Requisitos previos

En esta página, se describen los pasos que debes completar antes de instalar GKE en AWS.

Entorno

Para instalar GKE en AWS, necesitas un entorno en el que puedas instalar y ejecutar una variedad de herramientas. En los siguientes pasos, se supone que usas un shell Bash en Linux o macOS. Si no tienes acceso a un entorno de shell Bash, puedes usar Cloud Shell.

Requisitos de AWS

Para completar este tema, necesitas una cuenta de AWS con acceso a la línea de comandos y dos claves del servicio de administración de claves (KMS) de AWS en la misma región que tus clústeres de usuario.

Para obtener más información sobre otros recursos necesarios de AWS, consulta Requisitos.

Configurar AWS

Antes de comenzar

Antes de completar esta sección, haz lo siguiente:

  • Descarga y, luego, instala la CLI de AWS. Para confirmar la instalación, ejecuta aws --version. Si no se encuentra el ejecutable, agrega la herramienta aws a PATH.
  • Configura tus credenciales de IAM de AWS y la región de AWS con aws configure.

Permisos del usuario administrador

GKE on AWS requiere que el creador de un servicio de administración tenga ciertos permisos. Antes de crear un servicio de administración o clústeres de usuarios, crea o consigue acceso a credenciales de IAM de AWS que cumplan con los requisitos.

Crea una clave KMS

GKE en AWS requiere dos claves de KMS de AWS. Las claves de KMS encriptan los siguientes elementos:

  • Los datos durante el proceso de instalación con la encriptación de sobre.
  • Secrets de la capa de la aplicación en tus clústeres de usuarios

Sigue los pasos a continuación para crear dos claves de KMS de AWS.

Línea de comandos

  1. Crea una clave de KMS en tu cuenta de AWS.

    aws kms create-key

    En el resultado se incluyen los metadatos de la clave.

  2. En el resultado del comando anterior, copia el nombre del recurso de Amazon (ARN) de la clave del campo Arn. Por ejemplo, una clave en la región us-west-2 tiene el ARN arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  3. Crea un alias para la clave con aws kms create-alias. Un alias te permite administrar tus claves de KMS de AWS por nombre.

    aws kms create-alias \
    --alias-name=alias/key-name \
    --target-key-id=key-arn

  4. Repite los pasos anteriores para otra clave.

Console

  1. Acceda a la consola de AWS.
  2. Navega a KMS y selecciona Claves administradas por el cliente en la barra lateral.
  3. Haz clic en Crear clave.
  4. Deje las opciones predeterminadas seleccionadas.
  5. Una vez creada, selecciona la clave de la lista.
  6. Copia el ARN de la clave.
  7. Repite los pasos anteriores para otra clave.

Requisitos de Google Cloud

Es posible que las restricciones de seguridad que define tu organización no te permitan completar los siguientes pasos. Para obtener información sobre la solución de problemas, consulta Desarrolla aplicaciones en un entorno de Google Cloud restringido.

Antes de comenzar

  • Asegúrate de tener permisos de propietario del proyecto en una cuenta de Google para habilitar las API en el proyecto de Google Cloud en el que conectas tu entorno de GKE en AWS. Usa los permisos de propietario solamente para crear las cuentas de servicio de GKE en AWS en la siguiente sección.

  • Instala Google Cloud CLI.

  • La API de GKE Enterprise debe estar habilitada para tu proyecto de Google Cloud. Habilitar esta API te permite usar otras funciones de GKE Enterprise con tu proyecto de Google Cloud.

Crea tus cuentas de servicio de GKE on AWS

En esta sección, debes crear tres cuentas de servicio y claves de IAM para GKE on AWS. Estas cuentas de servicio se describen en la siguiente lista:

Name Funciones Descripción
management-sa gkehub.admin Permisos para administrar membresías de Hub
hub-sa gkehub.connect Permiso para configurar la conexión entre tus clústeres de usuario y Hub.
node-sa storage.objectViewer Permiso para acceder a Container Registry.

Línea de comandos

  1. Autentica con Google Cloud CLI.

    gcloud auth login &&\
gcloud auth application-default login

    Se te pedirá dos veces que visites cloud.google.com y te autentiques con tu cuenta de Google.

  2. Configura el proyecto de Google Cloud como una variable de entorno y configura tu project-id predeterminado con la CLI de gcloud.

    export PROJECT_ID=project-id

gcloud config set project $PROJECT_ID

    Reemplaza el valor de project-id por tu proyecto de Google Cloud.

  3. Habilita las API de Google Cloud

    gcloud services enable anthos.googleapis.com
gcloud services enable cloudresourcemanager.googleapis.com
gcloud services enable gkehub.googleapis.com
gcloud services enable gkeconnect.googleapis.com
gcloud services enable logging.googleapis.com
gcloud services enable monitoring.googleapis.com
gcloud services enable serviceusage.googleapis.com
gcloud services enable stackdriver.googleapis.com
gcloud services enable storage-api.googleapis.com
gcloud services enable storage-component.googleapis.com

  4. Crea las cuentas de servicio con gcloud mediante la ejecución de los siguientes comandos.

    gcloud iam service-accounts create management-sa
gcloud iam service-accounts create hub-sa
gcloud iam service-accounts create node-sa

  5. Descarga las claves para cada cuenta de servicio con gcloud mediante la ejecución de los siguientes comandos.

    gcloud iam service-accounts keys create management-key.json \
     --iam-account management-sa@$PROJECT_ID.iam.gserviceaccount.com
gcloud iam service-accounts keys create hub-key.json \
     --iam-account hub-sa@$PROJECT_ID.iam.gserviceaccount.com
gcloud iam service-accounts keys create node-key.json \
     --iam-account node-sa@$PROJECT_ID.iam.gserviceaccount.com

  6. Otorga funciones a la cuenta de servicio de administración.

    gcloud projects add-iam-policy-binding \
    $PROJECT_ID \
    --member serviceAccount:management-sa@$PROJECT_ID.iam.gserviceaccount.com \
    --role roles/gkehub.admin

  7. Otorga funciones a la cuenta de servicio de Hub.

    gcloud projects add-iam-policy-binding \
    $PROJECT_ID \
    --member serviceAccount:hub-sa@$PROJECT_ID.iam.gserviceaccount.com \
    --role roles/gkehub.connect

  8. Otorga funciones a la cuenta de servicio del nodo.

    gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member serviceAccount:node-sa@$PROJECT_ID.iam.gserviceaccount.com \
      --role roles/storage.objectViewer

Console

  1. Abre la página de la biblioteca de API de la consola de Google Cloud.
  2. Selecciona tu proyecto preferido en el menú desplegable en la parte superior de la pantalla.

  3. Busca y habilita las siguientes API.

    • Anthos
    • Cloud Resource Manager
    • Cloud Storage
    • Cloud Logging
    • API de Google Cloud Storage JSON
    • GKE Hub
    • API de GKE Connect
    • Service Usage
    • Stackdriver
    • Stackdriver Monitoring

  4. Abre la página Cuentas de servicio.

  5. A continuación, crea una cuenta de servicio y asígnale funciones para la cuenta de servicio management-sa.

    1. Haga clic en Crear cuenta de servicio.
    2. Asigna un nombre al SA de administración de la cuenta y haz clic en Crear. Aparecerá la pantalla Otorgar a esta cuenta de servicio acceso al proyecto.
    3. Agrega los roles de administrador de GKE HUB.
    4. Haga clic en Continuar. Aparecerá la pantalla Otorgar a los usuarios acceso a esta cuenta de servicio.
    5. Haga clic en Listo. Aparecerá la pantalla Cuentas de servicio para el proyecto.
    6. Busca la fila que contiene el Correo electrónico de tu cuenta de servicio, management-sa@project_id.iam.gserviceaccount.com.
    7. Haz clic en el menú de acción para la cuenta de servicio y selecciona Administrar claves.
    8. Haz clic en el menú desplegable Agregar clave.
    9. Haz clic en Crear nueva clave.
    10. Selecciona JSON como tipo de clave y haz clic en Crear. El navegador descarga la clave de la cuenta de servicio.
    11. Cambie el nombre del archivo management-key.json.

  6. A continuación, crea una cuenta de servicio y asígnale funciones para la cuenta de servicio hub-sa.

    1. Haga clic en Crear cuenta de servicio.
    2. Asigna un nombre al SA de Hub de la cuenta y haz clic en Crear. Aparecerá la pantalla Otorgar a esta cuenta de servicio acceso al proyecto.
    3. Agrega la función de agente de conexión de Hub de GKE.
    4. Haga clic en Continuar. Aparecerá la pantalla Otorgar a los usuarios acceso a esta cuenta de servicio.
    5. Haga clic en Listo. Aparecerá la pantalla Cuentas de servicio para el proyecto.
    6. Busca la fila que contiene el Correo electrónico de tu cuenta de servicio, hub-sa@project_id.iam.gserviceaccount.com.
    7. Haz clic en el menú de acción para la cuenta de servicio y selecciona Administrar claves.
    8. Haz clic en el menú desplegable Agregar clave.
    9. Haz clic en Crear nueva clave.
    10. Selecciona JSON como tipo de clave y haz clic en Crear. El navegador descarga la clave de la cuenta de servicio.
    11. Cambie el nombre del archivo hub-key.json.

  7. A continuación, crea una cuenta de servicio y asígnale funciones para la cuenta de servicio node-sa.

    1. Haga clic en Crear cuenta de servicio.
    2. Asigna un nombre al SA del nodo de la cuenta y haz clic en Crear. Aparecerá la pantalla Otorgar a esta cuenta de servicio acceso al proyecto.
    3. Agrega la función Visualizador de objetos de almacenamiento.
    4. Haga clic en Listo. Aparecerá la pantalla Cuentas de servicio para el proyecto.
    5. Busca la fila que contiene el Correo electrónico de tu cuenta de servicio, node-sa@project_id.iam.gserviceaccount.com.
    6. Haz clic en el menú de acción para la cuenta de servicio y selecciona Administrar claves.
    7. Haz clic en el menú desplegable Agregar clave.
    8. Haz clic en Crear nueva clave.
    9. Selecciona JSON como tipo de clave y haz clic en Crear. El navegador descarga la clave de la cuenta de servicio.
    10. Cambie el nombre del archivo node-key.json.

Herramienta de línea de comandos de anthos-gke

anthos-gke es una herramienta de línea de comandos para GKE on AWS. Usa anthos-gke para crear la configuración e instalar un servicio de administración. La versión más reciente de anthos-gke es aws-1.14.1-gke.0.

La herramienta de línea de comandos de anthos-gke solo es compatible con Linux y macOS.

  1. Descarga el objeto binario desde Cloud Storage.

    Linux

    gsutil cp gs://gke-multi-cloud-release/aws/aws-1.14.1-gke.0/bin/linux/amd64/anthos-gke .

    macOS

    gsutil cp gs://gke-multi-cloud-release/aws/aws-1.14.1-gke.0/bin/darwin/amd64/anthos-gke .

  2. Actualiza los permisos de anthos-gke y cópialo en /usr/local/bin.

    chmod 755 anthos-gke
sudo mv anthos-gke /usr/local/bin

  3. Confirma que la versión sea aws-1.14.1-gke.0.

    anthos-gke version

Permisos para la herramienta de línea de comandos de anthos-gke

Para usar la herramienta de línea de comandos de anthos-gke, el usuario que ejecuta el comando debe tener los roles ServiceUsageViewer y StorageAdmin. Para agregar los roles a tu principal de IAM, ejecuta estos comandos:

gcloud projects add-iam-policy-binding PROJECT_NAME \
    --member user:USER_NAME \
    --role roles/serviceusage.serviceUsageViewer
gcloud projects add-iam-policy-binding PROJECT_NAME \
    --member user:USER_NAME \
    --role roles/storage.admin

Reemplaza lo siguiente:

  • PROJECT_NAME: es tu proyecto de Google Cloud
  • USER_NAME: El nombre de usuario que ejecuta la herramienta de línea de comandos de anthos-gke. Si usas una cuenta de servicio, usa serviceAccount:SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com

Terraform

La herramienta de anthos-gke genera archivos de configuración de Terraform y llama a la herramienta de línea de comandos de terraform.

GKE en AWS requiere una versión de Terraform superior a la v0.14.3. Puedes verificar tu versión de Terraform con el siguiente comando:

terraform version

Si no tienes la versión v0.14.3 o superior, descarga y, luego, instala Terraform antes de crear un servicio de administración.

Actualiza Terraform

Para actualizar Terraform después de instalar GKE en AWS, debes actualizar tu objeto binario de Terraform a través de cada versión secundaria en orden.

Por ejemplo, si deseas actualizar Terraform de v0.12.x a v0.14.x, debes instalar la versión v0.13.x de manera temporal. Después de instalar v0.13.x, ejecuta anthos-gke aws management init y anthos-gke aws management apply. GKE en AWS actualiza la configuración. Luego puede actualizar a la versión v0.14.x.

Kubernetes

GKE en AWS requiere la versión 1.17 o una superior de kubectl. Para verificar tu versión de kubectl, ejecuta lo siguiente:

kubectl version --client -o yaml | grep gitVersion

Si no tienes la versión 1.17 o una superior, instala una versión más reciente de kubectl.

¿Qué sigue?