the
  # datacenter wide folder if unspecified.
  folder: ""
  # # (Only used in 1.16 and older versions for non-HA admin cluster) Provide the name
  # # for the persistent disk to be used by the deployment (ending in .vmdk). Any directory
  # # in the supplied path must be created before deployment. Required for non-HA admin
  # # cluster. Invalid for HA admin cluster as the path is generated automatically under
  # # the root directory "anthos" in the specified datastore.
  # dataDisk: ""
# (Required) Network configuration
network:
  # (Required when using "static" ipMode.type; or "Seesaw" loadBalancer.kind; or using
  # amdin cluster HA mode) This section overrides ipMode.ipBlockFilePath values when
  # ipMode.type=static. It's also used for seesaw nodes
  hostConfig:
    # List of DNS servers
    dnsServers:
    - ""
    # List of NTP servers
    ntpServers:
    - ""
    # # List of DNS search domains
    # searchDomainsForDNS:
    # - ""
  ipMode:
    # (Required) Define what IP mode to use ("dhcp" or "static")
    type: dhcp
    # # (Required when using "static" mode) The absolute or relative path to the yaml file
    # # to use for static IP allocation. Hostconfig part will be overwritten by network.hostconfig
    # # if specified
    # ipBlockFilePath: ""
  # (Required) The Kubernetes service CIDR range for the cluster. Must not overlap
  # with the pod CIDR range
  serviceCIDR: 10.96.232.0/24
  # (Required) The Kubernetes pod CIDR range for the cluster. Must not overlap with
  # the service CIDR range
  podCIDR: 192.168.0.0/16
  vCenter:
    # vSphere network name
    networkName: ""
  # (Required for HA admin cluster) Specify the IPs to use for control plane machines
  # for HA admin cluster.
  controlPlaneIPBlock:
    netmask: ""
    gateway: ""
    ips:
    - ip: ""
      hostname: ""
    - ip: ""
      hostname: ""
    - ip: ""
      hostname: ""
# (Required) Load balancer configuration
loadBalancer:
  # (Required) The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlPlaneVIP: ""
  # (Required) Which load balancer to use "F5BigIP" "Seesaw" "ManualLB" or "MetalLB".
  # Uncomment the corresponding field below to provide the detailed spec
  kind: MetalLB
  # # (Required when using "ManualLB" kind) Specify pre-defined nodeports
  # manualLB:
  #   # NodePort for ingress service's http (only needed for user cluster)
  #   ingressHTTPNodePort: 0
  #   # NodePort for ingress service's https (only needed for user cluster)
  #   ingressHTTPSNodePort: 0
  #   # NodePort for konnectivity server service (only needed for controlplane v1 user
  #   # cluster)
  #   konnectivityServerNodePort: 0
  #   # NodePort for control plane service (not needed for HA admin cluster or controlplane
  #   # V2 user cluster)
  #   controlPlaneNodePort: 30968
  # # (Required when using "F5BigIP" kind) Specify the already-existing partition and
  # # credentials
  # f5BigIP:
  #   address: ""
  #   credentials:
  #     # reference to external credentials file
  #     fileRef:
  #       # read credentials from this file
  #       path: ""
  #       # entry in the credential file
  #       entry: ""
  #   partition: ""
  #   # # (Optional) Specify a pool name if using SNAT
  #   # snatPoolName: ""
  # # (Only used in 1.16 and older versions for using "Seesaw" kind) Specify the Seesaw
  # # configs
  # seesaw:
  #   # (Required) The absolute or relative path to the yaml file to use for IP allocation
  #   # for LB VMs. Must contain one or two IPs. Hostconfig part will be overwritten by
  #   # network.hostconfig if specified.
  #   ipBlockFilePath: ""
  #   # (Required) The Virtual Router IDentifier of VRRP for the Seesaw group. Must be
  #   # between 1-255 and unique in a VLAN.
  #   vrid: 0
  #   # (Required) The IP announced by the master of Seesaw group
  #   masterIP: ""
  #   # (Required) The number CPUs per machine
  #   cpus: 2
  #   # (Required) Memory size in MB per machine
  #   memoryMB: 3072
  #   # (Optional) Network that the LB interface of Seesaw runs in (default: cluster network)
  #   vCenter:
  #     # vSphere network name
  #     networkName: ""
  #   # (Optional) Run two LB VMs to achieve high availability (default: false)
  #   enableHA: false
  #   # (Optional) Avoid using VRRP MAC and rely on gratuitous ARP to do failover. In
  #   # this mode MAC learning is not needed but the gateway must refresh arp table based
  #   # on gratuitous ARP. It's recommended to turn this on to avoid MAC learning configuration.
  #   # In vsphere 7+ it must be true to enable HA. It is supported in GKE on-prem version
  #   # 1.7+. (default: false)
  #   disableVRRPMAC: true
# Spread admin addon nodes and user masters across different physical hosts (requires
# at least three hosts)
antiAffinityGroups:
  # Set to false to disable DRS rule creation
  enabled: true
# (Optional) Specify the admin master node configuration which can be added or edited
# only during cluster creation (default: 4 CPUs; 16384 MB memory; 3 replicas)
adminMaster:
  cpus: 4
  memoryMB: 16384
  # How many machines of this type to deploy
  replicas: 3
# # (Only used in 1.16 and older versions) Specify the addon node configuration which
# # can be added or edited only during cluster creation
# addonNode:
#   # Enable auto resize for addon node
#   autoResize:
#     # Whether to enable auto resize for master. Defaults to false.
#     enabled: false
# (Optional) Specify the proxy configuration
proxy:
  # The URL of the proxy
  url: ""
  # The domains and IP addresses excluded from proxying
  noProxy: ""
# # (Optional) Use a private registry to host GKE images
# privateRegistry:
#   # Do not include the scheme with your registry address
#   address: ""
#   credentials:
#     # reference to external credentials file
#     fileRef:
#       # read credentials from this file
#       path: ""
#       # entry in the credential file
#       entry: ""
#   # The absolute or relative path to the CA certificate for this registry
#   caCertPath: ""
# (Required): The absolute or relative path to the GCP service account key for pulling
# GKE images
componentAccessServiceAccountKeyPath: ""
# (Required) Specify which GCP project to register your GKE OnPrem cluster to
gkeConnect:
  projectID: ""
  # # (Optional) The location of the GKE Hub and Connect service where the cluster is
  # # registered to. It can be any GCP region or "global". Default to "global" when unspecified.
  # location: us-central1
  # The absolute or relative path to the key file for a GCP service account used to
  # register the cluster
  registerServiceAccountKeyPath: ""
# # (Optional) Specify if you wish to explicitly enable/disable the cloud hosted gkeonprem
# # API to enable/disable cluster lifecycle management from gcloud UI and Terraform.
# gkeOnPremAPI:
#   enabled: false
# (Required) Specify which GCP project to connect your logs and metrics to
stackdriver:
  # The project ID for logs and metrics. It should be the same with gkeconnect.projectID.
  projectID: ""
  # A GCP region where you would like to store logs and metrics for this cluster.
  clusterLocation: us-central1
  enableVPC: false
  # The absolute or relative path to the key file for a GCP service account used to
  # send logs and metrics from the cluster
  serviceAccountKeyPath: ""
  # (Optional) Disable vsphere resource metrics collection from vcenter.  False by
  # default
  disableVsphereResourceMetrics: false
# (Optional) Configure kubernetes apiserver audit logging
cloudAuditLogging:
  # The project ID for logs and metrics. It should be the same with gkeconnect.projectID.
  projectID: ""
  # A GCP region where you would like to store audit logs for this cluster.
  clusterLocation: us-central1
  # The absolute or relative path to the key file for a GCP service account used to
  # send audit logs from the cluster
  serviceAccountKeyPath: ""
# # (Optional/Preview) Configure backups for admin cluster. Backups will be stored under
# # /anthos-backups/.
# clusterBackup:
#   # # datastore where admin cluster backups are desired
#   # datastore: ""
# Enable auto repair for the cluster
autoRepair:
  # Whether to enable auto repair feature. Set false to disable.
  enabled: true
# # Encrypt Kubernetes secrets at rest
# secretsEncryption:
#   # Secrets Encryption Mode. Possible values are: GeneratedKey
#   mode: GeneratedKey
#   # GeneratedKey Secrets Encryption config
#   generatedKey:
#     # # key version
#     # keyVersion: 1
#     # # disable secrets encryption
#     # disabled: false
# (Optional) Specify the type of OS image; available options can be set to "ubuntu_containerd"
# "cos" "ubuntu_cgv2" or "cos_cgv2". Default is "ubuntu_containerd".
osImageType: ""

Remplir votre fichier de configuration

Dans votre fichier de configuration, saisissez les valeurs des champs comme décrit dans les sections suivantes.

name

Facultatif
Chaîne
Par défaut : nom aléatoire avec le préfixe "gke-admin-"

Nom de votre choix pour le cluster.

Exemple :

name: "my-admin-cluster"

bundlePath

Obligatoire
Chaîne
mutable

Chemin d'accès à votre fichier de bundle GKE sur VMware.

Le fichier de groupe complet GKE sur VMware contient tous les composants d'une version particulière de GKE sur VMware. Lorsque vous créez un poste de travail d'administrateur, celui-ci est fourni avec un groupe complet dans :

/var/lib/gke/bundles/gke-onprem-vsphere-VERSION-full.tgz

Exemple :

bundlePath: "/var/lib/gke/bundles/gke-onprem-vsphere-1.10.0-gke.8.full.tgz"

preparedSecrets.enabled

Aperçu
Facultatif
Immutable
Booléen
Prérempli: false
Par défaut: false

Définissez cette valeur sur true si vous souhaitez utiliser des identifiants préparés dans le cluster d'administrateur. Sinon, définissez-le sur false.

Exemple :

preparedSecrets:
  enabled: true

vCenter

Obligatoire
Immutable

Cette section contient des informations sur votre environnement vSphere et sur votre connexion au serveur vCenter.

vCenter.address

Obligatoire
Chaîne
immuable

Adresse IP ou nom d'hôte de votre serveur vCenter.

Pour en savoir plus, consultez la section Rechercher l'adresse de votre serveur vCenter.

Exemples :

vCenter:
  address: "203.0.113.100"

vCenter:
  address: "my-vcenter-server.my-domain.example"

vCenter.datacenter

Obligatoire
Chaîne
immuable

Chemin relatif d'un centre de données vSphere.

La valeur que vous spécifiez est relative au dossier racine nommé /.

Si votre centre de données se trouve dans le dossier racine, la valeur correspond au nom du centre de données.

Exemple :

vCenter:
  datacenter: "my-data-center"

Sinon, la valeur est un chemin d'accès relatif comprenant un ou plusieurs dossiers, ainsi que le nom du centre de données.

Exemple :

vCenter:
  datacenter: "data-centers/data-center-1"

vCenter.cluster

Obligatoire
Chaîne
immuable

Chemin relatif d'un cluster vSphere qui représente les hôtes ESXi sur lesquels les VM de votre cluster d'administrateur seront exécutées. Ce cluster vSphere représente un sous-ensemble des hôtes ESXi physiques de votre centre de données vCenter.

La valeur que vous spécifiez est relative à /.../DATA_CENTER/vm/.

Si votre cluster vSphere se trouve dans le dossier /.../DATA_CENTER/vm/, la valeur correspond au nom du cluster vSphere.

Exemple :

vCenter:
  cluster: "my-vsphere-cluster"

Sinon, la valeur est un chemin d'accès relatif comprenant un ou plusieurs dossiers, ainsi que le nom du cluster vSphere.

Exemple :

vCenter:
  cluster: "clusters/vsphere-cluster-1"

vCenter.resourcePool

Obligatoire
Chaîne
immuable

Un pool de ressources vCenter pour vos VM de cluster d'administrateur

Si vous souhaitez utiliser le pool de ressources par défaut, définissez la valeur sur VSPHERE_CLUSTER/Resources.

Exemple :

vCenter:
  resourcePool: "my-vsphere-cluster/Resources"

Si vous souhaitez utiliser un pool de ressources que vous avez déjà créé, définissez-le sur le chemin d'accès relatif de votre pool de ressources.

La valeur que vous spécifiez est relative à /.../DATA_CENTER/host/.../VSPHERE_CLUSTER/Resources/.

Si votre pool de ressources est un enfant direct de /.../DATA_CENTER/host/.../VSPHERE_CLUSTER/Resources/, la valeur correspond au nom du pool de ressources.

Exemple :

vCenter:
  resourcePool: "my-resource-pool"

Sinon, la valeur est un chemin d'accès relatif comportant au moins deux pools de ressources.

Exemple :

vCenter:
  resourcePool: "resource-pool-1/resource-pool-2"

vCenter.datastore

Chaîne
facultative
non modifiable

Nom d'un Datastore vSphere pour votre cluster d'administrateur.

La valeur que vous spécifiez doit être un nom et non un chemin d'accès. N'incluez aucun dossier dans la valeur.

Exemple :

vCenter:
  datastore: "my-datastore"

Si vous spécifiez une valeur pour ce champ, ne spécifiez pas de valeur pour vCenter.storagePolicyName.

vCenter.storagePolicyName

Chaîne
facultative
non modifiable

Nom d'une règle de stockage de VM pour les nœuds de cluster.

Le cluster d'administrateur doit être hautement disponible pour être compatible avec la règle de stockage.

Pour en savoir plus, consultez la page Configurer une règle de stockage.

Si vous spécifiez une valeur pour ce champ, ne spécifiez pas de valeur pour vCenter.datastore.

vCenter.caCertPath

Obligatoire
Chaîne
mutable

Chemin d'accès du certificat CA de votre serveur vCenter.

Pour en savoir plus, consultez la section Obtenir votre certificat CA vCenter.

Pour en savoir plus sur la mise à jour de ce champ pour un cluster existant, consultez la page Mettre à jour les références de certificat vCenter.

Exemple :

vCenter:
  caCertPath: "/usr/local/google/home/me/certs/vcenter-ca-cert.pem"

vCenter.credentials.fileRef.path

Obligatoire
Chaîne

Chemin d'accès d'un fichier de configuration des identifiants contenant le nom d'utilisateur et le mot de passe de votre compte utilisateur vCenter. Le compte utilisateur doit disposer du rôle d'administrateur ou de privilèges équivalents. Consultez les exigences concernant vSphere.

Vous pouvez utiliser gkectl update pour mettre à jour ce champ dans un cluster existant.

Pour en savoir plus sur la mise à jour de vos identifiants vCenter, consultez la page Mettre à jour les identifiants de cluster.

Exemple :

vCenter:
  credentials:
    fileRef:
      path: "my-config-folder/admin-creds.yaml"

vCenter.credentials.fileRef.entry

Obligatoire
Chaîne

Nom du bloc d'identifiants, dans votre fichier de configuration des identifiants, qui contient le nom d'utilisateur et le mot de passe de votre compte utilisateur vCenter.

Vous pouvez utiliser gkectl update pour mettre à jour ce champ dans un cluster existant.

Pour en savoir plus sur la mise à jour de vos identifiants vCenter, consultez la page Mettre à jour les identifiants de cluster.

Exemple :

vCenter:
  credentials:
    fileRef:
      entry: "vcenter-creds"

vCenter.folder

Facultatif
Chaîne
Immutable
Par défaut: Dossier à l'échelle du centre de données

Chemin relatif d'un dossier vSphere que vous avez déjà créé. Ce dossier contiendra les VM de votre cluster d'administrateur.

Si vous ne spécifiez pas de valeur, les VM de votre cluster d'administrateur sont placées dans /.../DATA_CENTER/vm/.

Si vous spécifiez une valeur, elle est relative à /.../DATA_CENTER/vm/.

La valeur peut être le nom d'un dossier.

Exemple :

vCenter:
  folder: "my-folder"

Il peut également s'agir d'un chemin d'accès relatif comprenant plusieurs dossiers.

Exemple :

vCenter:
  folder: "folders/folder-1"

vCenter.dataDisk

N'indiquez aucune valeur pour ce champ. Supprimez le champ ou laissez-le en commentaire.

network

Obligatoire
Immutable

Cette section préserve des informations sur votre réseau de clusters d'administrateur.

network.hostConfig

Obligatoire
Immutable

Cette section contient des informations sur les serveurs NTP, les serveurs DNS et les domaines de recherche DNS utilisés par les VM qui sont vos nœuds de cluster.

network.hostConfig.dnsServers

Obligatoire si la section network.hostConfig est remplie.
Immutable
Tableau de chaînes.
Le tableau ne doit pas comporter plus de trois éléments.

Adresses des serveurs DNS pour les VM.

Exemple :

network:
  hostConfig:
    dnsServers:
    - "172.16.255.1"
    - "172.16.255.2"

network.hostConfig.ntpServers

Obligatoire si la section network.hostConfig est remplie.
Immutable
Tableau de chaînes

Adresses des serveurs de temps que les VM utilisent.

Exemple :

network:
  hostConfig:
    ntpServers:
    - "216.239.35.0"

network.hostConfig.searchDomainsForDNS

Facultatif
Immutable
Tableau de chaînes

Domaines de recherche DNS que les VM utilisent. Ces domaines sont utilisés dans une liste de recherche de domaines.

Exemple :

network:
  hostConfig:
    searchDomainsForDNS:
    - "my.local.com"

network.ipMode.type

Obligatoire
Immutable
Chaîne
Prérempli: "dhcp"
Par défaut: "dhcp"

Si vous souhaitez que les nœuds de votre cluster obtiennent leur adresse IP à partir d'un serveur DHCP, définissez la valeur sur "dhcp". Si vous souhaitez que les nœuds de votre cluster aient des adresses IP statiques venant d'une liste que vous fournissez, définissez ce paramètre sur "static".

Exemple :

network:
  ipMode:
    type: "static"

network.ipMode.ipBlockFilePath

Obligatoire si network.ipMode.type = static
Chaîne immuable

Chemin d'accès au fichier de blocs d'adresses IP de votre cluster.

Exemple :

network:
  ipMode:
    ipBlockFilePath: "/my-config-folder/admin-cluster-ipblock.yaml"

network.serviceCIDR

Obligatoire
Immutable
Chaîne
Plage la plus petite possible: /24
Plage la plus étendue possible: /12
Prérempli: "10.96.232.0/24"
Par défaut: "10.96.232.0/24"

Une plage d'adresses IP au format CIDR à utiliser pour les services de votre cluster.

Exemple :

network:
  serviceCIDR: "10.96.232.0/24"

network.podCIDR

Obligatoire
Immutable
Chaîne
Plage la plus petite possible: /18
Plage la plus étendue possible: /8
Prérempli: "192.168.0.0/16"
Par défaut: "192.168.0.0/16"

Une plage d'adresses IP au format CIDR à utiliser pour les pods de votre cluster

Exemple :

network:
  podCIDR: "192.168.0.0/16"

La plage de services ne doit pas chevaucher la plage de pods.

Les plages de services et de pods ne doivent chevaucher aucune adresse en dehors du cluster que vous souhaitez atteindre depuis l'intérieur du cluster.

Par exemple, supposons que votre plage de services soit 10.96.232.0/24 et que votre plage de pods soit 192.168.0.0/16. Tout trafic envoyé depuis un pod vers une adresse dans l'une de ces plages est traité comme étant dans un cluster et n'atteint aucune destination en dehors du cluster.

En particulier, les plages de services et de pods ne doivent pas chevaucher les éléments suivants :

• Adresses IP des nœuds d'un cluster

• Adresses IP utilisées par les machines des équilibreurs de charge

• Adresses IP virtuelles utilisées par les nœuds de plan de contrôle et les équilibreurs de charge

• Adresse IP des serveurs vCenter, DNS et NTP

Nous vous recommandons de placer vos plages de services et de pods dans l'espace d'adressage RFC 1918.

Voici l'une des raisons pour lesquelles il est recommandé d'utiliser les adresses RFC 1918 Supposons que votre plage de services et de pods contienne des adresses IP externes. Tout trafic envoyé depuis un pod vers l'une de ces adresses externes sera traité comme du trafic interne au cluster et n'atteindra pas la destination externe.

network.vCenter.networkName

Obligatoire
Chaîne
immuable

Nom du réseau vSphere pour vos nœuds de cluster.

Exemple :

network:
  vCenter:
    networkName: "my-network"

Si le nom contient un caractère spécial, vous devez utiliser une séquence d'échappement pour celui-ci.

Si le nom du réseau n'est pas unique dans votre centre de données, vous pouvez spécifier un chemin d'accès complet.

Exemple :

network:
  vCenter:
    networkName: "/data-centers/data-center-1/network/my-network"

network.controlPlaneIPBlock

Obligatoire

network.controlPlaneIPBlock.netmask

Obligatoire
Chaîne
immuable

Masque de réseau du réseau qui contient les nœuds du plan de contrôle.

Exemple :

network:
  controlPlaneIPBlock:
    netmask: "255.255.255.0"

network.controlPlaneIPBlock.gateway

Obligatoire
Chaîne
immuable

Adresse IP de la passerelle par défaut pour les nœuds de votre plan de contrôle.

Exemple :

network:
  controlPlaneIPBlock:
    gateway: "172.16.22.1"

network.controlPlaneIPBlock.ips

Obligatoire
Immutable
Tableau de trois objets, chacun possédant une adresse IP et un nom d'hôte facultatif.

Ce sont les adresses IP qui seront attribuées aux nœuds de votre plan de contrôle.

Exemple :

network:
  controlPlaneIPBlock:
    ips:
    - ip: "172.16.22.6"
      hostname: "admin-cp-vm-1"
    - ip: "172.16.22.7"
      hostname: "admin-cp-vm-2"
    - ip: "172.16.22.8"
      hostname: "admin-cp-vm-3"

loadBalancer

Cette section contient des informations sur l'équilibreur de charge de votre cluster d'administrateur.

loadBalancer.vips.controlPlaneVIP

Obligatoire
Chaîne
immuable

Adresse IP que vous avez choisie de configurer sur l'équilibreur de charge pour le serveur d'API Kubernetes du cluster d'administrateur.

Exemple :

loadBalancer:
  vips:
    controlplaneVIP: "203.0.113.3"

loadBalancer.kind

Obligatoire
Chaîne
Immutable
Prérempli: "MetalLB"

Chaîne. Définissez cette valeur sur "ManualLB", "F5BigIP" ou "MetalLB"

Exemple :

loadBalancer:
  kind: "MetalLB"

loadBalancer.manualLB

Si vous définissez loadbalancer.kind sur "ManualLB", remplissez cette section. Sinon, supprimez cette section.
Immutable

loadBalancer.manualLB.ingressHTTPNodePort

Supprimez ce champ de votre fichier de configuration. Il n'est pas utilisé dans un cluster d'administrateur.

loadBalancer.manualLB.ingressHTTPSNodePort

Supprimez ce champ de votre fichier de configuration. Il n'est pas utilisé dans un cluster d'administrateur.

loadBalancer.manualLB.konnectivityServerNodePort

Supprimez ce champ de votre fichier de configuration. Il n'est pas utilisé dans un cluster d'administrateur.

loadBalancer.f5BigIP

Si vous définissez loadbalancer.kind sur "f5BigIP", remplissez cette section. Sinon, supprimez cette section.

loadBalancer.f5BigIP.address

Obligatoire si loadBalancer.kind = "f5BigIp"
Chaîne immuable

Adresse de votre équilibreur de charge F5 BIG-IP. Exemple :

loadBalancer:
  f5BigIP:
    address: "203.0.113.2"

loadBalancer.f5BigIP.credentials.fileRef.path

Obligatoire si loadBalancer.kind = "f5BigIp"
Chaîne modifiable

Chemin d'accès d'un fichier de configuration des identifiants contenant le nom d'utilisateur et le mot de passe d'un compte que GKE sur VMware peut utiliser pour se connecter à votre équilibreur de charge F5 BIG-IP.

Le compte utilisateur doit disposer d'un rôle utilisateur possédant des autorisations suffisantes pour configurer et gérer l'équilibreur de charge. Le rôle Administrateur ou Administrateur de ressources est suffisant.

Vous pouvez utiliser gkectl update pour mettre à jour ce champ dans un cluster existant.

Pour en savoir plus sur la mise à jour de vos identifiants F5 BIG-IP, consultez la page Mettre à jour les identifiants du cluster.

Exemple :

loadBalancer:
  f5BigIP:
    credentials:
      fileRef:
        path: ""my-config-folder/admin-creds.yaml"

loadBalancer.f5BigIP.credentialsfileRef.entry

Obligatoire si loadBalancer.kind = "f5BigIp"
Chaîne modifiable

Nom du bloc d'identifiants, dans votre fichier de configuration des identifiants, qui contient le nom d'utilisateur et le mot de passe de votre compte F5 BIG-IP.

Vous pouvez utiliser gkectl update pour mettre à jour ce champ dans un cluster existant.

Pour en savoir plus sur la mise à jour de vos identifiants F5 BIG-IP, consultez la page Mettre à jour les identifiants du cluster.

Exemple :

loadBalancer:
  f5BigIP:
    credentials:
      fileRef:
        entry: "f5-creds"

loadBalancer.f5BigIP.partition

Obligatoire si loadBalancer.kind = "f5BigIp"
Chaîne immuable

Nom d'une partition BIG-IP que vous avez créée pour votre cluster d'administrateur.

Exemple :

loadBalancer:
  f5BigIP:
    partition: "my-f5-admin-partition"

loadBalancer.f5BigIP.snatPoolName

Facultatif
Pertinent si loadBalancer.kind = "f5BigIp"
Chaîne
immuable

Si vous utilisez SNAT, nom de votre pool SNAT. Si vous n'utilisez pas SNAT, supprimez ce champ.

Exemple :

loadBalancer:
  f5BigIP:
    snatPoolName: "my-snat-pool"

loadBalancer.seesaw

N'utilisez pas cette section. L'équilibreur de charge Seesaw n'est pas compatible avec les nouveaux clusters d'administrateur à partir de la version 1.28.

Seesaw est toujours compatible avec les clusters mis à niveau de la version 1.16 vers la version 1.28. Par exemple, supposons que vous disposiez d'un cluster d'administrateur standard 1.16 utilisant Seesaw. Ensuite, après avoir mis à niveau le cluster vers la version 1.28, vous pouvez continuer à utiliser le plan de contrôle standard et l'équilibreur de charge Seesaw. Pour en savoir plus sur l'équilibreur de charge Seesaw, consultez la documentation de la version 1.16:

• Fichier de configuration du cluster d'administrateur
• Équilibreur de charge Seesaw

antiAffinityGroups.enabled

Facultatif
Mutable
Booléen
Prérempli: true

Définissez ce paramètre sur true pour activer la création de règles DRS. Sinon, définissez cette valeur sur false.

Exemple :

antiAffinityGroups:
  enabled: true

Si ce champ est true, GKE sur VMware crée des règles anti-affinité VMware Distributed Resource Scheduler (DRS) pour vos nœuds de cluster d'administrateur, ce qui entraîne leur propagation sur au moins trois hôtes ESXi physiques dans votre centre de données.

Cette fonctionnalité nécessite que votre environnement vSphere remplisse les conditions suivantes :

• La fonctionnalité VMware DRS est activée. VMware DRS nécessite l'édition de licence vSphere Enterprise Plus.

• Votre compte utilisateur vSphere dispose du privilège Host.Inventory.Modify cluster.

• Au moins quatre hôtes ESXi sont disponibles.

Même si la règle exige que les nœuds du cluster soient répartis sur trois hôtes ESXi, nous vous recommandons vivement d'avoir au moins quatre hôtes ESXi disponibles. Cela vous évite de perdre le plan de contrôle de votre cluster d'administrateur. Par exemple, supposons que vous n'ayez que trois hôtes ESXi et que le nœud du plan de contrôle de votre cluster d'administrateur se trouve sur un hôte ESXi défaillant. La règle DRS empêche le nœud de plan de contrôle d'être placé sur l'un des deux hôtes ESXi restants.

Rappelez-vous que si vous possédez une licence standard vSphere, vous ne pouvez pas activer VMware DRS.

Si le DRS n'est pas activé ou si vous ne disposez pas d'au moins quatre hôtes sur lesquels les VM vSphere peuvent être programmées, définissez antiAffinityGroups.enabled sur false.

adminMaster

Immuable

Paramètres de configuration pour les nœuds du plan de contrôle dans le cluster d'administrateur.

adminMaster.cpus

Aperçu
Facultatif
Immutable
Entier
Prérempli: 4
Par défaut: 4

Nombre de processeurs virtuels pour chaque nœud de plan de contrôle du cluster d'administrateur.

Exemple :

adminMaster:
  cpus: 4

adminMaster.memoryMB

Aperçu
Facultatif
Immutable
Entier
Prérempli: 16384
Par défaut: 16384

Nombre de mébioctets de mémoire pour chaque nœud du plan de contrôle dans le cluster d'administrateur.

Exemple :

adminMaster:
  memoryMB: 16384

adminMaster.replicas

Obligatoire pour les nouveaux clusters
Immutable
Entier
Valeurs possibles: 3

Nombre de nœuds du plan de contrôle dans le cluster d'administrateur. Lorsque vous créez un cluster d'administrateur, définissez ce champ sur 3 pour créer un cluster d'administrateur haute disponibilité.

Exemple :

adminMaster:
  replicas: 3

proxy

Si votre réseau est protégé par un serveur proxy, remplissez cette section. Sinon, supprimez cette section ou laissez-la en commentaire. Le serveur proxy que vous spécifiez ici est utilisé par les clusters d'utilisateur gérés par ce cluster d'administrateur.
Immutable

proxy.url

Obligatoire si la section proxy est remplie.
Chaîne
immuable

Adresse HTTP de votre serveur proxy. Incluez le numéro de port même s'il est identique au port par défaut du schéma.

Exemple :

proxy:
  url: "http://my-proxy.example.local:80"

Le serveur proxy que vous spécifiez ici est utilisé par vos clusters GKE sur VMware. En outre, votre poste de travail d'administrateur est automatiquement configuré pour utiliser ce même serveur proxy, sauf si vous définissez la variable d'environnement HTTPS_PROXY sur votre poste de travail d'administrateur.

Si vous spécifiez proxy.url, vous devez également spécifier proxy.noProxy.

Une fois la configuration du proxy pour le cluster d'administrateur définie, elle ne peut être ni modifiée, ni supprimée, sauf si le cluster est recréé.

proxy.noProxy

Chaîne
facultative
non modifiable

Liste d'adresses IP, de plages d'adresses IP, de noms d'hôte et de noms de domaine séparés par une virgule qui ne doivent pas passer par le serveur proxy. Lorsque GKE sur VMware envoie une requête à l'une de ces adresses, à l'un de ces hôtes ou à l'un de ces domaines, la requête est envoyée directement.

Exemple :

proxy:
  noProxy: "10.151.222.0/24,my-host.example.local,10.151.2.1"

privateRegistry

Si vous disposez d'un registre de conteneurs privé, remplissez cette section. Sinon, supprimez cette section ou laissez-la en commentaire.

privateRegistry.address

Obligatoire pour le registre privé
Chaîne immuable

Adresse IP ou nom de domaine complet de la machine qui exécute votre registre privé.

Exemples :

privateRegistry:
  address: "203.0.113.10"

privateRegistry:
  address: "fqdn.example.com"

privateRegistry.credentials.fileRef.path

Obligatoire pour le registre privé
Mutable
Chaîne

Chemin d'accès d'un fichier de configuration des identifiants contenant le nom d'utilisateur et le mot de passe d'un compte que GKE sur VMware peut utiliser pour accéder à votre registre privé.

Exemple :

privateRegistry:
  credentials:
    fileRef:
      path: "my-config-folder/admin-creds.yaml"

privateRegistry.credentials.fileRef.entry

Obligatoire pour le registre privé
Mutable
Chaîne

Nom du bloc d'identifiants, dans votre fichier de configuration des identifiants, qui contient le nom d'utilisateur et le mot de passe de votre compte de registre privé.

privateRegistry:
  credentials:
    fileRef:
      entry: "private-registry-creds"

privateRegistry.caCertPath

Obligatoire pour le registre privé
Mutable
Chaîne

Lorsque l'environnement d'exécution du conteneur extrait une image de votre registre privé, le registre doit prouver son identité en présentant un certificat. Le certificat du registre est signé par une autorité de certification (CA). L'environnement d'exécution du conteneur utilise le certificat de l'autorité de certification pour valider le certificat du registre.

Définissez ce champ sur le chemin d'accès au certificat de l'autorité de certification.

Exemple :

privateRegistry:
  caCertPath: "my-cert-folder/registry-ca.crt"

componentAccessServiceAccountKeyPath

Obligatoire
Chaîne
mutable

Chemin d'accès au fichier de clé JSON de votre compte de service d'accès au composant.

Exemple :

componentAccessServiceAccountKeyPath: "my-key-folder/access-key.json"

gkeConnect

Obligatoire
Mutable

Lorsque vous remplissez la section gkeConnect, le cluster d'administrateur est automatiquement enregistré dans un parc après sa création. Cette section contient des informations sur le projet et le compte de service Google Cloud nécessaires à l'enregistrement du cluster.

Lors de la création ou de la mise à jour du cluster, plusieurs stratégies RBAC sont configurées sur le cluster d'administrateur. Ces stratégies RBAC sont nécessaires pour créer des clusters d'utilisateur dans la console Google Cloud.

gkeConnect.projectID

Obligatoire
Chaîne
immuable

L'ID de votre projet hôte de parc. Pour les nouveaux clusters, cet ID de projet doit être identique à celui défini dans stackdriver.projectID et cloudAuditLogging.projectID. Si les ID de projet ne sont pas identiques, la création du cluster échoue. Cette exigence ne s'applique pas aux clusters existants.

Exemple :

gkeConnect:
  projectID: "my-fleet-host-project"

gkeConnect.location

Facultatif
Chaîne
Immutable
Par défaut: global

L'appartenance au parc de chaque cluster est gérée par le service de parc (gkehub.googleapis.com) et le service Connect (gkeconnect.googleapis.com). L'emplacement des services peut être global ou régional. À partir de la version 1.28, vous pouvez éventuellement spécifier la région Google Cloud dans laquelle le parc et les services Connect s'exécutent. Si aucune valeur n'est spécifiée, les instances globales des services sont utilisées. Veuillez noter les points suivants :

• Les clusters d'administrateur créés avant la version 1.28 sont gérés par le parc mondial et les services Connect.

• Pour les nouveaux clusters, si vous incluez ce champ, la région que vous spécifiez doit être identique à celle configurée dans cloudAuditLogging.clusterLocation, stackdriver.clusterLocation et gkeOnPremAPI.location. Si les régions ne sont pas identiques, la création du cluster échoue.

Exemple :

gkeConnect:
  location: "us-central1"

gkeConnect.registerServiceAccountKeyPath

Obligatoire
Chaîne
mutable

Chemin d'accès au fichier de clé JSON de votre compte de service connect-register.

Exemple :

gkeConnect:
  registerServiceAccountKeyPath: "my-key-folder/connect-register-key.json"

gkeOnPremAPI

Facultatif

À partir de la version 1.16, si l'API GKE On-Prem est activée dans votre projet Google Cloud, tous les clusters du projet sont enregistrés automatiquement dans l'API GKE On-Prem dans la région configurée dans stackdriver.clusterLocation.

• Si vous souhaitez enregistrer tous les clusters du projet dans l'API GKE On-Prem, suivez la procédure décrite dans la section Avant de commencer pour activer et utiliser l'API GKE On-Prem dans le projet.

• Si vous ne souhaitez pas enregistrer le cluster dans l'API GKE On-Prem, incluez cette section et définissez gkeOnPremAPI.enabled sur false. Si vous ne souhaitez enregistrer aucun cluster dans le projet, désactivez gkeonprem.googleapis.com (nom du service de l'API GKE On-Prem) dans le projet. Pour obtenir des instructions, consultez la section Désactiver des services.

L'enregistrement de votre cluster d'administrateur dans l'API GKE On-Prem vous permet d'utiliser des outils standards (console Google Cloud, Google Cloud CLI ou Terraform) pour mettre à niveau les clusters d'utilisateur gérés par le cluster d'administrateur. L'enregistrement de votre cluster vous permet également d'exécuter des commandes gcloud pour obtenir des informations sur vos clusters.

Une fois que vous avez ajouté cette section et créé ou mis à jour le cluster d'administrateur, la mise à jour échouera si vous supprimez la section et mettez à jour le cluster.

gkeOnPremAPI.enabled

Obligatoire si la section gkeOnPremAPI est incluse.
Mutable
Booléen
Par défaut: true

Par défaut, le cluster est enregistré dans l'API GKE On-Prem si celle-ci est activée dans votre projet. Définissez la valeur sur false si vous ne souhaitez pas enregistrer le cluster.

Une fois le cluster enregistré dans l'API GKE On-Prem, si vous devez le désenregistrer, apportez la modification suivante, puis mettez-le à jour:

gkeOnPremAPI:
  enabled: false

gkeOnPremAPI.location

Chaîne
immutable
Par défaut:stackdriver.clusterLocation

Région Google Cloud dans laquelle l'API GKE On-Prem s'exécute et stocke les métadonnées du cluster. Choisissez l'une des régions disponibles. Vous devez utiliser la même région que celle configurée dans cloudAuditLogging.clusterLocation, gkeConnect.location et stackdriver.clusterLocation. Si gkeOnPremAPI.enabled est défini sur false, n'incluez pas ce champ.

stackdriver

Obligatoire par défaut
Mutable

Si vous souhaitez activer Cloud Logging et Cloud Monitoring pour votre cluster, renseignez cette section. Sinon, supprimez cette section.

Cette section est obligatoire par défaut. Autrement dit, si vous n'incluez pas cette section, vous devez inclure l'option --skip-validation-stackdriver lorsque vous exécutez gkectl create admin.

Cette section est requise dans le cluster d'administrateur si vous souhaitez gérer le cycle de vie des clusters d'utilisateur à l'aide de clients API GKE On-Prem.

stackdriver.projectID

Requis pour Logging et Monitoring
Chaîne immuable

L'ID de votre projet hôte de parc. Pour les nouveaux clusters, cet ID de projet doit être identique à celui défini dans gkeConnect.projectID et cloudAuditLogging.projectID. Si les ID de projet ne sont pas identiques, la création du cluster échoue. Cette exigence ne s'applique pas aux clusters existants.

Si nécessaire, vous pouvez configurer un routeur de journaux dans ce projet pour acheminer les journaux vers les buckets de journaux d'un autre projet. Pour en savoir plus sur la configuration du routeur de journaux, consultez la section Destinations compatibles.

Exemple :

stackdriver:
  projectID: "my-fleet-host-project"

stackdriver.clusterLocation

Requis pour Logging et Monitoring
Chaîne immuable
Chaîne
Prérempli: "us-central1"

Région Google Cloud dans laquelle vous souhaitez stocker les journaux. Nous vous recommandons de choisir une région à proximité de votre centre de données sur site.

Pour les nouveaux clusters, si vous incluez les sections gkeOnPremAPI et cloudAuditLogging dans le fichier de configuration, la région que vous définissez ici doit être la même que celle définie dans cloudAuditLogging.clusterLocation, gkeConnect.location et gkeOnPremAPI.location. Si les régions ne sont pas identiques, la création du cluster échoue.

Exemple :

stackdriver:
  clusterLocation: "us-central1"

stackdriver.enableVPC

Facultatif
Immutable
Booléen
Prérempli: faux

Si le réseau de votre cluster est contrôlé par un VPC, définissez ce champ sur true. Ainsi, toute la télémétrie passe par les adresses IP restreintes de Google. Sinon, définissez cette valeur sur false.

Exemple :

stackdriver:
  enableVPC: false

stackdriver.serviceAccountKeyPath

Requis pour Logging et Monitoring
Chaîne modifiable

Chemin du fichier de clé JSON pour votre compte de service de journalisation-surveillance.

Pour savoir comment mettre à jour ce champ dans un cluster existant, consultez la page Appliquer une rotation des clés de compte de service.

Exemple :

stackdriver:
  serviceAccountKeyPath: "my-key-folder/log-mon-key.json"

stackdriver.disableVsphereResourceMetrics

Facultatif
Mutable
Pertinent pour Logging et Monitoring
Booléen
Prérempli: false
Par défaut: false

Définissez cette valeur sur true pour désactiver la collecte de métriques depuis vSphere. Sinon, définissez cette valeur sur false.

Cette section est obligatoire dans le cluster d'administrateur si vous souhaitez gérer le cycle de vie des clusters d'utilisateur dans la console Google Cloud.

Exemple :

stackdriver:
  disableVsphereResourceMetrics: true

cloudAuditLogging

Si vous souhaitez intégrer les journaux d'audit du serveur d'API Kubernetes de votre cluster aux journaux d'audit Cloud, remplissez cette section. Sinon, supprimez cette section ou laissez-la en commentaire.
Mutable

Cette section est requise dans le cluster d'administrateur si vous souhaitez gérer le cycle de vie des clusters d'utilisateur à l'aide de clients d'API GKE On-Prem.

cloudAuditLogging.projectID

Requis pour Cloud Audit Logs
Chaîne immuable

L'ID du projet hôte de votre parc. Pour les nouveaux clusters, cet ID de projet doit être identique à celui défini dans gkeConnect.projecID et stackdriver.projectID. Si les ID de projet ne sont pas identiques, la création du cluster échoue. Cette exigence ne s'applique pas aux clusters existants.

Si nécessaire, vous pouvez configurer un routeur de journaux dans ce projet pour acheminer les journaux vers les buckets de journaux d'un autre projet. Pour en savoir plus sur la configuration du routeur de journaux, consultez la section Destinations compatibles.

Exemple :

cloudAuditLogging:
  projectID: "my-fleet-host-project"

cloudAuditLogging.clusterLocation

Requis pour Cloud Audit Logs
Chaîne immuable

Région Google Cloud dans laquelle vous souhaitez stocker les journaux d'audit. Nous vous recommandons de choisir une région à proximité de votre centre de données sur site.

Pour les nouveaux clusters, si vous incluez les sections gkeOnPremAPI et stackdriver dans le fichier de configuration, la région que vous définissez ici doit être la même que celle définie dans gkeConnect.location, gkeOnPremAPI.location et stackdriver.clusterLocation. Si les régions ne sont pas identiques, la création du cluster échoue.

Exemple :

cloudAuditLogging:
  clusterLocation: "us-central1"

cloudAuditLogging.serviceAccountKeyPath

Requis pour Cloud Audit Logs
Chaîne modifiable

Chemin d'accès au fichier de clé JSON de votre compte de service de journalisation-audit.

Pour savoir comment mettre à jour ce champ dans un cluster existant, consultez la page Appliquer une rotation des clés de compte de service.

Exemple :

cloudAuditLogging:
  serviceAccountKeyPath: "my-key-folder/audit-log-key.json"

clusterBackup.datastore

Aperçu
Facultatif
Chaîne modifiable

Si vous souhaitez activer la sauvegarde du cluster d'administrateur, définissez ce paramètre sur le datastore vSphere dans lequel vous souhaitez enregistrer les sauvegardes de cluster.

Exemple :

clusterBackup:
  datastore: "my-datastore"

autoRepair.enabled

Facultatif
Mutable
Booléen
Prérempli: true

Définissez cette valeur sur true pour activer la réparation automatique des nœuds. Sinon, définissez cette valeur sur false.

Pour mettre à jour la valeur de ce champ, utilisez gkectl update admin.

Exemple :

autoRepair:
  enabled: true

secretsEncryption

Si vous souhaitez chiffrer des secrets sans avoir besoin de KMS externe (Key Management Service) ni d'autres dépendances, remplissez cette section. Sinon, supprimez cette section ou laissez-la en commentaire.
Immutable

secretsEncryption.mode

Requis pour le chiffrement des secrets
Immutable
Chaîne
Valeur possible: "GeneratedKey"
Prérempli: "GeneratedKey"

Mode de chiffrement du secret.

secretsEncryption:
  mode: "GeneratedKey"

secretsEncryption.generatedKey.keyVersion

Obligatoire pour le chiffrement des secrets
Mutable
Entier
Prérempli: 1

Entier de votre choix à utiliser pour le numéro de version de clé. Nous vous recommandons de commencer par 1.

Exemple :

secretsEncryption:
  generatedKey:
    keyVersion: 1

secretsEncryption.generatedKey.disabled

Facultatif pour le chiffrement des secrets
Mutable
Booléen
Prérempli: faux

Définissez cette valeur sur true pour désactiver le chiffrement des secrets. Sinon, définissez-la sur false.

Exemple :

secretsEncryption:
  generatedKey:
    disabled: false

osImageType

Facultatif
Mutable
Chaîne
Valeurs possibles: "Ubuntu_containerd", "cos", "Ubuntu_cgv2", "cos_cgv2"
Prérempli: ""
Par défaut: "Ubuntu_containerd"

Type d'image d'OS à exécuter sur vos nœuds de cluster d'administrateur.

Si vous spécifiez ubuntu_cgv2 ou cos_cgv2, vous devez exécuter gkectl prepare --extra-os-image-types=cgroupv2 avant de créer/mettre à jour le cluster.

Exemple :

osImageType: "cos"