Hinweis
Übersicht
Ihr GKE-Cluster muss die folgenden Anforderungen erfüllen:
Der Cluster sollte Kf zugeordnet werden. Diese Einstellung ist optional, wird aber empfohlen. Wir empfehlen, nur Kf und dessen Abhängigkeiten zu installieren, damit die Kompatibilitätsmatrix erhalten bleibt.
Mindestens vier Knoten. Informationen zum Hinzufügen von Knoten finden Sie unter Größe eines Clusters anpassen.
Der minimale Maschinentyp mit mindestens vier vCPUs, z. B.
e2-standard-4
. Wenn der Maschinentyp für Ihren Cluster nicht mindestens vier vCPUs hat, ändern Sie den Maschinentyp, wie unter Arbeitslasten zu anderen Maschinentypen migrieren beschrieben.Es wird empfohlen, den Cluster in einer Release-Version zu registrieren. Dies ist jedoch optional. Folgen Sie der Anleitung unter Vorhandenen Cluster in einer Release-Version registrieren, wenn Sie eine statische GKE-Version haben.
Workload Identity ist aktiviert.
Artifact Registry ist aktiviert.
Tekton ist installiert. Sehen Sie sich die Abhängigkeitsmatrix für die Version an.
Ein Google-Dienstkonto mit der folgenden IAM-Richtlinie (Anleitung zur Erstellung siehe unten):
roles/iam.serviceAccountAdmin
serviceAccount:${CLUSTER_PROJECT}.svc.id.goog[kf/controller]
(für MitgliedserviceAccount:${CLUSTER_PROJECT}.svc.id.goog[kf/controller]
)
Der Abschnitt Bereinigen enthält eine Anleitung zum Löschen des Clusters.
Unterstützung für Compute Engine aktivieren
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.
- Aktivieren Sie die Compute Engine API.
GKE aktivieren und konfigurieren
Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:
- Aktivieren Sie die Google Kubernetes Engine API. Google Kubernetes Engine API aktivieren
- Wenn Sie die Google Cloud CLI für diese Aufgabe verwenden möchten, müssen Sie die gcloud CLI installieren und dann initialisieren. Wenn Sie die gcloud CLI bereits installiert haben, rufen Sie die neueste Version mit
gcloud components update
ab.
Neuen GKE-Cluster erstellen und vorbereiten
Umgebungsvariablen einrichten
Linux
export PROJECT_ID=YOUR_PROJECT_ID export CLUSTER_PROJECT_ID=YOUR_PROJECT_ID export CLUSTER_NAME=kf-cluster export COMPUTE_ZONE=us-central1-a export COMPUTE_REGION=us-central1 export CLUSTER_LOCATION=${COMPUTE_ZONE} export NODE_COUNT=4 export MACHINE_TYPE=e2-standard-4 export NETWORK=default export KF_VERSION=v2.1.0 export TEKTON_VERSION=v0.19.0
Windows Powershell
Set-Variable -Name PROJECT_ID -Value YOUR_PROJECT_ID Set-Variable -Name CLUSTER_PROJECT_ID -Value YOUR_PROJECT_ID Set-Variable -Name CLUSTER_NAME -Value kf-cluster Set-Variable -Name COMPUTE_ZONE -Value us-central1-a Set-Variable -Name COMPUTE_REGION -Value us-central1 Set-Variable -Name CLUSTER_LOCATION -Value $COMPUTE_ZONE Set-Variable -Name NODE_COUNT -Value 4 Set-Variable -Name MACHINE_TYPE -Value e2-standard-4 Set-Variable -Name NETWORK -Value default Set-Variable -Name KF_VERSION -Value v2.1.0 Set-Variable -Name TEKTON_VERSION -Value v0.19.0
Dienstkonto einrichten
Erstellen Sie ein GCP-Dienstkonto, das über Workload Identity mit einem Kubernetes-Dienstkonto verknüpft wird. Dadurch müssen Sie keinen Dienstkontoschlüssel erstellen und einfügen.
Erstellen Sie das von Kf verwendete Dienstkonto.
gcloud iam service-accounts create ${CLUSTER_NAME}-sa \ --project=${CLUSTER_PROJECT_ID} \ --description="GSA for Kf ${CLUSTER_NAME}" \ --display-name="${CLUSTER_NAME}"
Legen Sie fest, dass das Dienstkonto seine eigene Richtlinie ändern darf. Der Kf-Controller verwendet diese Option, um der Richtlinie neue (Name)spaces hinzuzufügen und die Wiederverwendung von Workload Identity zuzulassen.
gcloud iam service-accounts add-iam-policy-binding ${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com \ --project=${CLUSTER_PROJECT_ID} \ --role="roles/iam.serviceAccountAdmin" \ --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com"
Weisen Sie den Monitoring-Messwerten eine Rolle für den Schreibzugriff auf Cloud Monitoring zu.
gcloud projects add-iam-policy-binding ${CLUSTER_PROJECT_ID} \ --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \ --role="roles/monitoring.metricWriter"
Weisen Sie Logging eine Rolle für den Schreibzugriff auf Cloud Logging zu.
gcloud projects add-iam-policy-binding ${CLUSTER_PROJECT_ID} \ --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \ --role="roles/logging.logWriter"
GKE-Cluster erstellen
gcloud container clusters create ${CLUSTER_NAME} \ --project=${CLUSTER_PROJECT_ID} \ --zone=${CLUSTER_LOCATION} \ --num-nodes=${NODE_COUNT} \ --machine-type=${MACHINE_TYPE} \ --network=${NETWORK} \ --addons=HttpLoadBalancing,HorizontalPodAutoscaling,NetworkPolicy \ --enable-stackdriver-kubernetes \ --enable-ip-alias \ --enable-network-policy \ --enable-autorepair \ --enable-autoupgrade \ --scopes=https://www.googleapis.com/auth/cloud-platform \ --release-channel=regular \ --workload-pool="${CLUSTER_PROJECT_ID}.svc.id.goog" \ --service-account="${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com"
Firewallregeln festlegen
Für die Kf-Datei sind einige Firewallports erforderlich Der Masterknoten muss mit Pods über die Ports 80, 443, 8080, 8443 und 6443 kommunizieren können.
Workload Identity aktivieren
Nachdem Sie nun ein Dienstkonto und einen GKE-Cluster haben, verknüpfen Sie den Identitäts-Namespace des Clusters mit dem Cluster.
gcloud iam service-accounts add-iam-policy-binding \ "${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \ --project=${CLUSTER_PROJECT_ID} \ --role="roles/iam.workloadIdentityUser" \ --member="serviceAccount:${CLUSTER_PROJECT_ID}.svc.id.goog[kf/controller]"
GKE-Zielcluster
Konfigurieren Sie den Zugriff auf die kubectl-Befehlszeile mit dem folgenden Befehl:
gcloud container clusters get-credentials ${CLUSTER_NAME} \ --project=${CLUSTER_PROJECT_ID} \ --zone=${CLUSTER_LOCATION}
Artifact Registry-Repository erstellen
Erstellen Sie eine Artifact Registry für Container-Images, die gespeichert werden sollen.
gcloud artifacts repositories create ${CLUSTER_NAME} \ --repository-format=docker \ --location=${COMPUTE_REGION}
Gewähren Sie dem Dienstkonto die Berechtigung für das Artifact Registry-Repository.
gcloud artifacts repositories add-iam-policy-binding ${CLUSTER_NAME} \ --location=${COMPUTE_REGION} \ --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \ --role='roles/artifactregistry.writer'
Konfigurieren Sie die lokale Authentifizierung.
gcloud auth configure-docker ${COMPUTE_REGION}-docker.pkg.dev
Softwareabhängigkeiten auf dem Cluster installieren
Installieren Sie Tekton:
kubectl apply -f "https://github.com/tektoncd/pipeline/releases/download/${TEKTON_VERSION}/release.yaml"
Kf installieren
Unter GKE-Cluster für Kf erstellen und vorbereiten finden Sie Informationen dazu, wie Sie einen Cluster zur Ausführung von Kf erstellen.
Wählen Sie den gewünschten Kf-Release aus und notieren Sie ihn sich. Auf der Seite Kf-Downloads finden Sie die verfügbaren Versionen.
Installieren Sie die Befehlszeile:
Linux
Dadurch wird
kf
für alle Nutzer im System installiert. Folgen Sie der Anleitung auf dem Cloud Shell-Tab, um Kf nur für die eigene Nutzung zu installieren.gsutil cp gs://kf-releases/${KF_VERSION}/kf-linux /tmp/kf
chmod a+x /tmp/kf
sudo mv /tmp/kf /usr/local/bin/kf
Mac
Dadurch wird
kf
für alle Nutzer im System installiert.gsutil cp gs://kf-releases/${KF_VERSION}/kf-darwin /tmp/kf
chmod a+x /tmp/kf
sudo mv /tmp/kf /usr/local/bin/kf
Cloud Shell
Dadurch wird
kf
auf Ihrer Cloud Shell-Instanz installiert, wenn Siebash
verwenden. Für andere Shells muss die Anleitung möglicherweise geändert werden.mkdir -p ~/bin
gsutil cp gs://kf-releases/${KF_VERSION}/kf-linux ~/bin/kf
chmod a+x ~/bin/kf
echo "export PATH=$HOME/bin:$PATH" >> ~/.bashrc
source ~/.bashrc
Windows
Dadurch wird
kf
in das aktuelle Verzeichnis heruntergeladen. Fügen Sie es dem Pfad hinzu, wenn Sie es von außerhalb des aktuellen Verzeichnisses aufrufen möchten.gsutil cp gs://kf-releases/${KF_VERSION}/kf-windows.exe kf.exe
Installieren Sie die Serverkomponenten:
Linux und Mac
Dadurch wird kf.yaml in das aktuelle Verzeichnis heruntergeladen.
gsutil cp gs://kf-releases/${KF_VERSION}/kf.yaml /tmp/kf.yaml
kubectl apply -f /tmp/kf.yaml
Windows
Dadurch wird kf.yaml in das aktuelle Verzeichnis heruntergeladen.
gsutil cp gs://kf-releases/${KF_VERSION}/kf.yaml kf.yaml
kubectl apply -f kf.yaml
Richten Sie Secrets ein:
export WI_ANNOTATION=iam.gke.io/gcp-service-account=${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com kubectl annotate serviceaccount controller ${WI_ANNOTATION} \ --namespace kf \ --overwrite echo "{\"apiVersion\":\"v1\",\"kind\":\"ConfigMap\",\"metadata\":{\"name\":\"config-secrets\", \"namespace\":\"kf\"},\"data\":{\"wi.googleServiceAccount\":\"${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com\"}}" | kubectl apply -f -
Richten Sie die Kf-Standardeinstellungen ein. Diese Werte können später geändert werden. Im folgenden Beispiel werden Domainvorlagen mit einem Platzhalter-DNS-Anbieter verwendet, um für jeden Bereich einen eigenen Domainnamen bereitzustellen:
export CONTAINER_REGISTRY=${COMPUTE_REGION}-docker.pkg.dev/${CLUSTER_PROJECT_ID}/${CLUSTER_NAME} export DOMAIN='$(SPACE_NAME).$(CLUSTER_INGRESS_IP).nip.io' kubectl patch configmaps config-defaults \ -n=kf \ -p="{\"data\":{\"spaceContainerRegistry\":\"${CONTAINER_REGISTRY}\",\"spaceClusterDomains\":\"- domain: ${DOMAIN}\"}}"
Prüfen Sie die Installation:
kf doctor --retries 10
Anwendung per Push übertragen
Voraussetzungen
Für diesen Abschnitt ist Folgendes erforderlich:
- Kf ist in einem kompatiblen GKE-Cluster installiert. Eine Anleitung finden Sie unter Kf installieren.
- Ein
.kubeconfig
-Objekt für den Kf-Cluster. Wenn Sie den Cluster gemäß den Anweisungen in diesem Dokument erstellt haben, ist dies bereits geschehen. Sie können die Konfiguration mitgcloud container clusters get-credentials ${CLUSTER_NAME} --zone ${CLUSTER_LOCATION}
ausdrücklich generieren lassen. - Die
kf
-Befehlszeile ist installiert und befindet sich in Ihrem Pfad. Eine Anleitung finden Sie unter Kf installieren. - Die
git
-Befehlszeile ist installiert und befindet sich in Ihrem Pfad.
Bereich vorbereiten
Erstellen Sie einen neuen Bereich:
kf create-space test-space
Steuern Sie den Bereich an:
kf target -s test-space
Cloud Foundry-Testanwendung per Push übertragen
Klonen Sie das test-app-Repository:
git clone https://github.com/cloudfoundry-samples/test-app go-test-app cd go-test-app
Übertragen Sie die Anwendung per Push:
kf push test-app
Ermitteln Sie die URL der Anwendung:
Verwenden Sie die Ausgabeformatierung, um nur die Route abzurufen:
kf app test-app --output 'jsonpath={.status.urls[0]}'
Oder verwenden Sie für einen herkömmlichen Ansatz von CF Folgendes:
kf apps
Rufen Sie die URL in Ihrem Browser auf.
Bereinigen
Bei diesen Schritten werden alle Komponenten entfernt, die im Abschnitt Neuen GKE-Cluster erstellen und vorbereiten erstellt wurden.
Löschen Sie den GKE-Cluster:
gcloud container clusters delete ${CLUSTER_NAME} --zone ${CLUSTER_LOCATION}
Löschen Sie das Google-Dienstkonto:
gcloud iam service-accounts delete ${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com
Löschen Sie IAM-Richtlinienbindungen:
gcloud projects remove-iam-policy-binding ${CLUSTER_PROJECT_ID} \ --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \ --role="roles/storage.admin" gcloud projects remove-iam-policy-binding ${CLUSTER_PROJECT_ID} \ --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountAdmin" gcloud projects remove-iam-policy-binding ${CLUSTER_PROJECT_ID} \ --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \ --role="roles/monitoring.metricWriter"
Löschen Sie das Container-Image-Repository:
gcloud artifacts repositories delete ${CLUSTER_NAME} \ --location=${COMPUTE_REGION}