Creazione di cluster utente

In Google Distributed Cloud, i cluster utente eseguono i tuoi workload e, in un'architettura multi-cluster, vengono creati e gestiti da un cluster di amministrazione.

Dopo aver creato un cluster di amministrazione, la chiamata al comando bmctl create config crea un file YAML che puoi modificare per definire il cluster utente. Per applicare la configurazione e creare il cluster utente, utilizza il comando bmctl create cluster. I controlli preliminari sono applicabili ai cluster di utenti creati con il comando bmctl create cluster.

Tenere i carichi di lavoro lontani dal cluster di amministrazione protegge i dati amministrativi sensibili, come le chiavi SSH archiviate nel cluster di amministrazione, da chi non ha bisogno di accedere a queste informazioni. Inoltre, mantenere separati i cluster di utenti tra loro offre una buona sicurezza generale per i tuoi carichi di lavoro.

Prerequisiti

  • L'ultima versione di bmctl viene scaricata (gs://anthos-baremetal-release/bmctl/1.30.400-gke.133/linux-amd64/bmctl) da Cloud Storage.
  • Cluster amministrativo funzionante con accesso al server API del cluster (controlPlaneVIP).
  • I nodi del cluster di amministrazione dispongono di connettività di rete con tutti i nodi del cluster di utenti di destinazione.
  • La workstation su cui è in esecuzione bmctl ha connettività di rete con tutti i nodi dei cluster di utenti di destinazione.
  • La workstation di amministrazione può stabilire una connessione SSH a ciascuno dei nodi del cluster degli utenti.
  • L'account di servizio Connect-register è configurato sul cluster di amministrazione per l'utilizzo con Connect.

Abilita SELinux

Se vuoi attivare SELinux per proteggere i tuoi container, devi assicurarti che sia attivato in modalità Enforced su tutte le macchine host. A partire dalla release 1.9.0 o successive di Google Distributed Cloud, puoi abilitare o disabilitare SELinux prima o dopo la creazione o gli upgrade dei cluster. SELinux è abilitato per impostazione predefinita su Red Hat Enterprise Linux (RHEL). Se SELinux è disabilitato sulle tue macchine host o non hai la certezza, consulta Protezione dei container mediante SELinux per istruzioni su come attivarlo.

Google Distributed Cloud supporta SELinux solo nei sistemi RHEL.

Crea un file di configurazione del cluster utente

Il file di configurazione per la creazione di un cluster utente è quasi esattamente uguale a quello utilizzato per la creazione di un cluster di amministrazione. L'unica differenza è che rimuovi la sezione di configurazione delle credenziali locali per rendere la configurazione una raccolta valida di risorse Kubernetes. La sezione di configurazione si trova nella parte superiore del file nella sezione bmctl configuration variables. Per esempi di configurazioni dei cluster utente, consulta Cluster di utenti negli esempi di configurazione dei cluster.

Per impostazione predefinita, i cluster utente ereditano le credenziali dal cluster di amministrazione che li gestisce. Puoi eseguire l'override selettivo di alcune o di tutte queste credenziali.

  1. Crea un file di configurazione del cluster utente con il comando bmctl create config:

    bmctl create config -c USER_CLUSTER_NAME
    

    Ad esempio, esegui il seguente comando per creare un file di configurazione per un cluster utente chiamato user1:

    bmctl create config -c user1
    

    Il file viene scritto in bmctl-workspace/user1/user1.yaml. Il percorso generico al file è bmctl-workspace/CLUSTER NAME/CLUSTER_NAME.yaml.

  2. Modifica il file di configurazione con le seguenti modifiche:

    • Rimuovi i percorsi dei file delle credenziali locali dalla configurazione:

      ...
        gcrKeyPath: (path to GCR service account key)
        sshPrivateKeyPath: (path to SSH private key, used for node access)
        gkeConnectAgentServiceAccountKeyPath: (path to Connect agent service account key)
        gkeConnectRegisterServiceAccountKeyPath: (path to Hub registration service account key)
        cloudOperationsServiceAccountKeyPath: (path to Cloud Operations service account key)
      ...
      
    • Modifica la configurazione in modo da specificare un tipo di cluster user anziché admin:

      ...
      spec:
        # Cluster type. This can be:
        #   1) admin:  to create an admin cluster. This can later be used to create
        #   user clusters.
        #   2) user:   to create a user cluster. Requires an existing admin cluster.
        #   3) hybrid: to create a hybrid cluster that runs admin cluster
        #   components and user workloads.
        #   4) standalone: to create a cluster that manages itself, runs user
        #   workloads, but does not manage other clusters.
        type: user
      ...
      
    • Registra i tuoi cluster in un parco risorse specificando il tuo ID progetto nel campo gkeConnect.projectID. Questo progetto è definito progetto host del parco risorse.

      ...
      gkeConnect:
         projectID: my-project-123
      ...
      
      • Se vuoi, puoi aggiungere gkeConnect.location alla specifica del cluster per specificare la regione Google Cloud in cui vengono eseguiti i servizi Fleet e Connect. L'abbonamento regionale limita il traffico del servizio di parchi alla tua regione. Se includi gkeConnect.location nella spec del cluster, la regione specificata deve essere la stessa configurata in clusterOperations.location. Se le regioni non sono uguali, la creazione del cluster non riesce.
    • Se l'API GKE On-Prem è abilitata nel tuo progetto Google Cloud, tutti i cluster del progetto vengono registrati nell'API GKE On-Prem automaticamente nella regione configurata in clusterOperations.location.

      • Se vuoi registrare tutti i cluster del progetto nell'API GKE On-Prem, assicurati di seguire i passaggi descritti in Prima di iniziare per attivare e utilizzare l'API GKE On-Prem nel progetto.

      • Se non vuoi registrare il cluster nell'API GKE On-Prem, includi questa sezione e imposta gkeOnPremAPI.enabled su false. Se non vuoi registrare cluster nel progetto, disattiva gkeonprem.googleapis.com (il nome del servizio per l'API GKE On-Prem) nel progetto. Per le istruzioni, vedi Disattivare i servizi.

    • Specifica l'indirizzo IP del nodo del piano di controllo.

      ...
      # Sample control plane config
      controlPlane:
       nodePoolSpec:
         nodes:
         - address: 10.200.0.20
      ...
      
    • Assicurati che le specifiche dei cluster di amministrazione e utente per i VIP e i pool di indirizzi del bilanciatore del carico siano complementari e non si sovrappongano ai cluster esistenti. L'esempio seguente mostra una coppia di configurazioni di cluster di amministrazione e utente di esempio, che specifica il bilanciamento del carico e i pool di indirizzi:

      ...
      # Sample admin cluster config for load balancer and address pools
        loadBalancer:
          vips:
            controlPlaneVIP: 10.200.0.49
            ingressVIP: 10.200.0.50
          addressPools:
          - name: pool1
            addresses:
            - 10.200.0.50-10.200.0.70
      ...
      ...
      # Sample user cluster config for load balancer and address pools
      loadBalancer:
          vips:
            controlPlaneVIP: 10.200.0.71
            ingressVIP: 10.200.0.72
          addressPools:
          - name: pool1
            addresses:
            - 10.200.0.72-10.200.0.90
      ...
      

      Il resto dei file di configurazione del cluster utente è uguale a quello del cluster di amministrazione.

    • Specifica la densità dei pod dei nodi del cluster:

      ...
      # NodeConfig specifies the configuration that applies to all nodes in the cluster.
      nodeConfig:
        # podDensity specifies the pod density configuration.
        podDensity:
          # maxPodsPerNode specifies at most how many pods can be run on a single node.
          maxPodsPerNode: 110
      ...
      

      Per i cluster di utenti, i valori consentiti per maxPodsPerNode sono 32-250. Se non specificato, il valore predefinito è 110. Una volta creato il cluster, questo valore non può essere aggiornato.

      La densità dei pod è limitata anche dalle risorse IP disponibili del cluster. Per i dettagli, consulta Networking dei pod.

Crea il cluster utente

Esegui il comando bmctl per applicare la configurazione del cluster utente e creare il cluster:

bmctl create cluster -c USER_CLUSTER_NAME --kubeconfig ADMIN_KUBECONFIG

Sostituisci quanto segue:

  • USER_CLUSTER_NAME: il nome del cluster creato nella sezione precedente.
  • ADMIN_KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione.

Ad esempio, per un cluster utente denominato user1 e un file kubeconfig del cluster di amministrazione con il percorso kubeconfig bmctl-workspace/admin/admin-kubeconfig, il comando sarà:

bmctl create cluster -c user1 --kubeconfig bmctl-workspace/admin/admin-kubeconfig

Esempi di configurazioni del cluster utente

Ad esempio, per le configurazioni dei cluster di utenti, consulta Cluster di utenti negli Esempi di configurazione del cluster.