本頁面由 Cloud Translation API 翻譯而成。

管理員叢集設定檔 1.30 以上版本

本文說明適用於 1.30 以上版本 Google Distributed Cloud 的管理員叢集設定檔欄位。

產生設定檔範本

如果您使用 gkeadm 建立管理員工作站，gkeadm 會產生管理員叢集設定檔的範本。此外，gkeadm 也會為你填入部分欄位。

如果您未使用 gkeadm 建立管理員工作站，可以使用 gkectl 為管理員叢集設定檔產生範本。

如要產生管理員叢集設定檔的範本，請按照下列步驟操作：

gkectl create-config admin --config=OUTPUT_FILENAME --gke-on-prem-version=VERSION

更改下列內容：

OUTPUT_FILENAME：您選擇的生成範本路徑。如果省略這個旗標，gkectl 會將檔案命名為 admin-cluster.yaml，並放在目前的目錄中。
VERSION：Google Distributed Cloud 版本號碼。例如：gkectl create-config admin --gke-on-prem-version=1.32.100-gke.106。這個版本必須等於或小於 gkectl 版本。如果省略這個標記，系統會根據最新的 1.32 修補程式，在產生的設定範本中填入值。

範本

按一下即可查看 1.32 版的生成範本。

apiVersion: v1
kind: AdminCluster
# (Optional) A unique name for this admin cluster. This will default to a random name
# prefixed with 'gke-admin-'
name: ""
# (Required) Absolute path to a GKE bundle on disk
bundlePath: ""
# (Optional/Preview) Enable advanced cluster options
enableAdvancedCluster: true
# # (Optional) The absolute or relative path to the yaml file to use for topology
# # domains. Require advanced cluster is enabled
# infraConfigFilePath: ""
# # (Optional/Preview) Specify the prepared secret configuration which can be added
# # or edited only during cluster creation
# preparedSecrets:
#   # enable prepared credentials for the admin cluster; it is immutable
#   enabled: false
# (Required) vCenter configuration
vCenter:
  address: ""
  datacenter: ""
  cluster: ""
  # Resource pool to use. Specify [VSPHERE_CLUSTER_NAME]/Resources to use the default
  # resource pool
  resourcePool: ""
  # Storage policy to use for cluster VM storage and default StorageClass. Do not
  # specify it together with datastore
  storagePolicyName: ""
  # # Datastore to use for cluster VM storage and default StorageClass. Do not specify
  # # it together with storagePolicyName
  # datastore: ""
  # Provide the path to vCenter CA certificate pub key for SSL verification
  caCertPath: ""
  # The credentials to connect to vCenter
  credentials:
    # reference to external credentials file
    fileRef:
      # read credentials from this file
      path: ""
      # entry in the credential file
      entry: ""
  # (Optional) vSphere folder where cluster VMs will be located. Defaults to the
  # datacenter wide folder if unspecified.
  folder: ""
  # # (Only used in 1.16 and older versions for non-HA admin cluster) Provide the name
  # # for the persistent disk to be used by the deployment (ending in .vmdk). Any directory
  # # in the supplied path must be created before deployment. Required for non-HA admin
  # # cluster. Invalid for HA admin cluster as the path is generated automatically under
  # # the root directory "anthos" in the specified datastore.
  # dataDisk: ""
# (Required) Network configuration
network:
  # (Required when using "static" ipMode.type; or "Seesaw" loadBalancer.kind; or using
  # amdin cluster HA mode) This section overrides ipMode.ipBlockFilePath values when
  # ipMode.type=static. It's also used for seesaw nodes
  hostConfig:
    # List of DNS servers
    dnsServers:
    - ""
    # List of NTP servers
    ntpServers:
    - ""
    # # List of DNS search domains
    # searchDomainsForDNS:
    # - ""
  ipMode:
    # (Required) Define what IP mode to use ("dhcp" or "static")
    type: static
    # (Required when using "static" mode) The absolute or relative path to the yaml
    # file to use for static IP allocation. Hostconfig part will be overwritten by
    # network.hostconfig if specified
    ipBlockFilePath: ""
  # (Required) The Kubernetes service CIDR range for the cluster. Must not overlap
  # with the pod CIDR range
  serviceCIDR: 10.96.232.0/24
  # (Required) The Kubernetes pod CIDR range for the cluster. Must not overlap with
  # the service CIDR range
  podCIDR: 192.168.0.0/16
  vCenter:
    # vSphere network name
    networkName: ""
  # (Required for HA admin cluster) Specify the IPs to use for control plane machines
  # for HA admin cluster.
  controlPlaneIPBlock:
    netmask: ""
    gateway: ""
    ips:
    - ip: ""
      hostname: ""
    - ip: ""
      hostname: ""
    - ip: ""
      hostname: ""
# (Required) Load balancer configuration
loadBalancer:
  # (Required) The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlPlaneVIP: ""
  # (Required) Which load balancer to use "F5BigIP" "Seesaw" "ManualLB" or "MetalLB".
  # Uncomment the corresponding field below to provide the detailed spec
  kind: MetalLB
  # # (Required when using "ManualLB" kind) Specify pre-defined nodeports
  # manualLB:
  #   # NodePort for ingress service's http (only needed for user cluster)
  #   ingressHTTPNodePort: 0
  #   # NodePort for ingress service's https (only needed for user cluster)
  #   ingressHTTPSNodePort: 0
  #   # NodePort for konnectivity server service (only needed for controlplane v1 user
  #   # cluster)
  #   konnectivityServerNodePort: 0
  #   # NodePort for control plane service (not needed for HA admin cluster or controlplane
  #   # V2 user cluster)
  #   controlPlaneNodePort: 30968
  # # (Required when using "F5BigIP" kind) Specify the already-existing partition and
  # # credentials
  # f5BigIP:
  #   address: ""
  #   credentials:
  #     # reference to external credentials file
  #     fileRef:
  #       # read credentials from this file
  #       path: ""
  #       # entry in the credential file
  #       entry: ""
  #   partition: ""
  #   # # (Optional) Specify a pool name if using SNAT
  #   # snatPoolName: ""
  # # (Only used in 1.16 and older versions for using "Seesaw" kind) Specify the Seesaw
  # # configs
  # seesaw:
  #   # (Required) The absolute or relative path to the yaml file to use for IP allocation
  #   # for LB VMs. Must contain one or two IPs. Hostconfig part will be overwritten by
  #   # network.hostconfig if specified.
  #   ipBlockFilePath: ""
  #   # (Required) The Virtual Router IDentifier of VRRP for the Seesaw group. Must be
  #   # between 1-255 and unique in a VLAN.
  #   vrid: 0
  #   # (Required) The IP announced by the master of Seesaw group
  #   masterIP: ""
  #   # (Required) The number CPUs per machine
  #   cpus: 2
  #   # (Required) Memory size in MB per machine
  #   memoryMB: 3072
  #   # (Optional) Network that the LB interface of Seesaw runs in (default: cluster network)
  #   vCenter:
  #     # vSphere network name
  #     networkName: ""
  #   # (Optional) Run two LB VMs to achieve high availability (default: false)
  #   enableHA: false
  #   # (Optional) Avoid using VRRP MAC and rely on gratuitous ARP to do failover. In
  #   # this mode MAC learning is not needed but the gateway must refresh arp table based
  #   # on gratuitous ARP. It's recommended to turn this on to avoid MAC learning configuration.
  #   # In vsphere 7+ it must be true to enable HA. It is supported in GKE on-prem version
  #   # 1.7+. (default: false)
  #   disableVRRPMAC: true
# Spread admin addon nodes and user masters across different physical hosts (requires
# at least three hosts)
antiAffinityGroups:
  # Set to false to disable DRS rule creation
  enabled: true
# Specify the admin master node configuration (default: 4 CPUs; 16384 MB memory; 3
# replicas). The replicas field has to be 3 for new admin cluster creation
adminMaster:
  cpus: 4
  memoryMB: 16384
  # How many machines of this type to deploy
  replicas: 3
  # # (Optional/Preview) Topology domains that admin cluster master nodes will be deployed
  # # to. Only 1 element is allowed. Advanced cluster must be enabled and infraConfigFilePath
  # # must be filled in admin cluster
  # topologyDomains:
  # - ""
  # # (Optional) Control plane load balancer configuration. Only supported when advanced
  # # cluster is enabled
  # controlPlaneLoadBalancer:
  #   # # (Optional) The control plane load balancer mode for advanced cluster. Possible values
  #   # # are bundled or manual. Default value is bundled for advanced cluster without topology
  #   # # domains; and is manual for advanced cluster with topology domains.
  #   # mode: ""
# # (Only used in 1.16 and older versions) Specify the addon node configuration which
# # can be added or edited only during cluster creation
# addonNode:
#   # Enable auto resize for addon node
#   autoResize:
#     # Whether to enable auto resize for master. Defaults to false.
#     enabled: false
# (Optional) Specify the proxy configuration
proxy:
  # The URL of the proxy
  url: ""
  # The domains and IP addresses excluded from proxying
  noProxy: ""
# # (Optional) Use a private registry to host GKE images
# privateRegistry:
#   # Do not include the scheme with your registry address
#   address: ""
#   credentials:
#     # reference to external credentials file
#     fileRef:
#       # read credentials from this file
#       path: ""
#       # entry in the credential file
#       entry: ""
#   # The absolute or relative path to the CA certificate for this registry
#   caCertPath: ""
# (Required): The absolute or relative path to the GCP service account key for pulling
# GKE images
componentAccessServiceAccountKeyPath: ""
# (Required) Specify which GCP project to register your GKE OnPrem cluster to
gkeConnect:
  projectID: ""
  # # (Optional) The location of the GKE Hub and Connect service where the cluster is
  # # registered to. It can be any GCP region or "global". Default to "global" when unspecified.
  # location: us-central1
  # The absolute or relative path to the key file for a GCP service account used to
  # register the cluster
  registerServiceAccountKeyPath: ""
# # (Optional) Specify if you wish to explicitly enable/disable the cloud hosted gkeonprem
# # API to enable/disable cluster lifecycle management from gcloud UI and Terraform.
# gkeOnPremAPI:
#   enabled: false
# (Required) Specify which GCP project to connect your logs and metrics to
stackdriver:
  # The project ID for logs and metrics. It should be the same with gkeconnect.projectID.
  projectID: ""
  # A GCP region where you would like to store logs and metrics for this cluster.
  clusterLocation: us-central1
  # The absolute or relative path to the key file for a GCP service account used to
  # send logs and metrics from the cluster
  serviceAccountKeyPath: ""
  # (Optional) Disable vsphere resource metrics collection from vcenter.  False by
  # default
  disableVsphereResourceMetrics: false
# (Optional) Configure kubernetes apiserver audit logging
cloudAuditLogging:
  # The project ID for logs and metrics. It should be the same with gkeconnect.projectID.
  projectID: ""
  # A GCP region where you would like to store audit logs for this cluster.
  clusterLocation: us-central1
  # The absolute or relative path to the key file for a GCP service account used to
  # send audit logs from the cluster
  serviceAccountKeyPath: ""
# # (Optional/Preview) Configure backups for admin cluster. Backups will be stored under
# # /anthos-backups/.
# clusterBackup:
#   # # datastore where admin cluster backups are desired
#   # datastore: ""
# Enable auto repair for the cluster
autoRepair:
  # Whether to enable auto repair feature. Set false to disable.
  enabled: true
# # Encrypt Kubernetes secrets at rest
# secretsEncryption:
#   # Secrets Encryption Mode. Possible values are: GeneratedKey
#   mode: GeneratedKey
#   # GeneratedKey Secrets Encryption config
#   generatedKey:
#     # # key version
#     # keyVersion: 1
#     # # disable secrets encryption
#     # disabled: false
# (Optional) Specify the type of OS image; available options can be set to "ubuntu_containerd"
# "cos" "ubuntu_cgv2" or "cos_cgv2". Default is "ubuntu_containerd".
osImageType: ubuntu_cgv2

必填欄位和預設值

如果欄位標示為「必填」，則填妥的設定檔必須填入該欄位的值。

如果欄位有預設值，且您未輸入任何值，叢集就會使用該值。如要覆寫預設值，請輸入值。

如果欄位未標示為「必填」，則為選填。如果與您相關，可以填寫，但並非必要。

填寫設定檔

在設定檔中輸入欄位值，詳情請參閱下列章節。

`enableAdvancedCluster`

1.32 以上版本

選用
可變動 (允許從 false 變更為 true)
布林值
預先填入：true
預設值：true

如果您不想在建立新叢集時啟用進階叢集，請將 enableAdvancedCluster 設為 false。如果將這個旗標設為 true (啟用進階叢集)，Google Distributed Cloud 軟體就會部署控制器，以便採用更具擴充性的架構。啟用進階叢集後，您就能使用拓撲網域等新功能。如果已設定 infraConfigFilePath，則必須填寫這個欄位。

啟用進階叢集前，請務必先查看執行進階叢集時的差異。

如要將現有叢集更新為進階叢集，請參閱「將叢集更新為進階叢集」。更新為進階叢集後，就無法停用。

1.31

僅適用於新叢集
預覽版
選用
不可變更
布林值
預先填入：false
預設值：false

將 enableAdvancedClusters 設為 true，即可在建立新叢集時啟用進階叢集。啟用這個標記後，底層的 Google Distributed Cloud 軟體會部署控制器，以便採用更具擴充性的架構。啟用進階叢集後，您就能使用新功能，例如拓撲網域。如果已設定 infraConfigFilePath，則必須填寫這個欄位。

1.30 以下版本

不適用。

`name`

選用
字串
預設值：以「gke-admin-」前置字串開頭的隨機名稱

您為叢集選用的名稱。

範例：

name: "my-admin-cluster"

`bundlePath`

必要
可變動
字串

Google Distributed Cloud 套裝組合檔案的路徑。

Google Distributed Cloud 完整套裝組合檔案包含特定 Google Distributed Cloud 版本的所有元件。建立管理工作站時，系統會將完整套件組合放在下列位置：

/var/lib/gke/bundles/gke-onprem-vsphere-VERSION-full.tgz

範例：

bundlePath: "/var/lib/gke/bundles/gke-onprem-vsphere-1.10.0-gke.8.full.tgz"

`preparedSecrets.enabled`

如果已設定 infraConfigFilePath，請移除這個欄位。

預覽
選用
不可變動
布林值
預先填入：false
預設值：false

如要在管理員叢集中使用準備好的憑證，請將這個值設為 true。否則請設為 false 或省略該欄位。

範例：

preparedSecrets:
  enabled: true

`vCenter`

本節包含 vSphere 環境和 vCenter Server 連線的相關資訊。

如果已設定 infraConfigFilePath，請移除整個區段。否則這個部分為必填，且無法變更。

`vCenter.address`

必要
不可變動
字串

vCenter 伺服器的 IP 位址或主機名稱。

詳情請參閱「尋找 vCenter 伺服器位址」。

範例：

vCenter:
  address: "203.0.113.100"

vCenter:
  address: "my-vcenter-server.my-domain.example"

`vCenter.datacenter`

必要
不可變動
字串

vSphere 資料中心的相對路徑。

您指定的值會與名為 / 的根資料夾相關。

如果資料中心位於根資料夾中，值就是資料中心的名稱。

範例：

vCenter:
  datacenter: "my-data-center"

否則，值會是相對路徑，其中包含一或多個資料夾，以及資料中心名稱。

範例：

vCenter:
  datacenter: "data-centers/data-center-1"

`vCenter.cluster`

必要
不可變動
字串

代表 ESXi 主機的 vSphere 叢集相對路徑，管理員叢集 VM 會在這些主機上執行。這個 vSphere 叢集代表 vCenter 資料中心中的實體 ESXi 主機子集。

指定的值與 /.../DATA_CENTER/vm/ 相關。

如果 vSphere 叢集位於 /.../DATA_CENTER/vm/ 資料夾中，則值為 vSphere 叢集的名稱。

範例：

vCenter:
  cluster: "my-vsphere-cluster"

否則，該值是相對路徑，包含一或多個資料夾，以及 vSphere 叢集的名稱。

範例：

vCenter:
  cluster: "clusters/vsphere-cluster-1"

`vCenter.resourcePool`

必要
不可變動
字串

管理員叢集 VM 的 vCenter 資源集區。

如要使用預設資源集區，請將此值設為 VSPHERE_CLUSTER/Resources。

範例：

vCenter:
  resourcePool: "my-vsphere-cluster/Resources"

如要使用已建立的資源集區，請將此項設為資源集區的相對路徑。

指定的值與 /.../DATA_CENTER/host/.../VSPHERE_CLUSTER/Resources/ 相關

如果資源集區是 /.../DATA_CENTER/host/.../VSPHERE_CLUSTER/Resources/ 的直接子項，則值為資源集區的名稱。

範例：

vCenter:
  resourcePool: "my-resource-pool"

否則，該值是具有兩個以上資源集區的相對路徑。

範例：

vCenter:
  resourcePool: "resource-pool-1/resource-pool-2"

`vCenter.datastore`

如未指定 vCenter.storagePolicyName，則為必要欄位
不可變動
字串

管理員叢集的 vSphere 資料儲存庫名稱。

指定的值必須是名稱，而非路徑。值中不得包含任何資料夾。

範例：

vCenter:
  datastore: "my-datastore"

你必須指定 vCenter.datastore 或 vCenter.storagePolicyName 的值，但不能同時指定兩者。如果為這個欄位指定值，請勿為 vCenter.storagePolicyName 指定值。除非您在將資料存放區遷移至以儲存空間政策為基礎的管理 (SPBM) 時，將 vCenter.datastore 欄位設為空字串，否則該欄位無法變更。

`vCenter.storagePolicyName`

如未指定 vCenter.datastore，則為必要欄位
不可變動
字串

叢集節點的VM 儲存空間政策名稱。

管理員叢集必須具備高可用性 (HA)，才能使用儲存空間政策。

詳情請參閱「設定儲存空間政策」。

你必須指定 vCenter.datastore 或 vCenter.storagePolicyName 的值，但不能同時指定兩者。如果為這個欄位指定值，請勿為 vCenter.datastore 指定值。

`vCenter.caCertPath`

必要
可變動
字串

vCenter Server CA 憑證的路徑。

詳情請參閱「取得 vCenter CA 憑證」。

如要瞭解如何更新現有叢集的這個欄位，請參閱「更新 vCenter 憑證參照」。

範例：

vCenter:
  caCertPath: "/usr/local/google/home/me/certs/vcenter-ca-cert.pem"

`vCenter.credentials.fileRef.path`

必要
字串

憑證設定檔的路徑，其中包含 vCenter 使用者帳戶的使用者名稱和密碼。使用者帳戶應具備管理員角色或同等權限。請參閱「vSphere 需求」。

您可以使用 gkectl update 更新現有叢集中的這個欄位。

如要瞭解如何更新 vCenter 憑證，請參閱「更新叢集憑證」。

範例：

vCenter:
  credentials:
    fileRef:
      path: "my-config-folder/admin-creds.yaml"

`vCenter.credentials.fileRef.entry`

必要
字串

憑證區塊的名稱，位於憑證設定檔中，用於保存 vCenter 使用者帳戶的使用者名稱和密碼。

您可以使用 gkectl update 更新現有叢集中的這個欄位。

如要瞭解如何更新 vCenter 憑證，請參閱「更新叢集憑證」。

範例：

vCenter:
  credentials:
    fileRef:
      entry: "vcenter-creds"

`vCenter.folder`

選用
不可變動
字串
預設值：資料中心範圍的資料夾

這個相對路徑連往您已建立的 vSphere 資料夾。這個資料夾會存放管理員叢集 VM。

如未指定值，管理員叢集 VM 會放在 /.../DATA_CENTER/vm/ 中。

如果您指定值，該值會與 /.../DATA_CENTER/vm/ 相關。

這個值可以是資料夾名稱。

範例：

vCenter:
  folder: "my-folder"

或者，值可以是包含多個資料夾的相對路徑。

範例：

vCenter:
  folder: "folders/folder-1"

`vCenter.dataDisk`

請勿為這個欄位提供值。您可以刪除該欄位，或將其註解掉。

`network`

必填
不可變更

這個部分包含管理員叢集網路的相關資訊。

`network.hostConfig`

這個部分包含叢集節點 VM 使用的 NTP 伺服器、DNS 伺服器和 DNS 搜尋網域資訊。

如果已設定 infraConfigFilePath，請移除整個區段。否則，這個部分為必填且不可變更。

`network.hostConfig.dnsServers`

如果填寫 network.hostConfig 區段，則為必要欄位。
不可變動
字串陣列。
陣列中的元素數量上限為三個。

VM 的 DNS 伺服器位址。

範例：

network:
  hostConfig:
    dnsServers:
    - "172.16.255.1"
    - "172.16.255.2"

`network.hostConfig.ntpServers`

如果填寫 network.hostConfig 區段，則為必要欄位。
不可變動
字串陣列

VM 使用的時間伺服器位址。

範例：

network:
  hostConfig:
    ntpServers:
    - "216.239.35.0"

`network.hostConfig.searchDomainsForDNS`

選用
不可變動
字串陣列

供 VM 使用的 DNS 搜尋網域，可做為部分的網域搜尋清單。

範例：

network:
  hostConfig:
    searchDomainsForDNS:
    - "my.local.com"

`network.ipMode.type`

不可變動
字串
預先填入：「static」
預設值：「dhcp」

如要讓叢集節點從 DHCP 伺服器取得 IP 位址，請將此值設為 "dhcp"。如要讓叢集節點擁有您從清單中選擇的靜態 IP 位址，請將這項設定設為 "static"。

在大多數情況下，您應指定 static，因為您一律必須為管理員叢集的控制層節點提供 IP 位址。只有在下列情況下，DHCP 才會用於提供 IP 位址：

如果使用者叢集未啟用 enableControlplaneV2，則可為使用者叢集的控制層節點使用 DHCP，這些節點位於管理員叢集中。
在 1.16 以下版本中，非高可用性管理員叢集的附加元件節點可以透過 DHCP 取得 IP 位址。在 1.28 以上版本中，管理員叢集必須為高可用性，且沒有附加元件節點。

範例：

network:
  ipMode:
    type: "static"

`network.ipMode.ipBlockFilePath`

叢集的IP 區塊檔案絕對或相對路徑。

如果已設定 infraConfigFilePath，則必須填寫這個欄位。

在下列情況中，這個欄位也必須填寫：

1.16 以下的非高可用性管理員叢集：在 IP 區塊檔案中列出控制層節點和外掛程式節點的 IP 位址。
1.16 以下的 HA 管理員叢集：在 IP 區塊檔案中列出外掛程式節點的 IP 位址。
1.29 以下的 kubeception 使用者叢集：在管理員叢集 IP 區塊檔案中，列出使用者叢集控制層節點的 IP 位址。

不可變動
字串

範例：

network:
  ipMode:
    ipBlockFilePath: "/my-config-folder/admin-cluster-ipblock.yaml"

`network.serviceCIDR`

必要
不可變更
字串
最小可能範圍：/24
最大可能範圍：/12
預先填入：「10.96.232.0/24」

以 CIDR 格式表示的 IP 位址範圍，用於叢集中的服務。

範例：

network:
  serviceCIDR: "10.96.232.0/24"

`network.podCIDR`

必要
不可變動
字串
最小可能範圍：/18
最大可能範圍：/8
預先填入：「192.168.0.0/16」

以 CIDR 格式表示的 IP 位址範圍，用於叢集中的 Pod。

範例：

network:
  podCIDR: "192.168.0.0/16"

Service 範圍不得與 Pod 範圍重疊。

Service 和 Pod 範圍不得與您要從叢集內部連結的任何外部位址重疊。

舉例來說，假設您的服務範圍為 10.96.232.0/24，Pod 範圍為 192.168.0.0/16。從 Pod 傳送至任一範圍內位址的流量，都會視為叢集內流量，不會傳送至叢集外的任何目的地。

具體來說，Service 和 Pod 範圍不得與下列項目重疊：

任何叢集內節點的 IP 位址
負載平衡器機器使用的 IP 位址
控制層節點和負載平衡器使用的 VIP
vCenter 伺服器、DNS 伺服器和 NTP 伺服器的 IP 位址

建議您將 Service 和 Pod 範圍設在 RFC 1918 位址空間中。

建議使用 RFC 1918 位址的原因之一是：假設您的 Pod 或服務範圍包含外部 IP 位址。從 Pod 傳送至其中一個外部位址的任何流量，都會視為叢集內流量，且不會抵達外部目的地。

`network.vCenter.networkName`

叢集節點的 vSphere 網路名稱。

如果已設定 infraConfigFilePath，請移除這個欄位。否則這個欄位為必填欄位，且無法變更。

範例：

network:
  vCenter:
    networkName: "my-network"

如果名稱含有特殊字元，您必須使用逸出序列。

特殊字元	逸出序列
斜線 (`/`)	`%2f`
反斜線 (`\`)	`%5c`
百分比符號 (`%`)	`%25`

如果資料中心內的網路名稱不重複，您可以指定完整路徑。

範例：

network:
  vCenter:
    networkName: "/data-centers/data-center-1/network/my-network"

`network.controlPlaneIPBlock`

管理員叢集控制層節點的網路資訊。

如果已設定 infraConfigFilePath，請移除整個區段。否則，這個部分為必填且不可變更。

`network.controlPlaneIPBlock.netmask`

必要
不可變動
字串

含有控制層節點的網路的網路遮罩。

範例：

network:
  controlPlaneIPBlock:
    netmask: "255.255.255.0"

`network.controlPlaneIPBlock.gateway`

必要
不可變動
字串

控制層節點預設閘道的 IP 位址。

範例：

network:
  controlPlaneIPBlock:
    gateway: "172.16.22.1"

`network.controlPlaneIPBlock.ips`

必要
不可變動
三個物件的陣列，每個物件都有 IP 位址和選用的主機名稱。

這些是將指派給控制層節點的 IP 位址。

範例：

network:
  controlPlaneIPBlock:
    ips:
    - ip: "172.16.22.6"
      hostname: "admin-cp-vm-1"
    - ip: "172.16.22.7"
      hostname: "admin-cp-vm-2"
    - ip: "172.16.22.8"
      hostname: "admin-cp-vm-3"

`infraConfigFilePath`

1.31

在這個欄位中指定路徑，即可啟用拓撲網域。

預覽
選用
字串
可變動

指定 vSphere 基礎架構設定檔的完整路徑。

範例：

infraConfigFilePath: "/my-config-folder/vsphere-infrastructure.yaml"

除了新增路徑，請將 vSphere 基礎架構設定檔複製到適用的目錄。

如果您將路徑新增至 infraConfigFilePath，則需要對管理員叢集和使用者叢集設定檔進行下列變更。

管理員叢集設定檔變更

從管理員叢集設定檔中移除下列項目。您可以在每個拓撲網域的 vSphere 基礎架構設定檔中設定這項資訊。
- vCenter：移除整個 vCenter 區段。
- network.hostConfig：移除整個 network.hostConfig 區段。
- network.vCenter.networkName：移除這個欄位。
在管理員叢集設定檔中進行下列變更：
- network.controlPlaneIPBlock：移除整個部分。請改為在 IP 區塊檔案中，指定管理員叢集控制層節點的 IP 位址。
- preparedSecrets：移除這個欄位。啟用拓撲網域時，系統不支援準備好的憑證。移除這個欄位。
以下為必填欄位：
- enableAdvancedCluster：設為 true。
- network.ipMode.ipBlockFilePath：設為管理員叢集 IP 區塊檔案的完整或相對路徑。
- loadBalancer.kind：設為 "ManualLB"。 "ManualLB" 是 Google Distributed Cloud 提供的唯一多子網路 (第 3 層) 負載平衡選項。

使用者叢集設定檔變更

從使用者叢集設定檔中移除下列項目。您可以在每個拓撲網域的 vSphere 基礎架構設定檔中設定這項資訊。
- vCenter：移除整個 vCenter 區段。
- network.hostConfig：移除整個 network.hostConfig 區段。
- network.vCenter.networkName：移除這個欄位。
- masterNode.vsphere：移除整個區段。
- nodePools[i].vsphere.datastore 和 nodePools[i].vsphere.storagePolicyName：移除這些欄位。
在使用者叢集設定檔中進行下列變更：
- network.controlPlaneIPBlock：移除整個部分。請改為在 IP 區塊檔案中，指定管理員叢集控制層節點的 IP 位址。
- preparedSecrets：移除這個欄位。啟用拓撲網域時，系統不支援準備好的憑證。
- nodePools[i].vsphere.hostgroups：移除這個欄位。啟用拓撲網域時，系統不支援 VM-Host 親和性。
- multipleNetworkInterfaces：將這個欄位設為 false。啟用拓撲網域時，系統不支援 Pod 的多個網路介面。
- storage.vSphereCSIDisabled：將這個欄位設為 true，即可停用 vSphere CSI 元件的部署作業
以下為必填欄位：
- enableAdvancedCluster：在使用者叢集設定檔中設為 true。
- network.ipMode.ipBlockFilePath：設為使用者叢集 IP 區塊檔案的完整或相對路徑。
- loadBalancer.kind：設為 "ManualLB"。"ManualLB" 是 Google Distributed Cloud 提供的唯一多子網路 (第 3 層) 負載平衡選項。

1.30 以下版本

不適用。

`loadBalancer`

本節包含管理員叢集負載平衡器的相關資訊。

`loadBalancer.vips.controlPlaneVIP`

必要
不可變動
字串

您選擇在負載平衡器上設定的 IP 位址，適用於管理員叢集的 Kubernetes API 伺服器。

範例：

loadBalancer:
  vips:
    controlplaneVIP: "203.0.113.3"

`loadBalancer.kind`

指定要使用的負載平衡器類型。

1.32 以上版本

必要
不可變動
字串
預先填入：「MetalLB」

您可使用的負載平衡器類型，取決於是否要將叢集設定為使用拓撲網域。如果設定 infraConfigFilePath 欄位，叢集會假設使用拓撲網域。

使用拓撲網域：請將此值設為 "ManualLB"。如要使用拓撲網域，必須設定第三方負載平衡器 (例如 F5 BIG-IP 或 Citrix)。
沒有拓撲網域：請設為 "ManualLB" 或 "MetalLB"。如果您使用第三方負載平衡器，請使用 "ManualLB"；如果您使用我們的套裝解決方案，請使用 "MetalLB"。

如果 enableAdvancedCluster 設為 true (已啟用進階叢集)，控制層節點的負載平衡器類型會由 adminMaster.controlPlaneLoadBalancer 決定。

範例：

loadBalancer:
  kind: "MetalLB"

1.31

必要
不可變動
字串
預先填入：「MetalLB」

您可使用的負載平衡器類型，取決於是否要將叢集設定為使用拓撲網域。如果設定 infraConfigFilePath 欄位，叢集會假設使用拓撲網域。

使用拓撲網域：請將此值設為 "ManualLB"。如要使用拓撲網域，必須設定第三方負載平衡器 (例如 F5 BIG-IP 或 Citrix)。
沒有拓撲網域：請設為 "ManualLB" 或 "MetalLB"。如果您使用第三方負載平衡器，請使用 "ManualLB"；如果您使用我們的套裝解決方案，請使用 "MetalLB"。

範例：

loadBalancer:
  kind: "MetalLB"

1.30

必要
不可變動
字串
預先填入：「MetalLB」

請將此值設為 "ManualLB" 或 "MetalLB"。如果您使用第三方負載平衡器 (例如 F5 BIG-IP 或 Citrix)，請使用 "ManualLB"；如果是使用我們隨附的解決方案，請使用 "MetalLB"。

請注意下列與舊版的差異：

在 1.30 以上版本中，新管理員叢集不得使用 "F5BigIP" 值。
在 1.28 以上版本中，新管理員叢集不得使用 "Seesaw" 值。

如果現有叢集使用這些負載平衡器，請參閱「規劃叢集遷移至建議功能」。

範例：

loadBalancer:
  kind: "MetalLB"

1.29 和 1.28

必要
不可變動
字串
預先填入：「MetalLB」

將此值設為 "ManualLB"、"F5BigIP" 或 "MetalLB"

如要啟用進階新功能，建議您使用 "ManualLB" (如果您有第三方負載平衡器，例如 F5 BIG-IP 或 Citrix) 或 "MetalLB" (如果您使用我們的套裝組合解決方案)。

在 1.28 以上版本中，新管理員叢集不得使用 "Seesaw" 值。如果您有使用 Seesaw 負載平衡器的現有叢集，請參閱「從 Seesaw 負載平衡器遷移至 MetalLB」。

範例：

loadBalancer:
  kind: "MetalLB"

1.16 以下版本

必要
不可變動
字串
預先填入：「MetalLB」

字串。將此值設為 "ManualLB"、"F5BigIP"、"Seesaw" 或 "MetalLB"

如果將 adminMaster.replicas 設為 3，就無法使用 Seesaw 負載平衡器。

範例：

loadBalancer:
  kind: "MetalLB"

使用 Google Cloud 控制台、gcloud CLI 或 Terraform 建立使用者叢集時，管理員叢集和使用者叢集的負載平衡器類型必須相同。唯一的例外是，如果管理員叢集使用 Seesaw，使用者叢集就可以使用 MetalLB。如要讓管理員和使用者叢集使用不同類型的負載平衡器，請務必使用 gkectl 指令列工具建立使用者叢集。

`loadBalancer.manualLB`

如果將 loadbalancer.kind 設為 "ManualLB"，請填寫這個部分。否則請移除這個部分。
不可變動

`loadBalancer.manualLB.ingressHTTPNodePort`

請從設定檔中移除這個欄位。不會用於管理叢集。

`loadBalancer.manualLB.ingressHTTPSNodePort`

請從設定檔中移除這個欄位。不會用於管理叢集。

`loadBalancer.manualLB.konnectivityServerNodePort`

請從設定檔中移除這個欄位。不會用於管理叢集。

`loadBalancer.f5BigIP`

1.30 以上版本

在 1.30 以上版本中，新管理叢集的 loadbalancer.kind 不允許使用 "F5BigIP" 值。如果設定檔中含有 loadBalancer.f5BigIP 區段，請移除或註解掉該區段。

您仍可搭配新的管理叢集使用 F5 BIG-IP 負載平衡器，但設定方式不同。如需設定詳情，請參閱「啟用手動負載平衡模式」。

如果現有叢集已設定這個部分，系統會封鎖升級至 1.32 版的作業。升級至 1.32 版之前，請務必將叢集遷移至建議功能。

1.29

如果將 loadbalancer.kind 設為 "F5BigIP"，請填寫這個部分。否則請移除這個部分。

如要啟用進階新功能，建議您為 F5 BIG-IP 負載平衡器設定手動負載平衡。如要啟用手動負載平衡，請將 loadbalancer.kind 設為 "ManualLB"，並填寫 loadBalancer.manualLB 區段。詳情請參閱啟用手動負載平衡模式。

如果您有現有的 F5-BIG-IP 負載平衡器，且叢集設定使用這個部分，升級至 1.29 以上版本後，建議您遷移至手動負載平衡。

1.28 以下版本

如果將 loadbalancer.kind 設為 "F5BigIP"，請填寫這個部分。否則請移除這個部分。

`loadBalancer.f5BigIP.address`

1.30 以上版本

新叢集不允許使用
如果 loadBalancer.kind = "F5BigIp"，則為必要欄位
不可變更
字串

F5 BIG-IP 負載平衡器的位址。例如：

loadBalancer:
  f5BigIP:
    address: "203.0.113.2"

1.29 以下版本

如果 loadBalancer.kind = "F5BigIp"
不可變動
字串，則為必填屬性

F5 BIG-IP 負載平衡器的位址。例如：

loadBalancer:
  f5BigIP:
    address: "203.0.113.2"

`loadBalancer.f5BigIP.credentials.fileRef.path`

1.30 以上版本

不允許用於新叢集
如果 loadBalancer.kind = "F5BigIp"，則為必要欄位
可變動
字串

憑證設定檔的路徑，其中包含 Google Distributed Cloud 可用來連線至 F5 BIG-IP 負載平衡器的帳戶使用者名稱和密碼。

使用者帳戶必須具備使用者角色，且擁有足夠的權限來設定及管理負載平衡器。「管理員」或「資源管理員」角色皆可。

您可以使用 gkectl update 更新現有叢集中的這個欄位。

如要瞭解如何更新 F5 BIG-IP 憑證，請參閱「更新叢集憑證」。

範例：

loadBalancer:
  f5BigIP:
    credentials:
      fileRef:
        path: "my-config-folder/admin-creds.yaml"

1.29 以下版本

如果 loadBalancer.kind = "F5BigIp"
Mutable
String，則為必填

憑證設定檔的路徑，其中包含 Google Distributed Cloud 可用來連線至 F5 BIG-IP 負載平衡器的帳戶使用者名稱和密碼。

使用者帳戶必須具備使用者角色，且擁有足夠的權限來設定及管理負載平衡器。「管理員」或「資源管理員」角色皆可。

您可以使用 gkectl update 更新現有叢集中的這個欄位。

如要瞭解如何更新 F5 BIG-IP 憑證，請參閱「更新叢集憑證」。

範例：

loadBalancer:
  f5BigIP:
    credentials:
      fileRef:
        path: "my-config-folder/admin-creds.yaml"

`loadBalancer.f5BigIP.credentialsfileRef.entry`

1.30 以上版本

不允許用於新叢集
如果 loadBalancer.kind = "F5BigIp"，則為必要欄位
可變動
字串

憑證區塊的名稱，位於憑證設定檔中，用於保存 F5 BIG-IP 帳戶的使用者名稱和密碼。

您可以使用 gkectl update 更新現有叢集中的這個欄位。

如要瞭解如何更新 F5 BIG-IP 憑證，請參閱「更新叢集憑證」。

範例：

loadBalancer:
  f5BigIP:
    credentials:
      fileRef:
        entry: "f5-creds"

1.29 以下版本

如果 loadBalancer.kind = "F5BigIp"
Mutable
String，則為必填

憑證區塊的名稱，位於憑證設定檔中，用於保存 F5 BIG-IP 帳戶的使用者名稱和密碼。

您可以使用 gkectl update 更新現有叢集中的這個欄位。

如要瞭解如何更新 F5 BIG-IP 憑證，請參閱「更新叢集憑證」。

範例：

loadBalancer:
  f5BigIP:
    credentials:
      fileRef:
        entry: "f5-creds"

`loadBalancer.f5BigIP.partition`

1.30 以上版本

新叢集不允許使用
如果 loadBalancer.kind = "F5BigIp"，則為必要
不可變動
字串

您為管理員叢集建立的 BIG-IP 分區名稱。

範例：

loadBalancer:
  f5BigIP:
    partition: "my-f5-admin-partition"

1.29 以下版本

如果 loadBalancer.kind = "F5BigIp"
不可變動
字串，則為必填屬性

您為管理員叢集建立的 BIG-IP 分區名稱。

範例：

loadBalancer:
  f5BigIP:
    partition: "my-f5-admin-partition"

`loadBalancer.f5BigIP.snatPoolName`

1.30 以上版本

新叢集不允許使用
選用
如果 loadBalancer.kind = "F5BigIp"
不可變更
字串

如果您使用的是 SNAT，則為 SNAT 集區的名稱。如果未使用 SNAT，請移除這個欄位。

範例：

loadBalancer:
  f5BigIP:
    snatPoolName: "my-snat-pool"

1.29 以下版本

選用
如果 loadBalancer.kind = "F5BigIp"，則為必要欄位
不可變動
字串

如果您使用的是 SNAT，則為 SNAT 集區的名稱。如果未使用 SNAT，請移除這個欄位。

範例：

loadBalancer:
  f5BigIP:
    snatPoolName: "my-snat-pool"

`loadBalancer.seesaw`

請勿使用這個部分。Seesaw 負載平衡器不支援 1.28 以上版本的新管理員叢集。建議您改為為新的管理員叢集設定 MetalLB 負載平衡器。如要進一步瞭解如何設定 MetalLB，請參閱「使用 MetalLB 進行套裝組合負載平衡」。

雖然我們仍支援已升級的非 HA 管理員叢集使用 Seesaw，但建議您遷移至 MetalLB。

`antiAffinityGroups.enabled`

選用
可變動
布林值
預先填入：true

將此值設為 true，即可建立 DRS 規則。否則請設為 false。

如果這個欄位為 true，Google Distributed Cloud 會為管理員叢集節點建立 VMware Distributed Resource Scheduler (DRS) 反相依性規則，使其分散於資料中心內至少三個實體 ESXi 主機上。

如要使用這項功能，vSphere 環境必須符合下列條件：

已啟用 VMware DRS。VMware DRS 需要 vSphere Enterprise Plus 授權版本。
您的 vSphere 使用者帳戶具有Host.Inventory.Modify cluster權限。
至少有四個可用的 ESXi 主機。

雖然規則規定叢集節點必須分散在三個 ESXi 主機上，但我們強烈建議您至少要有四個 ESXi 主機。這樣可避免您失去管理員叢集控制層。舉例來說，假設您只有三個 ESXi 主機，而管理員叢集控制層節點位於故障的 ESXi 主機上。DRS 規則會禁止控制層節點放置在剩餘的兩個 ESXi 主機上。

請注意，如果您有 vSphere Standard 授權，則無法啟用 VMware DRS。

如果未啟用 DRS，或沒有至少四部可排定 vSphere VM 的主機，請將 antiAffinityGroups.enabled 設為 false。

請注意，進階叢集有下列限制：

1.31 版：如果 enableAdvancedCluster 欄位為 true，進階叢集不支援反親和性規則，您必須將 antiAffinityGroups.enabled 設為 false。
1.32 版：進階叢集支援反親和性規則。

範例：

antiAffinityGroups:
  enabled: true

`adminMaster`

Immutable

管理員叢集控制層節點的設定。

`adminMaster.controlPlaneLoadBalancer`

1.32 以上版本

您可以選擇加入這個區段，指定管理員叢集控制層流量使用的負載平衡器類型。如要明確設定要使用的負載平衡器類型，而非依賴預設值，請在設定檔中加入 adminMaster.controlPlaneLoadBalancer.mode。此外，即使欄位在 1.32 以上版本中為無運算，您仍須在設定檔中設定 loadBalancer.kind。

`adminMaster.controlPlaneLoadBalancer.mode`

選用
不可變更
字串
預設值：取決於叢集是否使用拓撲網域

您可使用的負載平衡器類型，取決於是否要將叢集設定為使用拓撲網域。如果設定 infraConfigFilePath 欄位，叢集會假設使用拓撲網域。

使用拓撲網域：指定 "manual"，這是預設值。如要使用拓撲網域，必須設定第三方負載平衡器 (例如 F5 BIG-IP 或 Citrix)。
沒有拓撲網域：請指定 "manual" 或 "bundled"。如果您使用第三方負載平衡器，請使用 "manual"；如果您使用我們的套裝解決方案，請使用 "bundled"，該解決方案會在三個管理叢集控制層節點上執行 keepalived + haproxy。預設值為「bundled"」。

範例：

adminMaster:
  controlPlaneLoadBalancer:
    mode: "manual"

1.31 以下版本

這個專區無法使用。請改用 loadBalancer.kind 指定管理員叢集要使用的負載平衡器類型。

`adminMaster.cpus`

預覽
選用
不可變動
整數
預先填入：4
預設值：4

管理員叢集中每個控制層節點的 vCPU 數量。

範例：

adminMaster:
  cpus: 4

`adminMaster.memoryMB`

預覽
選用
不可變動
整數
預先填入：16384
預設值：16384

管理員叢集中每個控制層節點的記憶體容量 (以 MiB 為單位)。

範例：

adminMaster:
  memoryMB: 16384

`adminMaster.replicas`

1.28 以上版本

新叢集必填
不可變更
整數
可能的值：3

管理員叢集中的控制層節點數量。在 1.28 以上版本中，新的管理員叢集必須具備高可用性 (HA)。將這個欄位設為 3，即可建立具有 3 個控制層節點的高可用性管理員叢集。

範例：

adminMaster:
  replicas: 3

1.16 以下版本

選用
不可變更
整數
可能的值：1 或 3
預先填入：1
預設值：1

管理員叢集中的控制層節點數量。如要建立高可用性管理員叢集，請將這個值設為 3。否則請設為 1。

如果將這項屬性設為 3，則必須填寫 network.controlPlaneIPBlock 和 network.hostConfig 區段。

如果將這項設定設為 3，就無法使用 Seesaw 負載平衡器。

範例：

adminMaster:
  replicas: 3

`adminMaster.topologyDomains`

1.32 以上版本

預覽
選用
字串陣列 | 允許一個元素或三個不同元素
不可變動
預設值：vSphereInfraConfig.defaultTopologyDomain (如在 vSphere 基礎架構設定檔中指定)

拓撲網域陣列。如果已設定 infraConfigFilePath (表示叢集將使用拓撲網域)，則可選擇加入這個欄位。陣列中的拓撲網域數量會決定管理員叢集控制層節點的部署方式，如下所示：

一個元素：所有三個管理員叢集控制層節點都會部署在指定的拓撲網域中。
三個元素：每個管理員叢集控制層節點都會部署在不同的拓撲網域 (也就是每個拓撲網域一個節點)。

1.31 以上版本

僅適用於新叢集
預覽版
字串陣列 | 僅允許一個元素
選用
不可變更
預設值：vSphereInfraConfig.defaultTopologyDomain (如在 vSphere 基礎架構設定檔中指定)

拓撲網域陣列。如果已設定 infraConfigFilePath (表示叢集將使用拓撲網域)，則可選擇加入這個欄位。管理員叢集控制層節點會部署在指定的拓撲網域中。

1.30 以下版本

不適用。

`addonNode.autoResize.enabled`

1.28 以上版本

建立新叢集時，請勿在設定檔中加入這項設定。在 1.28 以上版本中建立的管理員叢集必須具備高可用性 (HA)，且有三個控制層節點。在 1.28 以上版本中，高可用性管理員叢集沒有外掛程式節點。

1.16 以下版本

選用
可變動
布林值
預先填入：false
預設值：false

請將此值設為 true，啟用管理員叢集中外掛程式節點的大小自動調整功能。否則請設為 false。

如要更新這個欄位的值，請使用 gkectl update admin。

範例：

addonNode:
  autoResize:
    enabled: true

`proxy`

如果您的網路位於 Proxy 伺服器後方，請填寫這個部分。否則，請移除這個部分或排除其註解。您在此指定的 Proxy 伺服器，會由這個管理員叢集管理的使用者叢集使用。
無法變更

`proxy.url`

如果填寫 proxy 區段，則為必要欄位。
不可變動
字串

Proxy 伺服器的 HTTP 位址。即使通訊埠號碼與架構的預設通訊埠相同，也請一併加入。

範例：

proxy:
  url: "http://my-proxy.example.local:80"

您在此指定的 Proxy 伺服器會由 Google Distributed Cloud 叢集使用。此外，除非您在管理工作站上設定 HTTPS_PROXY 環境變數，否則管理工作站也會自動設定為使用這個 Proxy 伺服器。

如果指定 proxy.url，則必須一併指定 proxy.noProxy。

設定管理員叢集的 Proxy 設定後，除非重建叢集，否則無法修改或刪除。

`proxy.noProxy`

選用
不可變動
字串

以逗號分隔的 IP 位址、IP 位址範圍、主機名稱和網域名稱清單，這些項目不應透過 Proxy 伺服器傳輸。Google Distributed Cloud 會直接將要求傳送至這些地址、主機或網域。

範例：

proxy:
  noProxy: "10.151.222.0/24,my-host.example.local,10.151.2.1"

`privateRegistry`

私人容器登錄檔是指只有經過驗證的使用者才能存取容器映像檔的登錄檔。如果使用者叢集需要存取工作負載映像檔，請填寫這個部分。設定 privateRegistry 區段時，這個管理員叢集管理的所有使用者叢集，都會從您在此處設定的私有登錄檔提取工作負載映像檔。

如果您設定 privateRegistry 區段，在叢集建立或升級前執行 gkectl prepare 時，gkectl 會將 Google Distributed Cloud 系統映像檔推送至私有登錄檔。建立或升級叢集時，系統會從私人登錄檔擷取系統映像檔。如未設定 privateRegistry 區段，系統會使用元件存取服務帳戶，從 gcr.io/gke-on-prem-release 提取系統映像檔。

在下列情況下，您可能需要設定 privateRegistry 區段，讓叢集從私人登錄檔而非 gcr.io/gke-on-prem-release 中提取系統映像檔：

您需要盡量減少連線至 Google Cloud ，因為有安全疑慮或法規要求。
貴機構要求輸出流量必須通過 Proxy 伺服器，且連線至 Google Cloud 的網路速度緩慢。

如要將 Google 的 Artifact Registry 做為私人登錄檔使用，請參閱「將 Artifact Registry 做為工作負載映像檔的私人登錄檔」一文，瞭解設定步驟。

`privateRegistry.address`

私人登錄檔的必要項目
不可變動
字串

執行私人登錄檔的電腦 IP 位址或完整網域名稱 (FQDN)。

範例：

privateRegistry:
  address: "203.0.113.10"

privateRegistry:
  address: "fqdn.example.com"

`privateRegistry.credentials.fileRef.path`

私人登錄檔的必要項目
可變動
字串

憑證設定檔的路徑，該檔案包含 Google Distributed Cloud 可用來存取私人登錄檔的帳戶使用者名稱和密碼。

範例：

privateRegistry:
  credentials:
    fileRef:
      path: "my-config-folder/admin-creds.yaml"

`privateRegistry.credentials.fileRef.entry`

私人登錄檔的必要項目
可變動
字串

憑證區塊的名稱，位於憑證設定檔中，用於保存私人登錄帳戶的使用者名稱和密碼。

privateRegistry:
  credentials:
    fileRef:
      entry: "private-registry-creds"

`privateRegistry.caCertPath`

私人登錄檔的必要項目
可變動
字串

當容器執行階段從私人登錄檔提取映像檔時，登錄檔必須出示憑證來證明身分。登錄檔的憑證是由憑證授權單位 (CA) 簽署。容器執行階段會使用 CA 的憑證來驗證登錄檔的憑證。

將這個欄位設為 CA 憑證的路徑。

範例：

privateRegistry:
  caCertPath: "my-cert-folder/registry-ca.crt"

`componentAccessServiceAccountKeyPath`

必要
可變動
字串

元件存取服務帳戶的 JSON 金鑰檔案路徑。

範例：

componentAccessServiceAccountKeyPath: "my-key-folder/access-key.json"

`gkeConnect`

必要
可變動

填寫 gkeConnect 區段時，管理員叢集會在建立後自動向機群註冊。本節包含註冊叢集所需的 Google Cloud 專案和服務帳戶資訊。

建立或更新叢集時，系統會在管理員叢集上設定多項 RBAC 政策。您必須有這些 RBAC 政策，才能在 Google Cloud 控制台中建立使用者叢集。

`gkeConnect.projectID`

必要
不可變動
字串

機群主專案的 ID。如果是新叢集，這個專案 ID 必須與 stackdriver.projectID 和 cloudAuditLogging.projectID 中設定的 ID 相同。如果專案 ID 不同，叢集建立作業就會失敗。這項規定不適用於現有叢集。

範例：

gkeConnect:
  projectID: "my-fleet-host-project"

`gkeConnect.location`

選用
不可變動
字串
預設值：global

每個叢集的機群成員資格都由機群服務 (gkehub.googleapis.com) 和 Connect 服務 (gkeconnect.googleapis.com) 管理。這些服務的位置可以是全域或區域。在 1.28 以上版本中，您可以視需要指定 Fleet 和 Connect 服務的執行 Google Cloud區域。如未指定，則會使用服務的全球執行個體。注意事項：

1.28 版之前建立的管理員叢集，是由全域機群和 Connect 服務管理。
如果是新叢集，如果包含這個欄位，您指定的區域必須與 cloudAuditLogging.clusterLocation、stackdriver.clusterLocation 和 gkeOnPremAPI.location 中設定的區域相同。如果區域不同，叢集建立作業就會失敗。

範例：

gkeConnect:
  location: "us-central1"

`gkeConnect.registerServiceAccountKeyPath`

必要
可變動
字串

connect-register 服務帳戶的 JSON 金鑰檔案路徑。

範例：

gkeConnect:
  registerServiceAccountKeyPath: "my-key-folder/connect-register-key.json"

`gkeOnPremAPI`

選填

在 1.16 以上版本中，如果專案已啟用 GKE On-Prem API，專案中的所有叢集都會在 stackdriver.clusterLocation 中設定的區域，自動註冊 GKE On-Prem API。Google Cloud

如要在專案中註冊所有叢集，請務必按照「事前準備」一節中的步驟，在專案中啟用及使用 GKE On-Prem API。
如果不想在 GKE On-Prem API 中註冊叢集，請加入這個區段，並將 gkeOnPremAPI.enabled 設為 false。如果不想在專案中註冊任何叢集，請在專案中停用 gkeonprem.googleapis.com (GKE On-Prem API 的服務名稱)。如需操作說明，請參閱「停用服務」。

在 GKE On-Prem API 中註冊管理員叢集後，您就能使用標準工具 ( Google Cloud 控制台、Google Cloud CLI 或 Terraform)，升級管理員叢集所管理的使用者叢集。註冊叢集後，您也可以執行 gcloud 指令來取得叢集相關資訊。

新增這個區段並建立或更新管理員叢集後，如果後續移除該區段並更新叢集，更新作業就會失敗。

`gkeOnPremAPI.enabled`

如果包含 gkeOnPremAPI 區段，則為必要欄位。
可變動
布林值
預設值：true

如果專案已啟用 GKE On-Prem API，叢集預設會註冊 GKE On-Prem API。如不想註冊叢集，請設為 false。

在 GKE On-Prem API 中註冊叢集後，如要取消註冊叢集，請進行下列變更，然後更新叢集：

gkeOnPremAPI:
  enabled: false

`gkeOnPremAPI.location`

不可變動
字串
預設值：stackdriver.clusterLocation

GKE On-Prem API 執行及儲存叢集中繼資料的 Google Cloud 區域。選擇支援的區域。您必須使用在 cloudAuditLogging.clusterLocation、gkeConnect.location 和 stackdriver.clusterLocation 中設定的相同區域。如果 gkeOnPremAPI.enabled 為 false，請勿加入這個欄位。

`stackdriver`

預設為必要
可變動

如要為叢集啟用 Cloud Logging 和 Cloud Monitoring，請填寫這個部分。否則請移除這個部分。

系統預設會顯示這個部分。也就是說，如果沒有加入這個部分，執行 gkectl create admin 時就必須加入 --skip-validation-stackdriver 旗標。

如果您想使用 GKE On-Prem API 用戶端管理使用者叢集的生命週期，管理員叢集就必須包含這個部分。

`stackdriver.projectID`

記錄和監控功能需要此欄位
不可變動
字串

機群主專案的 ID。如果是新叢集，這個專案 ID 必須與 gkeConnect.projectID 和 cloudAuditLogging.projectID 中設定的 ID 相同。如果專案 ID 不同，叢集建立作業就會失敗。這項規定不適用於現有叢集。

如有需要，您可以在這個專案中設定記錄檔路由器，將記錄檔轉送至其他專案的記錄檔值區。如要瞭解如何設定記錄路由器，請參閱「支援的目的地」。

範例：

stackdriver:
  projectID: "my-fleet-host-project"

`stackdriver.clusterLocation`

記錄與監控功能必填
不可變更
字串
預先填入：「us-central1」

您要將 Cloud Monitoring 指標傳送至哪個 Google Cloud 區域並儲存。建議您選擇靠近內部部署資料中心的區域。

您可以在記錄檔路由器設定中，指定 Cloud Logging 記錄的路由和儲存位置。如要進一步瞭解記錄檔轉送功能，請參閱「轉送和儲存空間總覽」。

Stackdriver 運算子 (stackdriver-operator) 會將這個欄位的值附加至每個記錄項目和指標，然後再將這些項目和指標傳送至 Google Cloud。這些附加標籤有助於分別在 Logs Explorer 和 Metrics Explorer 中篩選記錄和指標。

如果是新叢集，且您在設定檔中加入 gkeOnPremAPI 和 cloudAuditLogging 區段，則在此處設定的區域必須與 cloudAuditLogging.clusterLocation、gkeConnect.location 和 gkeOnPremAPI.location 中設定的區域相同。如果區域不同，叢集建立作業就會失敗。

範例：

stackdriver:
  clusterLocation: "us-central1"

`stackdriver.enableVPC`

選用
不可變動
布林值
預先填入：false

如果叢集的網路是由 VPC 控制，請將此值設為 true。這樣可確保所有遙測資料都會流經 Google 的受限 IP 位址。否則請設為 false。

範例：

stackdriver:
  enableVPC: false

`stackdriver.serviceAccountKeyPath`

記錄與監控功能需要此欄位
可變動
字串

記錄/監控服務帳戶的 JSON 金鑰檔案路徑。

如果您要建立的叢集將 enableAdvancedCluster 設為 true (這是設定拓撲網域的必要條件)，則 stackdriver.serviceAccountKeyPath 必須與 cloudAuditLogging.serviceAccountKeyPath 相同。

如要瞭解如何更新現有叢集中的這個欄位，請參閱輪替服務帳戶金鑰。

範例：

stackdriver:
  serviceAccountKeyPath: "my-key-folder/log-mon-key.json"

`stackdriver.disableVsphereResourceMetrics`

選用
可變動
適用於記錄和監控
布林值
預先填入：false
預設值：false

將此值設為 true，即可停用從 vSphere 收集指標的功能。否則請設為 false。

如要在 Google Cloud 控制台中管理使用者叢集的生命週期，管理員叢集就必須包含這個部分。

範例：

stackdriver:
  disableVsphereResourceMetrics: true

`cloudAuditLogging`

如要整合叢集 Kubernetes API 伺服器的稽核記錄與 Cloud 稽核記錄，請填寫這個部分。否則，請移除這個區段或排除其註解。
Mutable

如果您想使用 GKE On-Prem API 用戶端管理使用者叢集的生命週期，管理員叢集就必須包含這個部分。

`cloudAuditLogging.projectID`

Cloud 稽核記錄的必要欄位
不可變動
字串

機群主專案的 ID。如果是新叢集，這個專案 ID 必須與 gkeConnect.projecID 和 stackdriver.projectID 中設定的 ID 相同。如果專案 ID 不同，叢集建立作業就會失敗。這項規定不適用於現有叢集。

範例：

cloudAuditLogging:
  projectID: "my-fleet-host-project"

`cloudAuditLogging.clusterLocation`

Cloud 稽核記錄的必要欄位
不可變動
字串

您要儲存稽核記錄的 Google Cloud 區域。建議選擇靠近地端資料中心的區域

如果是新叢集，且您在設定檔中加入 gkeOnPremAPI 和 stackdriver 區段，則在此設定的區域必須與 gkeConnect.location、gkeOnPremAPI.location 和 stackdriver.clusterLocation 中設定的區域相同。如果區域不同，叢集建立作業就會失敗。

範例：

cloudAuditLogging:
  clusterLocation: "us-central1"

`cloudAuditLogging.serviceAccountKeyPath`

Cloud 稽核記錄的必要欄位
可變動
字串

稽核記錄服務帳戶的 JSON 金鑰檔案路徑。

如果您要建立的叢集將 enableAdvancedCluster 設為 true (這是設定拓撲網域的必要條件)，則 cloudAuditLogging.serviceAccountKeyPath 必須與 stackdriver.serviceAccountKeyPath 相同。

如要瞭解如何更新現有叢集中的這個欄位，請參閱輪替服務帳戶金鑰。

範例：

cloudAuditLogging:
  serviceAccountKeyPath: "my-key-folder/audit-log-key.json"

`clusterBackup.datastore`

預覽
選用
可變動
字串

如要啟用管理員叢集備份，請將這個值設為要儲存叢集備份的 vSphere 資料存放區。

如果您將使用 enableAdvancedCluster 設為 true 建立叢集 (這是設定拓撲網域的必要條件)，請移除這個部分。系統不支援將管理員叢集備份至 vSphere 資料存放區。

範例：

clusterBackup:
  datastore: "my-datastore"

`autoRepair.enabled`

選用
可變動
布林值
預先填入：true

將此值設為 true，即可啟用節點自動修復功能。否則請設為 false。

如要更新這個欄位的值，請使用 gkectl update admin。

範例：

autoRepair:
  enabled: true

`secretsEncryption`

如要加密 Secret，但不需要外部 KMS (Key Management Service) 或任何其他依附元件，請填寫這個部分。否則，請移除這個部分或排除其註解。
無法變更

如果您將使用 enableAdvancedCluster 設為 true 建立叢集 (這是設定拓撲網域的必要條件)，請移除這個部分。進階叢集不支援這項功能。

`secretsEncryption.mode`

密鑰加密作業的必要項目
不可變更
字串
可能的值：「GeneratedKey」
預先填入：「GeneratedKey」

Secret 加密模式。

secretsEncryption:
  mode: "GeneratedKey"

`secretsEncryption.generatedKey.keyVersion`

Secret 加密功能需要此欄位
可變動
整數
預先填入：1

您選擇用於金鑰版本號碼的整數。建議您先從 1 開始。

範例：

secretsEncryption:
  generatedKey:
    keyVersion: 1

`secretsEncryption.generatedKey.disabled`

Secret 加密 (選用)
可變動
布林值
預先填入：false

將此值設為 true 即可停用 Secret 加密功能。否則請設為 false。

範例：

secretsEncryption:
  generatedKey:
    disabled: false

`osImageType`

選用
可變動
字串
可能的值：「ubuntu_containerd」、「cos」、「ubuntu_cgv2」、「cos_cgv2」
預先填入：「ubuntu_cgv2」
預設值：「ubuntu_containerd」

要在管理員叢集節點上執行的 OS 映像檔類型。

請注意，進階叢集有下列限制：

1.31 版：如果 enableAdvancedCluster 欄位為 true，進階叢集僅支援 ubuntu-cgroupv2 和 ubuntu_containerd。
1.32 版：進階叢集支援所有 OS 映像檔類型。

範例：

osImageType: "cos"

管理員叢集設定檔 1.30 以上版本 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

產生設定檔範本

必填欄位和預設值

填寫設定檔

enableAdvancedCluster

1.32 以上版本

1.31

1.30 以下版本

name

bundlePath

preparedSecrets.enabled

vCenter

vCenter.address

vCenter.datacenter

vCenter.cluster

vCenter.resourcePool

vCenter.datastore

vCenter.storagePolicyName

vCenter.caCertPath

vCenter.credentials.fileRef.path

vCenter.credentials.fileRef.entry

vCenter.folder

vCenter.dataDisk

network

network.hostConfig

network.hostConfig.dnsServers

network.hostConfig.ntpServers

network.hostConfig.searchDomainsForDNS

network.ipMode.type

network.ipMode.ipBlockFilePath

network.serviceCIDR

network.podCIDR

network.vCenter.networkName

network.controlPlaneIPBlock

network.controlPlaneIPBlock.netmask

network.controlPlaneIPBlock.gateway

network.controlPlaneIPBlock.ips

infraConfigFilePath

1.31

管理員叢集設定檔變更

使用者叢集設定檔變更

1.30 以下版本

loadBalancer

loadBalancer.vips.controlPlaneVIP

loadBalancer.kind

1.32 以上版本

1.31

1.30

1.29 和 1.28

1.16 以下版本

loadBalancer.manualLB

loadBalancer.manualLB.ingressHTTPNodePort

loadBalancer.manualLB.ingressHTTPSNodePort

loadBalancer.manualLB.konnectivityServerNodePort

loadBalancer.f5BigIP

1.30 以上版本

1.29

1.28 以下版本

loadBalancer.f5BigIP.address

1.30 以上版本

1.29 以下版本

loadBalancer.f5BigIP.credentials.fileRef.path

1.30 以上版本

1.29 以下版本

loadBalancer.f5BigIP.credentialsfileRef.entry

1.30 以上版本

1.29 以下版本

loadBalancer.f5BigIP.partition

1.30 以上版本

1.29 以下版本

loadBalancer.f5BigIP.snatPoolName

1.30 以上版本

1.29 以下版本

loadBalancer.seesaw

antiAffinityGroups.enabled

adminMaster

adminMaster.controlPlaneLoadBalancer

1.32 以上版本

adminMaster.controlPlaneLoadBalancer.mode

1.31 以下版本

管理員叢集設定檔 1.30 以上版本

`enableAdvancedCluster`

`name`

`bundlePath`

`preparedSecrets.enabled`

`vCenter`

`vCenter.address`

`vCenter.datacenter`

`vCenter.cluster`

`vCenter.resourcePool`

`vCenter.datastore`

`vCenter.storagePolicyName`

`vCenter.caCertPath`

`vCenter.credentials.fileRef.path`

`vCenter.credentials.fileRef.entry`

`vCenter.folder`

`vCenter.dataDisk`

`network`

`network.hostConfig`

`network.hostConfig.dnsServers`

`network.hostConfig.ntpServers`

`network.hostConfig.searchDomainsForDNS`

`network.ipMode.type`

`network.ipMode.ipBlockFilePath`

`network.serviceCIDR`

`network.podCIDR`

`network.vCenter.networkName`

`network.controlPlaneIPBlock`

`network.controlPlaneIPBlock.netmask`

`network.controlPlaneIPBlock.gateway`

`network.controlPlaneIPBlock.ips`

`infraConfigFilePath`

`loadBalancer`

`loadBalancer.vips.controlPlaneVIP`

`loadBalancer.kind`

`loadBalancer.manualLB`

`loadBalancer.manualLB.ingressHTTPNodePort`

`loadBalancer.manualLB.ingressHTTPSNodePort`

`loadBalancer.manualLB.konnectivityServerNodePort`

`loadBalancer.f5BigIP`

`loadBalancer.f5BigIP.address`

`loadBalancer.f5BigIP.credentials.fileRef.path`

`loadBalancer.f5BigIP.credentialsfileRef.entry`

`loadBalancer.f5BigIP.partition`

`loadBalancer.f5BigIP.snatPoolName`

`loadBalancer.seesaw`

`antiAffinityGroups.enabled`

`adminMaster`

`adminMaster.controlPlaneLoadBalancer`

`adminMaster.controlPlaneLoadBalancer.mode`

`adminMaster.cpus`

`adminMaster.memoryMB`

`adminMaster.replicas`

`adminMaster.topologyDomains`

`addonNode.autoResize.enabled`

`proxy`

`proxy.url`

`proxy.noProxy`

`privateRegistry`

`privateRegistry.address`

`privateRegistry.credentials.fileRef.path`

`privateRegistry.credentials.fileRef.entry`

`privateRegistry.caCertPath`

`componentAccessServiceAccountKeyPath`

`gkeConnect`

`gkeConnect.projectID`

`gkeConnect.location`

`gkeConnect.registerServiceAccountKeyPath`

`gkeOnPremAPI`

`gkeOnPremAPI.enabled`

`gkeOnPremAPI.location`

`stackdriver`

`stackdriver.projectID`

`stackdriver.clusterLocation`

`stackdriver.enableVPC`

`stackdriver.serviceAccountKeyPath`

`stackdriver.disableVsphereResourceMetrics`

`cloudAuditLogging`

`cloudAuditLogging.projectID`

`cloudAuditLogging.clusterLocation`