דרישות מוקדמות לאשכול EKS מצורף

כדי שהאשכול יפעל כאשכול GKE מצורף, הוא צריך לכלול את המאפיינים הבאים.

הדרישות לאשכול EKS‏ (AWS)

  • מוודאים שאתם משתמשים בגרסה נתמכת של הפלטפורמה. הגרסה הראשית והמשנית של Kubernetes באשכול צריכה להיות זהה לגרסת הפלטפורמה שנבחרה. אפשר גם להציג את כל הגרסאות הנתמכות באמצעות הפקודה הבאה:

    gcloud container attached get-server-config  \
    --location=GOOGLE_CLOUD_REGION

    מחליפים את GOOGLE_CLOUD_REGION בשם המיקוםGoogle Cloud שממנו רוצים לנהל את האשכול.

  • מוודאים שכלי שורת הפקודה kubectl מותקן במחשב המקומי ומוגדר לגישה לאשכול. כולל הגדרת פרטי הכניסה הנכונים של המשתמש בקובץ kubeconfig.

  • מוודאים שיש קישוריות לרשת של האשכול.

  • לצביר חייב להיות ספק זהויות ציבורי של IAM OIDC. כדי לבדוק אם קיים ספק, וכדי ליצור ספק אם צריך, פועלים לפי ההוראות במאמר יצירת ספק IAM OIDC לאשכול.

  • כשמצרפים אשכול, Google Cloud מערכת Google Cloudמתקינה כמה Pods שמנוהלים על ידי Google Cloud . צריך לתזמן את ה-Pods האלה בצמתים. מוודאים שכתמי ה-taint באשכול לא מונעים תזמון. אם יש לכם כתמי צבע כאלה, רישום האשכול ייכשל ותוצג לכם שגיאה דומה לזו שבהמשך:

    1 node(s) had untolerated taint {CriticalAddOnsOnly: true}

דרישות הרשת

מכיוון שקלאסטרים מצורפים מסתמכים על שירותי תמיכה של Google Cloud , צריך לשנות את כללי חומת האש היוצאים של הקלאסטר כדי לאפשר לו גישה לדומיינים הבאים. זה השינוי היחיד שצריך לבצע באשכול כדי להתקין ולהפעיל אשכולות מצורפים של GKE.

כתובת מטרה
.gcr.io שליפת תמונות מ-Artifact Registry.
gkeconnect.googleapis.com הגדרת הערוץ שמשמש לקבלת בקשות מ- Google Cloud ולשליחת תגובות.
gkemulticloud.googleapis.com החלפה של פרטי כניסה של Google או של צד שלישי באסימון גישה לטווח קצר ל Google Cloud משאבים. אם האשכול שלכם נרשם ל-Fleet באמצעות Google Cloud אזור, אתם צריכים להוסיף לרשימת ההיתרים את REGION-gkemulticloud.googleapis.com (לדוגמה, us-central1-gkemulticloud.googleapis.com).
oauth2.googleapis.com אימות באמצעות החלפת אסימון OAuth לגישה לחשבון.
securetoken.googleapis.com אחזור אסימוני רענון להרשאה של Workload Identity.
storage.googleapis.com ניהול של אחסון אובייקטים וקטגוריות, כמו אובייקטים של Artifact Registry.
sts.googleapis.com החלפה של פרטי כניסה של Google או של צד שלישי באסימון גישה לטווח קצר ל Google Cloud משאבים.
www.googleapis.com אימות של אסימוני שירות מבקשות שירות נכנסות של Google Cloud .

רישום ביומן ומעקב

כדי להשתמש בתכונות של רישום ביומן ומעקב, גם לאשכול צריכה להיות גישה לכתובות ה-URL הבאות:

logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
kubernetesmetadata.googleapis.com

Google Cloud דרישות

לפני שמצרפים את האשכול ל Google Cloud שירות הניהול, צריך להתקין את ה-CLI של gcloud, כולל הפקודה של Google Cloud CLI, ולהעניק גישה ל Google Cloud חשבון שלכם ל Google Cloud שירות הניהול כדי שהוא יוכל לנהל את משאבי האשכול המצורף.

  1. בודקים את ההתקנה של ה-CLI של gcloud באמצעות הפקודה הבאה:

    gcloud version

  2. אם ה-CLI של gcloud לא מותקן, או אם הגרסה שלו קודמת לגרסה 412.0.0, מתקינים את גרסה 412.0.0 או גרסה מאוחרת יותר לפי הוראות ההתקנה של ה-CLI של gcloud.

  3. מתקינים את kubectl הרכיב הנוסף.

  4. אם עדיין לא עשיתם זאת, צרו פרויקט Google Cloud . המערכת תיצור מזהה פרויקט ומספר פרויקט Google Cloud .

  5. מגדירים את Google Cloud הפרויקט הפעיל ומאמתים את החשבון באמצעות הפקודות הבאות.

    export PROJECT_ID=<your project id>
gcloud auth login
gcloud config set project $PROJECT_ID
gcloud auth application-default login

  6. מפעילים את GKE attached clusters API ואת השירותים הנדרשים שלו באמצעות הפקודות הבאות:

    gcloud services enable gkemulticloud.googleapis.com
gcloud services enable gkeconnect.googleapis.com
gcloud services enable connectgateway.googleapis.com
gcloud services enable cloudresourcemanager.googleapis.com
gcloud services enable anthos.googleapis.com
gcloud services enable logging.googleapis.com
gcloud services enable monitoring.googleapis.com
gcloud services enable opsconfigmonitoring.googleapis.com
gcloud services enable kubernetesmetadata.googleapis.com