In dieser Anleitung wird beschrieben, wie Sie eine Containeranwendung in einer Google Distributed Cloud-Umgebung (GDC) mit Air Gap hochladen und in einem Kubernetes-Cluster ausführen. Eine containerisierte Arbeitslast wird in einem Kubernetes-Cluster in einem Projektnamespace ausgeführt. Cluster sind logisch von Projekten und voneinander getrennt, um unterschiedliche Fehlerbereiche und Isolationsgarantien zu bieten. Sie müssen jedoch darauf achten, dass Ihr Cluster mit einem Projekt verknüpft ist, damit containerisierte Arbeitslasten in einem Projekt verwaltet werden können.
Dieser Workflow richtet sich an Anwendungsentwickler in der Gruppe der Anwendungsoperatoren, die für die Erstellung von Anwendungsarbeitslasten für ihre Organisation verantwortlich sind. Weitere Informationen finden Sie unter Zielgruppen für GDC mit Air Gap.
Eines der größten Hindernisse bei der Bereitstellung einer Containeranwendung ist das Übertragen der Binärdatei für die Anwendung in Ihr Rechenzentrum mit Air Gap. Arbeiten Sie mit Ihrem Infrastrukturteam und Ihren Administratoren zusammen, um die Anwendung auf Ihre Workstation zu übertragen oder diese Anleitung direkt auf Ihrem Server für kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD) zu implementieren.
In dieser Anleitung wird eine Beispiel-Webserveranwendung verwendet, die in der Google Cloud Artifact Registry verfügbar ist.
Ziele
- Verwaltete Harbor-Registry erstellen
- Container-Image in die verwaltete Harbor-Registry übertragen
- Kubernetes-Cluster erstellen
- Beispielcontaineranwendung im Cluster bereitstellen
Kosten
Da GDC für die Ausführung in einem Rechenzentrum mit Air Gap konzipiert ist, sind Abrechnungsprozesse und -informationen nur auf die GDC-Bereitstellung beschränkt und werden nicht von anderen Google-Produkten verwaltet.
Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen.
Mit dem Dashboard „Voraussichtliche Kosten“ können Sie zukünftige SKU-Kosten für Ihre Rechnungen vorhersagen.
Auf den Dashboards zur Abrechnung der Nutzung können Sie die Speicher- und Compute-Nutzung verfolgen.
Hinweis
Sie benötigen ein Projekt, um Ihre containerisierten Bereitstellungen zu verwalten. Erstellen Sie ein Projekt, falls Sie noch keines haben.
Legen Sie den Namespace Ihres Projekts als Umgebungsvariable fest:
export NAMESPACE=PROJECT_NAMESPACELaden Sie die gdcloud CLI herunter und installieren Sie sie.
Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die folgenden Rollen zuzuweisen:
Rolle „Namespace-Administrator“ (
namepspace-admin) für den Namespace Ihres Projekts. Diese Rolle ist erforderlich, um Containerarbeitslasten in Ihrem Projekt bereitzustellen.Rolle „Harbor-Instanzadministrator“ (
harbor-instance-admin) für den Namespace Ihres Projekts. Diese Rolle ist für den Lese- und Schreibzugriff auf alle Harbor-Ressourcen erforderlich. Sie ist auch erforderlich, um Harbor-Instanzen zu löschen.Rolle „Harbor-Instanzbetrachter“ (
harbor-instance-viewer) für den Namespace Ihres Projekts. Diese Rolle ist erforderlich, um eine Harbor-Instanz anzusehen und auszuwählen.Rolle „Harbor-Projektersteller“ (
harbor-project-creator) für den Namespace Ihres Projekts. Diese Rolle ist erforderlich, um auf ein Harbor-Projekt zuzugreifen und es zu verwalten.Rolle „Nutzercluster-Administrator“ (
user-cluster-admin). Diese Rolle ist erforderlich , um einen Kubernetes-Cluster zu erstellen, und ist nicht an einen Namespace gebunden.
Melden Sie sich an beim zonalen Management-API-Server an und generieren Sie die kubeconfig-Datei mit einer Nutzeridentität. Legen Sie den kubeconfig-Pfad als Umgebungsvariable fest:
export MANAGEMENT_API_SERVER=MANAGEMENT_API_SERVER_KUBECONFIG_PATH
Verwaltete Harbor-Registry erstellen
GDC mit Air Gap bietet Harbor as a Service, einen vollständig verwalteten Dienst, mit dem Sie Container-Images mit Harbor speichern und verwalten können.
Wenn Sie Harbor as a Service verwenden möchten, müssen Sie zuerst eine Harbor-Registry-Instanz und ein Harbor-Projekt erstellen.
Harbor-Registry-Instanz erstellen
So erstellen Sie eine Harbor-Container-Registry-Instanz:
Console
Wählen Sie im Navigationsmenü im Bereich CI/CD die Option Harbor Container Registry aus.
Wählen Sie die Zone aus, in der Sie Ihre Harbor-Instanz erstellen möchten. Eine Harbor-Instanz ist eine zonale Ressource und muss in jeder Zone manuell erstellt werden, um eine hohe Verfügbarkeit zu gewährleisten.
Klicken Sie auf Instanz erstellen.
Geben Sie den Namen der Instanz ein und akzeptieren Sie die Nutzungsbedingungen für verwaltetes Harbor.
Klicken Sie auf Instanz erstellen.
Prüfen Sie, ob Ihre neue Harbor-Instanz im Bereich Harbor-Instanz vorhanden ist.
Klicken Sie auf den externen Link Zur Harbor-Instanz und notieren Sie sich die Instanz-URL. Das Format der Instanz-URL ähnelt beispielsweise
harbor-1.org-1.zone1.google.gdc.test. Die Instanz-URL darf das Präfixhttps://nicht enthalten.Legen Sie die Instanz-URL als Variable fest, die Sie später in der Anleitung verwenden können:
export INSTANCE_URL=INSTANCE_URLErsetzen Sie INSTANCE_URL durch die URL der Harbor Registry-Instanz.
Beispiel:
export INSTANCE_URL=harbor-1.org-1.zone1.google.gdc.test
gdcloud
Erstellen Sie die neue Harbor-Container-Registry-Instanz:
gdcloud harbor instances create INSTANCE_NAME \ --project=PROJECT \Ersetzen Sie Folgendes:
INSTANCE_NAME: der Name der Harbor-Instanz.PROJECT: der Name des GDC-Projekts.
Listen Sie die URL der Instanz auf:
gdcloud harbor instances describe INSTANCE_NAME \ --project=PROJECTDie Ausgabe sieht dann ungefähr so aus:
# Several lines of code are omitted here. status: url: https://harbor-1.org-1.zone1.google.gdc.testLegen Sie die Instanz-URL als Variable fest, die Sie später in der Anleitung verwenden können:
export INSTANCE_URL=INSTANCE_URLErsetzen Sie INSTANCE_URL durch die URL der Harbor Registry-Instanz. Achten Sie darauf, dass die Instanz-URL das Präfix
https://nicht enthält.Beispiel:
export INSTANCE_URL=harbor-1.org-1.zone1.google.gdc.test
Harbor-Projekt in der Registry erstellen
Sie müssen in der Harbor-Registry-Instanz ein Harbor-Projekt erstellen, um Ihre Container-Images zu verwalten:
Console
Klicken Sie auf der Seite Harbor Container Registry auf Harbor-Projekt erstellen.
Geben Sie den Namen des Projekts ein.
Klicken Sie auf Erstellen.
Legen Sie den Namen des Harbor-Projekts als Variable fest, die Sie später in der Anleitung verwenden können:
export HARBOR_PROJECT=HARBOR_PROJECT
gdcloud
Erstellen Sie das neue Harbor-Projekt:
gdcloud harbor harbor-projects create HARBOR_PROJECT \ --project=PROJECT \ --instance=INSTANCE_NAMEErsetzen Sie Folgendes:
HARBOR_PROJECT: der Name des zu erstellenden Harbor-Projekts.PROJECT: der Name des GDC-Projekts.INSTANCE_NAME: der Name der Harbor-Instanz.
Legen Sie den Namen des Harbor-Projekts als Variable fest, die Sie später in der Anleitung verwenden können:
export HARBOR_PROJECT=HARBOR_PROJECT
Docker konfigurieren
So verwenden Sie Docker in Ihrer Harbor-Registry:
Konfigurieren Sie Docker so, dass Harbor as a Service vertraut wird. Weitere Informationen finden Sie unter Docker so konfigurieren, dass der Harbor-Stammzertifizierungsstelle vertraut wird.
Konfigurieren Sie die Docker-Authentifizierung für Harbor. Weitere Informationen finden Sie unter Docker-Authentifizierung für Harbor-Registry-Instanzen konfigurieren.
Kubernetes-Secret für das Abrufen von Images erstellen
Da Sie ein privates Harbor-Projekt verwenden, müssen Sie ein Kubernetes-Secret für das Abrufen von Images erstellen.
Fügen Sie ein Harbor-Projektroboterkonto hinzu, das als Dienstkonto verwendet werden soll.
Wählen Sie in der Harbor-Konsole Ihr Harbor-Projekt aus.
Klicken Sie auf Roboterkonten.
Wählen Sie Neues Roboterkonto aus.
Geben Sie Ihrem neuen Roboterkonto einen Namen und definieren Sie alle zusätzlichen Einstellungen.
Klicken Sie auf Hinzufügen.
Der Name des Roboterkontos und das Secret werden auf dem Erfolgsbildschirm angezeigt. Lassen Sie diesen Bildschirm für den nächsten Schritt geöffnet.
Weitere Informationen finden Sie in der Harbor-Dokumentation unter: https://goharbor.io/docs/2.8.0/working-with-projects/project-configuration/create-robot-accounts/#add-a-robot-account.
Melden Sie sich in einem neuen Terminalfenster mit Ihrem Harbor-Projektroboterkonto und dem Secret-Token bei Docker an:
docker login ${INSTANCE_URL}Geben Sie bei Aufforderung den Namen des Roboterprojekts für Nutzername und das Secret-Token für Passwort ein, die im vorherigen Schritt auf dem Erfolgsbildschirm der Harbor-Konsole angegeben wurden.
Legen Sie einen beliebigen Namen für das Secret für das Abrufen von Images fest:
export SECRET=SECRETErstellen Sie das Secret, das für das Abrufen des Images erforderlich ist:
kubectl create secret docker-registry ${SECRET} \ --from-file=.dockerconfigjson=DOCKER_CONFIG \ -n ${NAMESPACE}Ersetzen Sie
DOCKER_CONFIGdurch den Pfad zur Datei.docker/config.json.Prüfen Sie, ob das Secret im Namespace Ihres GDC-Projekts vorhanden ist:
kubectl get secrets -n ${NAMESPACE}Die Ausgabe sieht etwa so aus:
NAME TYPE DATA AGE my-secret kubernetes.io/dockerconfigjson 1 23s
Container-Image in die verwaltete Harbor-Registry übertragen
In dieser Anleitung laden Sie das nginx-Webserver-Image herunter und übertragen es in die verwaltete Harbor-Registry. Anschließend verwenden Sie es, um eine Beispiel-Webserveranwendung für nginx in einem Kubernetes-Cluster bereitzustellen. Die Webserveranwendung für nginx ist im öffentlichen Docker Hub-Repository verfügbar.
Rufen Sie das
nginx-Image über ein externes Netzwerk aus Docker Hub auf Ihre lokale Workstation ab:docker pull nginxTaggen Sie das lokale Image mit dem Repository-Namen:
docker tag nginx ${INSTANCE_URL}/${HARBOR_PROJECT}/nginx:1.25Übertragen Sie das
nginx-Container-Image in Ihre verwaltete Harbor-Registry:docker push ${INSTANCE_URL}/${HARBOR_PROJECT}/nginx:1.25
Kubernetes-Cluster erstellen
Nachdem Sie das nginx-Container-Image in der verwalteten Harbor-Registry gespeichert haben und darauf zugreifen können, erstellen Sie einen freigegebenen Kubernetes-Cluster, um den nginx-Webserver auszuführen.
Console
Wählen Sie im Navigationsmenü Kubernetes Engine > Cluster aus.
Klicken Sie auf Cluster erstellen.
Geben Sie im Feld Name einen Namen für den Cluster an.
Wählen Sie die Zone aus, in der Sie Ihren Kubernetes-Cluster erstellen möchten. Ein Kubernetes-Cluster ist eine zonale Ressource und muss in jeder Zone manuell erstellt werden, um eine Hochverfügbarkeit zu gewährleisten.
Klicken Sie auf Projekt anhängen und wählen Sie ein Projekt aus, das an Ihren Cluster angehängt werden soll. Klicken Sie dann auf Speichern.
Klicken Sie auf Erstellen.
Warten Sie, bis der Cluster erstellt wurde. Wenn der Cluster verwendet werden kann, wird neben dem Clusternamen der Status
READYangezeigt.
API
Erstellen Sie eine benutzerdefinierte
Cluster-Ressource und speichern Sie sie als YAML-Datei, z. B.cluster.yaml:apiVersion: cluster.gdc.goog/v1 kind: Cluster metadata: name: CLUSTER_NAME namespace: platformErsetzen Sie den Wert
CLUSTER_NAMEdurch den Namen des Clusters.Wenden Sie die benutzerdefinierte Ressource auf Ihre GDC-Instanz an:
kubectl create -f cluster.yaml --kubeconfig ${MANAGEMENT_API_SERVER}Hängen Sie über die GDC-Konsole ein Projekt an Ihren Kubernetes-Cluster an. Derzeit ist es nicht möglich, ein Projekt über die API an den Cluster anzuhängen.
Weitere Informationen zum Erstellen eines freigegebenen Kubernetes-Clusters finden Sie unter Freigegebenen Cluster erstellen. Weitere Informationen zu den verfügbaren Optionen für die Clusterkonfiguration finden Sie unter Kubernetes-Clusterkonfigurationen.
Beispielcontaineranwendung bereitstellen
Sie können jetzt das nginx-Container-Image in Ihrem Kubernetes-Cluster bereitstellen.
In Kubernetes werden Anwendungen als Pod-Ressourcen dargestellt. Das sind skalierbare Einheiten, die einen oder mehrere Container enthalten. Der Pod ist die kleinste bereitstellbare Einheit in Kubernetes. In der Regel werden Pods als ein Satz von Replikaten bereitgestellt, die skaliert und über den Cluster verteilt werden können. Eine Möglichkeit, um einen Satz von Replikaten bereitzustellen, ist ein Kubernetes-Deployment.
In diesem Abschnitt erstellen Sie ein Kubernetes-Deployment, um die nginx-Containeranwendung in Ihrem Cluster auszuführen. Dieses Deployment hat Replikate oder Pods. Ein Deployment-Pod enthält nur einen Container: das nginx-Container-Image. Außerdem erstellen Sie eine Service-Ressource, die Clients eine stabile Möglichkeit bietet, Anfragen an die Pods Ihres Deployment zu senden.
Stellen Sie den nginx-Webserver in Ihrem Kubernetes-Cluster bereit:
Melden Sie sich an beim Kubernetes-Cluster und generieren Sie die kubeconfig-Datei mit einer Nutzer identität. Legen Sie den kubeconfig-Pfad als Umgebungsvariable fest:
export KUBECONFIG=CLUSTER_KUBECONFIG_PATHErstellen und stellen Sie die benutzerdefinierten Kubernetes-Ressourcen
DeploymentundServicebereit:kubectl --kubeconfig ${KUBECONFIG} -n ${NAMESPACE} \ create -f - <<EOF apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment labels: app: nginx spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: ${INSTANCE_URL}/${HARBOR_PROJECT}/nginx:1.25 ports: - containerPort: 80 imagePullSecrets: - name: ${SECRET} --- apiVersion: v1 kind: Service metadata: name: nginx-service spec: selector: app: nginx ports: - port: 80 protocol: TCP type: LoadBalancer EOFPrüfen Sie, ob die Pods durch das Deployment erstellt wurden:
kubectl get pods -l app=nginx -n ${NAMESPACE}Die Ausgabe sieht etwa so aus:
NAME READY STATUS RESTARTS AGE nginx-deployment-1882529037-6p4mt 1/1 Running 0 1h nginx-deployment-1882529037-p29za 1/1 Running 0 1h nginx-deployment-1882529037-s0cmt 1/1 Running 0 1hErstellen Sie eine Netzwerkrichtlinie, um den gesamten Netzwerkverkehr zum Namespace zuzulassen:
kubectl --kubeconfig ${KUBECONFIG} -n ${NAMESPACE} \ create -f - <<EOF apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: annotations: name: allow-all spec: ingress: - from: - ipBlock: cidr: 0.0.0.0/0 podSelector: {} policyTypes: - Ingress EOFExportieren Sie die IP-Adresse für den
nginx-Dienst:export IP=`kubectl --kubeconfig=${KUBECONFIG} get service nginx-service \ -n ${NAMESPACE} -o jsonpath='{.status.loadBalancer.ingress[*].ip}'`Testen Sie die IP-Adresse des
nginx-Servers mitcurl:curl http://$IP
Bereinigen
Entfernen Sie die in dieser Anleitung erstellten Ressourcen, um zu vermeiden, dass Ihrem GDC-Konto dafür Gebühren berechnet werden.
Container-Image löschen
Wenn Sie das Container-Image aus Ihrer GDC-Umgebung mit Air Gap löschen möchten, löschen Sie entweder die Harbor-Instanz, die das Image enthält, oder behalten Sie die Harbor-Instanz und löschen Sie das einzelne Container-Image.
So löschen Sie das Container-Image aus der verwalteten Harbor-Registry über die GDC-Konsole:
Wählen Sie im Navigationsmenü im Bereich CI/CD die Option Harbor Container Registry aus.
Klicken Sie auf den externen Link Zur Harbor-Instanz.
Löschen Sie das Container-Image über die Harbor-UI. Weitere Informationen finden Sie unter Harbor-Registry Instanzen löschen.
Containeranwendung löschen
Wenn Sie die bereitgestellte Containeranwendung löschen möchten, löschen Sie entweder das GDC-Projekt , das die Ressourcen enthält, oder behalten Sie das GDC-Projekt und löschen Sie die einzelnen Ressourcen.
So löschen Sie die einzelnen Ressourcen:
Löschen Sie das
Service-Objekt für Ihre Containeranwendung:kubectl delete service nginx-service -n ${NAMESPACE}Löschen Sie das
Deployment-Objekt für Ihre Containeranwendung:kubectl delete deployment nginx-deployment -n ${NAMESPACE}Wenn Sie für diese Anleitung einen Kubernetes-Testcluster erstellt haben, löschen Sie ihn:
kubectl delete clusters.cluster.gdc.goog/USER_CLUSTER_NAME \ -n platform --kubeconfig ${MANAGEMENT_API_SERVER}Dadurch werden die Ressourcen des Kubernetes-Clusters gelöscht, z. B. die Compute-Instanzen, Laufwerke und Netzwerkressourcen:
Nächste Schritte
Erfahren Sie mehr über die Clusterarchitektur.
Informationen zum Verwalten von Containern, die in Ihren Kubernetes-Clustern bereitgestellt werden, finden Sie in der Dokumentation zu Kubernetes-Containern für GDC.
Best Practices für die Einrichtung Ihrer Containerarbeitslasten und anderer Dienstressourcen