Esecuzione dei controlli preflight

Questo documento fornisce informazioni sui controlli preflight che vengono eseguiti quando crei o esegui l'upgrade di un cluster in Google Distributed Cloud (solo software) per VMware.

Esamina le regole del firewall

Nella versione 1.29 e successive, i controlli preflight lato server sono abilitati per impostazione predefinita quando crei, aggiorni e esegui l'upgrade dei cluster. I controlli preliminari lato server richiedono regole firewall aggiuntive. In Regole firewall per i cluster di amministrazione, cerca "Controlli preliminari" e assicurati che tutte le regole firewall richieste siano configurate.

Esecuzione di gkectl check-config

Se prevedi di creare cluster utilizzando gkectl, esegui gkectl create-config per generare un file di configurazione. Il file di configurazione gestisce l'installazione: fornisci informazioni sul tuo ambiente vSphere, sulla tua rete e sul bilanciatore di carica e su come vuoi che siano i tuoi cluster. Puoi generare un file di configurazione prima o dopo aver creato una workstation amministrativa. Affinché alcuni controlli vengano superati, devono essere eseguiti dalla workstation di amministrazione.

Dopo aver modificato il file in base alle esigenze del tuo ambiente e dei tuoi cluster, utilizzalo per creare i cluster nel tuo ambiente on-premise.

Prima di creare cluster utilizzando gkectl, esegui gkectl check-config per convalidare il file di configurazione con diversi controlli preflight. Se il comando restituisce messaggi FAILURE, correggi i problemi e convalida di nuovo il file. Se la convalida di una determinata funzionalità restituisce messaggi di avviso, devi risolvere i problemi sottostanti prima di poter utilizzare la funzionalità.

.

Modalità di controllo preliminare e convalide ignorate

gkectl check-config ha una modalità predefinita e una veloce:

  • In modalità predefinita, il comando convalida in modo completo ogni campo. Inoltre, la modalità predefinita crea macchine virtuali (VM) vSphere temporanee nell'ambito delle sue convalide, il che può richiedere più tempo.

  • In modalità rapida, il comando salta i controlli che creano VM di test ed esegue solo i controlli rapidi. Attiva la modalità veloce passando il flag --fast.

Puoi saltare convalide specifiche passando altri flag, descritti in gkectl check-config --help.

Traffico tra la workstation di amministrazione e le VM di test

In modalità predefinita, il controllo preflight crea VM di test per il cluster. Ogni VM di test esegue un server HTTP in ascolto sulla porta 443 e sulle porte dei nodi specificate nel file di configurazione.

Alle VM di test vengono assegnati diversi indirizzi IP. Se il file di configurazione indica che i nodi del cluster riceveranno i propri indirizzi IP da un server DHCP, il controllo preliminare utilizza un server DHCP per assegnare gli indirizzi IP alle VM di test. Se il file di configurazione indica che ai nodi del cluster verranno assegnati indirizzi IP statici, il controllo preliminare assegna agli indirizzi IP statici specificati nei file di blocco IP le VM di test.

Il controllo preliminare, in esecuzione sulla workstation di amministrazione, invia richieste HTTP alle VM di test utilizzando i vari indirizzi IP assegnati alle VM. Le richieste vengono inviate alla porta 443 e alle porte dei nodi specificate nel file di configurazione.

Quando devo eseguire i controlli preliminari?

È buona norma eseguire i controlli preflight in anticipo e prima di tentare di creare i cluster. Eseguire i controlli preflight in anticipo può aiutarti a verificare di aver configurato correttamente l'ambiente vSphere e la rete.

Se utilizzi la versione 1.2.0-gke.6, esegui gkectl check-config due volte:

  1. Esegui gkectl check-config --fast.

  2. Esegui gkectl prepare.

  3. Esegui di nuovo gkectl check-config, senza il flag --fast.

Il motivo per cui viene eseguito due volte è che gkectl prepare carica il modello VM per l'immagine del sistema operativo del nodo del cluster nel tuo ambiente vSphere. Il modello VM deve essere attivo prima di eseguire l'intero set di convalide.

Nella versione 1.2.1 e successive, il comando check-config carica il modello VM, quindi puoi eseguire l'intero set di convalide prima di eseguire gkectl prepare:

  1. Esegui gkectl check-config senza il flag --fast.

  2. Esegui gkectl prepare.

I controlli preliminari convalidano i valori che hai fornito al file. Non è necessario compilare ogni campo del file di configurazione per eseguire i controlli preliminari sul file. Puoi convalidare il file in modo iterativo man mano che compili i relativi campi. Ad esempio, se vuoi convalidare solo la configurazione di vCenter, puoi compilare solo i campi vcenter ed eseguire i controlli in base a questi.

Tieni presente che la configurazione diventa immutabile dopo aver creato i cluster. L'esecuzione dei controlli preflight ti aiuta a scoprire e risolvere i problemi nella configurazione prima di creare i cluster.

Preservare la VM di test per il debug

A partire dalla versione 1.2.1, il comando gkectl check-config ha un flag --cleanup.

Quando gkectl check-config esegue un set completo di convalide, crea una VM di test e una chiave SSH associata. Se vuoi conservare la VM di test e la chiave SSH a scopo di debug, imposta --cleanup su false.

Il valore predefinito di --cleanup è true.

Elenco dei controlli preflight

I controlli preflight convalidano ogni campo del file di configurazione. Ecco i controlli attuali:

Categoria Descrizione
File di configurazione

In genere convalida che ogni campo e specifica abbia il formato e i valori previsti.

Saltato con --skip-validation-config flag.

Salta la convalida del campo proxy con il flag --skip-validation-proxy.
Internet

Convalida l'accesso a internet ai domini richiesti. Convalida la configurazione del proxy in base a dove esegui gkectl.

Saltato con il flag --skip-validation-internet.
Immagine sistema operativo

Verifica l'esistenza delle immagini del sistema operativo.

Saltato con il flag --skip-validation-os-images.
Versione del sistema operativo Windows

Convalida la versione del sistema operativo Windows.

Verifica che la versione di Windows sia supportata durante la creazione di stazioni di lavoro amministrative con lo strumento a riga di comando gkeadm. Tieni presente che, sebbene lo strumento gkeadm sia disponibile per Windows 10, Windows Server 2019 e Linux, non è previsto alcun controllo preliminare per Linux. Questa convalida inizia dalla versione release 1.4.1.

Versione cluster

Verifica che la versione del cluster di amministrazione, la versione del cluster utente e la versione di gkectl corrispondano per la creazione e l'upgrade.

Saltato con il flag --skip-validation-cluster-version.
Integrità del cluster

Verifica che il cluster di amministrazione o utente sia integro prima dell'upgrade:

  • Cluster di amministrazione: il controllo include il servizio Kubernetes, lo stato dei componenti, i DaemonSet, i deployment, le macchine e i pod.
  • Cluster utente: il controllo include il servizio Kubernetes, gli endpoint API del cluster, StatefulSet, i deployment, i deployment delle macchine, le macchine e i pod.

Saltato con il flag --skip-validation-cluster-health.
In entrata Controlla se il cluster utente ha un oggetto Istio Gateway prima dell'upgrade.
IP riservato

Verifica che siano disponibili indirizzi IP sufficienti per la creazione e l'upgrade.

Saltato con il flag --skip-validation-reserved-ips.
Google Cloud
ID progetto
[*].projectid
 Convalida gli ID progetto forniti a vari campi nella configurazione. Se l'ID progetto non è presente, la convalida viene saltata.
Registra l'account di servizio
registerserviceaccountkeypath
 Verifica che l'account di servizio disponga dei ruoli IAM richiesti. Verifica che le API richieste siano abilitate.
Connetti account di servizio
agentserviceaccountkeypath
 Verifica che l'account di servizio disponga dei ruoli IAM richiesti. Verifica che le API richieste siano abilitate.
Account di servizio Google Cloud Observability
stackdriver.serviceaccountkeypath
 Verifica che l'account di servizio disponga dei ruoli IAM richiesti. Verifica che le API richieste siano abilitate.
Saltato con il flag --skip-validation-gcp.
Accedi a gcr.io/gke-on-prem-release Convalida l'accesso al registry delle immagini container ospitato in Container Registry.

Saltato dal flag --skip-validation-docker.
Registro Docker
privateregistryconfig
Se configurato, convalida l'accesso al registry Docker.

Saltato con il flag --skip-validation-docker.
vCenter Verifica che tutti i campi vcenter siano presenti e controlla inoltre quanto segue:
Credenziali
vcenter.credentials.[*]
 Convalida l'autenticazione a vCenter Server utilizzando le credenziali utente fornite.
Versione vSphere Verifica che le versioni di vCenter ed ESXi siano supportate.
Data center
vcenter.datacenter
 Convalida l'esistenza del data center vSphere.
Datastore
vcenter.datastore
 Convalida l'esistenza del datastore vSphere.
Disco dati
vcenter.datadisk
 Verifica che il disco della macchina virtuale vSphere (VMDK) non esista già in vSphere.
Pool di risorse
vcenter.resourcepool
 Convalida l'esistenza del pool di risorse vSphere.
Rete
vcenter.network
 Verifica l'esistenza della rete vSphere.

Saltato con il flag --skip-validation-infra.
Archiviazione
Driver CSI vSphere Verifica che il driver CSI vSphere sia abilitato se esistono volumi intree o CSI vSphere PersistentVolumes. In altre parole, nel file di configurazione del cluster utente, storage.vSphereCSIDisabled non è impostato su true.
Parametri StorageClass

Verifica che la classe di archiviazione non contenga nessuno dei seguenti parametri non supportati:

  • hostfailurestotolerate
  • forceprovisioning
  • cachereservation
  • diskstripes
  • objectspacereservation
  • iopslimit
  • diskformat

Se il tuo cluster ha StorageClasses con uno dei parametri precedenti, potrebbe essere necessario eseguire la migrazione dei volumi.

Per ulteriori informazioni, consulta Considerazioni per la migrazione dei volumi vSphere in-tree e la sezione relativa ai problemi noti sugli upgrade nella versione 1.15.

Annotazioni in PersistentVolume e PersistentVolumeClaim in-tree di vSphere creati in modo statico

Prima dell'upgrade, vengono controllate le annotazioni nei PersistentVolume in-tree di vSphere e nei PersistentVolumeClaim di vSphere:

  • I volumi permanenti in-tree di vSphere creati in modo statico hanno l'annotazione pv.kubernetes.io/provisioned-by: kubernetes.io/vsphere-volume
  • Le richieste di volumi permanenti vSphere create in modo statico hanno l'annotazione volume.beta.kubernetes.io/storage-provisioner: kubernetes.io/vsphere-volume e volume.kubernetes.io/storage-provisioner: kubernetes.io/vsphere-volume

Se il tuo cluster ha volumi permanenti in-tree o richieste di volumi permanenti vSphere senza queste annotazioni, devi annotare i volumi permanenti e le richieste di volumi permanenti prima di continuare. Consulta Considerazioni per la migrazione dei volumi vSphere in-tree.

Workload CSI

Verifica che il cluster possa eseguire correttamente un carico di lavoro che utilizza un volume persistente eseguito il provisioning dinamicamente creato tramite il driver CSI vSphere.

Questi controlli vengono eseguiti durante l'upgrade e solo se sono presenti volumi vSphere in-tree e nessun volume CSI vSphere.

Questo controllo:

  1. Verifica che non siano presenti risorse inutilizzate dalle esecuzioni precedenti della convalida.
  2. Trova o crea una classe di archiviazione con il campo del provisioner impostato su "csi.vsphere.vmware.com".
    1. Nei cluster utente seleziona StorageClass CSI standard-rwo.
    2. Nei cluster di amministrazione trova una StorageClass con il campo del provisioner impostato su csi.vsphere.vmware.com. Se non esiste un StorageClass di questo tipo nel cluster, il test crea temporaneamente un nuovo StorageClass CSI e lo utilizza nel controllo.
  3. Crea un PersistentVolumeClaim nel namespace predefinito utilizzando lo StorageClass trovato o creato nel passaggio precedente e attende che il PersistentVolume creato dinamicamente sia nella fase Bound.
  4. Crea un job di scrittura nello spazio dei nomi predefinito che monta il volume permanente creato sopra. Un pod di scrittura viene pianificato e all'avvio scrive una stringa in un file nel file system montato.
  5. Abbatte il job del writer e il relativo pod associato.
  6. Crea un job di lettura nello spazio dei nomi predefinito montando il PersistentVolume creato sopra. Un pod del lettore viene pianificato e all'avvio legge il file scritto dal pod del writer assicurandosi che i dati scritti dal pod del writer vengano letti correttamente.
  7. Abbatte il job del lettore e il relativo pod associato.
  8. Abbatte il PersistentVolumeClaim, di conseguenza viene eliminato anche il volume permanente.
  9. Abbatte la classe di archiviazione se è stata creata durante il test.
Host per i gruppi anti-affinità

Verifica che il numero di host vCenter fisici sia almeno di tre se antiAffinityGroups è abilitato.

Per disattivare antiAffinityGroups per un cluster, consulta antiAffinityGroups.enabled e questa nota di rilascio.

Saltato con il flag --skip-validation-infra.
Bilanciatore del carico

Convalida la configurazione del bilanciamento del carico:

  • Se la modalità di bilanciamento del carico è integrata (lbmode: Integrated), verifica che tutti i campi bigip siano presenti nelle specifiche admincluster e usercluster.
  • Se la modalità di bilanciamento del carico è manuale (lbmode: Manual), verifica che tutti i campi manuallbspec siano presenti nelle specifiche admincluster e usercluster.
Bilanciamento del carico integrato
bigip.credentials.[*] Convalida le credenziali F5 BIG-IP.
bigip.partition Convalida l'esistenza della partizione fornita.
Ruolo utente F5 BIG-IP Verifica che l'utente F5 BIG-IP fornito abbia il ruolo di Amministratore o Amministratore delle risorse.
bigip.vips.[*] Convalida i VIP forniti.

Saltati con i flag --fast o --skip-validation-load-balancer.
Bilanciamento del carico manuale
Configurazione della rete Convalida VIP, IP dei nodi e così via.

Saltati con i flag --fast o --skip-validation-load-balancer.
[*].manuallbspec.[*] Convalida le porte del nodo fornite.
Saltato con il flag --skip-validation-load-balancer.
Networking

Verifica che gli intervalli CIDR, i VIP e gli IP statici (se configurati) forniti siano disponibili. Verifica che gli indirizzi IP non si sovrappongano.

Saltato con il flag --skip-validation-net-config.
DNS

Verifica che il server DNS fornito sia disponibile.

Saltato con il flag --skip-validation-dns.
NTP

Verifica che il server NTP (Network Time Protocol) fornito sia disponibile.

Saltato con il flag --skip-validation-tod.
VIP

Invia un ping ai VIP forniti. Questo controllo è riuscito se il ping non va a buon fine, indicando che il VIP previsto non è già stato utilizzato.

Saltato con il flag --skip-validation-vips.
IP dei nodi

Invia un ping agli indirizzi IP del nodo forniti. Questo controllo è superato se il ping non va a buon fine, il che indica che l'indirizzo IP del nodo previsto non è già in uso.

Saltato con il flag --skip-validation-node-ips.

Risultati del controllo preliminare

I controlli preflight possono restituire i seguenti risultati:

SUCCESS
Il campo e il relativo valore hanno superato il controllo.
FAILURE
Il campo e/o il relativo valore non hanno superato il controllo. Se un controllo restituisce un messaggio FAILURE, correggi i problemi e convalida di nuovo il file.
IGNORATO

Il controllo è stato ignorato, probabilmente perché non è pertinente alla tua configurazione. Ad esempio, se utilizzi un server DHCP, i controlli per i DNS e gli indirizzi IP dei nodi, pertinenti solo per una configurazione IP statica, vengono ignorati.

Se passi un flag che salta una convalida, il controllo saltato non restituisce un risultato SKIPPED; la convalida non viene eseguita e non viene visualizzata nell'output del comando.

SCONOSCIUTO

L'operazione di salto ha restituito un codice diverso da zero. Puoi considerare i risultati UNKNOWN come controlli non riusciti. In genere, UNKNOWN indica che il controllo non è riuscito a eseguire un pacchetto di sistema, ad esempio non è riuscito a eseguire nslookup o gcloud.

Disponibile a breve

I seguenti controlli preflight verranno aggiunti in una release futura:

  • Server NTP

Esecuzione dei controlli preflight

Esegui i controlli preflight eseguendo il seguente comando:

gkectl check-config --config [CONFIG]

dove [CONFIG] è il percorso del file di configurazione

Esecuzione in modalità veloce

Se preferisci, puoi eseguire i controlli preflight in "modalità rapida", che salta le convalide che creano VM di test temporanee, ad esempio le convalide dell'IP del bilanciatore del carico e dell'IP del nodo. Per farlo, passa --fast:

gkectl check-config --config [CONFIG] --fast

Ignorare convalide specifiche

Puoi passare flag per saltare in modo granulare convalide specifiche, ad esempio DNS, proxy e reti. Ogni indicatore di salto è preceduto da --skip-[VALIDATION].

Per informazioni sui flag di ignoramento disponibili, esegui il seguente comando:

gkectl check-config --help

Ad esempio, per saltare le convalide del bilanciatore del carico:

gkectl check-config --config my-config.yaml --skip-validation-load-balancer

Annullamento dei controlli preflight

Se hai iniziato a eseguire i controlli preflight e vuoi annullare, premi CTRL + C due volte. Se un controllo preliminare ha creato una VM di test, l'annullamento dovrebbe anche ripulire automaticamente la VM.

Pulizia di una VM di test

Se al termine dei controlli preliminari rimane una VM di test, puoi eliminarla da vCenter. Una VM di test ha un nome simile al seguente:

check-config-[dhcp|static]-[random number]

Per eliminare la VM:

  1. Fai clic con il tasto destro del mouse sulla VM e poi su Accensione > Spegni.

  2. Dopo aver spento la VM, fai di nuovo clic con il tasto destro del mouse sulla VM e poi su Elimina dal disco.

Esempio

Di seguito è riportato un esempio dell'output del comando. In questo esempio, la configurazione in fase di convalida utilizza la modalità di bilanciamento del carico integrata e indirizzi IP statici senza un registry Docker esterno:

- Validation Category: Config Check
    - [SUCCESS] Config

- Validation Category: Internet Access
    - [SUCCESS] Internet access to required domains

- Validation Category: GCP
    - [SUCCESS] GCP Service
    - [SUCCESS] GCP Service Account

- Validation Category: Docker Registry
    - [SUCCESS] gcr.io/gke-on-prem-release access

- Validation Category: vCenter
    - [SUCCESS] Credentials
    - [SUCCESS] Version
    - [SUCCESS] Datacenter
    - [SUCCESS] Datastore
    - [SUCCESS] Data Disk
    - [SUCCESS] Resource Pool
    - [SUCCESS] Network
    - [SUCCESS] VSphere CSI Driver

- Validation Category: F5 BIG-IP
    - [SUCCESS] Admin Cluster F5 (credentials, partition and user role)
    - [SUCCESS] User Cluster F5 (credentials, partition and user role)

- Validation Category: Network Configuration
    - [SUCCESS] CIDR, VIP and static IP (availability and overlapping)

- Validation Category: DNS
    - [SUCCESS] DNS (availability)

- Validation Category: VIPs
    - [SUCCESS] ping (availability)

- Validation Category: Node IPs
    - [SUCCESS] ping (availability)

Now running slow validation checks. ...

Reusing VM template "gke-on-prem-osimage-xxx" that already exists in vSphere.
Creating test VMs with admin cluster configuration...  DONE
Waiting to get IP addresses from test VMs...  DONE
Waiting for test VMs to become ready...  DONE

Reusing VM template "gke-on-prem-osimage-xxx" that already exists in vSphere.
Creating test VMs with user cluster configuration...  DONE
Waiting to get IP addresses from test VMs...  DONE
Waiting for test VMs to become ready...  DONE

- Validation Category: F5 BIG-IP
    - [SUCCESS] Admin Cluster VIP and NodeIP
    - [SUCCESS] Admin Cluster F5 Access
    - [SUCCESS] User Cluster VIP and NodeIP
    - [SUCCESS] User Cluster F5 Access

- Validation Category: Internet Access
    - [SUCCESS] Internet access to required domains

- Validation Category: vCenter on test VMs
    - [SUCCESS] Test VM: VCenter Access and Permission

- Validation Category: DNS on test VMs
    - [SUCCESS] Test VM: DNS Availability

- Validation Category: TOD on test VMs
    - [SUCCESS] Test VM: TOD Availability

- Validation Category: Docker Registry
    - [SUCCESS] gcr.io/gke-on-prem-release access

Deleting test VMs with admin cluster configuration...  DONE
Deleting test VMs with user cluster configuration...  DONE

Problemi noti

  • Per la versione 1.3.0-gke.16:

    Devi eseguire controlli di convalida rapidi, gkectl check-config --fast, per i controlli preflight se si applicano entrambe le seguenti condizioni:

    1. Hai configurato Google Distributed Cloud per utilizzare un proxy.

    2. Hai installato uno dei seguenti bundle:

      • Il /var/lib/gke/bundles/gke-onprem-vsphere-1.3.0-gke.16.tgz bundle dalla pagina Download.
      • Il bundle /var/lib/gke/bundles/gke-onprem-vsphere-1.3.0-gke.16.tgz dalla workstation di amministrazione.

    Puoi eseguire l'intero set di convalida solo se hai installato il bundle completo. Ad esempio: /var/lib/gke/bundles/gke-onprem-vsphere-1.3.0-gke.16-full.tgz

  • Per la versione 1.2.0-gke.6:

    Se utilizzi pool di risorse nidificati o il pool di risorse predefinito, gkectl check-config non va a buon fine quando provi a eseguire un insieme completo di convalide. Tuttavia, puoi eseguire un numero inferiore di convalide passando il flag --fast.

    gkectl check-config --config [CONFIG] --fast

Passaggi successivi