本页介绍了如何管理在运行 VM Runtime on Google Distributed Cloud 的 Google Distributed Cloud Connected 部署中的虚拟机。在完成本页面上的步骤之前,您必须熟悉 VM Runtime on GDC。如需查看受支持的客机操作系统列表,请参阅适用于 VM Runtime on GDC 的经过验证的客机操作系统。
如需了解虚拟机如何作为分布式云互联平台的重要组成部分,请参阅扩展 GKE Enterprise 以管理本地边缘虚拟机。
Distributed Cloud 连接集群支持虚拟机 webhook。 这样一来,连接的 Distributed Cloud 就可以验证向本地 Kubernetes API 服务器发出的用户请求。遭拒的要求会生成有关拒绝原因的详细信息。
配置 Symcloud Storage
Google Distributed Cloud Connected 使用 Rakuten Symcloud Storage 作为其存储解决方案。Symcloud Storage 是一种第三方解决方案,可在每个 Distributed Cloud Connected 节点上充当本地存储抽象层,并使其本地存储可供在其他 Distributed Cloud Connected 节点上运行的工作负载使用。
Symcloud Storage 是从 Google Cloud Marketplace 部署的,并受其中所述条款的约束。Google 对将 Symcloud Storage 与 Distributed Cloud Connected 搭配使用提供有限支持,并且可能会寻求第三方提供商的帮助。Symcloud Storage 的软件更新包含在 Distributed Cloud Connected 软件更新中。
按如下方式配置 Google Distributed Cloud Connected 集群,以针对虚拟机启用 Symcloud Storage。如需了解详情,请参阅在连接的分布式云节点上安装 Symcloud Storage。
使用以下命令创建
robin-admin命名空间:kubectl create ns robin-admin
获取 Symcloud Storage 许可文件,并使用以下命令将其应用于集群:
kubectl apply LICENSE_FILE
使用以下命令验证 Symcloud Storage 是否正常运行:
kubectl describe robincluster
该命令会返回类似于以下内容的输出:
Name: robin Namespace: Labels: app.kubernetes.io/instance=robin app.kubernetes.io/managed-by=robin.io app.kubernetes.io/name=robin Annotations: <none> API Version: manage.robin.io/v1 Kind: RobinCluster Metadata: … Spec: … Status: … Phase: Ready …通过将以下配置应用于集群来创建
robin-block-immediate存储类:apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: robin-block-immediate parameters: faultdomain: host replication: "3" blocksize: "512" provisioner: robin reclaimPolicy: Delete volumeBindingMode: Immediate allowVolumeExpansion: true
通过将以下配置应用于集群来创建
robin-snapshotclass卷快照类:apiVersion: snapshot.storage.k8s.io/v1 kind: VolumeSnapshotClass metadata: name: robin-snapshotclass labels: app.kubernetes.io/instance: robin app.kubernetes.io/managed-by: robin.io app.kubernetes.io/name: robin annotations: snapshot.storage.kubernetes.io/is-default-class: "true" driver: robin deletionPolicy: Delete使用以下内容修改
robin-block-immediate存储类的storageprofile,并将其应用到您的集群:apiVersion: cdi.kubevirt.io/v1beta1 kind: StorageProfile metadata: name: robin-block-immediate spec: claimPropertySets: accessModes: ReadWriteMany volumeMode: Block
安装 virtctl 管理工具
您需要使用 virtctl 客户端工具来管理 Distributed Cloud connected 集群上的虚拟机。如需安装该工具,请完成以下步骤:
以
kubectl插件的形式安装virtctl客户端工具:export VERSION=GDC_SO_VERSION gcloud storage cp gs://anthos-baremetal-release/virtctl/${VERSION}/linux-amd64/virtctl ./virtctl sudo mv ./virtctl /usr/local/bin/virtctl cd /usr/local/bin sudo ln -s virtctl kubectl-virt sudo chmod a+x virtctl cd -
将
GDC_SO_VERSION替换为 Distributed Cloud 纯软件版的目标版本。验证
virt插件是否已安装:kubectl plugin list
如果插件已成功安装,则该命令的输出会将
kubectl-virt列为其中一个插件。
为虚拟机映像创建 Cloud Storage 存储桶
完成本部分中的步骤,为虚拟机映像创建 Cloud Storage 存储桶。存储桶使用 Workload Identity Federation 将 Kubernetes 服务账号绑定到相应的 Google Cloud 服务账号,以访问存储桶;换句话说,Kubernetes 服务账号会模拟 Google Cloud服务账号。如果您已有已建立的映像库,请跳过此部分。
为降低多集群舰队中的身份相同性风险,请在完成本部分中的步骤时遵循使用舰队工作负载身份联合的最佳实践中的准则。
完成创建存储桶中的步骤,以创建存储桶。
创建 Google Cloud 用于访问存储桶的服务账号:
export GSA_PROJECT_ID=GSA_PROJECT_ID export GSA_NAME=GSA_NAME gcloud iam service-accounts create ${GSA_NAME}
替换以下内容:
GSA_NAME:此 Google Cloud 服务账号的有意义的名称。GSA_PROJECT_ID:托管目标Google Cloud 服务账号的 Google Cloud 项目的 ID。
向 Google Cloud 服务账号授予访问相应存储桶的权限:
export BUCKET_PROJECT_ID=BUCKET_PROJECT_ID export GSA_NAME=GSA_NAME gcloud storage buckets add-iam-policy-binding gs://${BUCKET_PROJECT_ID}-vm-images \ --member="serviceAccount:${GSA_NAME}@${GSA_PROJECT_ID}.iam.gserviceaccount.com" \ --role="roles/storage.objectViewer" \ --project=${BUCKET_PROJECT_ID}
替换以下内容:
GSA_NAME:目标 Google Cloud 服务账号的名称。BUCKET_PROJECT_ID:托管相应存储桶的 Google Cloud 项目的 ID。GSA_PROJECT_ID:托管目标Google Cloud 服务账号的 Google Cloud 项目的 ID。
在目标虚拟机的命名空间中创建一个 Kubernetes 服务账号,以绑定到您的 Google Cloud 服务账号:
export GSA_PROJECT_ID=GSA_PROJECT_ID export VM_NAMESPACE=NAMESPACE export KSA_NAME=KSA_NAME export GSA_EMAIL=${GSA_NAME}@${GSA_PROJECT_ID}.iam.gserviceaccount.com kubectl create serviceaccount ${KSA_NAME} -n ${VM_NAMESPACE} kubectl annotate serviceaccount ${KSA_NAME} gsaEmail=${GSA_EMAIL} -n ${VM_NAMESPACE}
替换以下内容:
GSA_PROJECT_ID:托管目标Google Cloud 服务账号的 Google Cloud 项目的 ID。NAMESPACE:目标虚拟机的命名空间。KSA_NAME:此 Kubernetes 服务账号的有意义的名称。GSA_NAME:相应 Google Cloud 服务账号的名称。
查找集群的工作负载身份池和身份提供方的名称:
gcloud container fleet memberships describe MEMBERSHIP_ID \ --project=FLEET_PROJECT_ID \ --format="table(authority.identityProvider,authority.workloadIdentityPool,name)"
替换以下内容:
MEMBERSHIP_ID:集群的舰队成员资格名称。这通常是您的集群的名称。FLEET_PROJECT_ID:舰队宿主 Google Cloud 项目的 ID。
该命令会返回类似于以下内容的输出:
IDENTITY_PROVIDER: IDENTITY_PROVIDER WORKLOAD_IDENTITY_POOL: WORKLOAD_IDENTITY_POOL在输出中,记下以下值:
IDENTITY_PROVIDER:相应集群的身份提供方。WORKLOAD_IDENTITY_POOL:是与您的舰队关联的工作负载身份池的名称。 名称的格式为FLEET_PROJECT_ID.svc.id.goog。如需详细了解此步骤中的命令,请参阅在应用中使用舰队工作负载身份联合。
将 Kubernetes 服务账号绑定到 Google Cloud 服务账号以设置模拟:
export GSA_PROJECT_ID=GSA_PROJECT_ID export GSA_NAME=GSA_NAME export KSA_NAME=KSA_NAME export VM_NAMESPACE=NAMESPACE export WI_POOL=WORKLOAD_IDENTITY_POOL gcloud iam service-accounts add-iam-policy-binding ${GSA_NAME}@${GSA_PROJECT_ID}.iam.gserviceaccount.com \ --project=${GSA_PROJECT_ID} \ --role=roles/iam.workloadIdentityUser \ --member="serviceAccount:${WI_POOL}[${VM_NAMESPACE}/${KSA_NAME}]" --condition="IAM_CONDITION" --condition-from-file="IAM_CONDITION_FILE"
替换以下内容:
GSA_PROJECT_ID:托管目标Google Cloud 服务账号的 Google Cloud 项目的 ID。GSA_NAME:相应 Google Cloud 服务账号的名称。KSA_NAME:目标 Kubernetes 服务账号的名称。NAMESPACE:目标虚拟机的命名空间。WORKLOAD_IDENTITY_POOL:集群的工作负载身份池的名称。IAM_CONDITION:可选;指定要使用的 IAM 条件,以限制对舰队中特定集群的访问权限。如果省略或设置为None,则不应用任何 IAM 条件。IAM_CONDITION_FILE:可选;指定包含 IAM 条件的文件,用于限制对舰队中特定集群的访问权限。如果省略,则不应用任何 IAM 条件,除非指定了--condition标志并将其设置为None以外的值。
将图片存储在存储桶中。
您还可以选择使用旧版方法,即使用从 Google 服务账号的有效密钥生成的密钥。如需了解详情,请参阅为虚拟机映像创建 Cloud Storage 存储桶。
使用 IAM 条件限制对相应存储桶的访问权限
借助 IAM 条件,您可以指定舰队中的哪些集群可以访问相应存储桶。如果未指定任何 IAM 条件,则舰队中在同一命名空间内具有相同 Kubernetes 服务账号的所有集群都可以访问相应存储桶,从而带来身份相同性风险。如果您未指定 IAM 条件,也可以回退到使用从 Google 服务账号的有效密钥生成的密钥的旧版访问机制。以下示例展示了如何设置和应用 IAM 条件来限制对存储桶的访问权限:
创建 IAM 条件文件:
cat <<EOF > iam_condition.yaml > expression: request.auth.claims.google.providerId == '$IDENTITY_PROVIDER' title: allow_only_this_cluster > EOF
在将 GSA 绑定到 KSA 时应用 IAM 条件文件。在您的 GSA Google Cloud 项目中运行以下命令:
gcloud iam service-accounts add-iam-policy-binding "${GSA_NAME}@${GSA_PROJECT_ID}.iam.gserviceaccount.com" \ --project="${GSA_PROJECT_ID}" \ --role=roles/iam.workloadIdentityUser \ --member="serviceAccount:${WI_POOL}[${VM_NAMESPACE}/${KSA_NAME}]" \ --condition-from-file=iam_condition.yaml
通过虚拟机映像创建虚拟机磁盘
完成本部分中的步骤,以通过虚拟机映像创建虚拟机磁盘。
从存储在 Cloud Storage 中的映像创建磁盘
通过将以下配置应用于集群,从存储在 Cloud Storage 存储桶中的虚拟机创建虚拟机磁盘:
apiVersion: vm.cluster.gke.io/v1 kind: VirtualMachineDisk metadata: name: DISK_NAME namespace: NAMESPACE spec: source: gcs: url: gs://${BUCKET_PROJECT_ID}-vm-images/IMAGE_FILE_PATH serviceAccount: KSA_NAME size: DISK_SIZE storageClassName: robin-block-immediate
替换以下内容:
DISK_NAME:相应虚拟机磁盘的名称。NAMESPACE:目标虚拟机的命名空间。IMAGE_FILE_PATH:虚拟机映像文件的完整路径和名称。 右键点击 Google Cloud 控制台中的图片,然后选择复制 gsutil URI 以获取此路径。KSA_NAME:用于下载您之前创建的虚拟机映像的 Kubernetes 服务账号。DISK_SIZE:目标磁盘大小。此值必须大于虚拟机映像文件的virtual-size值。您可以使用命令qemu-img info DISK_SIZE查找此值。
如果您未指定 storageClassName 值,系统会使用 VMRuntime 资源中指定的默认值。
通过存储在第三方服务中的映像创建磁盘
您还可以选择使用 http、https、S3 或映像注册表来存储虚拟机映像。如果您的存储服务需要凭据才能访问,请将这些凭据转换为 Secret,并使用 secretRef 字段指定该 Secret。例如:
source: http/s3/registry: url: secretRef: "SECRET_NAME" # optional
将 SECRET_NAME 替换为您的 Secret 的名称。
如需了解详情,请参阅 HTTP/S3/GCS/注册表来源。
创建空磁盘
通过将以下配置应用于集群,创建一个空的虚拟机磁盘:
apiVersion: vm.cluster.gke.io/v1 kind: VirtualMachineDisk metadata: name: DISK_NAME namespace: NAMESPACE spec: size: DISK_SIZE storageClassName: robin-block-immediate
替换以下内容:
DISK_NAME:相应虚拟机磁盘的名称。NAMESPACE:目标命名空间。DISK_SIZE:所需的磁盘大小(以吉比字节为单位)。此值必须大于虚拟机映像文件的virtual-size值。您可以使用命令qemu-img info DISK_SIZE查找此值。
如果您未指定 storageClassName 值,系统会使用 VMRuntime 资源中指定的默认值。
配置虚拟网络
按照网络中的步骤为虚拟机配置虚拟网络。
创建虚拟机
完成本部分中的步骤,在 Distributed Cloud Connected Server 部署中创建虚拟机。本部分中的说明是示例,旨在说明不同场景的配置。如需详细了解如何配置虚拟机,请参阅使用 VM Runtime on GDC 创建具有特定 CPU 和内存资源的虚拟机。
使用 Google Cloud 控制台创建虚拟机
如需使用 Google Cloud 控制台创建虚拟机,请执行以下操作:
在 Google Cloud 控制台中,前往集群页面。
选择目标 Google Cloud 项目。
(可选)如果您尚未登录目标集群,请登录:
在左侧导航窗格中,点击集群。
在 Anthos 管理的集群列表中,点击目标集群。
在右侧的信息窗格中,点击登录。
在随即显示的弹出式对话框中,选择您的首选身份验证方法,输入您的凭据,然后点击登录。
前往虚拟机页面。
点击创建。
在基本信息部分,执行以下操作:
在名称字段中,输入虚拟机的有意义的名称。
在选择集群字段中,选择虚拟机的目标集群。
在命名空间字段中,选择目标命名空间。
在操作系统类型字段中,选择目标操作系统。
(可选)如果您想向此虚拟机的配置添加一个或多个标签,请点击添加标签。
在机器配置部分中,执行以下操作之一:
如果您想为此虚拟机指定 vCPU 数量和内存量,请选择自定义配置,然后输入目标值,再点击下一步。
如果您想为此虚拟机使用预定数量的 vCPU 和内存,请选择标准配置,然后从机器类型下拉列表中选择一种机器配置,再点击下一步。
在存储部分中,执行以下操作之一:
如果您想为此虚拟机创建新的虚拟磁盘,请选择添加新磁盘,然后在名称字段中输入有意义的名称,在 GiB 字段中输入大小(以 GB 为单位),并在映像字段中输入网址。
如果您想为此虚拟机使用现有虚拟磁盘,请选择选择现有磁盘,然后从选择磁盘下拉列表中选择目标磁盘映像。
使用只读和自动删除复选框,指定您是否希望磁盘为只读,以及在删除此虚拟机时是否自动删除磁盘。
在驱动程序下拉列表中指定虚拟磁盘驱动程序。
如需向此虚拟机添加其他磁盘,请点击额外磁盘部分中的添加磁盘。
点击下一步。
在网络部分中,执行以下操作:
在默认网络接口子部分中,在接口名称字段中指定相应虚拟机的默认网络接口的名称。
从网络类型下拉列表中选择相应的网络类型。
使用允许外部访问复选框指定是否允许外部访问此网络接口。如果您启用此选项,则必须在公开的端口字段中输入以英文逗号分隔的要向外部公开的端口列表。
如果您想向此虚拟机添加一个或多个次要网络接口,请点击添加网络接口。
点击下一步。
在高级选项部分中,使用在更新时自动重启复选框指定在目标集群上
分布式云连接软件更新后是否重启此虚拟机。在固件部分中,执行以下操作:
在 Bootloader 类型字段中,选择目标固件类型。如果您选择 UEFI 固件,则可以选择使用安全启动复选框来启用安全启动。
在“序列号”字段中为此虚拟机指定一个序列号。
在 UUID 字段中为此虚拟机指定通用唯一标识符 (UUID)。
在 Cloud-init 部分中,执行以下操作:
在网络数据 Secret 字段中指定网络数据 Secret 值。
在用户数据密钥字段中指定用户数据密钥值。
点击创建虚拟机以创建虚拟机。
通过 YAML 文件创建虚拟机
如需通过 YAML 配置文件创建虚拟机,请执行以下操作:
在 Google Cloud 控制台中,前往集群页面。
选择目标 Google Cloud 项目。
(可选)如果您尚未登录目标集群,请登录:
在左侧导航窗格中,点击集群。
在 Anthos 管理的集群列表中,点击目标集群。
在右侧的信息窗格中,点击登录。
在随即显示的弹出式对话框中,选择您的首选身份验证方法,输入您的凭据,然后点击登录。
前往虚拟机页面。
点击 CREATE WITH YAML。
在选择集群字段中,选择虚拟机的目标集群。
将 YAML 格式的虚拟机配置粘贴到 YAML 字段中。
点击创建。
通过可启动的磁盘映像创建虚拟机
如需从可启动的磁盘映像创建虚拟机,请将以下配置应用于集群:
kind: VirtualMachine metadata: name: my-virtual-machine namespace: my-vm-namespace spec: osType: Linux/Windows guestEnvironment: {} // comment out this line to enable guest environment for access management compute: cpu: vcpus: 6 memory: capacity: 8Gi interfaces: - name: eth0 networkName: network-410 ipAddresses: - 10.223.237.10/25 disks: - virtualMachineDiskName: my-boot-disk boot: true - virtualMachineDiskName: my-data-disk
替换以下内容:
DISK_NAME:相应虚拟机磁盘的名称。NAMESPACE:目标命名空间。
通过 ISO 光盘映像创建虚拟机
如需通过 ISO 光盘映像创建虚拟机,请完成通过 Google Distributed Cloud 中的 ISO 映像创建 Windows 虚拟机中的步骤。
创建支持 GPU 的虚拟机
完成本页面中所述的步骤,创建配置符合您业务需求的虚拟机,然后完成配置虚拟机以使用 GPU 资源中的步骤。
访问虚拟机
完成本部分中的步骤,以访问在 Distributed Cloud 连接的服务器部署上运行的虚拟机。
获取访问凭据
如果您还没有用于访问虚拟机的凭据,请完成本部分中的步骤,以使用 Linux 客机环境功能获取凭据。
通过将以下配置应用于集群,为目标虚拟机启用 Linux 访客环境:
kind: VirtualMachine metadata: name: my-virtual-machine namespace: my-vm-namespace spec: osType: Linux guestEnvironment: // enabled by default; disable with guestEnvironment: {} accessManagement: enable: true
使用以下命令生成一个包含 SSH 密钥对的
id_rsa.pub文件:ssh-keygen -t rsa通过将以下配置应用于集群,创建
VirtualMachineAccessRequest资源:apiVersion: vm.cluster.gke.io/v1alpha1 kind: VirtualMachineAccessRequest metadata: name: RESOURCE_NAME namespace: NAMESPACE spec: vm: VM_NAME user: USER_NAME ssh: key: RSA_KEY ttl: 2h
替换以下内容:
RESOURCE_NAME:此虚拟机访问请求资源的描述性名称。NAMESPACE:目标命名空间。VM_NAME:目标虚拟机的名称。USER_NAME:要向其授予访问权限的用户的名称。RSA_KEY:您在上一步中生成的id_rsa.pub文件的内容。
使用以下命令检查访问权限请求的状态:
kubectl get vmar
当命令返回
Configured状态时,请继续执行下一步。通过 SSH 或远程桌面访问虚拟机:
- 如果虚拟机已连接到本地网络,您可以直接访问该虚拟机。
- 如果虚拟机连接到 Pod 网络,您必须创建负载均衡器服务才能访问所需的端口。
启动、重启或停止虚拟机
使用以下命令启动、重启或停止虚拟机:
- 启动虚拟机:
kubectl virt start vmVM_NAME-nNAMESPACE - 重启虚拟机:
kubectl virt restart vmVM_NAME-nNAMESPACE - 停止虚拟机:
kubectl virt stop vmVM_NAME-nNAMESPACE
替换以下内容:
VM_NAME:目标虚拟机的名称。NAMESPACE:目标命名空间。
使用 Google Cloud 控制台启动或停止虚拟机
在 Google Cloud 控制台中,前往集群页面。
选择目标 Google Cloud 项目。
(可选)如果您尚未登录目标集群,请登录:
在左侧导航窗格中,点击集群。
在 Anthos 管理的集群列表中,点击目标集群。
在右侧的信息窗格中,点击登录。
在随即显示的对话框中,选择您的首选身份验证方法,输入您的凭据,然后点击登录。
前往虚拟机页面。
在虚拟机列表中,选中目标虚拟机对应的复选框。
根据需要,点击页面顶部的开始或停止。
使用 Google Cloud 控制台查看虚拟机的状态
在 Google Cloud 控制台中,前往集群页面。
选择目标 Google Cloud 项目。
(可选)如果您尚未登录目标集群,请登录:
在左侧导航窗格中,点击集群。
在 Anthos 管理的集群列表中,点击目标集群。
在右侧的信息窗格中,点击登录。
在随即显示的弹出式对话框中,选择您的首选身份验证方法,输入您的凭据,然后点击登录。
前往虚拟机页面。
点击目标虚拟机。
在随即显示的页面中,点击详情、事件和 YAML 标签页,查看有关此虚拟机的相应信息。
修改虚拟机
如需修改虚拟机,您必须将其删除,然后使用更新后的配置重新创建虚拟机。
使用 Google Cloud 控制台删除虚拟机
在 Google Cloud 控制台中,前往集群页面。
选择目标 Google Cloud 项目。
(可选)如果您尚未登录目标集群,请登录:
在左侧导航窗格中,点击集群。
在 Anthos 管理的集群列表中,点击目标集群。
在右侧的信息窗格中,点击登录。
在随即显示的对话框中,选择您的首选身份验证方法,输入您的凭据,然后点击登录。
前往虚拟机页面。
在虚拟机列表中,选中目标虚拟机对应的复选框。
点击页面顶部的删除。
在随即显示的确认对话框中,输入虚拟机的名称,然后点击删除。