Dokumen ini menunjukkan cara membuat workstation admin untuk Google Distributed Cloud. Workstation admin menghosting alat antarmuka command line (CLI) dan file konfigurasi untuk menyediakan cluster selama penginstalan, serta alat CLI untuk berinteraksi dengan cluster yang disediakan setelah penginstalan.
Halaman ini ditujukan untuk Admin, Arsitek, dan Operator yang menyiapkan, memantau, dan mengelola infrastruktur teknologi. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam konten, lihat Peran dan tugas pengguna umum GKE Enterprise. Google Cloud
Petunjuk di sini sudah lengkap. Untuk pengantar singkat tentang cara membuat workstation admin, lihat Membuat workstation admin dalam panduan Membuat cluster dasar.
Pilih cara membuat workstation admin
Ada dua cara untuk membuat workstation admin:
- Gunakan
gkeadmuntuk membuat VM workstation admin di lingkungan vSphere Anda. - Buat workstation admin yang dikelola pengguna di komputer pilihan Anda.
Kedua pendekatan ini memiliki kelebihan dan kekurangan.
Saat Anda menggunakan gkeadm untuk membuat workstation admin, gkeadm akan
melakukan hal berikut, yang menyederhanakan penyiapan:
- Membuat VM workstation admin.
- Template VM yang digunakan
gkeadmuntuk membuat workstation admin memiliki semua software yang Anda butuhkan untuk membuat dan mengelola cluster menggunakan alat command linegkectl. - Membuat satu akun pengguna yang Anda atau administrator lain gunakan untuk login ke workstation admin.
- Memberikan perintah SSH untuk login ke workstation admin dengan akun pengguna yang diberikan.
Workstation admin yang dibuat gkeadmhanya dapat mengelola satu cluster admin. Jika
Anda berencana membuat beberapa cluster admin, Anda harus membuat workstation admin
untuk setiap cluster admin.
Workstation admin yang dibuat gkeadm terikat dengan siklus proses cluster. Saat mengupgrade cluster admin atau salah satu cluster pengguna yang dikelola oleh cluster admin, Anda harus mengupgrade workstation admin terlebih dahulu.
Saat menyiapkan workstation admin Anda sendiri, Anda harus menginstal salah satu
sistem operasi yang diperlukan dan semua software yang diperlukan. Hal ini membuat penyiapan awal memerlukan waktu lebih lama karena membuat VM dari template lebih cepat daripada menginstal software yang diperlukan di komputer. Namun, setelah disiapkan, workstation tersebut memiliki keunggulan berikut dibandingkan workstation admin yang dibuat gkeadm:
- Anda dapat mengonfigurasi workstation yang dikelola pengguna untuk membuat dan mengelola lebih dari satu cluster admin.
- Anda tidak perlu mengupgrade workstation admin yang dikelola pengguna saat mengupgrade cluster.
- Anda dapat menggunakan alat CI/CD standar untuk mengotomatiskan pengelolaan siklus proses cluster.
- Anda dapat menggunakan metode autentikasi standar seperti Active Directory untuk mengontrol akses ke workstation admin.
- Anda dapat menggunakan sistem otorisasi standar untuk mengontrol apa yang dapat diakses pengguna di workstation admin dan untuk mengaudit tindakan mereka.
- Anda dapat memilih software yang ingin digunakan untuk membuat snapshot atau cadangan workstation admin.
Membuat workstation admin
gkeadm
Sebelum memulai
Ketahui alamat server vCenter Anda.
Ketahui jalur sertifikat CA Anda.
Buat satu atau beberapa project Google Cloud seperti yang dijelaskan dalam Menggunakan beberapa project Google Cloud .
Merencanakan akun layanan Anda
Saat menggunakan gkeadm untuk membuat workstation admin, Anda memiliki opsi untuk
mengizinkan gkeadm membuat beberapa akun layanan dan kunci untuk Anda. Dalam hal ini, gkeadm juga memberikan peran Identity and Access Management yang sesuai ke akun layanan.
Sebagai alternatif, Anda dapat membuat akun layanan dan kunci secara manual. Dalam hal ini, Anda harus memberikan peran IAM ke akun layanan secara manual.
Membuat akun layanan secara manual memberi Anda fleksibilitas lebih daripada meminta
gkeadm membuatnya untuk Anda:
Akun layanan yang dibuat otomatis semuanya memiliki project induk Google Cloud yang sama dengan akun layanan akses komponen Anda. Saat membuat akun layanan secara manual, Anda dapat memilih project Google Cloud induk.
Semua akun layanan yang dibuat secara otomatis diberi peran IAM di project induk akun layanan akses komponen Anda Google Cloud . Hal ini tidak masalah jika itu adalah satu-satunya Google Cloud project yang terkait dengan cluster Anda. Namun, jika Anda ingin mengaitkan cluster dengan beberapa Google Cloud project, Anda memerlukan fleksibilitas untuk memberikan peran ke akun layanan di projectGoogle Cloud pilihan Anda.
Jika Anda memutuskan untuk membuat akun layanan sendiri, ikuti petunjuk di Akun dan kunci layanan.
Terlepas dari apakah Anda telah mengizinkan pembuatan akun layanan secara otomatis, ada satu akun layanan yang harus Anda buat secara manual: akun layanan akses komponen Anda.gkeadm Untuk mengetahui petunjuk tentang cara membuat akun layanan akses komponen dan memberikan peran IAM yang sesuai, lihat Akun layanan akses komponen.
Ada satu akun layanan lain yang mungkin perlu Anda buat secara manual: akun layanan audit logging. Jika Anda ingin menggunakan klien GKE On-Prem API untuk mengelola cluster pengguna, Anda harus mengaktifkan logging audit di cluster admin.
Membuat template untuk file konfigurasi Anda
Download gkeadm ke direktori Anda saat ini.
Membuat template:
./gkeadm create config
Perintah sebelumnya membuat file ini di direktori saat ini:
credential.yamladmin-ws-config.yaml
Mengisi credential.yaml
Di credential.yaml, isi nama pengguna dan sandi vCenter Anda. Contoh:
kind: CredentialFile items: - name: vCenter username: "my-account-name" password: "AadmpqGPqq!a"
Mengisi admin-ws-config.yaml
Beberapa kolom di admin-ws-config.yaml sudah diisi dengan nilai default
atau nilai yang dibuat. Anda dapat mempertahankan nilai yang telah diisi atau melakukan perubahan sesuai keinginan Anda.
Kolom yang harus Anda isi
Isi kolom wajib diisi berikut. Untuk mengetahui informasi tentang cara mengisi kolom, lihat File konfigurasi workstation admin.
gcp: componentAccessServiceAccountKeyPath: "Fill in" vCenter: credentials: address: "Fill in" datacenter: "Fill in" datastore: "Fill in" cluster: "Fill in" network: "Fill in" resourcePool: "Fill in" caCertPath: "Fill in"
Jika Anda ingin membuat workstation admin di dalam folder VM vSphere, isi kolom vCenter.folder:
vCenter: folder: "Fill in"
Jika workstation admin Anda akan berada di belakang server proxy, isi kolom
proxyURL:
adminWorkstation: proxyURL: "Fill in"
Jika Anda ingin workstation admin mendapatkan alamat IP dari server DHCP, tetapkan ipAllocationMode ke "dhcp", dan hapus bagian hostconfig:
adminWorkstation: network: ipAllocationMode: "dhcp"
Jika Anda ingin menentukan alamat IP statis untuk workstation admin, tetapkan
ipAllocationMode ke "static", dan isi bagian
hostconfig:
adminWorkstation:
network:
ipAllocationMode: "static"
hostconfig:
ip: "Fill in"
gateway: "Fill in"
netmask: "Fill in"
dns:
- "Fill in"
Login
- Login dengan Akun Google apa pun. Tindakan ini akan menetapkan properti
accountSDK Anda:
gcloud auth login
- Pastikan properti
accountSDK Anda disetel dengan benar:
gcloud config list
- Akun Google yang ditetapkan sebagai properti
accountSDK Anda disebut akun SDK Anda. Alat command linegkeadmmenggunakan akun SDK Anda untuk mendownload OVA workstation admin dan mengaktifkan layanan di projectGoogle Cloud Anda.
Jika Anda memilih agar gkeadm otomatis membuat akun layanan untuk Anda,
maka gkeadm juga menggunakan akun SDK Anda untuk membuat akun layanan dan kunci,
serta untuk memberikan peran ke akun layanan.
Oleh karena itu, Anda harus menetapkan properti SDK account sebelum menjalankan
gkeadm untuk membuat workstation admin.
Output menampilkan nilai properti account SDK Anda.
Contoh:
[core] account = my-name@google.com disable_usage_reporting = False Your active configuration is: [default]
Memberikan peran ke akun SDK Anda
Akun SDK Anda harus memiliki
peran IAM berikut
di project Google Cloud induk akun layanan akses komponen Anda.
Hal ini agar gkeadm dapat mengaktifkan layanan di project Google Cloud .
serviceUsage.serviceUsageAdmin
Jika Anda memilih agar gkeadm otomatis membuat akun layanan untuk Anda,
maka akun SDK Anda juga harus memiliki peran berikut di project induk
akun layanan akses komponen Anda. Hal ini agar gkeadm dapat
membuat akun layanan dan kunci.
resourcemanager.projectIamAdminiam.serviceAccountCreatoriam.serviceAccountKeyAdmin
Untuk memberikan peran di project Google Cloud , Anda harus memiliki izin tertentu di project Google Cloud . Untuk mengetahui detailnya, lihat Memberikan, mengubah, dan mencabut akses ke resource.
Jika memiliki izin yang diperlukan, Anda dapat memberikan peran sendiri. Jika tidak, orang lain di organisasi Anda harus memberikan peran untuk Anda.
Untuk memberikan peran yang diperlukan ke akun SDK Anda:
Linux and macOS
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/serviceusage.serviceUsageAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/serviceusage.serviceUsageAdmin"
Ganti kode berikut:
PROJECT_ID: ID project induk Google Cloud akun layanan akses komponen AndaACCOUNT: akun SDK Anda
Untuk memberikan peran tambahan jika Anda ingin gkeadm membuat akun layanan secara otomatis:
Linux and macOS
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountKeyAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountKeyAdmin"
Ganti kode berikut:
PROJECT_ID: ID project induk akun layanan layanan akses komponen AndaACCOUNT: akun SDK Anda
Membuat workstation admin Anda
Masukkan perintah ini untuk membuat workstation admin Anda. Jika Anda ingin
gkeadm membuat akun layanan
connect-register
dan
logging-monitoring
untuk Anda, sertakan tanda
--auto-create-service-accounts. Jika Anda ingin membuat akun layanan tersebut secara manual, hilangkan tanda tersebut.
./gkeadm create admin-workstation [--auto-create-service-accounts]
Output memberikan informasi mendetail tentang pembuatan workstation admin Anda:
... Getting ... service account... ... ******************************************************************** Admin workstation is ready to use. Admin workstation information saved to /usr/local/google/home/me/my-admin-workstation This file is required for future upgrades SSH into the admin workstation with the following command: ssh -i /usr/local/google/home/me/.ssh/gke-admin-workstation ubuntu@172.16.5.1 ********************************************************************
Mendapatkan koneksi SSH ke workstation admin Anda
Di dekat akhir output sebelumnya, ada perintah yang dapat Anda gunakan untuk mendapatkan koneksi SSH ke workstation admin Anda. Masukkan perintah tersebut sekarang. Contoh:
ssh -i /usr/local/google/home/me/.ssh/gke-admin-workstation ubuntu@172.16.5.1
Cantumkan file di workstation admin Anda:
ls -1
Dalam output, Anda dapat melihat dua file konfigurasi cluster, file sertifikat CA, dan file kunci JSON untuk akun layanan akses komponen Anda. Jika gkeadm membuat akun layanan untuk Anda, Anda juga dapat melihat file kunci JSON untuk akun layanan tersebut. Contoh:
admin-cluster.yaml user-cluster.yaml vcenter-ca-cert.pem component-access-key.json
Pastikan gkeadm mengaktifkan akun layanan akses komponen di workstation admin Anda:
gcloud config get-value account
Menyalin file kunci JSON ke workstation admin Anda
Sebelum Anda membuat cluster, file kunci JSON untuk akun layanan Anda harus ada di workstation admin Anda di direktori beranda.
Kunci untuk akun layanan akses komponen Anda sudah ada di workstation admin Anda.
Jika Anda menyertakan tanda --auto-create-service-accounts saat menjalankan
gkeadm create admin-workstation, kunci untuk akun layanan berikut
sudah ada di workstation admin Anda di direktori beranda. Jika tidak,
Anda harus menyalin kunci secara manual ke direktori utama workstation admin Anda:
- Menghubungkan akun layanan Connect-register
- Akun layanan logging-pemantauan
Jika Anda membuat salah satu akun layanan berikut, Anda harus menyalin kunci untuk akun layanan tersebut secara manual ke direktori beranda workstation admin Anda:
- Akun layanan logging audit
- Akun layanan Otorisasi Biner
Memulihkan workstation admin dari file cadangan
Saat Anda mengupgrade workstation admin, perintah gkeadm upgrade
akan menyimpan file cadangan. Nanti, jika Anda tidak lagi memiliki workstation admin, atau jika Anda telah kehilangan beberapa file yang ada di workstation admin yang diupgrade, Anda dapat menggunakan file cadangan ini untuk membuat workstation admin yang dipulihkan ke kondisi yang ada segera setelah upgrade.
Untuk membuat workstation admin dari file cadangan, jalankan perintah ini:
gkeadm create admin-workstation --restore-from-backup ADMIN_WORKSTATION_NAME-backup.tar.gz
Ganti ADMIN_WORKSTATION_NAME dengan nama workstation admin.
Dikelola pengguna
Pilih komputer yang akan berfungsi sebagai workstation admin Anda. Anda dapat menggunakan Ubuntu atau Red Hat Enterprise Linux (RHEL). Berikut persyaratannya:
Ubuntu 20.04 LTS atau 22.04 LTS
- 4 inti CPU
- RAM 8 GiB
- Penyimpanan 100 GiB
RHEL 8.6, 8.7, atau 8.8
- 4 inti CPU
- RAM 12 GB
- Penyimpanan 256 GiB
Akses ke Google Cloud
Workstation admin Anda harus memiliki akses ke Google Cloud untuk mendownload dan menginstal alat, memproses permintaan otorisasi, membuat akun layanan, dan lainnya.
Untuk mengetahui informasi tentang berbagai cara menghubungkan ke Google Cloud, lihat Menghubungkan ke Google.
Akses ke Google Cloud dapat dilakukan secara langsung atau melalui server proxy. Untuk mengetahui informasi tentang aturan firewall dan mengonfigurasi server proxy, lihat Aturan proxy dan firewall.
Akses ke vCenter Server
Untuk membuat dan mengelola cluster dari workstation admin, Anda memerlukan akses ke instance vCenter Server. Untuk mengetahui informasi, lihat:
Menyiapkan server NTP
Jika cluster Anda dikonfigurasi untuk menggunakan server NTP, Anda harus menyiapkan layanan sinkronisasi waktu di workstation admin untuk memastikan bahwa timedatectl melaporkan waktu yang disinkronkan dengan cluster. Hal ini diperlukan untuk menghindari masalah penyimpangan waktu yang besar, yang dapat menyebabkan kegagalan verifikasi sertifikat karena tanggal habis masa berlaku yang tidak cocok.
Ubuntu
Sebaiknya Anda menggunakan server waktu chrony.
Untuk menginstal chrony:
sudo apt-get update sudo apt install chrony
Hal ini menyediakan dua biner:
chronyd- daemon untuk menyinkronkan dan melayani melalui Network Time Protocolchronyc- antarmuka command line untuk daemonchrony
Untuk mengonfigurasi chronyd:
Edit /etc/chrony/chrony.conf untuk menambahkan atau menghapus baris server. Kemudian, mulai ulang
chrony:
sudo systemctl restart chrony.service
RHEL
Sebaiknya Anda menggunakan server waktu chrony.
Untuk mengetahui petunjuk penginstalan, lihat Cara mengonfigurasi chrony.
Sudo tanpa sandi
Jika kebijakan keamanan Anda mengizinkannya, aktifkan sudo tanpa sandi untuk
pengguna saat ini. Hal ini memungkinkan gkectl menyiapkan registry pribadi jika ada, menyiapkan proxy untuk Docker jika jaringan Anda berada di belakang server proxy, dan menghapus paksa cluster bootstrap yang digunakan untuk operasi siklus proses cluster admin jika penghapusan gagal.
Jika Anda memilih untuk tidak mengaktifkan sudo tanpa sandi, dan Anda bermaksud menggunakan private registry untuk cluster admin, lakukan konfigurasi manual berikut sebelum Anda membuat cluster admin:
Tempatkan sertifikat root CA untuk registry pribadi di direktori ini:
/etc/docker/certs.d/REGISTRY_ADDRESS/
Ganti REGISTRY_ADDRESS dengan alamat mesin yang menjalankan registry pribadi.
Untuk mengetahui informasi selengkapnya, lihat Memverifikasi klien repositori dengan sertifikat.
Jika jaringan Anda berada di belakang server proxy, tentukan server proxy dalam file konfigurasi cluster admin, dan konfigurasi Docker untuk menggunakan server proxy.
Jika Anda memilih untuk tidak mengaktifkan sudo tanpa sandi, Anda mungkin perlu menghapus cluster kind secara manual setelah membuat cluster admin. Untuk mengetahui informasi selengkapnya, lihat Cluster Kind tidak dihapus dalam dokumentasi pemecahan masalah.
Menginstal software
Ubuntu
Instal software berikut:
Docker versi 19.03 atau yang lebih baru: Lihat Menginstal Docker Engine di Ubuntu. Pastikan pengguna non-root adalah anggota grup docker. Lihat Mengelola Docker sebagai pengguna non-root.
Versi terbaru Google Cloud CLI: Lihat Menginstal gcloud CLI.
kubectl: Jalankan
gcloud components install kubectl, atau gunakanapt-get:
sudo apt-get update sudo apt-get -y install kubectl
RHEL
Instal software berikut:
Docker 19.03 atau yang lebih baru
Hapus versi Docker sebelumnya:
sudo dnf remove docker \ docker-client \ docker-client-latest \ docker-common \ docker-latest \ docker-latest-logrotate \ docker-logrotate \ docker-engine
Hapus podman-manpages:
sudo dnf remove podman-manpages
Instal Docker 19.03+:
sudo dnf install -y yum-utils sudo yum-config-manager \ --add-repo \ https://download.docker.com/linux/centos/docker-ce.repo sudo dnf install -y --allowerasing docker-ce docker-ce-cli containerd.io sudo systemctl start docker
Pastikan Anda sekarang menjalankan versi 19.03+:
sudo docker version
Bandingkan output Anda dengan contoh berikut untuk memastikan versi Klien dan Server adalah 19.03+:
Client: Docker Engine - Community Version: 19.03.13 ... Server: Docker Engine - Community Engine: Version: 19.03.13
Verifikasi Docker berjalan:
docker run hello-world
Anda akan melihat sesuatu yang mirip dengan ini:
Hello from Docker!
This message shows that your installation appears to be working correctly.
Versi terbaru Google Cloud CLI:
Lihat Menginstal gcloud CLI.
kubectl
Jalankan gcloud components install kubectl.
Login
Akun Google yang ditetapkan sebagai
properti account SDK
disebut akun SDK Anda. Alat command line gkectl menggunakan akun SDK Anda untuk mendownload OVA node cluster, menarik image container, dan lainnya. Oleh karena itu, Anda harus menyetel properti akun SDK sebelum menjalankan perintah gkectl.
Login dengan Akun Google apa pun. Tindakan ini akan menetapkan properti account SDK Anda:
gcloud auth login
Pastikan properti account SDK Anda disetel dengan benar:
gcloud config list
Output menampilkan nilai properti account SDK Anda.
Contoh:
[core] account = my-name@google.com disable_usage_reporting = False Your active configuration is: [default]
Mendownload gkectl dan bundle
Buka direktori tempat Anda ingin menginstal gkectl.
Download gkectl:
gcloud storage cp gs://gke-on-prem-release/gkectl/VERSION/gkectl ./ chmod +x gkectl
Ganti VERSION dengan versi Google Distributed Cloud. Contoh: 1.16.0-gke.1.
Download paket Google Distributed Cloud. Pastikan versinya cocok dengan
versi yang Anda gunakan untuk mendownload gkectl:
gcloud storage cp gs://gke-on-prem-release/gke-onprem-bundle/VERSION/gke-onprem-vsphere-VERSION.tgz ./
Akun dan kunci layanan
Pastikan Anda telah membuat akun layanan dan file kunci JSON berikut yang diperlukan:
Pastikan juga Anda telah membuat akun layanan opsional dan file kunci JSON yang diperlukan:
Tempatkan semua file kunci JSON Anda di direktori beranda workstation admin Anda.
Pemecahan masalah
Bagian berikut mengaktifkan kembali akses SSH ke workstation admin jika kunci SSH hilang atau rusak.
Pemulihan kunci SSH
Gunakan VM sementara untuk melakukan langkah-langkah berikut:
Untuk membuat set kunci SSH baru, ikuti petunjuk di Membuat kunci SSH dalam dokumentasi Compute Engine.
Pastikan VM sementara dan workstation admin dalam status
Powered Off.Dalam vSphere, pasang boot disk workstation admin ke VM sementara.
Boot disk memiliki label
Hard disk 1.Pasang disk booting di dalam VM dengan menjalankan perintah berikut:
sudo mkdir -p /mnt/boot-disk sudo mount DISK_ID /mnt/boot-diskGanti
DISK_IDdengan ID disk booting Anda, yang seharusnya memiliki format yang mirip dengandev/sdc1.Edit file
authorized_keysdi disk boot untuk menambahkan konten file kunci publik yang dibuat pada langkah pertama:vi /mnt/boot-disk/.ssh/authorized_keysMatikan VM sementara.
Aktifkan workstation admin.
Gunakan kunci pribadi yang baru dibuat untuk mengakses workstation admin.
ssh -i ~/.ssh/new-admin-ws.key ubuntu@"${ADMIN_WS_IP}"
Gunakan kunci pribadi yang baru dibuat untuk terus mengakses workstation admin Anda.