Auf dieser Seite werden die Felder in der Konfigurationsdatei des Administratorclusters für GKE on VMware beschrieben.
Vorlage für Ihre Konfigurationsdatei erstellen
Wenn Sie gkeadm
zum Erstellen Ihrer Administratorworkstation verwendet haben, hat gkeadm
eine Vorlage für die Konfigurationsdatei des Administratorclusters generiert. Außerdem hat gkeadm
einige Felder mit Werten versehen.
Wenn Sie Ihre Administratorworkstation nicht mit gkeadm
erstellt haben, können Sie mit gkectl
eine Vorlage für die Konfigurationsdatei des Administratorclusters generieren.
So generieren Sie eine Vorlage für die Konfigurationsdatei des Administratorclusters:
gkectl create-config admin --config=OUTPUT_FILENAME --gke-on-prem-version=VERSION
Ersetzen Sie OUTPUT_FILENAME
durch einen Pfad Ihrer Wahl für die generierte Vorlage. Wenn Sie dieses Flag weglassen, benennt gkectl
die Datei admin-cluster.yaml
und speichert sie im aktuellen Verzeichnis.
Ersetzen Sie VERSION
durch die gewünschte Versionsnummer, die gleich oder kleiner als Ihre gkectl
-Version sein muss. Beispiel: gkectl create-config admin --gke-on-prem-version=1.6.2-gke.0
. Wenn Sie dieses Flag weglassen, werden in die generierte Konfigurationsvorlage Werte eingefügt, die auf der neuesten Clusterversion basieren.
Vorlage
Konfigurationsdatei ausfüllen
Geben Sie in Ihrer Konfigurationsdatei Feldwerte ein, wie in den folgenden Abschnitten beschrieben.
name
Optional
String
Standard: Ein zufälliger Name mit dem Präfix „gke-admin-”
Ein Name Ihrer Wahl für den Cluster.
Beispiel:
name: "my-admin-cluster"
bundlePath
Erforderlich
Mutable
String
Der Pfad Ihrer GKE on VMware-Bundle-Datei.
Die vollständige Bundle-Datei von GKE on VMware enthält alle Komponenten in einem bestimmten GKE on VMware-Release. Wenn Sie eine Administratorworkstation erstellen, erhalten Sie ein vollständiges Bundle unter:
/var/lib/gke/bundles/gke-onprem-vsphere-VERSION-full.tgz
Beispiel:
bundlePath: "/var/lib/gke/bundles/gke-onprem-vsphere-1.10.0-gke.8.full.tgz"
preparedSecrets.enabled
Vorschau
Optional
Unveränderlich
Boolesch
Voreingestellt: false
Standardwert: false
Legen Sie diesen Wert auf true
fest, wenn Sie im Administratorcluster vorbereitete Anmeldedaten verwenden möchten. Andernfalls legen Sie false
fest.
Beispiel:
preparedSecrets: enabled: true
vCenter
Erforderlich
Unveränderlich
Dieser Abschnitt enthält Informationen zu Ihrer vSphere-Umgebung und Ihrer Verbindung zu vCenter Server.
vCenter.address
Erforderlich
Unveränderlich
String
Die IP-Adresse oder der Hostname Ihres vCenter-Servers.
Weitere Informationen finden Sie unter vCenter-Serveradresse suchen.
Beispiele:
vCenter: address: "203.0.113.100"
vCenter: address: "my-vcenter-server.my-domain.example"
vCenter.datacenter
Erforderlich
Unveränderlich
String
Der relative Pfad eines vSphere-Rechenzentrums.
Der angegebene Wert bezieht sich auf den Stammordner /
.
Wenn sich Ihr Rechenzentrum im Stammordner befindet, ist der Wert der Name des Rechenzentrums.
Beispiel:
vCenter: datacenter: "my-data-center"
Andernfalls ist der Wert ein relativer Pfad, der einen oder mehrere Ordner sowie den Namen des Rechenzentrums enthält.
Beispiel:
vCenter: datacenter: "data-centers/data-center-1"
vCenter.cluster
Erforderlich
Unveränderlich
String
Der relative Pfad eines vSphere-Clusters, der die ESXi-Hosts darstellt, auf denen Ihre Administratorcluster-VMs ausgeführt werden. Dieser vSphere-Cluster repräsentiert eine Teilmenge der physischen ESXi-Hosts in Ihrem vCenter-Rechenzentrum.
Der angegebene Wert bezieht sich auf /.../DATA_CENTER/vm/
.
Wenn sich Ihr vSphere-Cluster im Ordner /.../DATA_CENTER/vm/
befindet, ist der Wert der Name des vSphere-Clusters.
Beispiel:
vCenter: cluster: "my-vsphere-cluster"
Andernfalls ist der Wert ein relativer Pfad, der einen oder mehrere Ordner sowie den Namen des vSphere-Clusters enthält.
Beispiel:
vCenter: cluster: "clusters/vsphere-cluster-1"
vCenter.resourcePool
Erforderlich
Unveränderlich
String
Ein vCenter-Ressourcenpool für Ihre Administratorcluster-VMs.
Wenn Sie den Standardressourcenpool verwenden möchten, legen Sie dafür VSPHERE_CLUSTER/Resources
fest.
Beispiel:
vCenter: resourcePool: "my-vsphere-cluster/Resources"
Wenn Sie einen bereits erstellten Ressourcenpool verwenden möchten, legen Sie dafür den relativen Pfad Ihres Ressourcenpools fest.
Der angegebene Wert bezieht sich auf /.../DATA_CENTER/host/.../VSPHERE_CLUSTER/Resources/
Wenn der Ressourcenpool /.../DATA_CENTER/host/.../VSPHERE_CLUSTER/Resources/
direkt untergeordnet ist, ist der Wert der Name des Ressourcenpools.
Beispiel:
vCenter: resourcePool: "my-resource-pool"
Andernfalls ist der Wert ein relativer Pfad mit zwei oder mehr Ressourcenpools.
Beispiel:
vCenter: resourcePool: "resource-pool-1/resource-pool-2"
vCenter.datastore
Optional
Unveränderlich
String
Der Name eines vSphere-Datenspeichers für Ihren Administratorcluster.
Der angegebene Wert muss ein Name sein, kein Pfad. Nehmen Sie keine Ordner in den Wert auf.
Beispiel:
vCenter: datastore: "my-datastore"
Wenn Sie einen Wert für dieses Feld angeben, geben Sie für vCenter.storagePolicyName
keinen Wert an.
vCenter.storagePolicyName
Optional
Unveränderlich
String
Der Name einer VM-Speicherrichtlinie für die Clusterknoten.
Der Administratorcluster muss hochverfügbar sein, um mit der Speicherrichtlinie zu arbeiten.
Weitere Informationen finden Sie unter Speicherrichtlinie konfigurieren.
Wenn Sie einen Wert für dieses Feld angeben, geben Sie für vCenter.datastore
keinen Wert an.
vCenter.caCertPath
Erforderlich
Mutable
String
Der Pfad des CA-Zertifikats für Ihren vCenter-Server.
Weitere Informationen finden Sie unter vCenter-CA-Zertifikat abrufen.
Informationen zum Aktualisieren dieses Felds für einen vorhandenen Cluster finden Sie unter vCenter-Zertifikatsverweise aktualisieren.
Beispiel:
vCenter: caCertPath: "/usr/local/google/home/me/certs/vcenter-ca-cert.pem"
vCenter.credentials.fileRef.path
Erforderlich
String
Der Pfad einer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres vCenter-Nutzerkontos enthält. Das Nutzerkonto sollte die Administratorrolle oder entsprechende Berechtigungen haben. Weitere Informationen finden Sie unter vSphere-Anforderungen.
Sie können dieses Feld mit gkectl update
in einem vorhandenen Cluster aktualisieren.
Informationen zum Aktualisieren von vCenter-Anmeldedaten finden Sie unter Clusteranmeldedaten aktualisieren.
Beispiel:
vCenter: credentials: fileRef: path: "my-config-folder/admin-creds.yaml"
vCenter.credentials.fileRef.entry
Erforderlich
String
Der Name des Anmeldedatenblocks in Ihrer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres vCenter-Nutzerkontos enthält.
Sie können dieses Feld mit gkectl update
in einem vorhandenen Cluster aktualisieren.
Informationen zum Aktualisieren von vCenter-Anmeldedaten finden Sie unter Clusteranmeldedaten aktualisieren.
Beispiel:
vCenter: credentials: fileRef: entry: "vcenter-creds"
vCenter.folder
Optional
Unveränderlich
String
Standard: Der Ordner im Rechenzentrum
Der relative Pfad eines vSphere-Ordners, den Sie bereits erstellt haben. Dieser Ordner enthält Ihre Administratorcluster-VMs.
Wenn Sie keinen Wert angeben, werden die VMs des Administratorclusters in /.../DATA_CENTER/vm/
gesetzt.
Wenn Sie einen Wert angeben, ist er relativ zu /.../DATA_CENTER/vm/
.
Der Wert kann der Name eines Ordners sein.
Beispiel:
vCenter: folder: "my-folder"
Der Wert kann auch ein relativer Pfad sein, der mehr als einen Ordner enthält.
Beispiel:
vCenter: folder: "folders/folder-1"
vCenter.dataDisk
Geben Sie für dieses Feld keinen Wert an. Löschen Sie das Feld oder lassen Sie es auskommentiert.
network
Erforderlich
Unveränderlich
Dieser Abschnitt enthält Informationen zu Ihrem Administratorcluster-Netzwerk.
network.hostConfig
Erforderlich
Unveränderlich
Dieser Abschnitt enthält Informationen zu NTP-Servern, DNS-Servern und DNS-Suchdomains, die von den VMs verwendet werden, die Ihre Clusterknoten sind.
network.hostConfig.dnsServers
Erforderlich, wenn der Abschnitt „network.hostConfig
“ ausgefüllt ist.
Unveränderlich
Array von Strings
Das Array enthält maximal drei Elemente.
Die Adressen der DNS-Server für die VMs.
Beispiel:
network: hostConfig: dnsServers: - "172.16.255.1" - "172.16.255.2"
network.hostConfig.ntpServers
Erforderlich, wenn der Abschnitt „network.hostConfig
“ ausgefüllt ist.
Unveränderlich
Array von Strings
Die Adressen der Zeitserver, die von den VMs verwendet werden sollen.
Beispiel:
network: hostConfig: ntpServers: - "216.239.35.0"
network.hostConfig.searchDomainsForDNS
Optional
Unveränderlich
Array von Strings
DNS-Suchdomains, die von den VMs verwendet werden sollen. Diese Domains werden als Teil einer Domainsuchliste verwendet.
Beispiel:
network: hostConfig: searchDomainsForDNS: - "my.local.com"
network.ipMode.type
Erforderlich
Unveränderlich
String
Vorausgefüllt: "dhcp"
Standardwert: "dhcp"
Wenn Sie möchten, dass Ihre Clusterknoten ihre IP-Adresse von einem DHCP-Server abrufen, legen Sie für dieses Feld "dhcp"
fest. Wenn Sie für die Clusterknoten statische IP-Adressen aus einer von Ihnen bereitgestellten Liste auswählen möchten, legen Sie "static"
fest.
Beispiel:
network: ipMode: type: "static"
network.ipMode.ipBlockFilePath
Erforderlich, wenn network.ipMode.type
= static
Unveränderlich
String
Der Pfad der IP-Blockdatei für Ihren Cluster.
Beispiel:
network: ipMode: ipBlockFilePath: "/my-config-folder/admin-cluster-ipblock.yaml"
network.serviceCIDR
Erforderlich
Unveränderlich
String
Kleinstmöglicher Bereich: /24
Größtmöglicher Bereich: /12
Vorausgefüllt: „10.96.232.0/24“
Standardwert: „10.96.232.0/24“
Ein Bereich von IP-Adressen im CIDR-Format, der für Dienste in Ihrem Cluster verwendet werden soll.
Beispiel:
network: serviceCIDR: "10.96.232.0/24"
network.podCIDR
Erforderlich
Unveränderlich
String
Kleinstmöglicher Bereich: /18
Größtmöglicher Bereich: /8
Vorausgefüllt: „192.168.0.0/16“
Standardwert: „192.168.0.0/16“
Ein Bereich von IP-Adressen im CIDR-Format, der für Pods in Ihrem Cluster verwendet werden soll.
Beispiel:
network: podCIDR: "192.168.0.0/16"
Der Dienstbereich darf sich nicht mit dem Pod-Bereich überschneiden.
Die Dienst- und Pod-Bereiche dürfen sich nicht mit einer Adresse außerhalb des Clusters überschneiden, die Sie von innerhalb des Clusters erreichen möchten.
Angenommen, der Dienstbereich lautet 10.96.232.0/24 und der Pod-Bereich lautet 192.168.0.0/16. Traffic, der von einem Pod an eine Adresse in einem dieser Bereiche gesendet wird, wird als clusterintern behandelt und erreicht kein Ziel außerhalb des Clusters.
Insbesondere dürfen sich die Bereiche für Dienste und Pods nicht überschneiden mit:
IP-Adressen von Knoten in einem beliebigen Cluster
Von Load-Balancer-Maschinen verwendete IP-Adressen
Von Knoten der Steuerungsebene und Load-Balancern verwendete VIPs
IP-Adresse von vCenter-Servern, DNS-Servern und NTP-Servern
Wir empfehlen, dass sich Ihre Dienst- und Pod-Bereiche im Adressbereich RFC 1918 befinden.
Dies ist ein Grund für die Empfehlung, RFC 1918-Adressen zu verwenden. Angenommen, Ihr Pod- oder Dienstbereich enthält externe IP-Adressen. Traffic von einem Pod an eine dieser externen Adressen wird als clusterinterner Traffic behandelt und erreicht das externe Ziel nicht.
network.vCenter.networkName
Erforderlich
Unveränderlich
String
Der Name des vSphere-Netzwerks für Ihre Clusterknoten.
Beispiel:
network: vCenter: networkName: "my-network"
Wenn der Name ein Sonderzeichen enthält, müssen Sie dafür eine Escapesequenz verwenden.
Sonderzeichen | Escapesequenz |
---|---|
Schrägstrich (/ ) |
%2f |
Umgekehrter Schrägstrich (\ ) |
%5c |
Prozentzeichen (% ) |
%25 |
Wenn der Netzwerkname in Ihrem Rechenzentrum nicht eindeutig ist, können Sie einen vollständigen Pfad angeben.
Beispiel:
network: vCenter: networkName: "/data-centers/data-center-1/network/my-network"
network.controlPlaneIPBlock
Erforderlich
network.controlPlaneIPBlock.netmask
Erforderlich
Unveränderlich
String
Die Netzmaske für das Netzwerk mit den Knoten der Steuerungsebene.
Beispiel:
network: controlPlaneIPBlock: netmask: "255.255.255.0"
network.controlPlaneIPBlock.gateway
Erforderlich
Unveränderlich
String
Die IP-Adresse des Standardgateways für die Knoten der Steuerungsebene.
Beispiel:
network: controlPlaneIPBlock: gateway: "172.16.22.1"
network.controlPlaneIPBlock.ips
Erforderlich
Unveränderlich
Array mit drei Objekten, von denen jedes eine IP-Adresse und einen optionalen Hostnamen hat.
Dies sind die IP-Adressen, die den Knoten der Steuerungsebene zugewiesen werden.
Beispiel:
network: controlPlaneIPBlock: ips: - ip: "172.16.22.6" hostname: "admin-cp-vm-1" - ip: "172.16.22.7" hostname: "admin-cp-vm-2" - ip: "172.16.22.8" hostname: "admin-cp-vm-3"
loadBalancer
Dieser Abschnitt enthält Informationen zum Load-Balancer für Ihren Administratorcluster.
loadBalancer.vips.controlPlaneVIP
Erforderlich
Unveränderlich
String
Die IP-Adresse, die Sie auf dem Load-Balancer für den Kubernetes API-Server des Administratorclusters konfiguriert haben.
Beispiel:
loadBalancer: vips: controlplaneVIP: "203.0.113.3"
loadBalancer.kind
Erforderlich
Unveränderlich
String
Vorausgefüllt: "MetalLB"
String. Legen Sie dafür "ManualLB"
, "F5BigIP"
oder "MetalLB"
fest
Beispiel:
loadBalancer: kind: "MetalLB"
loadBalancer.manualLB
Wenn Sie für loadbalancer.kind
den Wert "ManualLB"
festlegen, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.
Unveränderlich
loadBalancer.manualLB.ingressHTTPNodePort
Entfernen Sie dieses Feld aus Ihrer Konfigurationsdatei. Es wird in einem Administratorcluster nicht verwendet.
loadBalancer.manualLB.ingressHTTPSNodePort
Entfernen Sie dieses Feld aus Ihrer Konfigurationsdatei. Es wird in einem Administratorcluster nicht verwendet.
loadBalancer.manualLB.konnectivityServerNodePort
Entfernen Sie dieses Feld aus Ihrer Konfigurationsdatei. Es wird in einem Administratorcluster nicht verwendet.
loadBalancer.f5BigIP
Wenn Sie für loadbalancer.kind
den Wert "f5BigIP"
festlegen, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.
loadBalancer.f5BigIP.address
Erforderlich, wenn loadBalancer.kind
= "f5BigIp"
Unveränderlich
String
Die Adresse Ihres F5 BIG-IP-Load-Balancers. Beispiel:
loadBalancer: f5BigIP: address: "203.0.113.2"
loadBalancer.f5BigIP.credentials.fileRef.path
Erforderlich, wenn loadBalancer.kind
= "f5BigIp"
Veränderbar
String
Der Pfad einer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort eines Kontos enthält, mit dem GKE on VMware eine Verbindung zu Ihrem F5 BIG-IP-Load-Balancer herstellen kann.
Das Nutzerkonto muss eine Nutzerrolle mit ausreichenden Berechtigungen zum Einrichten und Verwalten des Load-Balancers haben. Die Rolle „Administrator“ oder „Ressourcenadministrator“ ist ausreichend.
Sie können dieses Feld mit gkectl update
in einem vorhandenen Cluster aktualisieren.
Informationen zum Aktualisieren von F5 BIG-IP-Anmeldedaten finden Sie unter Clusteranmeldedaten aktualisieren.
Beispiel:
loadBalancer: f5BigIP: credentials: fileRef: path: ""my-config-folder/admin-creds.yaml"
loadBalancer.f5BigIP.credentialsfileRef.entry
Erforderlich, wenn loadBalancer.kind
= "f5BigIp"
Veränderbar
String
Der Name des Anmeldedatenblocks in Ihrer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres F5 BIG-IP-Kontos enthält.
Sie können dieses Feld mit gkectl update
in einem vorhandenen Cluster aktualisieren.
Informationen zum Aktualisieren von F5 BIG-IP-Anmeldedaten finden Sie unter Clusteranmeldedaten aktualisieren.
Beispiel:
loadBalancer: f5BigIP: credentials: fileRef: entry: "f5-creds"
loadBalancer.f5BigIP.partition
Erforderlich, wenn loadBalancer.kind
= "f5BigIp"
Unveränderlich
String
Der Name einer BIG-IP-Partition, die Sie für Ihren Administratorcluster erstellt haben.
Beispiel:
loadBalancer: f5BigIP: partition: "my-f5-admin-partition"
loadBalancer.f5BigIP.snatPoolName
Optional
Relevant, wenn loadBalancer.kind
= "f5BigIp"
Unveränderlich
String
Wenn Sie SNAT verwenden, ist dies der Name Ihres SNAT-Pools. Wenn Sie SNAT nicht verwenden, entfernen Sie dieses Feld.
Beispiel:
loadBalancer: f5BigIP: snatPoolName: "my-snat-pool"
loadBalancer.seesaw
Verwenden Sie diesen Abschnitt nicht. Der Seesaw-Load-Balancer wird für neue Administratorcluster in Version 1.28 nicht unterstützt.
Seesaw wird weiterhin für Cluster unterstützt, die von 1.16 auf 1.28 aktualisiert wurden. Angenommen, Sie haben einen 1,16-Administratorcluster ohne Hochverfügbarkeit, der Seesaw verwendet. Nachdem Sie den Cluster auf 1,28 aktualisiert haben, können Sie weiterhin die Steuerungsebene ohne Hochverfügbarkeit und den Seesaw-Load-Balancer verwenden. Informationen zum Seesaw-Load-Balancer finden Sie in der Dokumentation zu Version 1.16:
antiAffinityGroups.enabled
Optional
Mutable
Boolesch
Vorausgefüllt: true
Legen Sie dafür true
fest, wenn das Erstellen von DRS-Regeln aktiviert werden soll. Andernfalls legen Sie false
fest.
Beispiel:
antiAffinityGroups: enabled: true
Wenn dieses Feld true
ist, erstellt GKE on VMware die VMware Distributed Resource Scheduler-Anti-Affinitätsregeln (DRS) für Ihre Administratorclusterknoten. Dadurch werden sie auf mindestens drei physische ESXi-Hosts in Ihrem Rechenzentrum verteilt.
Für diese Funktion muss die vSphere-Umgebung die folgenden Bedingungen erfüllen:
VMware DRS ist aktiviert. Für VMware DRS ist die vSphere Enterprise Plus-Lizenzversion erforderlich.
Ihr vSphere-Nutzerkonto hat die Berechtigung
Host.Inventory.Modify cluster
.Es sind mindestens vier ESXi-Hosts verfügbar.
Auch wenn gemäß dieser Regel die Clusterknoten auf drei ESXi-Hosts verteilt sind, empfehlen wir dringend, mindestens vier ESXi-Hosts verfügbar zu haben. Dies schützt Sie vor dem Verlust der Steuerungsebene des Administratorclusters. Angenommen, Sie haben nur drei ESXi-Hosts und der Knoten Ihres Administratorclusters für die Steuerungsebene befindet sich auf einem ausgefallenen ESXi-Host. Die DRS-Regel verhindert, dass der Knoten der Steuerungsebene auf einem der beiden verbleibenden ESXi-Hosts platziert wird.
Wenn Sie eine vSphere Standard-Lizenz haben, können Sie VMware DRS nicht aktivieren.
Wenn Sie DRS nicht aktiviert haben oder nicht mindestens vier Hosts haben, für die vSphere-VMs geplant werden können, legen Sie für antiAffinityGroups.enabled
den Wert false
fest.
adminMaster
Unveränderlich
Konfigurationseinstellungen für die Knoten der Steuerungsebene im Administratorcluster.
adminMaster.cpus
Vorschau
Optional
Unveränderlich
Ganzzahl
Vorausgefüllt: 4
Standard: 4
Die Anzahl der vCPUs für jeden Knoten der Steuerungsebene im Administratorcluster.
Beispiel:
adminMaster: cpus: 4
adminMaster.memoryMB
Vorschau
Optional
Unveränderlich
Ganzzahl
Vorausgefüllt: 16384
Standardwert: 16384
Die Anzahl von Mebibyte an Arbeitsspeicher für jeden Knoten der Steuerungsebene im Administratorcluster.
Beispiel:
adminMaster: memoryMB: 16384
adminMaster.replicas
Erforderlich für neue Cluster
Unveränderlich
Ganzzahl
Mögliche Werte: 3
Die Anzahl der Knoten der Steuerungsebene im Administratorcluster. Legen Sie beim Erstellen eines neuen Administratorclusters dieses Feld auf 3
fest, um einen Hochverfügbarkeits-Administratorcluster zu erstellen.
Beispiel:
adminMaster: replicas: 3
proxy
Wenn sich Ihr Netzwerk hinter einem Proxyserver befindet, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt oder lassen ihn auskommentiert. Der hier angegebene Proxyserver wird von den Nutzerclustern verwendet, die von diesem Administratorcluster verwaltet werden.
Unveränderlich
proxy.url
Erforderlich, wenn der Abschnitt „proxy
“ ausgefüllt ist.
Unveränderlich
String
Die HTTP-Adresse Ihres Proxyservers. Geben Sie die Portnummer an, auch wenn sie mit dem Standardport des Schemas identisch ist.
Beispiel:
proxy: url: "http://my-proxy.example.local:80"
Der hier angegebene Proxyserver wird von Ihren GKE on VMware-Clustern verwendet. Außerdem wird Ihre Administratorworkstation automatisch so konfiguriert, dass sie denselben Proxyserver verwendet, sofern Sie nicht die Umgebungsvariable HTTPS_PROXY
auf Ihrer Administratorworkstation festgelegt haben.
Wenn Sie proxy.url
angeben, müssen Sie auch proxy.noProxy
angeben.
Nachdem die Proxykonfiguration für den Administratorcluster festgelegt wurde, kann sie nicht mehr geändert oder gelöscht werden, es sei denn, der Cluster wird neu erstellt.
proxy.noProxy
Optional
Unveränderlich
String
Eine durch Kommas getrennte Liste mit IP-Adressen, IP-Adressbereichen, Hostnamen und Domainnamen, die nicht durch den Proxyserver geleitet werden sollen. Wenn GKE on VMware eine Anfrage an eine dieser Adressen, Hosts oder Domains sendet, wird die Anfrage direkt gesendet.
Beispiel:
proxy: noProxy: "10.151.222.0/24,my-host.example.local,10.151.2.1"
privateRegistry
Wenn Sie eine private Container Registry haben, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt oder lassen ihn auskommentiert.
privateRegistry.address
Erforderlich für private Registry
Unveränderlich
String
Die IP-Adresse oder der FQDN (Fully Qualified Domain Name) der Maschine, auf der Ihre private Registry ausgeführt wird.
Beispiele:
privateRegistry: address: "203.0.113.10"
privateRegistry: address: "fqdn.example.com"
privateRegistry.credentials.fileRef.path
Erforderlich für private Registry
Veränderlich
String
Der Pfad einer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort eines Kontos enthält, mit dem GKE on VMware auf Ihre private Registry zugreifen kann.
Beispiel:
privateRegistry: credentials: fileRef: path: "my-config-folder/admin-creds.yaml"
privateRegistry.credentials.fileRef.entry
Erforderlich für private Registry
Veränderlich
String
Der Name des Anmeldedatenblocks in Ihrer Konfigurationsdatei für Anmeldedaten, die den Nutzernamen und das Passwort Ihres privaten Registry-Kontos enthält.
privateRegistry: credentials: fileRef: entry: "private-registry-creds"
privateRegistry.caCertPath
Erforderlich für private Registry
Veränderlich
String
Wenn die Containerlaufzeit ein Image aus Ihrer privaten Registry abruft, muss die Registry ihre Identität durch Vorlage eines Zertifikats nachweisen. Das Zertifikat der Registry wird von einer Zertifizierungsstelle signiert. Die Containerlaufzeit verwendet das Zertifikat der Zertifizierungsstelle, um das Zertifikat der Registry zu validieren.
Legen Sie in diesem Feld den Pfad des Zertifikats der Zertifizierungsstelle fest.
Beispiel:
privateRegistry: caCertPath: "my-cert-folder/registry-ca.crt"
componentAccessServiceAccountKeyPath
Erforderlich
Mutable
String
Der Pfad der JSON-Schlüsseldatei für Ihr Dienstkonto für den Komponentenzugriff.
Beispiel:
componentAccessServiceAccountKeyPath: "my-key-folder/access-key.json"
gkeConnect
Erforderlich
Mutable
Wenn Sie den Abschnitt gkeConnect
ausfüllen, wird der Administratorcluster automatisch bei einer Flotte registriert, nachdem er erstellt wurde. Dieser Abschnitt enthält Informationen zum Google Cloud-Projekt und zum Dienstkonto für die Registrierung des Clusters.
Beim Erstellen oder Aktualisieren von Clustern werden auf dem Administratorcluster mehrere RBAC-Richtlinien konfiguriert. Diese RBAC-Richtlinien sind erforderlich, damit Sie Nutzercluster in der Google Cloud Console erstellen können.
gkeConnect.projectID
Erforderlich
Unveränderlich
String
Die ID Ihres Flotten-Hostprojekts.
Bei neuen Clustern muss diese Projekt-ID mit der in stackdriver.projectID
und cloudAuditLogging.projectID
festgelegten ID übereinstimmen. Wenn die Projekt-IDs nicht identisch sind, schlägt die Clustererstellung fehl. Diese Anforderung gilt nicht für vorhandene Cluster.
Beispiel:
gkeConnect: projectID: "my-fleet-host-project"
gkeConnect.location
Optional
Unveränderlich
String
Standardwert: global
Die Flottenmitgliedschaft jedes Clusters wird vom Flottendienst (gkehub.googleapis.com
) und dem Connect-Dienst (gkeconnect.googleapis.com
) verwaltet. Der Standort der Dienste kann global oder regional sein. In Version 1.28 und höher können Sie optional die Google Cloud-Region angeben, in der die Flotte und die Connect-Dienste ausgeführt werden. Wenn keine Angabe erfolgt, werden die globalen Instanzen der Dienste verwendet. Wichtige Hinweise:
Administratorcluster, die vor Version 1.28 erstellt wurden, werden von den globalen Flotten- und Connect-Diensten verwaltet.
Wenn Sie dieses Feld bei neuen Clustern angeben, muss die angegebene Region mit der in
cloudAuditLogging.clusterLocation
,stackdriver.clusterLocation
undgkeOnPremAPI.location
konfigurierten Region übereinstimmen. Wenn die Regionen nicht identisch sind, schlägt die Clustererstellung fehl.
Beispiel:
gkeConnect: location: "us-central1"
gkeConnect.registerServiceAccountKeyPath
Erforderlich
Mutable
String
Der Pfad der JSON-Schlüsseldatei für Ihr Connect-Register-Dienstkonto.
Beispiel:
gkeConnect: registerServiceAccountKeyPath: "my-key-folder/connect-register-key.json"
gkeOnPremAPI
Optional
Wenn in Version 1.16 und höher die GKE On-Prem API in Ihrem Google Cloud-Projekt aktiviert ist, werden alle Cluster im Projekt automatisch in der in stackdriver.clusterLocation
konfigurierten Region für die GKE On-Prem API registriert.
Wenn Sie alle Cluster im Projekt in der GKE On-Prem API registrieren möchten, führen Sie die Schritte unter Vorbereitung aus, um die GKE On-Prem API im Projekt zu aktivieren und zu verwenden.
Wenn Sie den Cluster nicht in der GKE On-Prem API registrieren möchten, fügen Sie diesen Abschnitt ein und legen Sie
gkeOnPremAPI.enabled
auffalse
fest. Wenn Sie keine Cluster im Projekt registrieren möchten, deaktivieren Siegkeonprem.googleapis.com
(den Dienstnamen für die GKE On-Prem API) im Projekt. Eine Anleitung dazu finden Sie unter Dienste deaktivieren.
Wenn Sie Ihren Administratorcluster in der GKE On-Prem API registrieren, können Sie Standardtools – die Google Cloud Console, die Google Cloud CLI oder Terraform – verwenden, um Nutzercluster zu aktualisieren, die vom Administratorcluster verwaltet werden. Wenn Sie den Cluster registrieren, können Sie auch gcloud
-Befehle ausführen, um Informationen zu Ihren Clustern abzurufen.
Nachdem Sie diesen Abschnitt hinzugefügt und den Administratorcluster erstellt oder aktualisiert haben, schlägt die Aktualisierung fehl, wenn Sie den Abschnitt anschließend entfernen und den Cluster aktualisieren.
gkeOnPremAPI.enabled
Erforderlich, wenn der Abschnitt gkeOnPremAPI
enthalten ist.
Mutable
Boolesch
Standardwert: true
Der Cluster wird standardmäßig in der GKE On-Prem API registriert, wenn die GKE On-Prem API in Ihrem Projekt aktiviert ist. Legen Sie false
fest, wenn Sie den Cluster nicht registrieren möchten.
Wenn Sie den Cluster in der GKE On-Prem API registriert haben und die Registrierung aufheben müssen, nehmen Sie die folgende Änderung vor und aktualisieren dann den Cluster:
gkeOnPremAPI: enabled: false
gkeOnPremAPI.location
Unveränderlich
String
Standardwert:stackdriver.clusterLocation
Die Google Cloud-Region, in der die GKE On-Prem API ausgeführt und Clustermetadaten speichert. Wählen Sie eine der unterstützten Regionen aus.
Sie müssen dieselbe Region verwenden, die in cloudAuditLogging.clusterLocation
, gkeConnect.location
und stackdriver.clusterLocation
konfiguriert ist. Wenn gkeOnPremAPI.enabled
den Wert false
hat, schließen Sie dieses Feld nicht ein.
stackdriver
Standardmäßig erforderlich
Anpassbar
Wenn Sie Cloud Logging und Cloud Monitoring für Ihren Cluster aktivieren möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt.
Dieser Bereich ist standardmäßig erforderlich. Wenn Sie diesen Abschnitt nicht einbeziehen, müssen Sie das Flag --skip-validation-stackdriver
angeben, wenn Sie gkectl create admin
ausführen.
Dieser Abschnitt ist im Administratorcluster erforderlich, wenn Sie den Lebenszyklus von Nutzerclustern mit GKE On-Prem API-Clients verwalten möchten.
stackdriver.projectID
Erforderlich für Logging und Monitoring
Unveränderlich
String
Die ID Ihres Flotten-Hostprojekts.
Bei neuen Clustern muss diese Projekt-ID mit der in gkeConnect.projectID
und cloudAuditLogging.projectID
festgelegten ID übereinstimmen. Wenn die Projekt-IDs nicht identisch sind, schlägt die Clustererstellung fehl. Diese Anforderung gilt nicht für vorhandene Cluster.
Bei Bedarf können Sie in diesem Projekt einen Logrouter so konfigurieren, dass Logs an Log-Buckets in einem anderen Projekt weitergeleitet werden. Informationen zum Konfigurieren des Logrouters finden Sie unter Unterstützte Ziele.
Beispiel:
stackdriver: projectID: "my-fleet-host-project"
stackdriver.clusterLocation
Erforderlich für Logging und Monitoring
Unveränderlich
String
Voreingestellt: "us-central1"
Die Google Cloud-Region, in der Sie Logs speichern möchten. Es empfiehlt sich, eine Region auszuwählen, die sich in der Nähe Ihres lokalen Rechenzentrums befindet.
Wenn Sie bei neuen Clustern die Abschnitte gkeOnPremAPI
und cloudAuditLogging
in die Konfigurationsdatei aufnehmen, muss die Region, die Sie hier festlegen, mit der Region übereinstimmen, die Sie in cloudAuditLogging.clusterLocation
, gkeConnect.location
und gkeOnPremAPI.location
festgelegt haben. Wenn die Regionen nicht identisch sind, schlägt die Clustererstellung fehl.
Beispiel:
stackdriver: clusterLocation: "us-central1"
stackdriver.enableVPC
Optional
Unveränderlich
Boolesch
Vorausgefüllt: false
Wenn das Netzwerk des Clusters von einer VPC gesteuert wird, legen Sie es auf true
fest.
So wird gewährleistet, dass alle Telemetriedaten über die eingeschränkten IP-Adressen von Google übertragen werden.
Andernfalls legen Sie false
fest.
Beispiel:
stackdriver: enableVPC: false
stackdriver.serviceAccountKeyPath
Erforderlich für Logging und Monitoring
Veränderbar
String
Der Pfad der JSON-Schlüsseldatei für Ihr Logging-Monitoring-Dienstkonto.
Informationen zum Aktualisieren dieses Felds in einem vorhandenen Cluster finden Sie unter Dienstkontoschlüssel rotieren.
Beispiel:
stackdriver: serviceAccountKeyPath: "my-key-folder/log-mon-key.json"
stackdriver.disableVsphereResourceMetrics
Optional
Anpassbar
Relevant für Logging und Monitoring
Boolesch
Vorausgefüllt: falsch
Standardwert: false
Setzen Sie diesen Wert auf true
, um die Erfassung von Messwerten aus vSphere zu deaktivieren.
Setzen Sie ihn andernfalls auf false
.
Dieser Abschnitt ist im Administratorcluster erforderlich, wenn Sie den Lebenszyklus von Nutzerclustern in der Google Cloud Console verwalten möchten.
Beispiel:
stackdriver: disableVsphereResourceMetrics: true
cloudAuditLogging
Wenn Sie die Audit-Logs vom Kubernetes API-Server des Clusters in Cloud-Audit-Logs einbinden möchten, füllen Sie diesen Abschnitt aus. Andernfalls entfernen Sie diesen Abschnitt oder lassen ihn auskommentiert.
Anpassbar
Dieser Abschnitt ist im Administratorcluster erforderlich, wenn Sie den Lebenszyklus von Nutzerclustern bei Verwendung von GKE On-Prem API-Clients verwalten möchten.
cloudAuditLogging.projectID
Erforderlich für Cloud-Audit-Logs
Unveränderlich
String
Die ID Ihres Flotten-Hostprojekts.
Bei neuen Clustern muss diese Projekt-ID mit der in gkeConnect.projecID
und stackdriver.projectID
festgelegten ID übereinstimmen. Wenn die Projekt-IDs nicht identisch sind, schlägt die Clustererstellung fehl. Diese Anforderung gilt nicht für vorhandene Cluster.
Bei Bedarf können Sie in diesem Projekt einen Logrouter so konfigurieren, dass Logs an Log-Buckets in einem anderen Projekt weitergeleitet werden. Informationen zum Konfigurieren des Logrouters finden Sie unter Unterstützte Ziele.
Beispiel:
cloudAuditLogging: projectID: "my-fleet-host-project"
cloudAuditLogging.clusterLocation
Erforderlich für Cloud-Audit-Logs
Unveränderlich
String
Die Google Cloud-Region, in der Sie Audit-Logs speichern möchten. Es empfiehlt sich, eine Region auszuwählen, die sich in der Nähe Ihres lokalen Rechenzentrums befindet.
Wenn Sie bei neuen Clustern die Abschnitte gkeOnPremAPI
und stackdriver
in die Konfigurationsdatei aufnehmen, muss die Region, die Sie hier festlegen, mit der Region übereinstimmen, die Sie in gkeConnect.location
, gkeOnPremAPI.location
und stackdriver.clusterLocation
festgelegt haben. Wenn die Regionen nicht identisch sind, schlägt die Clustererstellung fehl.
Beispiel:
cloudAuditLogging: clusterLocation: "us-central1"
cloudAuditLogging.serviceAccountKeyPath
Erforderlich für Cloud-Audit-Logs
Veränderlich
String
Der Pfad der JSON-Schlüsseldatei für Ihr Audit-Logging-Dienstkonto.
Informationen zum Aktualisieren dieses Felds in einem vorhandenen Cluster finden Sie unter Dienstkontoschlüssel rotieren.
Beispiel:
cloudAuditLogging: serviceAccountKeyPath: "my-key-folder/audit-log-key.json"
clusterBackup.datastore
Vorschau
Optional
Anpassbar
String
Wenn Sie die Sicherung des Administratorclusters aktivieren möchten, legen Sie diesen auf den vSphere-Datenspeicher fest, in dem Sie Clustersicherungen speichern möchten.
Beispiel:
clusterBackup: datastore: "my-datastore"
autoRepair.enabled
Optional
Mutable
Boolesch
Vorausgefüllt: true
Legen Sie für diesen Wert true
fest, um die automatische Knotenreparatur zu aktivieren.
Andernfalls legen Sie false
fest.
Zum Aktualisieren des Werts dieses Felds verwenden Sie gkectl update admin
.
Beispiel:
autoRepair: enabled: true
secretsEncryption
Wenn Sie Secrets verschlüsseln möchten, ohne dass ein externer KMS (Key Management Service) oder andere Abhängigkeiten erforderlich sind, füllen Sie diesen Abschnitt aus.
Andernfalls entfernen Sie diesen Abschnitt oder lassen ihn auskommentiert.
Unveränderlich
secretsEncryption.mode
Erforderlich für die Verschlüsselung von Secrets
Unveränderlich
String
Möglicher Wert: "GeneratedKey"
Vorausgefüllt: "GeneratedKey"
Der Secret-Verschlüsselungsmodus.
secretsEncryption: mode: "GeneratedKey"
secretsEncryption.generatedKey.keyVersion
Erforderlich für die Verschlüsselung von Secrets
Veränderbar
Ganzzahl
Vorausgefüllt: 1
Eine Ganzzahl Ihrer Wahl für die Schlüsselversionsnummer. Wir empfehlen, mit 1
zu beginnen.
Beispiel:
secretsEncryption: generatedKey: keyVersion: 1
secretsEncryption.generatedKey.disabled
Optional für die Verschlüsselung von Secrets
Veränderbar
Boolesch
Vorausgefüllt: Falsch
Legen Sie hier true
fest, um die Secret-Verschlüsselung zu deaktivieren. Setzen Sie es andernfalls auf false
.
Beispiel:
secretsEncryption: generatedKey: disabled: false
osImageType
Optional
Mutable
String
Mögliche Werte: "Ubuntu_containerd", "cos", "Ubuntu_cgv2", "cos_cgv2"
Vorausgefüllt: ""
Standardwert: "Ubuntu_containerd"
Der Typ des Betriebssystem-Images, das auf den Knoten Ihres Administratorclusters ausgeführt werden soll.
Wenn Sie ubuntu_cgv2
oder cos_cgv2
angeben, müssen Sie gkectl prepare --extra-os-image-types=cgroupv2
ausführen, bevor Sie den Cluster erstellen/aktualisieren.
Beispiel:
osImageType: "cos"