Controlli preflight

I controlli preflight sono una misura preventiva per aiutarti a identificare i problemi prima di iniziare un'operazione importante del cluster, come la creazione o l'upgrade dei cluster. Quando questi controlli vengono eseguiti automaticamente prima di un'operazione, non vengono apportate modifiche ai cluster, a meno che tutti i controlli preflight non vengano superati. Puoi anche eseguire controlli prevolo on demand.

Questo documento descrive ogni controllo, in quali circostanze viene eseguito automaticamente, come e quando eseguirlo manualmente e come interpretare i risultati.

In Google Distributed Cloud puoi eseguire controlli preflight per diverse situazioni:

  • Google Distributed Cloud esegue i controlli preflight quando crei o esegui l'upgrade dei cluster e delle risorse del pool di nodi con bmctl. Se i controlli non vanno a buon fine, non vengono apportate modifiche. Puoi anche ignorare questi controlli o eseguirli in modo esplicito.

  • Google Distributed Cloud esegue anche controlli preflight interni quando un amministratore o un cluster ibrido crea o aggiorna le risorse Kubernetes sui cluster utente. I controlli vengono eseguiti prima che le modifiche vengano applicate ai cluster di utenti interessati. Se i controlli non vengono superati, non vengono apportate modifiche.

PreflightCheck risorse personalizzate

Quando viene eseguito un controllo preflight, Google Distributed Cloud crea una risorsa personalizzata PreflightCheck. Le risorse personalizzate PreflightCheck sono permanenti e forniscono un record delle attività e dei risultati del controllo preflight.

Per recuperare le risorse personalizzate PreflightCheck:

  1. Recupera un elenco di controlli preflight eseguiti per un determinato cluster:

    kubectl get preflightchecks --kubeconfig ADMIN_KUBECONFIG --namespace CLUSTER_NAMESPACE

    Sostituisci quanto segue:

    • ADMIN_KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione.
    • CLUSTER_NAMESPACE: lo spazio dei nomi del cluster.

    La risposta elenca le risorse per spazio dei nomi. Puoi eseguire kubectl get preflightchecks in tutti gli spazi dei nomi per un elenco completo. Per ogni risorsa, la risposta mostra l'età della risorsa e se i controlli preflight sono stati superati. La seguente risposta di esempio mostra le risorse PreflightCheck per lo spazio dei nomi cluster-test-admin001.

    NAMESPACE              NAME                                PASS    AGE
cluster-test-admin001   test-admin001                      true    52d
cluster-test-admin001   test-admin001jkm4q                 true    52d
cluster-test-admin001   test-admin001k79t7                 true    6d20h
cluster-test-admin001   upgrade-cluster-20231106-222746    true    6d20h

  2. Recupera i dettagli di una risorsa personalizzata PreflightCheck specifica:

    kubectl describe preflightchecks --kubeconfig ADMIN_KUBECONFIG --namespace CLUSTER_NAMESPACE

    Sostituisci quanto segue:

    • ADMIN_KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione.
    • CLUSTER_NAMESPACE: lo spazio dei nomi del cluster.

    La seguente risposta di esempio del comando mostra una risorsa PreflightCheck per un controllo preliminare riuscito eseguito durante la creazione del cluster:

    Name:         create-cluster-20230922-175006
Namespace:    cluster-test-user001
Labels:       <none>
Annotations:  <none>
API Version:  baremetal.cluster.gke.io/v1
Kind:         PreflightCheck
Metadata:
  Creation Timestamp:  2023-09-22T17:50:11Z
  Generation:          1
  Resource Version:    6502800
  UID:                 917daf64-963d-44b4-a1f9-c54972a39191
Spec:
  Check Image Version:  latest
  Config YAML:          ---
apiVersion: v1
kind: Namespace
metadata:
  name: cluster-test-user
---
apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: test-user001
  namespace: cluster-test-user001
spec:
  type: user
  profile: default
  anthosBareMetalVersion: 1.16.0
  gkeConnect:
    projectID: clusters-project
  controlPlane:
    nodePoolSpec:
      nodes:
      - address: 192.0.2.53
  ...
---
apiVersion: baremetal.cluster.gke.io/v1
kind: NodePool
metadata:
  name: node-pool-1
  namespace: cluster-test-user001
spec:
  clusterName: test-user001
  nodes:
  - address: 192.0.2.54
  ...
Status:
  Checks:
    192.0.2.53:
      Job UID:  d0b5dc1f-9d39-4cc8-b3d2-0841212f7f8c
      Message:  
      Pass:     true
    192.0.2.53-gcp:
      Job UID:  b4d96ce5-0d4e-4e3c-97db-6317e0c15fc8
      Message:  
      Pass:     true
    192.0.2.54:
      Job UID:  b67cf195-3951-46ad-b91c-0d79025cfc0a
      Message:  
      Pass:     true
    192.0.2.54-gcp:
      Job UID:  aed509e2-4bf7-44c4-bfa0-8147ef8ea74e
      Message:  
      Pass:     true
    Gcp:
      Job UID:  ac479ac4-e1c4-4681-9f2b-5773069bf6ae
      Message:  
      Pass:     true
    Node - Network:
      Job UID:  8a57c4ee-ad17-4560-8809-b117c871ad5d
      Message:  
      Pass:     true
    Pod - Cidr:
      Message:  
      Pass:     true
  Cluster Spec:
    Anthos Bare Metal Version:  1.16.0
    Bypass Preflight Check:     false
    Cluster Network:
      Bundled Ingress:  true
      Pods:
        Cidr Blocks:
          10.0.0.0/16
      Services:
        Cidr Blocks:
          10.96.0.0/20
  ...
  Completion Time:                 2023-09-22T17:51:22Z
  Conditions:
    Last Transition Time:  2023-10-02T23:59:06Z
    Observed Generation:   1
    Reason:                Reconciling
    Status:                True
    Type:                  Reconciling
  Node Pool Specs:
    node-pool-1:
      Cluster Name:  test-user001
      Nodes:
        Address:         192.0.2.54
    ...
  Pass:                  true
  Start Time:            2023-09-22T17:50:32Z
Events:                  <none>

    Nella risorsa personalizzata PreflightCheck precedente, la sezione Status contiene le seguenti informazioni:

    • La sezione Checks elenca i singoli controlli preflight eseguiti e indica se sono stati superati o meno. In questo esempio, sono stati eseguiti i seguenti controlli:
      • 192.0.2.53 e 192.0.2.54: controlli dei nodi (configurazione del sistema operativo, risorse e impostazioni software) per le macchine con indirizzi IP 192.0.2.53 e 192.0.2.54.
      • 192.0.2.53-gpc e 192.0.2.54-gcp:controlli di connettività Google Cloud (accesso ad Artifact Registry e alle API di Google) per le macchine con indirizzi IP 192.0.2.53 e 192.0.2.54.
      • Gcp: Google Cloud controlli di connettività per il cluster.
      • Node - Network: controlli di rete (connettività, operazione etcd, accesso VIP e associazione porta) per il cluster.
      • Pod - Cidr: Controlli dell'indirizzo IP del pod per indirizzi sovrapposti per il cluster.
    • La sezione Cluster Spec mostra la configurazione del cluster.
    • Il campo Pass mostra true, a indicare che i controlli preliminari sono stati superati collettivamente.

Log dei controlli preliminari

Quando i controlli preflight vengono eseguiti a seguito di un comando bmctl, ad esempio bmctl check preflight, Google Distributed Cloud crea file di log. Ecco cosa viene generato e dove:

  • I log del controllo preliminare vengono generati in una directory con il seguente pattern di denominazione preflight-TIMESTAMP.

  • Questa directory di preflight viene creata nella directory log per il cluster nell'area di lavoro bmctl. Per impostazione predefinita, il percorso della directory log è bmctl-workspace/CLUSTER_NAME/log.

  • I log di controllo preliminare sono costituiti dai seguenti file:

    • File di log per i controlli delle macchine dei nodi, uno per ogni nodo del cluster. Questi file di log vengono denominati utilizzando l'indirizzo IP del nodo. Ad esempio, un nome file potrebbe essere 192.0.2.53.

    • File di log per i controlli di accesso, uno per ogni nodo del cluster. Google Cloud Questi file di log vengono denominati utilizzando l'indirizzo IP del nodo. Ad esempio, un nome file potrebbe essere 192.0.2.53-gcp.

    • File di log per i controlli di accesso al cluster Google Cloud , denominato gcp.

    • File di log per i controlli di rete dei nodi, denominato node-network.

Se un controllo preflight non va a buon fine, questi file di log possono aiutarti a identificare e risolvere il problema.

Controlli preflight per la creazione del cluster

Quando crei cluster, Google Distributed Cloud esegue automaticamente i controlli preflight prima di apportare modifiche.

Che cosa viene controllato?

I controlli preflight per l'installazione verificano quanto segue:

  • Controlli della macchina dei nodi:

    • Le macchine del cluster utilizzano un sistema operativo (OS) supportato.

    • La versione del sistema operativo è supportata.

    • Il sistema operativo utilizza una versione del kernel supportata.

    • Per Ubuntu, Uncomplicated Firewall (UFW) è disabilitato.

    • Per Ubuntu, il gestore di pacchetti apt è operativo e i pacchetti richiesti sono disponibili.

    • Per Red Hat Enterprise Linux, il gestore dei pacchetti dnf è operativo e i pacchetti richiesti sono disponibili.

    • Per Red Hat Enterprise Linux, Podman non è installato.

    • Le macchine nodo soddisfano i requisiti minimi della CPU.

    • Le macchine dei nodi soddisfano i requisiti minimi di memoria.

    • Le macchine dei nodi soddisfano i requisiti minimi di spazio di archiviazione su disco.

    • La sincronizzazione dell'ora è configurata sui computer dei nodi.

    • kubelet è attivo e in esecuzione sulle macchine dei nodi.

    • containerd è attivo e in esecuzione sulle macchine dei nodi.

    • La route predefinita per il routing dei pacchetti al gateway predefinito è presente nei nodi.

    • Il Domain Name System (DNS) funzioni correttamente. Se il cluster è configurato per l'esecuzione dietro un proxy, questo controllo viene ignorato.

    • I CIDR dei pod non si sovrappongono agli indirizzi IP delle macchine dei nodi.

    • Se il cluster è configurato per utilizzare un mirror del registro, il mirror del registro è raggiungibile.

  • Google Cloud controlli per ogni nodo e per il cluster:

    • Artifact Registry, gcr.io, viene verificata la raggiungibilità. Se il cluster è configurato per utilizzare un mirror del registro, questo controllo viene ignorato.

    • Le API di Google sono raggiungibili.

  • Controlli di rete dei nodi (variano in base alla configurazione del bilanciamento del carico):

    • Il VIP per il server API Kubernetes è accessibile.

    • I VIP del bilanciatore del carico sono accessibili.

    • I nodi possono comunicare sulle porte richieste.

    • L'istanza di eventi etcd viene sottoposta al provisioning e i requisiti di porta vengono soddisfatti.

Quando tutti i controlli vengono superati, Google Distributed Cloud crea il cluster. Per ulteriori informazioni sui requisiti per la creazione di cluster, consulta la Panoramica dei prerequisiti di installazione.

Eseguire controlli preflight on demand per la creazione del cluster

Puoi anche eseguire i controlli preflight in modo indipendente, prima di creare un cluster. Questa operazione può essere utile perché le operazioni principali del cluster, come la creazione del cluster, richiedono molto tempo. L'identificazione e la risoluzione dei problemi separatamente prima di avviare un'operazione importante sul cluster può aiutarti con la pianificazione.

Cluster autogestiti

  • Il comando seguente convalida il file di configurazione del cluster specificato, ma non tenta di creare il cluster stesso:

    bmctl check config --cluster CLUSTER_NAME

    Sostituisci CLUSTER_NAME con il nome del cluster associato al file di configurazione che stai controllando.

  • Questo comando verifica se le macchine e la rete sono pronte per la creazione del cluster:

    bmctl check preflight --cluster CLUSTER_NAME

    Sostituisci CLUSTER_NAME con il nome del cluster che stai controllando.

Cluster utenti

  • Il comando seguente convalida il file di configurazione cluster specificato, ma non tenta di creare il cluster stesso:

    bmctl check config --cluster CLUSTER_NAME --admin-kubeconfig ADMIN_KUBECONFIG

    Sostituisci quanto segue:

    • CLUSTER_NAME: il nome del cluster utente che stai controllando.
    • ADMIN_KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione associato.

  • Il seguente comando verifica se le macchine e la rete sono pronte per la creazione del cluster:

    bmctl check preflight --cluster CLUSTER_NAME --admin-kubeconfig ADMIN_KUBECONFIG

bmctl supporta l'utilizzo di --kubeconfig come alias per il flag --admin-kubeconfig.

Controlli preflight per gli upgrade dei cluster

Quando esegui l'upgrade dei cluster, Google Distributed Cloud esegue automaticamente i controlli preflight prima di apportare modifiche.

Che cosa viene controllato?

I controlli preflight per gli upgrade dei cluster verificano quanto segue:

  • Controlli della macchina dei nodi:

    • Le macchine del cluster utilizzano un sistema operativo (OS) supportato.

    • La versione del sistema operativo è supportata.

    • Il sistema operativo utilizza una versione del kernel supportata.

    • Per Ubuntu, Uncomplicated Firewall (UFW) è disabilitato.

    • Le macchine nodo soddisfano i requisiti minimi della CPU.

    • Le macchine dei nodi hanno più del 20% delle risorse della CPU disponibili.

    • Le macchine dei nodi soddisfano i requisiti minimi di memoria.

    • Le macchine dei nodi soddisfano i requisiti minimi di spazio di archiviazione su disco.

    • La sincronizzazione dell'ora è configurata sui computer dei nodi.

    • La route predefinita per il routing dei pacchetti al gateway predefinito è presente nei nodi.

    • Il Domain Name System (DNS) funzioni correttamente. Se il cluster è configurato per l'esecuzione dietro un proxy, questo controllo viene ignorato.

    • Se il cluster è configurato per utilizzare un mirror del registro, il mirror del registro è raggiungibile.

    • Nessun nodo del control plane o del bilanciatore del carico è in modalità di manutenzione.

  • Google Cloud controlli per ogni nodo e per il cluster:

    • Artifact Registry, gcr.io, viene verificata la raggiungibilità. Se il cluster è configurato per utilizzare un mirror del registro, questo controllo viene ignorato.

    • Le API di Google sono raggiungibili.

  • Controlli della macchina:

    • kubelet è attivo e in esecuzione sulle macchine dei nodi.

    • containerd è attivo e in esecuzione sulle macchine dei nodi.

    • Lo stato dell'endpoint di integrità di Container Network Interface (CNI) è integro.

    • I CIDR dei pod non si sovrappongono agli indirizzi IP delle macchine dei nodi.

    • I certificati di kubeadm non sono scaduti.

  • Controlli di rete dei nodi (variano in base alla configurazione del bilanciamento del carico):

    • Il VIP per il server API Kubernetes è accessibile.

    • I VIP del bilanciatore del carico sono accessibili.

    • I nodi possono comunicare sulle porte richieste.

    • L'istanza di eventi etcd viene sottoposta al provisioning e i requisiti di porta vengono soddisfatti.

Quando tutti i controlli vengono superati, Google Distributed Cloud esegue l'upgrade del cluster. Per ulteriori informazioni sull'upgrade dei cluster, consulta Best practice per gli upgrade dei cluster Google Distributed Cloud e Ciclo di vita e fasi degli upgrade dei cluster.

Esegui controlli preflight on demand per gli upgrade dei cluster

Il comando bmctl check preflight consente di eseguire un controllo preflight prima di eseguire l'upgrade del cluster. Puoi verificare se i cluster sono pronti per un upgrade eseguendo il seguente comando di controllo preflight prima di iniziare l'upgrade:

  1. Aggiorna la versione del cluster (anthosBareMetalVersion) nel file di configurazione del cluster.

  2. Utilizza il comando seguente per verificare se i cluster sono pronti per un upgrade ed esegui un controllo preflight:

    bmctl check preflight --cluster CLUSTER_NAME --kubeconfig ADMIN_KUBECONFIG

    Sostituisci quanto segue:

    • CLUSTER_NAME: il nome del cluster di cui eseguire l'upgrade.
    • ADMIN_KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione.

    Quando crei il controllo preflight con questo comando per testare l'upgrade di un cluster, viene creata una risorsa personalizzata PreflightCheck nel cluster di amministrazione.

Controlli preflight interni sui cluster esistenti

Google Distributed Cloud esegue automaticamente i controlli preflight interni quando applichi le risorse Kubernetes a un cluster esistente. Se uno dei controlli non va a buon fine, Google Distributed Cloud non modifica nessuno dei nodi correlati, a meno che tu non ignori esplicitamente i controlli.

Ignorare i controlli preflight durante l'applicazione delle risorse Kubernetes

Per ignorare i controlli preflight interni quando applichi le risorse ai cluster esistenti, devi impostare il campo BypassPreflightCheck su true nel file di configurazione del cluster.

Ecco una parte di un file di configurazione del cluster che mostra il campo bypassPreflightCheck impostato su true:

apiVersion: v1
kind: Namespace
metadata:
  name: cluster-user1
---
apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: user1
  namespace: cluster-user1
spec:
  type: user
  bypassPreflightCheck: true
  # Anthos cluster version.
  anthosBareMetalVersion: 1.33.100-gke.89
...

Esegui gli ultimi controlli preliminari

I controlli preflight (e i controlli di integrità) vengono aggiornati man mano che vengono identificati problemi noti. Per indicare a bmctl di eseguire i controlli dall'ultima immagine patch della versione secondaria installata, utilizza il flag dell'opzione --check-image-version latest:

bmctl check preflight --cluster CLUSTER_NAME --check-image-version latest

Sostituisci CLUSTER_NAME con il nome del cluster che stai controllando.

In questo modo puoi rilevare eventuali problemi noti identificati di recente senza prima creare o eseguire l'upgrade del cluster.

Puoi anche eseguire i controlli di integrità più recenti di un cluster attivo per determinare se funziona correttamente. Per saperne di più, consulta Esegui gli ultimi controlli di integrità.

Ignorare i risultati dei controlli preliminari automatici

Se esegui controlli preflight on demand prima di creare o eseguire l'upgrade dei cluster, puoi ignorare i controlli preflight automatici. Per ignorare i controlli preflight automatici, utilizza il flag facoltativo --force quando esegui bmctl create cluster o bmctl upgrade cluster.

Passaggi successivi