הגדרת אשכול לניהול על ידי GKE On-Prem API

‫GKE On-Prem API הוא API שמתארח ב-Google Cloud ומאפשר לכם לנהל את מחזור החיים של האשכולות המקומיים באמצעות כלים סטנדרטיים:Google Cloud המסוף, Google Cloud CLI או Terraform. כשיוצרים אשכול באמצעות אחד מהכלים האלה, ה-API שומר מטא-נתונים על מצב האשכול באזור שצוין כשיוצרים את האשכול. Google Cloud המטא-נתונים האלה מאפשרים לכם לנהל את מחזור החיים של האשכול באמצעות הכלים הרגילים. אם רוצים להשתמש בכלים האלה כדי לראות את פרטי האשכול או לנהל את מחזור החיים של אשכולות שנוצרו באמצעות bmctl, צריך לרשום את האשכולות ב-GKE On-Prem API.

הסברים על המונחים

רישום של אשכול מאפשר לכם לנהל את מחזור החיים של האשכול באמצעות המסוף, ה-CLI של gcloud או Terraform.

הוספת אשכול היא תהליך נפרד מרישום אשכול ב-Fleet. צי הוא קבוצה לוגית של אשכולות Kubernetes שאפשר לנהל אותם יחד. כל האשכולות של Google Distributed Cloud רשומים ב-Fleet בזמן יצירת האשכול. כשיוצרים אשכול באמצעות bmctl, האשכול נרשם לפרויקט Google Cloud שמציינים בשדה gkeConnect.projectID בקובץ התצורה של האשכול. הפרויקט הזה נקרא פרויקט המארח של ה-Fleet. מידע נוסף על צי רכבים, כולל תרחישי שימוש, שיטות מומלצות ודוגמאות, זמין במסמכי התיעוד בנושא ניהול צי רכבים.

הצגת אשכולות רשומים

כל האשכולות של צי הרכבים מוצגים בדפים GKE Clusters במסוף. כך תוכלו לקבל סקירה כללית של כל הצי שלכם, וב-Google Distributed Cloud תוכלו לראות אילו אשכולות מנוהלים על ידי GKE On-Prem API.

כדי לראות את אשכולות הצי:

  1. במסוף, עוברים לדף GKE clusters.
    מעבר לאשכולות GKE
  2. בוחרים את הפרויקט Google Cloud .
    • אם Bare metal מוצג בעמודה Type, המשמעות היא שהאשכול מנוהל על ידי GKE On-Prem API.
    • אם External מוצג בעמודה Type, האשכול לא מנוהל על ידי GKE On-Prem API.

דרישות

  • אפשר לרשום רק אשכולות משתמשים ואשכולות אדמין באמצעות GKE On-Prem API. אי אפשר לרשום אשכולות היברידיים ואשכולות עצמאיים.
  • גרסה 1.13 ומעלה.

  • אין תמיכה בהרשמה של קבוצות משתמשים שנוצרו במרחבי שמות מותאמים אישית. קובץ התצורה של אשכול המשתמשים שנוצר משתמש במרחב השמות של האשכול שמוגדר כברירת מחדל, בתבנית cluster-CLUSTER_NAME. אם משנים את מרחב השמות כשיוצרים את האשכול, ניסיונות לרשום את האשכול ב-GKE On-Prem API נחסמים.

  • אם אתם לא בעלי הפרויקט, אתם צריכים לקבל לפחות את התפקיד roles/gkeonprem.admin בממשק לניהול הזהויות והרשאות הגישה (IAM) בפרויקט. פרטים על ההרשאות שכלולות בתפקיד הזה מופיעים במאמר תפקידים ב-GKE On-Prem במסמכי ה-IAM.

לפני שמתחילים

  1. אם צריך, מגדירים את ה-CLI של gcloud.

    1. אם אתם צריכים להתקין את ה-CLI של gcloud, תוכלו לעיין במסמכי התיעוד של gcloud CLI. מעדכנים את הרכיבים של ה-CLI של gcloud, אם צריך:

      gcloud components update

  2. כדי להפעיל את GKE On-Prem API ולהשתמש בו, פועלים לפי השלבים הבאים:

    1. מפעילים את ה-API בפרויקט:

      gcloud services enable \
    --project PROJECT_ID \
    gkeonprem.googleapis.com

      מחליפים את PROJECT_ID במזהה הפרויקט המארח של הצי. זהו מזהה הפרויקט שהוגדר בקטע gkeconnect של קובץ התצורה של האשכול.

      אם מופיעה השגיאה PERMISSION_DENIED, צריך לבדוק שוב את מזהה הפרויקט שהזנתם. אם מזהה הפרויקט נכון, מריצים את הפקודה gcloud auth login כדי להיכנס ל-Google Cloud CLI באמצעות החשבון שיש לו גישה לפרויקט.

    2. אם זו הפעם הראשונה שאתם מפעילים את GKE On-Prem API בפרויקט שלכם, אתם צריכים לאתחל את ה-API. כדי לעשות את זה, מריצים פקודה ב-CLI של gcloud שמציגה את הגרסאות הזמינות שאפשר להשתמש בהן כדי ליצור אשכול:

      gcloud container bare-metal clusters query-version-config \
    --project=PROJECT_ID \
    --location=REGION

      מחליפים את REGION ב-us-west1 או באזור נתמך אחר.

  3. אם בארגון שלכם הוגדרת רשימת היתרים שמאפשרת לתנועה מממשקי Google API ומכתובות אחרות לעבור דרך שרת ה-proxy, צריך להוסיף את הכתובות הבאות לרשימת ההיתרים:

    • gkeonprem.googleapis.com
    • gkeonprem.mtls.googleapis.com

    אלה שמות השירותים של GKE On-Prem API.

רישום של אשכול משתמשים

‫CLI של gcloud

  1. כדי להציג את החברות ב-Fleet של אשכולות רשומים:

    gcloud container fleet memberships list \
    --project=PROJECT_ID

    מחליפים את PROJECT_ID במזהה הפרויקט המארח של הצי.

    חשוב לשים לב לאזור שבו אשכול האדמין שמנהל את אשכול המשתמשים הוא חבר, כי תצטרכו את זה בשלב הבא.

  2. מצרפים את האשכול ל-GKE On-Prem API:

    gcloud container bare-metal clusters enroll USER_CLUSTER_NAME  \
    --project=PROJECT_ID \
    --admin-cluster-membership=projects/PROJECT_ID/locations/MEMBERSHIP_REGION/memberships/ADMIN_CLUSTER_NAME \
    --location=REGION

    מחליפים את מה שכתוב בשדות הבאים:

    • USER_CLUSTER_NAME: השם של אשכול המשתמשים שרוצים לרשום.

    • PROJECT_ID: מזהה הפרויקט של פרויקט המארח של ה-Fleet.

    • MEMBERSHIP_REGION: האזור שבו אשכול האדמין שמנהל את אשכול המשתמש הוא חבר. יכול להיות שזה global או אזור Google Cloud .

    • ADMIN_CLUSTER_NAME: השם של אשכול האדמין שמנהל את אשכול המשתמשים.

      השמות ADMIN_CLUSTER_NAME, MEMBERSHIP_REGION ו-PROJECT_ID יוצרים את השם המלא של האשכול עבור הדגל --admin-cluster-membership.

    • REGION: האזור שבו פועל GKE On-Prem API ושבו מאוחסנים מטא-נתונים של אשכולות. Google Cloud מציינים us-west1 או אזור נתמך אחר. אי אפשר לשנות את האזור אחרי שמצרפים את האשכול.

bmctl

מבצעים את השלבים הבאים בתחנת העבודה של האדמין.

  1. מוסיפים את הקטע הבא לקובץ התצורה של אשכול המשתמשים:

    gkeOnPremAPI:
  enabled: true
  location: REGION

    מחליפים את הערך REGION באזור Google Cloud שבו פועל GKE On-Prem API ושבו מאוחסנים המטא-נתונים של האשכול. מציינים us-west1 או אזור נתמך אחר. אי אפשר לשנות את האזור אחרי שמצרפים את האשכול.

  2. מעדכנים את האשכול:

    bmctl update cluster -c USER_CLUSTER_NAME \
  --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    מחליפים את מה שכתוב בשדות הבאים:

    • USER_CLUSTER_NAME: השם של אשכול המשתמשים שרוצים לעדכן.

    • ADMIN_CLUSTER_KUBECONFIG: הנתיב לקובץ kubeconfig של אשכול האדמין.

רישום של אשכול אדמין

‫CLI של gcloud

  1. כדי להציג את החברות ב-Fleet של אשכולות רשומים:

    gcloud container fleet memberships list \
    --project=PROJECT_ID

    מחליפים את PROJECT_ID במזהה הפרויקט המארח של הצי.

    חשוב לשים לב לאזור שבו אשכול האדמין הוא חבר, כי תצטרכו את זה בשלב הבא.

  2. מצטרפים אל GKE On-Prem API באשכול הניהול:

    gcloud container bare-metal admin-clusters enroll ADMIN_CLUSTER_NAME \
    --project=PROJECT_ID  \
    --admin-cluster-membership=projects/PROJECT_ID /locations/MEMBERSHIP_REGION /memberships/ADMIN_CLUSTER_NAME  \
    --location=REGION

מחליפים את מה שכתוב בשדות הבאים:

  • ADMIN_CLUSTER_NAME: השם של אשכול האדמין שרוצים לרשום.

  • PROJECT_ID מזהה הפרויקט של פרויקט המארח של צי המכונות.

  • MEMBERSHIP_REGION: האזור שבו אשכול האדמין הוא חבר. הערך יכול להיות global או אזור Google Cloud .

    השם המלא של האשכול עבור הדגל --admin-cluster-membership מורכב מ-ADMIN_CLUSTER_NAME, MEMBERSHIP_REGION ו-PROJECT_ID.

  • REGION: האזור שבו פועל GKE On-Prem API ושבו מאוחסנים מטא-נתונים של אשכולות. Google Cloud מציינים us-west1 או אזור נתמך אחר. אי אפשר לשנות את האזור אחרי שמצרפים את האשכול.

bmctl

מבצעים את השלבים הבאים בתחנת העבודה של האדמין.

  1. מוסיפים את הקטע הבא לקובץ התצורה של אשכול הניהול:

    gkeOnPremAPI:
  enabled: true
  location: REGION

    מחליפים את הערך REGION באזור Google Cloud שבו פועל GKE On-Prem API ושבו מאוחסנים המטא-נתונים של האשכול. מציינים us-west1 או אזור נתמך אחר. אי אפשר לשנות את האזור אחרי שמצרפים את האשכול.

  2. מעדכנים את האשכול:

    bmctl update cluster -c ADMIN_CLUSTER_NAME \
--kubeconfig ADMIN_CLUSTER_KUBECONFIG

    מחליפים את מה שכתוב בשדות הבאים:

    • ADMIN_CLUSTER_NAME: השם של אשכול הניהול שרוצים לעדכן.

    • ADMIN_CLUSTER_KUBECONFIG: הנתיב לקובץ kubeconfig של אשכול האדמין.

קבלת מידע על האשכול

אחרי שרושמים את האשכול, אפשר להשתמש בפקודות הבאות כדי לקבל מידע על האשכולות:

אשכול משתמשים

  • כדי לתאר אשכול משתמשים:
gcloud container bare-metal clusters describe USER_CLUSTER_NAME \
    --project=PROJECT_ID \
    --location=REGION
  • כדי להציג את רשימת אשכולות המשתמשים:
gcloud container bare-metal clusters list \
    --project=PROJECT_ID \
    --location=-

כשמגדירים את --location=-, המשמעות היא שרוצים להציג את כל האשכולות בכל האזורים. אם צריך לצמצם את הרשימה, מגדירים את --location לאזור שציינתם כשנרשמתם לאשכול.

אשכול אדמין

  • כדי לתאר אשכול אדמין:
gcloud container bare-metal admin-clusters describe ADMIN_CLUSTER_NAME \
    --project=PROJECT_ID \
    --location=REGION
  • כדי להציג את רשימת אשכולות האדמין:
gcloud container bare-metal admin-clusters list \
    --project=PROJECT_ID \
    --location=-

כשמגדירים את --location=-, המשמעות היא שרוצים להציג את כל האשכולות בכל האזורים. אם צריך לצמצם את הרשימה, מגדירים את --location לאזור שציינתם כשנרשמתם לאשכול.

התחברות לאשכול

אחרי שמצרפים את האשכול ל-GKE On-Prem API, צריך לבחור ולהגדיר שיטת אימות כדי שתוכלו לנהל את האשכול ממסוף Google Cloud . שיטת האימות שבוחרים שולטת גם בגישה לאשכול משורת הפקודה. מידע נוסף: