Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Crea cluster di amministrazione

In Google Distributed Cloud, configuri i cluster di amministrazione per gestire in modo sicuro altri cluster. Puoi creare, aggiornare, eseguire l'upgrade o eliminare i cluster utente dai cluster di amministrazione. I cluster utente eseguono i carichi di lavoro separatamente dall'amministrazione, quindi le informazioni sensibili sono protette.

I cluster di amministrazione che gestiscono i carichi di lavoro multi-cluster possono fornire un'affidabilità ad alta disponibilità (HA). In un cluster ad alta disponibilità, se un nodo del control plane non funziona, gli altri nodi continueranno a funzionare.

Un cluster di amministrazione in un ambiente multi-cluster fornisce la migliore sicurezza fondamentale. Poiché l'accesso ai dati di amministrazione è separato dai carichi di lavoro, chi accede ai carichi di lavoro utente non ha accesso ai dati amministrativi sensibili, come le chiavi SSH e i dati dei account di servizio. Di conseguenza, esiste un compromesso tra la sicurezza e le risorse richieste, poiché un cluster di amministrazione separato significa che hai bisogno di risorse dedicate per la gestione e i carichi di lavoro.

Crea un cluster di amministrazione utilizzando il comando bmctl. Dopo aver creato un cluster di amministrazione, crea i cluster utente per eseguire i carichi di lavoro.

Prerequisiti:

L'ultima versione di bmctl viene scaricata (gs://anthos-baremetal-release/bmctl/1.35.0-gke.525/linux-amd64/bmctl) da Cloud Storage.
La workstation che esegue bmctl ha la connettività di rete a tutti i nodi nei cluster utente di destinazione.
La workstation che esegue bmctl ha la connettività di rete al server API del cluster (VIP del control plane).
La chiave SSH utilizzata per creare il cluster di amministrazione è disponibile per root o per un utente utente root con privilegi sudo senza password su tutti i nodi nel cluster di amministrazione di destinazione.
Il account di servizio di Connect-Register è configurato per l'utilizzo con Connect.

Consulta la guida rapida di Google Distributed Cloud quickstart per istruzioni dettagliate su come creare un cluster ibrido. La creazione di un cluster di amministrazione è simile alla creazione di un cluster ibrido, tranne per il fatto che non esegui i carichi di lavoro sul cluster di amministrazione.

Abilitare SELinux

Se vuoi abilitare SELinux per proteggere i container, devi assicurarti che SELinux sia abilitato in modalità Enforced su tutte le macchine host. A partire dalla release 1.9.0 di Google Distributed Cloud o versioni successive, puoi abilitare o disabilitare SELinux prima o dopo la creazione o l'upgrade del cluster. SELinux è abilitato per impostazione predefinita su Red Hat Enterprise Linux (RHEL). Se SELinux è disabilitato sulle macchine host o non ne hai la certezza, consulta Protezione dei container mediante SELinux per istruzioni su come abilitarlo.

Google Distributed Cloud supporta SELinux solo sui sistemi RHEL.

Accedere alla gcloud CLI e creare un file di configurazione del cluster di amministrazione

Imposta le credenziali predefinite che Google Distributed Cloud può utilizzare per creare il cluster con il seguente comando:
```
gcloud auth application-default login
```
Per utilizzare le funzionalità di abilitazione automatica delle API e di creazione dei account di servizio in questa pagina, assegna il ruolo Proprietario progetto all'entità. Se l'entità non può avere il ruolo di Proprietario progetto, completa il passaggio successivo.
Per assicurarti che la creazione del cluster possa essere eseguita correttamente senza concedere il ruolo di proprietario del progetto, aggiungi i seguenti ruoli IAM all'entità:
- Amministratore account di servizio
- Service Account Key Admin
- Amministratore IAM progetto
- Compute Viewer
- Amministratore Service Usage
Se l'entità è un account di servizio con questi ruoli, puoi eseguire:
```
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
```
Sostituisci JSON_KEY_FILE con il percorso del file di chiavi JSON del account di servizio.
Recupera l'ID del tuo Google Cloud progetto e memorizzalo in una variabile di ambiente per utilizzarlo per la creazione del cluster:
```
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
```

Creare una configurazione del cluster di amministrazione con `bmctl`

Dopo aver eseguito l'accesso alla gcloud CLI e aver configurato il progetto, puoi creare il file di configurazione del cluster con il comando bmctl.

Nell'esempio seguente, tutti i service account vengono creati automaticamente dal comando bmctl create config:

bmctl create config -c ADMIN_CLUSTER_NAME --enable-apis \
    --create-service-accounts --project-id=CLOUD_PROJECT_ID

Sostituisci quanto segue:

ADMIN_CLUSTER_NAME: il nome del nuovo cluster.
CLOUD_PROJECT_ID: il tuo Google Cloud ID progetto o la $CLOUD_PROJECT_ID variabile di ambiente.

Ecco un esempio per creare un file di configurazione per un cluster di amministrazione denominato admin1 associato all'ID progetto my-gcp-project:

bmctl create config -c admin1 --create-service-accounts --enable-apis --project-id=my-gcp-project

Il file viene scritto in bmctl-workspace/admin1/admin1.yaml.

In alternativa all'abilitazione automatica delle API e alla creazione dei service account, puoi anche fornire ai service account esistenti le autorizzazioni IAM appropriate. Ciò significa che puoi saltare la creazione automatica dei account di servizio nell'esempio precedente nel comando bmctl:

bmctl create config -c admin1 --project-id=my-gcp-project

Modificare il file di configurazione del cluster

Ora che hai un file di configurazione del cluster, modificalo per apportare le seguenti modifiche:

Fornisci la chiave privata SSH per accedere ai nodi del cluster di amministrazione:

# bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes
# resource, this section can only be included when using bmctl to
# create the initial admin/admin cluster. Afterwards, when creating user clusters by directly
# applying the cluster and node pool resources to the existing cluster, you must remove this
# section.
gcrKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
sshPrivateKeyPath: /path/to/your/ssh_private_key
gkeConnectAgentServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
gkeConnectRegisterServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
cloudOperationsServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json

Registra i cluster in un parco risorse. L'ID progetto specificato nel comando bmctl create config viene aggiunto automaticamente al campo gkeConnect.projectID nel file di configurazione del cluster. Questo progetto è denominato progetto host del parco risorse.
- Se hai creato il file di configurazione utilizzando le funzionalità di abilitazione automatica delle API e di creazione dei service account, puoi saltare questo passaggio.
- Se hai creato il file di configurazione senza utilizzare le funzionalità di abilitazione automatica delle API e di creazione dei service account, fai riferimento alle chiavi JSON dei account di servizio scaricati nei campi gkeConnectAgentServiceAccountKeyPath e gkeConnectRegisterServiceAccountKeyPath corrispondenti del file di configurazione del cluster.
- (Facoltativo) Puoi aggiungere gkeConnect.location alla specifica del cluster per specificare la Google Cloud regione in cui vengono eseguiti i servizi Fleet e Connect. Questa appartenenza regionale limita il traffico dei servizi del parco risorse alla tua regione. Se includi gkeConnect.location nella specifica del cluster, la regione specificata deve essere la stessa configurata in clusterOperations.location. Se le regioni non sono le stesse, la creazione del cluster non riesce.

Verifica che la configurazione specifichi un tipo di cluster admin (il valore predefinito):

spec:
  # Cluster type. This can be:
  #   1) admin:  to create an admin cluster. This can later be used to create user clusters.
  #   2) user:   to create a user cluster. Requires an existing admin cluster.
  #   3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads.
  #   4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters.
  type: admin

Se l'API GKE On-Prem è abilitata nel tuo Google Cloud progetto, tutti i cluster del progetto vengono registrati automaticamente nell'API GKE On-Prem nella regione configurata in clusterOperations.location.
- Se vuoi registrare tutti i cluster del progetto nell'API GKE On-Prem, assicurati di eseguire i passaggi descritti in Prima di iniziare ad attivare e utilizzare l'API GKE On-Prem nel progetto.
- Se non vuoi registrare il cluster nell'API GKE On-Prem, includi questa sezione e imposta gkeOnPremAPI.enabled su false. Se non vuoi registrare alcun cluster nel progetto, disabilita gkeonprem.googleapis.com (il nome del servizio per l'API GKE On-Prem) nel progetto. Per le istruzioni, vedi Disabilitare i servizi.
Modifica il file di configurazione per specificare un control plane ad alta affidabilità multi-nodo. Specifica un numero dispari di nodi per avere un quorum di maggioranza per l'alta disponibilità:
```
  # Control plane configuration
  controlPlane:
    nodePoolSpec:
      nodes:
      # Control plane node pools. Typically, this is either a single machine
      # or 3 machines if using a high availability deployment.
      - address: 10.200.0.4
      - address: 10.200.0.5
      - address: 10.200.0.6
```
Nota: se hai temporaneamente un numero pari di nodi durante l'aggiunta o la rimozione di nodi per la manutenzione o la sostituzione, il deployment mantiene l'alta disponibilità purché tu abbia un quorum sufficiente.
Specifica la densità dei pod dei nodi del cluster:
```
....
# NodeConfig specifies the configuration that applies to all nodes in the cluster.
nodeConfig:
  # podDensity specifies the pod density configuration.
  podDensity:
    # maxPodsPerNode specifies at most how many pods can be run on a single node.
    maxPodsPerNode: 250
....
```
Per i cluster di amministrazione, i valori consentiti per maxPodsPerNode sono 32-250 per i cluster ad alta disponibilità e 64-250 per i cluster non ad alta disponibilità. Il valore predefinito, se non specificato, è 110. Una volta creato il cluster, questo valore non può essere aggiornato.

La densità dei pod è limitata anche dalle risorse IP disponibili del cluster. Per maggiori dettagli, vedi Networking dei pod.

Creare il cluster di amministrazione con la configurazione del cluster

Utilizza il comando bmctl per eseguire il deployment del cluster:

bmctl create cluster -c ADMIN_CLUSTER_NAME

ADMIN_CLUSTER_NAME specifica il nome del cluster creato nella sezione precedente.

Di seguito è riportato un esempio del comando per creare un cluster denominato admin1:

bmctl create cluster -c admin1

Esempi di configurazioni di cluster di amministrazione

Per esempi di configurazioni di cluster di amministrazione, vedi Cluster di amministrazione in Esempi di configurazione dei cluster.