关联 EKS 集群

概览

关联集群是指向Google Cloud 舰队管理注册集群，并在该集群上安装 GKE 关联集群软件，从而将该集群连接到 Google Cloud 。

您可以使用 gcloud CLI 或 Terraform 关联集群。如需了解如何使用 Terraform 创建和关联 EKS 集群，请查看 GKE 关联集群的示例 GitHub 代码库。

本页面适用于想要设置、监控和管理云基础设施的 IT 管理员和运维人员。如需详细了解我们在 Google Cloud 内容中提及的常见角色和示例任务，请参阅常见的 GKE 用户角色和任务。

如需使用 gcloud 关联 EKS 集群，请执行以下步骤。

前提条件

确保集群符合集群要求。

关联集群时，必须指定以下内容：

• 受支持的 Google Cloud 管理区域，以及
• 一个平台版本。

管理区域是要从其中管理所关联集群的 Google Cloud 区域。您可以选择任何受支持的区域，但最好是选择地理上离您的集群最近的区域。管理区域中不会存储任何用户数据。

平台版本是要在集群上安装的 GKE 关联集群的版本。您可以通过运行以下命令列出所有支持的版本：

gcloud container attached get-server-config  \
  --location=GOOGLE_CLOUD_REGION

将 GOOGLE_CLOUD_REGION 替换为要从中管理集群的Google Cloud 位置的名称。

平台版本编号

这些文档将 GKE 关联集群的版本称为平台版本，以与 Kubernetes 版本区分开来。GKE 关联集群使用与 GKE 相同的版本编号惯例，例如 1.21.5-gke.1。关联或更新集群时，您必须选择次要版本与集群的 Kubernetes 版本相同或低一个版本的平台版本。例如，您可以将运行 Kubernetes v1.22.* 的集群与 GKE 关联集群平台版本 1.21.* 或 1.22.* 相关联。

这样，您就可以在升级 GKE 关联集群之前先将集群升级到下一个次要版本。

关联 EKS 集群

如需将 EKS 集群关联到 Google Cloud舰队管理，请执行以下步骤：

1. 确保您的 kubeconfig 文件包含要附加的集群的条目：

   aws eks update-kubeconfig --region AWS_REGION \
     --name EKS_CLUSTER_NAME
   

2. 使用以下命令检索 OIDC 颁发者网址：

   aws eks describe-cluster \
     --region AWS_REGION \
     --name EKS_CLUSTER_NAME \
     --query "cluster.identity.oidc.issuer" \
     --output text
   

   此命令的输出是您的 OIDC 颁发者的网址。保存此值以便稍后使用。

3. 运行以下命令以提取集群的 kubeconfig 上下文并将其存储在 KUBECONFIG_CONTEXT 环境变量中：

   KUBECONFIG_CONTEXT=$(kubectl config current-context)
   

4. 使用 gcloud container attached clusters register 命令注册集群：

   gcloud container attached clusters register CLUSTER_NAME \
     --location=GOOGLE_CLOUD_REGION \
     --fleet-project=PROJECT_NUMBER \
     --platform-version=PLATFORM_VERSION \
     --distribution=eks \
     --issuer-url=ISSUER_URL \
     --context=KUBECONFIG_CONTEXT \
     --kubeconfig=KUBECONFIG_PATH
   

   您需要进行如下替换：

• AWS_REGION：您的 EKS 集群所在的 AWS 区域
• CLUSTER_NAME：您的集群的名称。此名称可以与您在前面步骤中使用的 EKS_CLUSTER_NAME 相同。CLUSTER_NAME 必须符合 RFC 1123 标签名称标准。
• GOOGLE_CLOUD_REGION：用于管理集群的 Google Cloud 区域
• PLATFORM_VERSION：要用于集群的 GKE 关联集群版本
• PROJECT_NUMBER：将在其中注册集群的舰队宿主项目
• ISSUER_URL：在上文检索到的颁发者网址
• KUBECONFIG_CONTEXT：在上文提取的 kubeconfig 中用于访问集群的上下文

• KUBECONFIG_PATH：kubeconfig 的路径

向 Cloud Logging/Cloud Monitoring 授权

为了使 GKE 关联集群能够创建系统日志和指标并将其上传到Google Cloud，您必须向其授权。

如需授权 Kubernetes 工作负载身份 gke-system/gke-telemetry-agent 将日志写入 Google Cloud Logging，并将指标写入 Google Cloud Monitoring，请运行以下命令：

gcloud projects add-iam-policy-binding GOOGLE_PROJECT_ID \
  --member="serviceAccount:GOOGLE_PROJECT_ID.svc.id.goog[gke-system/gke-telemetry-agent]" \
  --role=roles/gkemulticloud.telemetryWriter

将 GOOGLE_PROJECT_ID 替换为集群的 Google Cloud 项目 ID。

此 IAM 绑定授予 Google Cloud 项目中所有集群上传日志和指标的访问权限。您只需在为项目创建第一个集群后运行此命令。

除非您的 Google Cloud 项目中至少创建了一个集群，否则添加此 IAM 绑定将失败。这是因为，其引用的工作负载身份池 (GOOGLE_PROJECT_ID.svc.id.goog) 不会在创建集群之前进行预配。