הפניה לשדות של הגדרת האשכול

anthosBareMetalVersion

חובה. מחרוזת. גרסת האשכול. הערך הזה מוגדר ליצירת אשכולות ולשדרוגים של אשכולות.

אפשרות שינוי: אי אפשר לשנות את הערך הזה באשכולות קיימים. אפשר לעדכן את הגרסה רק באמצעות תהליך שדרוג האשכול.

authentication

בקטע הזה מפורטות ההגדרות שצריך כדי להשתמש ב-OpenID Connect ‏ (OIDC). פרוטוקול OIDC מאפשר לכם להשתמש בספק הזהויות הקיים כדי לנהל את האימות של משתמשים וקבוצות באשכולות.

authentication.oidc.certificateAuthorityData

זה שינוי אופציונלי. base64-encoded PEM-encoded certificate for the OIDC provider. כדי ליצור את המחרוזת, מקודדים את האישור, כולל הכותרות, ל-base64. כוללים את המחרוזת שמתקבלת ב-certificateAuthorityData כשורה אחת.

לדוגמה (הדוגמה מוצגת בשורה אחת כדי להתאים לטבלה):

certificateAuthorityData:
        LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC
        ...k1JSUN2RENDQWFT==

authentication.oidc.clientID

זה שינוי אופציונלי. מחרוזת. המזהה של אפליקציית הלקוח ששולחת בקשות אימות לספק OpenID.

authentication.oidc.clientSecret

זה שינוי אופציונלי. מחרוזת. סוד לשימוש עם טוקן צרכן משותף בין אפליקציית לקוח OIDC לבין ספק OIDC.

authentication.oidc.deployCloudConsoleProxy

זה שינוי אופציונלי. ערך בוליאני (true|false). מציין אם פרוקסי הפוך נפרס באשכול כדי לחבר את Google Cloud console לספק זהויות מקומי שלא נגיש לציבור דרך האינטרנט. אם אי אפשר להגיע לספק הזהות דרך האינטרנט הציבורי, צריך להגדיר את השדה הזה לערך true כדי לבצע אימות באמצעות מסוף Google Cloud . כברירת מחדל, הערך הזה מוגדר ל-false.

authentication.oidc.extraParams

זה שינוי אופציונלי. רשימה מופרדת בפסיקים. פרמטרים נוספים של מפתח/ערך לשליחה לספק OpenID.

authentication.oidc.groupPrefix

זה שינוי אופציונלי. מחרוזת. קידומת שנוספת לתביעות של קבוצות כדי למנוע התנגשויות עם שמות קיימים. לדוגמה, אם יש קבוצה dev וקידומת oidc:, כתובת האימייל של הקבוצה תהיה oidc:dev.

authentication.oidc.group

זה שינוי אופציונלי. מחרוזת. הצהרת JWT שהספק משתמש בה כדי להחזיר את קבוצות האבטחה שלכם.

authentication.oidc.issuerURL

זה שינוי אופציונלי. מחרוזת כתובת URL. כתובת ה-URL שאליה נשלחות בקשות הרשאה ל-OpenID, למשל https://example.com/adfs. שרת ה-API של Kubernetes משתמש בכתובת ה-URL הזו כדי לגלות מפתחות ציבוריים לאימות אסימונים. כתובת ה-URL חייבת להשתמש ב-HTTPS.

authentication.oidc.kubectlRedirectURL

זה שינוי אופציונלי. מחרוזת כתובת URL. כתובת ה-URL להפניה אוטומטית שמשמשת את kubectl לאישור. כשמפעילים OIDC, צריך לציין ערך של kubectlRedirectURL.

authentication.oidc.proxy

זה שינוי אופציונלי. מחרוזת כתובת URL. שרת proxy לשימוש באשכול כדי להתחבר לספק OIDC, אם רלוונטי. הערך צריך לכלול שם מארח או כתובת IP, ואפשר להוסיף לו יציאה, שם משתמש וסיסמה. לדוגמה: http://user:password@10.10.10.10:8888.

authentication.oidc.scopes

זה שינוי אופציונלי. רשימה מופרדת בפסיקים. היקפי הרשאות נוספים לשליחה לספק OpenID. ב-Microsoft Azure וב-Okta נדרש היקף ההרשאות offline_access.

authentication.oidc.usernamePrefix

זה שינוי אופציונלי. מחרוזת. קידומת שנוספת לפני טענות לשם משתמש.

authentication.oidc.username

זה שינוי אופציונלי. מחרוזת. ההצהרה JWT שתשמש כשם המשתמש. אם לא מציינים ערך, ברירת המחדל היא sub.

bypassPreflightCheck

זה שינוי אופציונלי. בוליאני (true|false). אם הערך הוא true, המערכת מתעלמת מבדיקות פנימיות לפני ההפעלה כשמחילים משאבים על אשכולות קיימים. ברירת המחדל היא false.

אפשרות שינוי: אפשר לשנות את הערך הזה באשכולות קיימים באמצעות הפקודה bmctl update.

clusterNetwork

בקטע הזה מפורטות הגדרות הרשת של האשכול.

clusterNetwork.advancedNetworking

בוליאני. מגדירים את השדה הזה לערך true כדי להפעיל תכונות מתקדמות של רישות, כמו איזון עומסים בחבילה עם BGP או שער NAT לתעבורת נתונים יוצאת (egress). שתי התכונות האלה משתמשות ב-Network Gateway ל-GDC. שער הרשת של GDC הוא הרכיב המרכזי להפעלת תכונות מתקדמות של רשתות ב-Google Distributed Cloud וב-Google Kubernetes Engine‏ (GKE). אחד מהיתרונות העיקריים של Network Gateway for GDC הוא שהוא יכול להקצות באופן דינמי כתובות IP צפות מתוך קבוצת כתובות שאתם מציינים במשאב מותאם אישית NetworkGatewayGroup.

מידע נוסף על Network Gateway for GDC ועל תכונות מתקדמות קשורות של רשתות זמין במאמרים הגדרת שער NAT ליציאה והגדרת מאזני עומסים בחבילה עם BGP.

clusterNetwork.bundledIngress

בוליאני. מגדירים את השדה הזה לערך false כדי להשבית את היכולות של Ingress שכלולות בתוכנת Google Distributed Cloud. היכולות של Ingress שכלולות בחבילה של האשכול תומכות ב-Ingress בלבד. אם אתם משתמשים ב-Istio או ב-Cloud Service Mesh כדי ליהנות מהיתרונות הנוספים של רשת שירותים פונקציונלית לחלוטין, מומלץ להשבית את Ingress בחבילה. כברירת מחדל, השדה הזה מוגדר כ-true. שדה זה אינו קיים בקובץ התצורה של האשכול שנוצר. אפשר להשבית את חבילת Ingress רק באשכולות בגרסה 1.13.0 ואילך.

מידע נוסף על יכולת ה-Ingress הכלולה זמין במאמר בנושא יצירת שירות ו-Ingress.

clusterNetwork.flatIPv4

בוליאני. מגדירים את השדה הזה לערך true כדי להפעיל את מודל הרשת של אשכולות במצב שטוח. במצב שטוח, לכל פוד יש כתובת IP ייחודית משלו. אפשר לתקשר בין פודים ישירות בלי צורך בשער ביניים או בתרגום כתובות רשת (NAT). כברירת מחדל, הערך של flatIPv4 הוא false. אפשר להפעיל את המצב השטוח רק במהלך יצירת האשכול. אחרי שמפעילים את מצב שטוח באשכול, אי אפשר להשבית אותו.

clusterNetwork.forwardMode

זה שינוי אופציונלי. מחרוזת. מציין את מצב הרשת לאיזון עומסים של Dataplane V2. תרגום כתובת רשת של המקור (SNAT) הוא מצב הרשת שמוגדר כברירת מחדל. מצב החזרה ישירה לשרת (DSR) פותר בעיות שקשורות לאיזון עומסים של SNAT. במצב DSR ‏ (forwardMode: dsr), צומת מאזן העומסים משתמש באפשרויות IP כדי לשמור את כתובת המקור של הלקוח. אפשר להגדיר את מצב הרשת לאיזון עומסים של Dataplane V2 רק בזמן יצירת האשכול.

הערכים המותרים: dsr | snat

מידע נוסף זמין במאמר בנושא הגדרת מצב רשת של איזון עומסים.

clusterNetwork.multipleNetworkInterfaces

זה שינוי אופציונלי. בוליאני. מגדירים את השדה הזה ל-true כדי להפעיל כמה ממשקי רשת עבור הפודים.

מידע נוסף על הגדרה ושימוש בכמה ממשקי רשת זמין במאמר בנושא הגדרה של כמה ממשקי רשת עבור Pods.

clusterNetwork.pods.cidrBlocks

חובה. טווח של כתובות IPv4 בפורמט בלוקים של CIDR. ב-Pods מציינים את טווחי כתובות ה-IP שמהם מוקצות רשתות ה-Pod.

• טווח ה-CIDR המינימלי של ה-Pod: ערך המסכה של /18, שמתאים לגודל של 14 ביט (16,384 כתובות IP).
• טווח ה-CIDR המקסימלי של ה-Pod: ערך המסכה הוא /8, שמתאים לגודל של 24 ביטים (16,777,216 כתובות IP).

לדוגמה:

pods:
  cidrBlocks:
  - 192.168.0.0/16

clusterNetwork.sriovOperator

זה שינוי אופציונלי. בוליאני. מגדירים את השדה הזה לערך true כדי להפעיל את התכונה SR-IOV networking באשכול.

מידע נוסף על הגדרה ושימוש ב-SR-IOV networking זמין במאמר הגדרת SR-IOV networking.

clusterNetwork.services.cidrBlocks

חובה. טווח של כתובות IPv4 בפורמט בלוקים של CIDR. מציינים את טווח כתובות ה-IP שממנו מוקצות כתובות IP וירטואליות (VIP) של שירותים. הטווחים לא יכולים לחפוף לרשתות משנה שאפשר להגיע אליהן מהרשת שלכם. מידע נוסף על הקצאת כתובות לאינטרנט פרטי זמין ב-RFC 1918.

החל מגרסה 1.15.0 של תוכנת Google Distributed Cloud לשרת פיזי, אפשר לשנות את השדה הזה. במידת הצורך, אפשר להגדיל את מספר כתובות ה-IP שהוקצו לשירותים אחרי שיוצרים אשכול. מידע נוסף זמין במאמר בנושא הגדלת טווח הרשת של השירות. אפשר רק להגדיל את הטווח של ה-CIDR של שירות IPv4. אי אפשר לצמצם את טווח הרשת, כלומר אי אפשר להגדיל את המסכה (הערך אחרי '/').

• טווח CIDR מינימלי של השירות: ערך המסכה של /24, שמתאים לגודל של 8 ביט (256 כתובות).
• טווח ה-CIDR המקסימלי של השירות: ערך המסכה הוא /12, שמתאים לגודל של 20 ביטים (1,048,576 כתובות IP).

לדוגמה:

services:
  cidrBlocks:
  - 10.96.0.0/12

clusterOperations

בקטע הזה מופיע מידע על Cloud Logging ו-Cloud Monitoring.

clusterOperations.enableApplication

השדה הזה לא בשימוש יותר ואין לו השפעה. רישום ביומן ומעקב אחרי אפליקציות מופעלים במשאב המותאם אישית של Google Cloud Observability. מידע נוסף על הפעלת רישום ביומן ומעקב אחרי אפליקציות זמין במאמר הפעלת רישום ביומן ומעקב אחרי אפליקציות.

clusterOperations.disableCloudAuditLogging

בוליאני. יומני הביקורת של Cloud שימושיים לחקירת בקשות API חשודות ולאיסוף נתונים סטטיסטיים. יומני ביקורת של Cloud מופעלים (disableCloudAuditLogging: false) כברירת מחדל. מגדירים את הערך ל-true כדי להשבית את יומני הביקורת של Cloud.

מידע נוסף מופיע במאמר בנושא שימוש ביומני ביקורת.

clusterOperations.location

מחרוזת. Google Cloud אזור שבו רוצים לנתב ולאחסן מדדים של Monitoring. מומלץ לבחור אזור שקרוב למרכז הנתונים המקומי. במהלך יצירת האשכול, הערך הזה משמש להגדרת הערך clusterLocation במפרט המשאב stackdriver.

הערך שאתם מציינים משמש גם את Google Cloud Observability כדי לתייג מדדים ויומנים. אפשר להשתמש בתוויות האלה לסינון ב-Metrics Explorer וב-Logs Explorer.

מידע נוסף על Google Cloud מיקומים מידע נוסף על ניתוב יומנים ומדדים זמין במאמר ניתוב יומנים ומדדים.

לדוגמה:

location: us-central1

clusterOperations.projectID

מחרוזת. מזהה הפרויקט של Google Cloud הפרויקט שרוצים להציג בו את היומנים והמדדים. במהלך יצירת האשכול, הערך הזה משמש להגדרת הערך projectID במפרט המשאב stackdriver.

controlPlane

בקטע הזה מפורט מידע על מישור הבקרה והרכיבים שלו.

controlPlane.apiServerCertExtraSANs

זה שינוי אופציונלי. מערך של מחרוזות (שמות דומיינים וכתובות IP). שם חלופי של בעלים (subject) (SAN) הוא תכונה של אישורי SSL שמאפשרת להגדיר את שמות הדומיינים ותתי הדומיינים שבהם רוצים שהאישור יהיה תקף. באשכול bare metal, ה-SANs של אישור שרת ה-API כוללים כברירת מחדל את כתובות ה-IP וה-VIP של צמתי מישור הבקרה ואת שמות ה-DNS של Kubernetes. משתמשים בשדה הזה כדי להוסיף עוד שמות חלופיים לנושא לאישור של שרת ה-API של האשכול. שמות הדומיינים צריכים להיות תואמים ל-RFC 1035. מידע נוסף זמין במאמר בנושא הוספת דומיינים לאישור של שרת ה-API.

לדוגמה:

...
controlPlane:
  apiServerCertExtraSANs:
  - "demo-dns.example.com"
  - "sample-dns.com"
  nodePoolSpec:
  ...
        

אפשר להוסיף או לשנות את השדה הזה בכל שלב.

controlPlane.loadBalancer

בקטע הזה מפורטות ההגדרות של איזון העומסים במישור הבקרה.  השדות בקטע הזה זמינים רק באשכולות מגרסה 1.32 ומעלה.

controlPlane.loadBalancer.keepalivedVRRPGARPMasterRepeat

זה שינוי אופציונלי. מספר שלם. מציינת את מספר הודעות ה-ARP (GARP) החינמיות ש-Keepalived ישלח בכל פעם אחרי שצומת של מישור הבקרה עובר לתפקיד של השרת הראשי. הערך הזה ממופה להגדרה vrrp_garp_master_repeat של Keepalived. ערך ברירת המחדל הוא 5. מידע נוסף מופיע במאמר בנושא התאמה אישית של Keepalived.

controlPlane.loadBalancer.mode

זה שינוי אופציונלי. מחרוזת. אם מגדירים את ההגדרה הזו לערך bundled, מאזני העומסים של מישור הבקרה יפעלו בצמתים של מישור הבקרה. אם ההגדרה הזו מוגדרת ואתם מגדירים מאגר צמתים של מאזן עומסים עם loadBalancer.nodePoolSpec, מאזני העומסים של מישור הבקרה פועלים בצמתי מישור הבקרה, ומאזני העומסים של מישור הנתונים פועלים במאגר הצמתים של מאזן העומסים. מידע נוסף זמין במאמר בנושא הפרדה של איזון העומסים.

אם מגדירים את controlPlane.loadBalancer.mode ל-manual, צריך להגדיר גם את loadBalancer.mode ל-manual. ההגדרה הזו משמשת להפעלת איזון עומסים ידני. מידע נוסף זמין במאמר בנושא הגדרה של איזון עומסים ידני. לא חייבים להגדיר את controlPlane.loadBalancer.mode ל-manual כדי להגדיר איזון עומסים ידני.

הערכים המותרים: bundled | manual

controlPlane.nodePoolSpec

בקטע הזה מפורטות כתובות ה-IP של מאגר הצמתים שמשמש את מישור הבקרה ואת הרכיבים שלו. המפרט של מאגר הצמתים של מישור הבקרה (כמו המפרט של מאגר הצמתים של איזון העומסים) הוא מיוחד. המפרט הזה מגדיר משאבים קריטיים של אשכול ומנהל אותם. המקור הקנוני של המשאב הזה הוא החלק הזה בקובץ התצורה של האשכול. אסור לשנות ישירות את משאבי מאגר הצמתים של רמת הבקרה העליונה. במקום זאת, משנים את הקטעים המשויכים בקובץ התצורה של האשכול.

controlPlane.nodePoolSpec.nodes

חובה. מערך של כתובות IP. בדרך כלל, המערך הזה הוא כתובת IP של מכונה יחידה, או כתובות IP של שלוש מכונות לפריסה של זמינות גבוהה (HA).

לדוגמה:

controlPlane:
  nodePoolSpec:
    nodes:
    - address: 192.168.1.212
    - address: 192.168.1.213
    - address: 192.168.1.214
        

אפשר לשנות את השדה הזה בכל עדכון או שדרוג של אשכול.

controlPlane.nodePoolSpec.nodes.address

חובה. מחרוזת (כתובת IPv4). כשמציינים מאגר צמתים, משתמשים בשדה address כדי לציין את כתובת ה-IPv4 שמוגדרת כברירת מחדל לגישת SSH לכל צומת. גישת SSH נדרשת לפעולות אדמיניסטרטיביות של אשכולות, כמו התקנות ושדרוגים. כברירת מחדל, כתובת ה-IP הזו משמשת גם לתעבורת נתונים ותעבורת Kubernetes. עם זאת, אם מציינים את כתובת k8sIP של צומת מסוים, התנועה מתחלקת בין שתי הכתובות של הצומת, וכתובת k8sIP משמשת באופן בלעדי לתנועת נתונים ולתנועת Kubernetes.

לדוגמה:

controlPlane:
  nodePoolSpec:
    nodes:
    - address: 192.168.1.212
    - address: 192.168.1.213
    - address: 192.168.1.214
        

אפשר לשנות את השדה הזה בכל עדכון או שדרוג של אשכול.

controlPlane.nodePoolSpec.nodes.k8sIP

זה שינוי אופציונלי. מחרוזת (כתובת IPv4). כשמציינים את כתובת k8sIP אופציונלית לצומת, היא מוקדשת לטיפול בנתונים ובתעבורת Kubernetes של הצומת, כמו בקשות ותגובות ל-Kubernetes API, ל-kubelet ולעומסי עבודה. כשמציינים k8sIP, כתובת ה-IP הרגילה של הצומת nodePoolSpec.nodes.address משמשת רק לחיבורי SSH לצומת. אם לא מציינים כתובת k8sIP, כתובת ה-IP הרגילה של הצומת מטפלת בכל התעבורה של הצומת.

לדוגמה:

controlPlane:
  nodePoolSpec:
    nodes:
    - address: 192.168.2.212
      k8sIP: 192.168.1.212
    - address: 192.168.1.213
    - address: 192.168.1.214
        

אי אפשר לשנות את השדה הזה אחרי שיוצרים את האשכול.

controlPlane.nodePoolSpec.kubeletConfig

זה שינוי אופציונלי. בקטע הזה יש שדות שקובעים את ההגדרות של kubelet בכל הצמתים במאגר הצמתים של מישור הבקרה.

לדוגמה:

controlPlane:
  nodePoolSpec:
    kubeletConfig:
      registryBurst: 15
      registryPullQPS: 10
      serializeImagePulls: false

controlPlane.nodePoolSpec.kubeletConfig.registryBurst

זה שינוי אופציונלי. מספר שלם (לא שלילי). מציין את הכמות המקסימלית של בקשות משיכה של תמונות שאפשר להוסיף לתור העיבוד כדי לטפל בעליות פתאומיות בבקשות. ברגע שמתחילה שליפת הודעות, אפשר להוסיף בקשה חדשה לתור. ערך ברירת המחדל הוא 10. השדה הזה תואם לאפשרות ההגדרה של kubelet‏ (v1beta1)‏ registryBurst.

הערך של registryPullQPS מקבל עדיפות על פני ההגדרה הזו. לדוגמה, בהגדרות ברירת המחדל, מותר לשלוח עד 10 שאילתות בו-זמנית, אבל הן צריכות לעבור עיבוד בקצב ברירת המחדל של חמש שאילתות בשנייה. התנהגות של פרץ כזה מתרחשת רק אם הערך של registryPullQPS גדול מהערך של 0.

אפשר להגדיר את השדה הזה כשיוצרים, מעדכנים או משדרגים אשכול, וההגדרה נשמרת גם אחרי שמשדרגים את האשכול. מידע נוסף זמין במאמר הגדרת אפשרויות משיכת תמונות של kubelet.

controlPlane.nodePoolSpec.kubeletConfig.registryPullQPS

זה שינוי אופציונלי. מספר שלם (לא שלילי). מציין את קצב העיבוד של שאילתות לשליפת תמונות מ-Artifact Registry בשאילתות לשנייה (QPS). אם הערך של registryPullQPS גדול מ-0, קצב השאילתות מוגבל למספר השאילתות לשנייה שמוגדר. אם המדיניות registryPullQPS מוגדרת לערך 0, אין הגבלה על קצב השאילתות. ערך ברירת המחדל הוא 5.

השדה הזה תואם לאפשרות ההגדרה של kubelet‏ (v1beta1)‏ registryPullQPS.

אפשר להגדיר את השדה הזה כשיוצרים, מעדכנים או משדרגים אשכול, וההגדרה נשמרת גם אחרי שמשדרגים את האשכול. מידע נוסף זמין במאמר הגדרת אפשרויות משיכת תמונות של kubelet.

controlPlane.nodePoolSpec.kubeletConfig.serializeImagePulls

זה שינוי אופציונלי. ערך בוליאני (true|false). השדה הזה מציין אם פעולות המשיכה (pull) ב-Artifact Registry מעובדות במקביל או אחת בכל פעם. ברירת המחדל היא true, שמציינת שהשליפות מעובדות אחת בכל פעם. אם הערך מוגדר ל-false, ‏ kubelet מושך תמונות במקביל. השדה הזה תואם לאפשרות ההגדרה של kubelet‏ (v1beta1)‏ serializeImagePulls.

אפשר להגדיר את השדה הזה כשיוצרים, מעדכנים או משדרגים אשכול, וההגדרה נשמרת גם אחרי שמשדרגים את האשכול. מידע נוסף זמין במאמר הגדרת אפשרויות משיכת תמונות של kubelet.

controlPlane.schedulerConfiguration

מציינת ארגומנטים נוספים והגדרות עבור kube-scheduler. השדה הזה מאפשר להגדיר אילוצים של פיזור טופולוגי של פודים ברמת האשכול כברירת מחדל.

controlPlane.schedulerConfiguration.defaultTopologySpreadConstraint

ההגדרה הזו מגדירה את האילוצים שמוגדרים כברירת מחדל לגבי פודים שלא הוגדרו להם אילוצים משלהם לגבי פיזור טופולוגי.

gkeConnect

בקטע הזה מופיע מידע על פרויקט Google Cloud שבו רוצים להשתמש כדי לחבר את האשכול ל- Google Cloud.

gkeConnect.projectID

חובה: מחרוזת. מזהה הפרויקט Google Cloud שבו רוצים להשתמש כדי לקשר את האשכול אל Google Cloud. הפרויקט הזה נקרא גם פרויקט המארח של ה-Fleet.

לדוגמה:

spec:
  ...
  gkeConnect:
    projectID: "my-connect-project-123"

אי אפשר לשנות את הערך הזה באשכולות קיימים.

gkeConnect.location

זה שינוי אופציונלי. מחרוזת. ערך ברירת המחדל: global. החברות בצי של האשכולות מנוהלת על ידי שירות הצי (gkehub.googleapis.com) ושירות Connect (gkeconnect.googleapis.com). החברות בצי יכולה להיות גלובלית או אזורית. אפשר גם להשתמש ב-gkeConnect.location כדי לציין את Google Cloud האזור שבו פועלים שירותי Fleet ו-Connect, כדי להגביל את התנועה לאזור שלכם.

רשימת האזורים הנתמכים מופיעה במאמר בנושא אזורים נתמכים ב-GKE On-Prem API. אם לא מציינים, נעשה שימוש במופעים הגלובליים של השירותים.

שימו לב לנקודות הבאות:

• אשכולות שנוצרו בגרסאות קודמות ל-1.28 מנוהלים על ידי שירותי Fleet ו-Connect הגלובליים.
• אשכולות חדשים שנוצרו באמצעות לקוחות GKE On-Prem API, כמו מסוף Google Cloud , Google Cloud CLI או Terraform, משתמשים באותו אזור שצוין עבור GKE On-Prem API.
• במקרה של אשכולות חדשים, אם כוללים את השדה הזה, האזור שצוין צריך להיות זהה לאזור שהוגדר ב-gkeOnPremAPI.location. אם האזורים לא זהים, יצירת האשכול תיכשל.

לדוגמה:

spec:
  ...
  gkeConnect:
    projectID: "my-connect-project-123"
    location: "us-central1"

אי אפשר לשנות את הערך הזה באשכולות קיימים.

gkeOnPremAPI

בגרסה 1.16 ואילך, אם GKE On-Prem API מופעל בפרויקט Google Cloud , כל האשכולות בפרויקט נרשמים אוטומטית ל-GKE On-Prem API באזור שהוגדר ב-clusterOperations.location.

• אם רוצים לרשום את כל האשכולות בפרויקט ל-GKE On-Prem API, צריך לבצע את השלבים שבקטע לפני שמתחילים כדי להפעיל את GKE On-Prem API בפרויקט ולהשתמש בו.
• אם לא רוצים לרשום את האשכול ל-GKE On-Prem API, צריך לכלול את הקטע הזה ולהגדיר את gkeOnPremAPI.enabled ל-false. אם לא רוצים לרשום אף אשכול בפרויקט, משביתים את gkeonprem.googleapis.com (שם השירות של GKE On-Prem API) בפרויקט. הוראות מפורטות מופיעות במאמר בנושא השבתת שירותים.

• אם רוצים לרשום את כל האשכולות בפרויקט ל-GKE On-Prem API, צריך לבצע את השלבים שבקטע לפני שמתחילים כדי להפעיל את GKE On-Prem API בפרויקט ולהשתמש בו.
• אם לא רוצים לרשום את האשכול ל-GKE On-Prem API, צריך לכלול את הקטע הזה ולהגדיר את gkeOnPremAPI.enabled ל-false. אם לא רוצים לרשום אף אשכול בפרויקט, משביתים את gkeonprem.googleapis.com (שם השירות של GKE On-Prem API) בפרויקט. הוראות מפורטות מופיעות במאמר בנושא השבתת שירותים.

רישום של אשכול אדמין או אשכול משתמשים ב-GKE On-Prem API מאפשר לכם להשתמש בכלים סטנדרטיים – Google Cloud המסוף, Google Cloud CLI או Terraform – כדי להציג את פרטי האשכול ולנהל את מחזור החיים של האשכול. לדוגמה, אפשר להריץ פקודות של ה-CLI של gcloud כדי לקבל מידע על האשכול.

מטא-נתונים של מצב האשכול נשמרים ב-GKE On-Prem API במיקום Google Cloud. הנתונים האלה מאפשרים ל-API לנהל את מחזור החיים של האשכול. הכלים הרגילים משתמשים ב-GKE On-Prem API, וביחד הם נקראים GKE On-Prem API clients.

אם מגדירים את gkeOnPremAPI.enabled ל-true לפני שיוצרים או מעדכנים את האשכול באמצעות bmctl, צריך לבצע את השלבים שבקטע לפני שמתחילים כדי להפעיל את GKE On-Prem API ולאתחל אותו.

אחרי שמוסיפים את הקטע הזה ויוצרים או מעדכנים את האשכול, אם מסירים את הקטע ומעדכנים את האשכול, העדכון ייכשל.

אם אתם מעדיפים ליצור את האשכול באמצעות כלי רגיל במקום bmctl, תוכלו להיעזר במאמרים הבאים:

• יצירת אשכול אדמין באמצעות לקוחות GKE On-Prem API
• יצירת אשכול באמצעות לקוחות GKE On-Prem API

כשיוצרים אשכול באמצעות כלי רגיל, האשכול נרשם אוטומטית ל-GKE On-Prem API.

gkeOnPremAPI.enabled

כברירת מחדל, האשכול רשום ל-GKE On-Prem API אם ה-API הזה מופעל בפרויקט. מגדירים את הערך false אם לא רוצים לרשום את האשכול.

אחרי שהאשכול נרשם ל-GKE On-Prem API, אם צריך לבטל את הרישום של האשכול, מבצעים את השינוי הבא ואז מעדכנים את האשכול:

gkeOnPremAPI:
  enabled: false

gkeOnPremAPI.location

האזור שבו פועל GKE On-Prem API ושבו נשמרים מטא-נתונים של האשכול. Google Cloud בוחרים אחד מ האזורים הנתמכים. אם הערך של gkeOnPremAPI.enabled הוא true, הערך של המאפיין הזה חייב להיות מחרוזת לא ריקה. אם gkeOnPremAPI.enabled הוא false, אל תכללו את השדה הזה.

אם הקטע הזה לא נכלל בקובץ התצורה, השדה הזה מוגדר לערך clusterOperations.location.

kubevirt.useEmulation (הוצאה משימוש)

הוצא משימוש. החל מגרסה 1.11.2, אפשר להפעיל או להשבית את VM Runtime ב-GDC רק על ידי עדכון של המשאב המותאם אישית VMRuntime. בוליאני. ההגדרה הזו קובעת אם נעשה שימוש באמולציית תוכנה כדי להפעיל מכונות וירטואליות. אם הצומת תומך בווירטואליזציה של חומרה, מגדירים את useEmulation ל-false כדי לשפר את הביצועים. אם הווירטואליזציה של החומרה לא נתמכת או שאתם לא בטוחים, צריך להגדיר אותה ל-true.

loadBalancer

בקטע הזה מפורטות ההגדרות של איזון עומסים באשכול.

loadBalancer.addressPools

אובייקט. השם ומערך של כתובות IP למאגר של מאזן העומסים של האשכול. הגדרת מאגר כתובות תקפה רק למצב bundled LB באשכולות שאינם אדמיניסטרטיביים. אפשר להוסיף מאגרי כתובות חדשים בכל שלב, אבל אי אפשר להסיר מאגרי כתובות קיימים. אפשר לערוך מאגר כתובות קיים כדי לשנות רק את השדות avoidBuggyIPs וmanualAssign.

loadBalancer.addressPools.addresses

מערך של טווחי כתובות IP. מציינים רשימה של טווחי כתובות IP לא חופפים למאזן העומסים של מישור הנתונים. כל הכתובות צריכות להיות באותה רשת משנה כמו הצמתים של איזון העומסים.

לדוגמה:

addressPools:
- name: pool1
  addresses:
  - 192.168.1.0-192.168.1.4
  - 192.168.1.240/28
  

loadBalancer.addressPools.name

מחרוזת. השם שבחרתם למאגר של מאזן העומסים של האשכול.

loadBalancer.addressPools.avoidBuggyIPs

זה שינוי אופציונלי. ערך בוליאני (true או false). אם הערך הוא true, המאגר לא כולל כתובות IP שמסתיימות ב-.0 וב-.255. חלק מהחומרה ברשת משמיטה תנועה לכתובות המיוחדות האלה. אפשר להשמיט את השדה הזה, ערך ברירת המחדל שלו הוא false.

loadBalancer.addressPools.manualAssign

זה שינוי אופציונלי. ערך בוליאני (true | false). אם true, כתובות במאגר הזה לא מוקצות באופן אוטומטי לשירותי Kubernetes. אם true, כתובת IP במאגר הזה משמשת רק אם היא מצוינת באופן מפורש על ידי שירות. אפשר להשמיט את השדה הזה, ערך ברירת המחדל שלו הוא false.

loadBalancer.mode

חובה. מחרוזת. מציינת את מצב איזון העומסים. במצב bundled, תוכנת Google Distributed Cloud מתקינה מאזן עומסים בצמתים של מאזן העומסים במהלך יצירת האשכול. במצב manual, האשכול מסתמך על מאזן עומסים חיצוני שהוגדר באופן ידני. מידע נוסף מופיע במאמר סקירה כללית של מאזני עומסים.

הערכים המותרים: bundled | manual

loadBalancer.type

זה שינוי אופציונלי. מחרוזת. ההגדרה קובעת את סוג איזון העומסים המשולב שבו נעשה שימוש, שכבה 2 או פרוטוקול Border Gateway Protocol ‏ (BGP). אם אתם משתמשים באיזון עומסים רגיל בחבילה, צריך להגדיר את type לערך layer2. אם אתם משתמשים באיזון עומסים של חבילות עם BGP, צריך להגדיר את type ל-bgp. אם לא מגדירים את type, ברירת המחדל היא layer2.

הערכים המותרים: layer2 | bgp

loadBalancer.nodePoolSpec

זה שינוי אופציונלי. בקטע הזה מגדירים מאגר צמתים של מאזן עומסים. הצמתים שאתם מציינים הם חלק מאשכול Kubernetes ומריצים עומסי עבודה רגילים ומאזני עומסים. אם לא מציינים מאגר צמתים, נעשה שימוש בצמתים של מישור הבקרה לאיזון עומסים. הקטע הזה רלוונטי רק אם מצב איזון העומסים מוגדר ל-bundled.

אם רוצים למנוע מעומסי עבודה לפעול בצומת במאגר הצמתים של מאזן העומסים, מוסיפים את ההכתמה הבאה לצומת:

node-role.kubernetes.io/load-balancer:NoSchedule

תוכנת Google Distributed Cloud מוסיפה סבילות לכתם הזה ל-pods שנדרשים לאיזון עומסים.

loadBalancer.nodePoolSpec.nodes

בקטע הזה מופיע מערך של כתובות IP לצמתים במאגר הצמתים של איזון העומסים.

כברירת מחדל, כל הצמתים במאגר הצמתים של מאזן העומסים צריכים להיות באותה רשת משנה בשכבה 2 כמו כתובות ה-VIP של איזון העומסים שמוגדרות בקטע loadBalancer.addressPools של קובץ התצורה. עם זאת, אם מציינים כתובת IP של Kubernetes‏ k8sIP לצומת, רק הכתובת הזו צריכה להיות באותה רשת משנה של שכבה 2 כמו כתובות ה-IP הווירטואליות האחרות של מאזן העומסים.

loadBalancer.nodePoolSpec.nodes.address

זה שינוי אופציונלי. מחרוזת (כתובת IPv4). כשמציינים מאגר צמתים, משתמשים בשדה address כדי לציין את כתובת ה-IPv4 שמוגדרת כברירת מחדל לגישת SSH לכל צומת. גישת SSH נדרשת לפעולות אדמיניסטרטיביות של אשכולות, כמו התקנות ושדרוגים. כברירת מחדל, כתובת ה-IP הזו משמשת גם לתעבורת נתונים ותעבורת Kubernetes. עם זאת, אם מציינים את כתובת k8sIP של צומת מסוים, התנועה מתחלקת בין שתי הכתובות של הצומת, וכתובת k8sIP משמשת באופן בלעדי לתנועת נתונים ולתנועת Kubernetes.

למרות שצמתים במאגר הצמתים של מאזן העומסים יכולים להריץ עומסי עבודה, הם נפרדים מהצמתים במאגרי הצמתים של העובדים. אי אפשר לכלול צומת נתון של אשכול ביותר ממאגר צמתים אחד. חפיפה בין כתובות ה-IP של הצמתים חוסמת את יצירת האשכול ופעולות אחרות באשכול.

לדוגמה:

loadBalancer:
  mode: bundled
  ...
  nodePoolSpec:
    nodes:
    - address: 10.200.0.25
    - address: 10.200.0.26
    - address: 10.200.0.27
        

loadBalancer.nodePoolSpec.nodes.k8sIP

זה שינוי אופציונלי. מחרוזת (כתובת IPv4). כשמציינים את כתובת k8sIP אופציונלית לצומת, היא מוקדשת לטיפול בנתונים ובתעבורת Kubernetes של הצומת, כמו בקשות ותגובות ל-Kubernetes API, ל-kubelet ולעומסי עבודה. כשמציינים k8sIP, כתובת ה-IP הרגילה של הצומת nodePoolSpec.nodes.address משמשת רק לחיבורי SSH לצומת. אם לא מציינים כתובת k8sIP, כתובת ה-IP הרגילה של הצומת מטפלת בכל התעבורה של הצומת.

לדוגמה:

loadBalancer:
  mode: bundled
  ...
  addressPools:
  - name: pool1
    addresses:
    - 10.200.0.92-10.200.0.100
  nodePoolSpec:
    nodes:
    - address: 10.200.1.25
      k8sIP: 10.200.0.25
    - address: 10.200.0.26
    - address: 10.200.0.27
        

אי אפשר לשנות את השדה הזה אחרי שיוצרים את האשכול.

loadBalancer.nodePoolSpec.kubeletConfig

זה שינוי אופציונלי. בקטע הזה יש שדות שקובעים את ההגדרות של kubelet בכל הצמתים במאגר הצמתים של מישור הבקרה.

לדוגמה:

loadBalancer:
  nodePoolSpec:
    kubeletConfig:
      registryBurst: 15
      registryPullQPS: 10
      serializeImagePulls: false

loadBalancer.nodePoolSpec.kubeletConfig.registryBurst

זה שינוי אופציונלי. מספר שלם (לא שלילי). מציין את המספר המקסימלי של בקשות משיכת תמונות שאפשר להוסיף לתור העיבוד כדי לטפל בעליות פתאומיות במספר הבקשות. ברגע שמתחילה שליפת הודעות, אפשר להוסיף בקשה חדשה לתור. ערך ברירת המחדל הוא 10. השדה הזה תואם לאפשרות ההגדרה של kubelet‏ (v1beta1)‏ registryBurst.

הערך של registryPullQPS מקבל עדיפות על פני ההגדרה הזו. לדוגמה, בהגדרות ברירת המחדל, מותר לשלוח עד 10 שאילתות בו-זמנית, אבל הן צריכות לעבור עיבוד בקצב ברירת המחדל של חמש שאילתות בשנייה. התנהגות של פרץ כזה מתרחשת רק אם הערך של registryPullQPS גדול מהערך של 0.

אפשר להגדיר את השדה הזה כשיוצרים, מעדכנים או משדרגים אשכול, וההגדרה נשמרת גם אחרי שמשדרגים את האשכול. מידע נוסף זמין במאמר הגדרת אפשרויות משיכת תמונות של kubelet.

loadBalancer.nodePoolSpec.kubeletConfig.registryPullQPS

זה שינוי אופציונלי. מספר שלם (לא שלילי). מציין את קצב העיבוד של שאילתות לשליפת תמונות מ-Artifact Registry בשאילתות לשנייה (QPS). אם הערך של registryPullQPS גדול מ-0, קצב השאילתות מוגבל למספר השאילתות לשנייה שמוגדר. אם המדיניות registryPullQPS מוגדרת לערך 0, אין הגבלה על קצב השאילתות. ערך ברירת המחדל הוא 5.

השדה הזה תואם לאפשרות ההגדרה של kubelet‏ (v1beta1)‏ registryPullQPS.

אפשר להגדיר את השדה הזה כשיוצרים, מעדכנים או משדרגים אשכול, וההגדרה נשמרת גם אחרי שמשדרגים את האשכול. מידע נוסף זמין במאמר הגדרת אפשרויות משיכת תמונות של kubelet.

loadBalancer.nodePoolSpec.kubeletConfig.serializeImagePulls

זה שינוי אופציונלי. ערך בוליאני (true|false). השדה הזה מציין אם פעולות המשיכה (pull) ב-Artifact Registry מעובדות במקביל או אחת בכל פעם. ברירת המחדל היא true, שמציינת שהשליפות מעובדות אחת בכל פעם. אם הערך מוגדר ל-false, ‏ kubelet מושך תמונות במקביל. השדה הזה תואם לאפשרות ההגדרה של kubelet‏ (v1beta1)‏ serializeImagePulls.

אפשר להגדיר את השדה הזה כשיוצרים, מעדכנים או משדרגים אשכול, וההגדרה נשמרת גם אחרי שמשדרגים את האשכול. מידע נוסף זמין במאמר הגדרת אפשרויות משיכת תמונות של kubelet.

loadBalancer.ports.controlPlaneLBPort

מספר. יציאת היעד שמשמשת לתעבורה שנשלחת למישור הבקרה של Kubernetes (שרתי Kubernetes API).

loadBalancer.vips.controlPlaneVIP

חובה. מציינים את כתובת ה-IP הווירטואלית (VIP) להתחברות לשרת ה-API של Kubernetes. הכתובת הזו לא יכולה להיות בטווח של כתובות IP שמשמשות למאגרי כתובות של מאזן עומסים, loadBalancer.addressPools.addresses.

loadBalancer.vips.ingressVIP

זה שינוי אופציונלי. מחרוזת (כתובת IPv4). כתובת ה-IP שבחרתם להגדיר במאזן העומסים לתעבורת נתונים נכנסת (ingress).

loadBalancer.localASN

זה שינוי אופציונלי. מחרוזת. מציינים את מספר המערכת האוטונומית (ASN) של האשכול שנוצר. השדה הזה משמש להגדרת פתרון משולב לאיזון עומסים שמשתמש בפרוטוקול BGP (Border Gateway Protocol). מידע נוסף זמין במאמר בנושא הגדרה של מאזני עומסים מקובצים עם BGP.

loadBalancer.bgpPeers

זה שינוי אופציונלי. אובייקט (רשימת מיפויים). בקטע הזה מציינים עמית אחד או יותר של פרוטוקול שער הגבול (BGP) מהרשת המקומית (חיצונית לאשכול). אתם מציינים עמיתי BGP כשאתם מגדירים איזון עומסים במישור הבקרה כחלק מפתרון איזון העומסים בחבילה שמשתמש ב-BGP. כל עמית מוגדר באמצעות מיפוי שכולל כתובת IP, מספר מערכת אוטונומית (ASN) ורשימה אופציונלית של כתובות IP אחת או יותר לצמתים של מישור הבקרה. אי אפשר לעדכן את ההגדרה של BGP-peering לאיזון עומסים במישור הבקרה אחרי שיוצרים את האשכול.

לדוגמה:

loadBalancer:
  mode: bundled
  type: bgp
  localASN: 65001
  bgpPeers:
  - ip: 10.0.1.254
    asn: 65002
    controlPlaneNodes:
      - 10.0.1.10
      - 10.0.1.11
  - ip: 10.0.2.254
    asn: 65002
    controlPlaneNodes:
      - 10.0.2.10
  

מידע נוסף זמין במאמר בנושא הגדרה של מאזני עומסים מקובצים עם BGP.

loadBalancer.bgpPeers.ip

זה שינוי אופציונלי. מחרוזת (כתובת IPv4). כתובת ה-IP של מכשיר קישור בין רשתות שכנות (peering) חיצוני מהרשת המקומית. מידע נוסף זמין במאמר בנושא הגדרה של מאזני עומסים מקובצים עם BGP.

loadBalancer.bgpPeers.asn

זה שינוי אופציונלי. מחרוזת. מספר המערכת האוטונומית (ASN) של הרשת שמכילה את מכשיר ה-peer החיצוני. כשמגדירים את פתרון איזון העומסים בחבילה שמשתמש ב-BGP, צריך לציין מספר ASN לכל רשת שכנה של BGP שמגדירים לאיזון עומסים במישור הבקרה. מידע נוסף זמין במאמר בנושא הגדרה של מאזני עומסים מקובצים עם BGP.

loadBalancer.bgpPeers.controlPlaneNodes

זה שינוי אופציונלי. מערך של כתובות IP ‏ (IPv4). כתובת IP אחת או יותר של צמתים במישור הבקרה שמתחברים לעמית BGP חיצוני, כשמגדירים את פתרון איזון העומסים בחבילה שמשתמש ב-BGP. אם לא מציינים צמתים של מישור הבקרה, כל הצמתים של מישור הבקרה יתחברו לעמית החיצוני. אם מציינים כתובת IP אחת או יותר, רק הצמתים שצוינו משתתפים בסשנים של קישור בין רשתות שכנות (peering). מידע נוסף זמין במאמר בנושא הגדרה של מאזני עומסים מקובצים עם BGP.

maintenanceBlocks.cidrBlocks

זה שינוי אופציונלי. כתובת IPv4 אחת או טווח של כתובות IPv4. מציינים את כתובות ה-IP של מכונות הצמתים שרוצים להעביר למצב תחזוקה. מידע נוסף מופיע במאמר בנושא העברת צמתים למצב תחזוקה.

לדוגמה:

  maintenanceBlocks:
    cidrBlocks:
    - 192.168.1.200  # Single machine
    - 192.168.1.100-192.168.1.109  # Ten machines
  

metricsAdapter (תצוגה מקדימה)

זה שינוי אופציונלי. מציין את הגדרות המתאם לשינוי גודל אוטומטי של Pod אופקי על סמך מדדים מותאמים אישית. היכולת הזו זמינה בתצוגה מקדימה לאשכולות בגרסה 1.34.

לדוגמה:

        apiVersion: baremetal.cluster.gke.io/v1
        kind: Cluster
        metadata:
          name: cluster1
          namespace: cluster-cluster1
          annotations:
            preview.baremetal.cluster.gke.io/metrics-adapter: "true"
        spec:
          # ... other existing cluster configurations ...
          metricsAdapter:
            prometheus:
              url: "http://prometheus-k8s.monitoring.svc.cluster.local:9090"
              orgID: "production-environment"
              auth:
                configSecretRef:
                  name: prometheus-auth-secret
                  key: config
            rules:
              configMapKeyRefs:
                - name: my-app-rules
                  key: config.yaml

metricsAdapter.prometheus

זה שינוי אופציונלי. מציינים את ההגדרות לחיבור לשרת Prometheus. כך תוכלו להשתמש במופע Prometheus משלכם כספק מדדים מותאם אישית להתאמה אופקית של קבוצות Pod לעומס. כשמציינים את השדה metricsAdapter.prometheus, צריך לציין גם את השדה metricsAdapter.rules.

metricsAdapter.prometheus.url

נדרש כשמציינים הגדרות של Prometheus. כתובת ה-URL של נקודת הקצה של Prometheus. במקרה כזה, כשמשתמשים ב-Prometheus כספק מדדים מותאמים אישית להתאמה אופקית של קבוצות Pod לעומס, צריך להשתמש בשם הדומיין המוגדר במלואו (FQDN) הבא:

        http://prometheus.k8s.svc.cluster.local:9090
        

ה-FQDN פועל לפי מוסכמות סטנדרטיות של מתן שמות ב-Kubernetes לשמות DNS פנימיים:

• ‫prometheus: השם של שירות Kubernetes (שירות האפליקציה של Prometheus עצמו).
• ‫k8s: השם של מרחב השמות ב-Kubernetes שבו השירות פועל.
• ‫svc: מציין שזהו סוג משאב Service באשכול.
• ‫cluster.local: סיומת הדומיין שמוגדרת כברירת מחדל ברשת הפנימית של אשכול Kubernetes.

metricsAdapter.prometheus.orgID

זה שינוי אופציונלי. מחרוזת. מציינים את מזהה הארגון שרוצים לכלול בכותרת `X-Scope-OrgID`.

metricsAdapter.prometheus.auth

זה שינוי אופציונלי. בקטע הזה מפורטות הגדרות האימות שנדרשות כדי שהכלי להמלצות יוכל להתחבר ל-Prometheus. התאמה אוטומטית של קבוצות Pod לעומס אופקי תומכת במנגנוני אימות בסיסיים (שם משתמש וסיסמה) ובאימות באמצעות טוקן bearer. צריך לאחסן את כל פרטי הכניסה ב-Secret בפורמט kubeconfig. אם לא נדרש אימות במופע Prometheus שלכם, צריך להסיר את הקטע הזה.

metricsAdapter.prometheus.auth.configSecretRef

זה שינוי אופציונלי. מציינים את הסוד ואת המפתח ב-Secret for authentication.

metricsAdapter.prometheus.auth.configSecretRef.name

חובה לציין את הערך הזה כשמגדירים אימות בסיסי. מחרוזת. השם של הסוד שמכיל את פרטי הכניסה לאימות.

metricsAdapter.prometheus.auth.configSecretRef.key

חובה לציין את הערך הזה כשמגדירים אימות בסיסי. מחרוזת. המפתח בשדה data של הסוד שממנו בוחרים כדי לאחזר את פרטי הכניסה לאימות. חייב להיות מפתח סודי תקין.

metricsAdapter.prometheus.auth.configSecretRef.optional

זה שינוי אופציונלי. ערך בוליאני (true|false). ברירת המחדל היא false, והאימות נכשל אם לא מוגדר סוד או מפתח.

metricsAdapter.rules

זה שינוי אופציונלי. מציינים את כללי הגילוי של המדדים עבור המתאם. אם מציינים את הערך metricsAdapter.prometheus, חובה למלא את השדה הזה.

metricsAdapter.rules.configMapKeyRefs

חובה אם מציינים את השדה metricsAdapter. הקובץ configMapKeyRefs מכיל רשימה של הפניות למפתחות ConfigMap שמכילים הגדרות של כללים. הכללים האלה ממוזגים לפי הסדר על ידי בקר הנתונים.

metricsAdapter.rules.configMapKeyRefs.name

חובה. מחרוזת. השם של ה-ConfigMap שמכיל כללים.

metricsAdapter.rules.configMapKeyRefs.key

חובה. מחרוזת. המפתח בשדה data של ConfigMap שממנו בוחרים כדי לאחזר כללים. חייב להיות מפתח ConfigMap תקין.

nodeAccess.loginUser

זה שינוי אופציונלי. מחרוזת. מציינים את שם המשתמש שאינו משתמש root שרוצים להשתמש בו כדי לקבל גישה ליכולת SUDO ללא סיסמה למכונות הצומת באשכול. מפתח ה-SSH,‏ sshPrivateKeyPath, צריך לפעול עבור המשתמש שצוין. בפעולות של יצירה ועדכון של אשכולות, המערכת בודקת אם אפשר לגשת למכונות הצמתים באמצעות המשתמש ומפתח ה-SSH שצוינו.

osEnvironmentConfig.addPackageRepo

זה שינוי אופציונלי. ערך בוליאני (true | false). מציין אם להשתמש בשרת מאגר חבילות משלכם במקום במאגר ברירת המחדל של Docker apt. כדי להשתמש במאגר חבילות משלכם, מגדירים את addPackageRepo ל-false. אתם יכולים להשתמש בתכונה הזו כדי לדלג על הוספה של מאגרי חבילות לכל מכונת Bare Metal בפריסה. מידע נוסף זמין במאמר שימוש בשרת פרטי של מאגר חבילות.

nodeConfig

בקטע הזה מפורטות ההגדרות של צומת אשכול.

nodeConfig.containerRuntime (הוצאה משימוש)

הוצאה משימוש, החל מגרסה 1.13.0, ‏ Google Distributed Cloud תומך ב-containerd רק כזמן הריצה של הקונטיינר. השדה containerRuntime הוצא משימוש והוסר מקובץ התצורה של האשכול שנוצר. בגרסאות 1.13.0 ואילך של תוכנת Google Distributed Cloud, אם קובץ התצורה של האשכול מכיל את השדה הזה, הערך צריך להיות containerd.

nodeConfig.podDensity

בקטע הזה מציינים את הגדרת צפיפות הפודים.

nodeConfig.podDensity.maxPodsPerNode

זה שינוי אופציונלי. מספר שלם. מציינת את המספר המקסימלי של פודים שאפשר להריץ בצומת יחיד. באשכולות בניהול עצמי, הערכים המותרים של maxPodsPerNode הם 32–250 באשכולות עם זמינות גבוהה (HA) ו-64–250 באשכולות ללא זמינות גבוהה. במקרה של אשכולות משתמשים, הערכים המותרים עבור maxPodsPerNode הם 32–250. ערך ברירת המחדל אם לא צוין הוא 110. אחרי שיוצרים את האשכול, אי אפשר לעדכן את הערך הזה.

מערכת Kubernetes מקצה בלוק של Classless Inter-Domain Routing‏ (CIDR) לכל צומת, כדי שלכל פוד תהיה כתובת IP ייחודית. הגודל של בלוק ה-CIDR תואם למספר המקסימלי של פודים לכל צומת. מידע נוסף על הגדרת המספר המקסימלי של פודים לכל צומת זמין במאמר רשתות פודים.

nodeConfig.privateRegistries

בקטע הזה מפורטת הגדרת מאגר פרטי ברמת הצומת עבור אשכולות משתמשים. מאגרי רישום פרטיים ברמת הצומת מיועדים לשימוש עם עומסי העבודה שלכם כדי לתת לכם יותר שליטה על משיכות התמונות והאבטחה שקשורה אליהן.

לדוגמה:

spec:
  bypassPreflightCheck: false
  ...
  nodeConfig:
    containerRuntime: containerd
    podDensity:
      maxPodsPerNode: 250
    privateRegistries:
    - caCertSecretRef:
        name: ca-9dd74fd308bac6df562c7a7b220590b5
        namespace: some-namespace
      host: 10.200.0.2:5007
      pullCredentialSecretRef:
        name: pull-creds-9dd74fd308bac6df562c7a7b220590b5
        namespace: some-namespace
  ...

במקרה של אשכולות אדמין, המאגר הפרטי ברמת הצומת מצוין בקטע Credentials בקובץ התצורה של אשכול האדמין.

מידע נוסף על הגדרת גישת צמתים למאגר פרטי זמין במאמר הגדרת צמתים לאימות במאגר פרטי.

ברשימה הבאה מוצג שלב ההשקה לכל גרסה להגדרת רישום פרטי ברמת הצומת:

• גרסה 1.30 ואילך: GA
• ‫1.29: תצוגה מקדימה

nodeConfig.privateRegistries.caCertSecretRef

במקרים הרלוונטיים, משתמשים בקטע הזה כדי לציין את השם ואת מרחב השמות של הסוד שנוצר כדי לאחסן את אישור ה-CA (ה-CA הבסיסי של השרת) עבור הרישום הפרטי. אם הרישום המקומי שלכם לא דורש אישור TLS פרטי, אתם יכולים להשמיט את הבלוק הזה.

ברשימה הבאה מוצג שלב ההשקה לכל גרסה להגדרת רישום פרטי ברמת הצומת:

• גרסה 1.30 ואילך: GA
• ‫1.29: תצוגה מקדימה

nodeConfig.privateRegistries.caCertSecretRef.name

זה שינוי אופציונלי. מחרוזת. השם של הסוד שנוצר כדי לאחסן את אישור ה-CA עבור הרישום הפרטי.

מידע נוסף על הגדרת גישת צמתים למאגר פרטי זמין במאמר הגדרת צמתים לאימות במאגר פרטי.

ברשימה הבאה מוצג שלב ההשקה לכל גרסה להגדרת רישום פרטי ברמת הצומת:

• גרסה 1.30 ואילך: GA
• ‫1.29: תצוגה מקדימה

nodeConfig.privateRegistries.caCertSecretRef.namespace

זה שינוי אופציונלי. מחרוזת. מרחב השמות של הסוד שנוצר כדי לאחסן את אישור ה-CA עבור הרישום הפרטי.

מידע נוסף על הגדרת גישת צמתים למאגר פרטי זמין במאמר הגדרת צמתים לאימות במאגר פרטי.

ברשימה הבאה מוצג שלב ההשקה לכל גרסה להגדרת רישום פרטי ברמת הצומת:

• גרסה 1.30 ואילך: GA
• ‫1.29: תצוגה מקדימה

nodeConfig.privateRegistries.host

מחרוזת. בשדה הזה מציינים את המארח והיציאה של מאגר פרטי יחיד. אפשר לציין את המארח באמצעות שם דומיין או כתובת IP. לא כוללים את הקידומת http או https.

השדה host נדרש כשמציינים מאגר פרטי עבור אשכול משתמשים.

ברשימה הבאה מוצג שלב ההשקה לכל גרסה להגדרת רישום פרטי ברמת הצומת:

• גרסה 1.30 ואילך: GA
• ‫1.29: תצוגה מקדימה

nodeConfig.privateRegistries.pullCredentialSecretRef

במקרים הרלוונטיים, משתמשים בקטע הזה כדי לציין את השם ואת מרחב השמות של הסוד שנוצר כדי לאחסן את פרטי הכניסה של הרישום הפרטי.

משתמשים בבלוק pullCredentialSecretRef כשמגדירים אשכול משתמשים כדי לתת לצמתים גישה למאגר פרטי שדורש אימות.

ברשימה הבאה מוצג שלב ההשקה לכל גרסה להגדרת רישום פרטי ברמת הצומת:

• גרסה 1.30 ואילך: GA
• ‫1.29: תצוגה מקדימה

nodeConfig.privateRegistries.pullCredentialSecretRef.name

זה שינוי אופציונלי. מחרוזת. השם של הסוד שנוצר כדי לאחסן את פרטי הכניסה של הרישום הפרטי.

מידע נוסף על הגדרת גישת צמתים למאגר פרטי זמין במאמר הגדרת צמתים לאימות במאגר פרטי.

ברשימה הבאה מוצג שלב ההשקה לכל גרסה להגדרת רישום פרטי ברמת הצומת:

• גרסה 1.30 ואילך: GA
• ‫1.29: תצוגה מקדימה

nodeConfig.privateRegistries.pullCredentialSecretRef.namespace

זה שינוי אופציונלי. מחרוזת. מרחב השמות של הסוד שנוצר כדי לאחסן את פרטי הכניסה של הרישום הפרטי.

מידע נוסף על הגדרת גישת צמתים למאגר פרטי זמין במאמר הגדרת צמתים לאימות במאגר פרטי.

ברשימה הבאה מוצג שלב ההשקה לכל גרסה להגדרת רישום פרטי ברמת הצומת:

• גרסה 1.30 ואילך: GA
• ‫1.29: תצוגה מקדימה

nodePoolUpgradeStrategy

זה שינוי אופציונלי. בקטע הזה מפורטות ההגדרות לקביעת אסטרטגיית השדרוג של מאגרי צמתי העובדים באשכול. מידע נוסף זמין במאמר בנושא שדרוגים מקבילים.

nodePoolUpgradeStrategy.concurrentNodePools

זה שינוי אופציונלי. ערך בוליאני (0 או 1). ברירת מחדל: 1. בשדה הזה מציינים אם לשדרג את כל מאגרי צמתי העובדים באשכול בו-זמנית. כברירת מחדל (1), השדרוג מתבצע באופן רציף, אחד אחרי השני. כשמגדירים את concurrentNodePools ל-0, כל מאגר צמתים מסוג worker באשכול משודרג במקביל.

apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: cluster1
  namespace: cluster-cluster1
spec:
  ...
  nodePoolUpgradeStrategy:
    concurrentNodePools: 0
  ...

מידע נוסף זמין במאמר בנושא אסטרטגיית שדרוג של מאגר צמתים.

השדרוג של הצמתים בכל מאגר צמתים של עובדים מתבצע בהתאם לאסטרטגיית השדרוג במפרט NodePool המתאים.

nodePoolUpgradeStrategy.pause

זה שינוי אופציונלי. ערך בוליאני (true או false). ברירת מחדל: false. בשדה הזה מציינים אם להשהות או להמשיך את השדרוג של אשכול פעיל.

כדי להשהות שדרוג פעיל של אשכול, מעדכנים את הערך nodePoolUpgradeStrategy.pause ל-true:

apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: cluster1
  namespace: cluster-cluster1
  annotations: preview.baremetal.cluster.gke.io/upgrade-pause-and-resume
spec:
  ...
  nodePoolUpgradeStrategy:
    pause: true
  ...

מידע נוסף זמין במאמר בנושא השהיה והמשך של שדרוגים.

periodicHealthCheck

בקטע הזה מופיע מידע על הגדרות של בדיקות תקינות תקופתיות. במשאב Cluster, ההגדרה היחידה שזמינה לבדיקות תקינות תקופתיות היא השדה enable. מידע נוסף זמין במאמר בדיקות תקינות תקופתיות.

periodicHealthCheck.enable

זה שינוי אופציונלי. בוליאני (true|false). הפעלה או השבתה של בדיקות תקינות תקופתיות של האשכול. בדיקות תקינות תקופתיות מופעלות כברירת מחדל בכל האשכולות. כדי להשבית את בדיקות התקינות התקופתיות של אשכול, צריך להגדיר את השדה periodicHealthCheck.enable לערך false. מידע נוסף זמין במאמר השבתה של בדיקות תקינות תקופתיות

profile

זה שינוי אופציונלי. מחרוזת. כשהערך של profile מוגדר ל-edge באשכול עצמאי, צריכת המשאבים של האשכול מצטמצמת. פרופיל הקצה זמין רק לאשכולות עצמאיים. פרופיל ה-Edge דורש פחות משאבי מערכת, והוא מומלץ למכשירי Edge עם מגבלות משאבים מחמירות. לדרישות חומרה שקשורות לפרופיל Edge, אפשר לעיין במאמר דרישות משאבים לאשכולות עצמאיים באמצעות פרופיל Edge.

proxy

אם הרשת שלכם נמצאת מאחורי שרת proxy, צריך למלא את הקטע הזה. אחרת, צריך להסיר את הקטע הזה.

proxy.noProxy

מחרוזת. רשימה מופרדת בפסיקים של כתובות IP, טווחי כתובות IP, שמות מארחים ושמות דומיינים שלא צריכים לעבור דרך שרת ה-Proxy. כשקלאסטר שולח בקשה לאחת מהכתובות, המארחים או הדומיינים האלה, הבקשה נשלחת ישירות.

proxy.url

מחרוזת. כתובת ה-HTTP של שרת ה-Proxy. כוללים את מספר היציאה גם אם הוא זהה ליציאת ברירת המחדל של הסכימה.

לדוגמה:

proxy:
  url: "http://my-proxy.example.local:80"
  noProxy: "10.151.222.0/24, my-host.example.local,10.151.2.1"
  

clusterSecurity

בקטע הזה מפורטות ההגדרות שקשורות לאבטחת האשכול.

clusterSecurity.enableSeccomp (תצוגה מקדימה)

זה שינוי אופציונלי. ערך בוליאני (true|false). הפעלה או השבתה של seccomp בכל האשכול. כשהשדה הזה מושבת, קונטיינרים בלי פרופיל seccomp בקובץ ההגדרות של האשכול מופעלים ללא הגבלה. אם השדה הזה מופעל, אותם קונטיינרים מאובטחים באמצעות פרופיל ברירת המחדל של seccomp בזמן הריצה של הקונטיינר. התכונה הזו מופעלת כברירת מחדל. אחרי שיוצרים את האשכול, אפשר להחליף את הערך בשדה הזה רק במהלך שדרוג. מידע נוסף מופיע במאמר בנושא שימוש ב-seccomp להגבלת גישה למאגרי תגים.

clusterSecurity.enableRootlessContainers

זה שינוי אופציונלי. ערך בוליאני (true|false). הפעלה או השבתה של קונטיינרים של מערכת Bare Metal ללא הרשאות root. כשהשדה הזה מופעל, קונטיינרים של מערכת Bare Metal פועלים כמשתמש שאינו Root עם מזהה משתמש בטווח 2000-5000. כשהאפשרות הזו מושבתת, קונטיינרים של מערכות bare metal מופעלים כמשתמש root. התכונה הזו מופעלת כברירת מחדל. לא מומלץ להשבית את התכונה הזו, כי הפעלת קונטיינרים כמשתמש root יוצרת סיכון אבטחה. אחרי שיוצרים את האשכול, אפשר להחליף את הערך בשדה הזה רק במהלך שדרוג. מידע נוסף זמין במאמר איך לא מריצים קונטיינרים כמשתמש root.

clusterSecurity.authorization

זה שינוי אופציונלי. הרשאות הגישה מגדירות את הגישה של המשתמשים לאשכול.

clusterSecurity.authorization.clusterAdmin

זה שינוי אופציונלי. מציינת את האדמין של האשכול הזה.

clusterSecurity.authorization.clusterAdmin.gcpAccounts

זה שינוי אופציונלי. השדה gcpAccounts מציין רשימה של חשבונות שקיבלו את התפקיד clusterrole/cluster-admin בבקרת הגישה מבוססת-התפקידים (RBAC) ב-Kubernetes. לחשבונות עם התפקיד הזה יש גישה מלאה לכל משאב באשכול בכל מרחבי השמות. השדה הזה מגדיר גם את כללי המדיניות של RBAC שמאפשרים לחשבונות שצוינו להשתמש בשער החיבור כדי להריץ פקודות kubectl מול האשכול. האפשרות הזו נוחה אם יש לכם כמה אשכולות לניהול, במיוחד בסביבה היברידית עם אשכולות GKE ואשכולות מקומיים.

בנוסף, מדיניות RBAC מאפשרת למשתמשים להיכנס למסוף Google Cloud באמצעות הזהות שלהם ב-Google, אם יש להם את התפקידים הנדרשים בניהול הזהויות והרשאות הגישה כדי לגשת למסוף.

בשדה הזה צריך להזין מערך של שמות חשבונות. יש תמיכה בחשבונות משתמשים ובחשבונות שירות. למשתמשים, מציינים את Google Cloud כתובות האימייל בחשבון. בחשבונות שירות, מציינים את כתובות האימייל בפורמט הבא: SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com. לדוגמה:

...
clusterSecurity:
  authorization:
    clusterAdmin:
      gcpAccounts:
      - alex@example.com
      - hao@example.com
      - my-sa@example-project-123.iam.gserviceaccount.com
...

כשמעדכנים אשכול כדי להוסיף חשבון, חשוב לכלול ברשימה את כל החשבונות (הקיימים והחדשים), כי פקודת העדכון מחליפה את הרשימה במה שמציינים בעדכון.

השדה הזה רלוונטי רק לאשכולות שיכולים להריץ עומסי עבודה. לדוגמה, אי אפשר לציין gcpAccounts עבור אשכולות של אדמינים.

clusterSecurity.startUIDRangeRootlessContainers

זה שינוי אופציונלי. מספר שלם. ערך ברירת המחדל: 2000. קונטיינרים של המערכת בתוכנת Google Distributed Cloud עוזרים להתקין ולנהל אשכולות. אפשר לשלוט במזהי המשתמשים (UID) ובמזהי הקבוצות (GID) שבהם נעשה שימוש במאגרי התגים האלה באמצעות השדה startUIDRangeRootlessContainers במפרט האשכול. קובצי ה-UID וקובצי ה-GID של קונטיינרים של המערכת נמצאים בטווח startUIDRangeRootlessContainers עד startUIDRangeRootlessContainers + 2999, ולכן טווח ברירת המחדל הוא 2000 עד 4999. כשמעדכנים את startUIDRangeRootlessContainers, בוחרים ערך שמבטיח שמרחבי ה-UID וה-GID שמשמשים את קובצי ה-container של המערכת לא חופפים לאלה שהוקצו לעומסי העבודה של המשתמשים. אפשר לשנות את הערך של startUIDRangeRootlessContainers רק במהלך שדרוגים.

הערכים המותרים: 1000-57000

לדוגמה:

apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: name-of-cluster
spec:
 clusterSecurity:
    startUIDRangeRootlessContainers: 5000
...

מידע נוסף זמין במאמר לא מריצים קונטיינרים כמשתמש root.

storage.lvpNodeMounts.path

חובה. מחרוזת. משתמשים בשדה path כדי לציין את הנתיב של המכונה המארחת שבה אפשר לגלות דיסקים מוצמדים. לכל נקודת הרכבה נוצר נפח אחסון קבוע (PV) מקומי. נתיב ברירת המחדל הוא /mnt/localpv-share. הוראות להגדרת נקודות העיגון של הצמתים זמינות במאמר הגדרת נקודות העיגון של צמתים ב-LVP.

storage

בקטע הזה מפורטות ההגדרות של אחסון באשכול.

storage.lvpNodeMounts

בקטע הזה מפורטת ההגדרה (הנתיב) של כרכים מקומיים מתמשכים שמגובים על ידי דיסקים מוצמדים. אתם צריכים לפרמט את הדיסקים האלה ולהרכיב אותם בעצמכם. אפשר לבצע את המשימה הזו לפני או אחרי יצירת האשכול. מידע נוסף זמין במאמר בנושא LVP node mounts.

storage.lvpShare

בקטע הזה מפורטת ההגדרה של נפחי אחסון מקומיים קבועים שמגובים על ידי תיקיות משנה במערכת קבצים משותפת. ספריות המשנה האלה נוצרות אוטומטית במהלך יצירת האשכול. מידע נוסף זמין במאמר בנושא שיתוף LVP.

storage.lvpShare.path

חובה. מחרוזת. משתמשים בשדה path כדי לציין את הנתיב של המכונה המארחת שבה אפשר ליצור ספריות משנה. נוצר נפח אחסון קבוע (PV) מקומי לכל ספריית משנה. הוראות להגדרת שיתוף LVP מופיעות במאמר הגדרת שיתוף LVP.

storage.lvpShare.numPVUnderSharedPath

חובה. מחרוזת. מציינים את מספר תיקיות המשנה שרוצים ליצור מתחת ל-lvpShare.path. ערך ברירת המחדל הוא 5. הוראות להגדרת שיתוף LVP מופיעות במאמר הגדרת שיתוף LVP.

storage.lvpShare.storageClassName

חובה. מחרוזת. מציינים את StorageClass שבו רוצים להשתמש כדי ליצור נפחי אחסון מתמיד. ה-StorageClass נוצר במהלך יצירת האשכול. ערך ברירת המחדל הוא local-shared. הוראות להגדרת שיתוף LVP מפורטות במאמר הגדרת שיתוף LVP.

type

חובה. מחרוזת. מציין את סוג האשכול. מודל הפריסה הרגיל מורכב מאשכול אדמין יחיד ומאשכול משתמש אחד או יותר, שמנוהלים על ידי אשכול האדמין. תוכנת Google Distributed Cloud תומכת בסוגי האשכולות הבאים:

• אדמין – אשכול שמשמש לניהול אשכולות משתמשים.
• משתמש – אשכול שמשמש להפעלת עומסי עבודה.
• היברידי – אשכול יחיד לאדמין ולעומסי עבודה, שיכול גם לנהל אשכולות משתמשים.
• עצמאי – אשכול יחיד שיכול לנהל את עצמו, וגם להריץ עומסי עבודה, אבל לא יכול ליצור או לנהל אשכולות משתמשים אחרים.

סוג האשכול מוגדר בזמן יצירת האשכול, ואי אפשר לשנות אותו בעדכונים או בשדרוגים. מידע נוסף על יצירת אשכול זמין במאמר יצירת אשכולות: סקירה כללית.

הערכים המותרים: admin | user | hybrid | standalone

אי אפשר לשנות את הערך הזה באשכולות קיימים.

verticalPodAutoscaling (תצוגה מקדימה)

זה שינוי אופציונלי. בקטע הזה מציינים את אופן הפעולה של התאמה אנכית של קבוצות Pod לעומס. התכונה הזו זמינה בגרסה 1.33 ואילך של אשכולות Preview.

לדוגמה:

apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: cluster1
  namespace: cluster-cluster1
  annotations:
    preview.baremetal.cluster.gke.io/vertical-pod-autoscaler: enable
spec:
  # ... other cluster spec fields
  verticalPodAutoscaling:
    # Set to true for automated updates
    enableUpdater: true
    # Set to true to reduce recommender memory usage
    enableMemorySaver: true

אפשר לעדכן את האשכול בכל שלב כדי להפעיל, להשבית או להגדיר את התאמה אנכית של קבוצות Pod לעומס. מידע נוסף על הפעלה ושימוש בהתאמה אנכית של קבוצות Pod לעומס זמין במאמר הגדרת התאמה אנכית של קבוצות Pod לעומס.

verticalPodAutoscaling.enableMemorySaver (תצוגה מקדימה)

זה שינוי אופציונלי. ערך בוליאני (true|false). הפעלה או השבתה של מצב חיסכון בזיכרון להתאמה אנכית של קבוצות Pod לעומס. מצב חיסכון בזיכרון מצמצם את הזיכרון שבשימוש של רכיב שירות ההמלצות של התאמה אנכית של קבוצות Pod לעומס. כשמגדירים את enableMemorySaver לערך true, שירות ההמלצות עוקב אחרי צבירות נתונים ומחשב אותן רק עבור Podים שיש להם משאב מותאם אישית תואם VerticalPodAutoscaler. מצב החיסכון בזיכרון מושבת (false) כברירת מחדל.

התאמה אנכית של קבוצות Pod לעומס זמינה בגרסה 1.33 ואילך של אשכולות בסטטוס תצוגה מקדימה. אפשר לעדכן את האשכול בכל שלב כדי להפעיל או להשבית את מצב חיסכון בזיכרון. מידע נוסף זמין במאמר בנושא הסבר על מצבי התאמה אנכית של קבוצות Pod לעומס.

verticalPodAutoscaling.enableUpdater (תצוגה מקדימה)

זה שינוי אופציונלי. ערך בוליאני (true|false). מציינים את המצב להחלת ההמלצות לגבי משאבי ה-Pod:

• במצב המלצה (enableUpdater: false), התאמה אנכית של קבוצות Pod לעומס מנתחת את השימוש במשאבים ומפרסמת ערכים מומלצים לבקשות ולמגבלות של מעבד וזיכרון בקטע הסטטוס של VerticalPodAutoscaler המשאבים המותאמים אישית שאתם יוצרים. במצב המלצה, כדי להטמיע את הגדרות המשאבים המומלצות, צריך לערוך את המשאבים באופן ידני.
• במצב עדכון אוטומטי (enableUpdater: true), התאמה אנכית של קבוצות Pod לעומס מנתחת את השימוש במשאבים ומפרסמת ערכים מומלצים לבקשות ולמגבלות של מעבד וזיכרון בקטע הסטטוס של המשאבים המותאמים אישית VerticalPodAutoscaler שאתם יוצרים. לאחר מכן, התאמה אנכית של קבוצות Pod לעומס מיישמת את ההמלצות באופן אוטומטי.

כברירת מחדל, הכלי Vertical Pod Autoscaler פועל במצב המלצה (enableUpdater: false).

התאמה אנכית של קבוצות Pod לעומס זמינה בגרסה 1.33 ואילך של אשכולות בסטטוס תצוגה מקדימה. אפשר לעדכן את האשכול בכל שלב כדי לציין את המצב להחלת המלצות לגבי משאבי Pod. מידע נוסף זמין במאמר בנושא הסבר על מצבי התאמה אנכית של קבוצות Pod לעומס.

verticalPodAutoscaling.prometheus (תצוגה מקדימה)

זה שינוי אופציונלי. מציינים את ההגדרות לחיבור לשרת Prometheus. שדה התצורה של האשכול מאפשר להשתמש במופע Prometheus משלכם כספק היסטוריה מתמשך של שינוי גודל אנכי של Pod. היכולת הזו זמינה בתצוגה מקדימה עבור אשכולות בגרסה 1.34. כשהרכיב של המלצות מופעל, הוא יכול לשלוח שאילתה לשרת Prometheus בהפעלה או בהפעלה מחדש כדי לאחזר נתונים היסטוריים לטווח ארוך של השימוש במשאבים (מדדי השימוש במעבד (CPU) ובשימוש בזיכרון) עבור כל ה-Pods המנוהלים.

בדוגמה הבאה מוצגת הגדרה של Prometheus שמשתמשת באימות בסיסי:

apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: cluster1
  namespace: cluster-cluster1
  annotations:
    preview.baremetal.cluster.gke.io/vertical-pod-autoscaler: enable
spec:
  # ... other cluster spec fields
  verticalPodAutoscaling:
    ... # other vertical Pod autoscaling fields
    prometheus:
      url: "http://prometheus.prometheus.svc.cluster.local:9090"
      auth:
        basicAuth:
          usernameRef:
            name: prom-basic-creds
            key: username
          passwordRef:
            name: prom-basic-creds
            key: password

מידע נוסף זמין במאמר בנושא שימוש ב-Prometheus כספק היסטוריה מתמשכת.

verticalPodAutoscaling.prometheus.url

נדרש כשמציינים הגדרות של Prometheus. כתובת ה-URL של נקודת הקצה של Prometheus. כשמשתמשים ב-Prometheus כספק היסטוריה מתמשכת של התאמה אנכית של קבוצות Pod לעומס, צריך להשתמש בשם הדומיין המוגדר במלואו (FQDN) הבא:

        http://prometheus.prometheus.svc.cluster.local:9090
        

ה-FQDN פועל לפי מוסכמות סטנדרטיות של מתן שמות ב-Kubernetes לשמות DNS פנימיים:

• ‫prometheus: השם של שירות Kubernetes (שירות האפליקציה של Prometheus עצמו).
• ‫prometheus: השם של מרחב השמות ב-Kubernetes שבו השירות פועל.
• ‫svc: מציין שזהו סוג משאב Service באשכול.
• ‫cluster.local: סיומת הדומיין שמוגדרת כברירת מחדל ברשת הפנימית של אשכול Kubernetes.

verticalPodAutoscaling.prometheus.auth

זה שינוי אופציונלי. בקטע הזה מפורטות הגדרות האימות שנדרשות כדי שהכלי להמלצות יוכל להתחבר ל-Prometheus. התאמה אנכית של קבוצות Pod לעומס תומכת במנגנוני אימות בסיסיים (שם משתמש וסיסמה) ובטוקן למוכ"ז. אם לא נדרש אימות במופע Prometheus שלכם, צריך להסיר את הקטע הזה.

אם מופע Prometheus שלכם משתמש בשיטת אימות אחרת, כמו Transport Layer Security‏ (TLS), אי אפשר להשתמש בו עם התאמה אנכית של קבוצות Pod לעומס. דרישות נוספות מפורטות במאמר בנושא שימוש ב-Prometheus כספק היסטוריה מתמשכת.

verticalPodAutoscaling.prometheus.auth.basicAuth

זה שינוי אופציונלי. מציינים את שם המשתמש והסיסמה לאימות בסיסי.

verticalPodAutoscaling.prometheus.auth.basicAuth.usernameRef

חובה לציין את הערך הזה כשמגדירים אימות בסיסי. השדה usernameRef מצביע על סוד שמכיל את שם המשתמש לאימות.

verticalPodAutoscaling.prometheus.auth.basicAuth.usernameRef.name

חובה לציין את הערך הזה כשמגדירים אימות בסיסי. מחרוזת. השם של הסוד שמכיל את שם המשתמש.

verticalPodAutoscaling.prometheus.auth.basicAuth.usernameRef.key

חובה לציין את הערך הזה כשמגדירים אימות בסיסי. מחרוזת. המפתח בשדה data של הסוד שממנו צריך לבחור כדי לאחזר את שם המשתמש. חייב להיות מפתח סודי תקין.

verticalPodAutoscaling.prometheus.auth.basicAuth.usernameRef.optional

זה שינוי אופציונלי. ערך בוליאני (true|false). ברירת המחדל היא false, והאימות נכשל אם לא מוגדר סוד או מפתח.

verticalPodAutoscaling.prometheus.auth.basicAuth.passwordRef

חובה לציין את הערך הזה כשמגדירים אימות בסיסי. השדה passwordRef מצביע על סוד שמכיל את הסיסמה לאימות.

verticalPodAutoscaling.prometheus.auth.basicAuth.passwordRef.name

חובה לציין את הערך הזה כשמגדירים אימות בסיסי. מחרוזת. השם של הסוד שמכיל את הסיסמה. הסוד שאליו מתבצעת ההפניה חייב להכיל גם את הסיסמה וגם את שם המשתמש.

verticalPodAutoscaling.prometheus.auth.basicAuth.passwordRef.key

חובה לציין את הערך הזה כשמגדירים אימות בסיסי. מחרוזת. המפתח בשדה data של ה-Secret שממנו בוחרים כדי לאחזר את הסיסמה. חייב להיות מפתח סודי תקין.

verticalPodAutoscaling.prometheus.auth.basicAuth.passwordRef.optional

זה שינוי אופציונלי. ערך בוליאני (true|false). ברירת המחדל היא false, והאימות נכשל אם לא מוגדר סוד או מפתח.

verticalPodAutoscaling.prometheus.auth.bearerTokenAuth

זה שינוי אופציונלי. מציינים Secret שמכיל את האסימון למוכ"ז שבו רוצים להשתמש לאימות.

verticalPodAutoscaling.prometheus.auth.bearerTokenAuth.name

חובה לציין את הפרמטר הזה כשמגדירים אימות באמצעות טוקן Bearer. מחרוזת. השם של הסוד שמכיל את האסימון.

verticalPodAutoscaling.prometheus.auth.bearerTokenAuth.key

חובה לציין את הפרמטר הזה כשמגדירים אימות באמצעות טוקן Bearer. מחרוזת. המפתח בתוך השדה data של ה-Secret שממנו בוחרים כדי לאחזר את הטוקן. חייב להיות מפתח סודי תקין.

verticalPodAutoscaling.prometheus.auth.bearerTokenAuth.optional

זה שינוי אופציונלי. ערך בוליאני (true|false). ברירת המחדל היא false, והאימות נכשל אם לא מוגדר סוד או מפתח.

name

חובה. מחרוזת. בדרך כלל, שם מרחב השמות משתמש בתבנית cluster-CLUSTER_NAME, אבל התוספת cluster- לא נדרשת מאז גרסת התוכנה 1.7.2 של Google Distributed Cloud.

אי אפשר לשנות את הערך הזה באשכולות קיימים.

clusterName

מחרוזת. חובה. השם של האשכול שאליו מוסיפים את מאגר הצמתים. יוצרים את משאב מאגר הצמתים באותו מרחב שמות כמו האשכול המשויך, ומפנים לשם האשכול בשדה הזה. מידע נוסף זמין במאמר הוספה והסרה של מאגרי צמתים באשכול.

לדוגמה:

apiVersion: baremetal.cluster.gke.io/v1
kind: NodePool
metadata:
  name: node-pool-new
  namespace: cluster-my-cluster
spec:
  clusterName: my-cluster
  nodes:
  - address:  10.200.0.10
  - address:  10.200.0.11
  - address:  10.200.0.12

nodes

זה שינוי אופציונלי. מערך של כתובות IP ‏ (IPv4). המאפיין הזה מגדיר את מאגר הצמתים של צמתי העובדים.

nodes.address

זה שינוי אופציונלי. מחרוזת (כתובת IPv4). כתובת IP אחת או יותר של הצמתים שמרכיבים את המאגר של צמתי העובדים.

kubeletConfig

זה שינוי אופציונלי. בקטע הזה יש שדות שקובעים את ההגדרות של kubelet בכל הצמתים במאגר הצמתים של מישור הבקרה.

לדוגמה:

apiVersion: baremetal.cluster.gke.io/v1
kind: NodePool
metadata:
  name: node-pool-new
  namespace: cluster-my-cluster
spec:
  clusterName: my-cluster
  ...
  kubeletConfig:
    serializeImagePulls: true
    registryBurst: 20
    registryPullQPS: 10

kubeletConfig.registryBurst

זה שינוי אופציונלי. מספר שלם (לא שלילי). מציין את הכמות המקסימלית של בקשות משיכה של תמונות שאפשר להוסיף לתור העיבוד כדי לטפל בעליות פתאומיות בבקשות. ברגע שמתחילה שליפת הודעות, אפשר להוסיף בקשה חדשה לתור. ערך ברירת המחדל הוא 10. השדה הזה תואם לאפשרות ההגדרה של kubelet‏ (v1beta1)‏ registryBurst.

הערך של registryPullQPS מקבל עדיפות על פני ההגדרה הזו. לדוגמה, בהגדרות ברירת המחדל, מותר לשלוח עד 10 שאילתות בו-זמנית, אבל הן צריכות לעבור עיבוד בקצב ברירת המחדל של חמש שאילתות בשנייה. התנהגות של פרץ כזה מתרחשת רק אם הערך של registryPullQPS גדול מהערך של 0.

אפשר להגדיר את השדה הזה כשיוצרים, מעדכנים או משדרגים אשכול, וההגדרה נשמרת גם אחרי שמשדרגים את האשכול. מידע נוסף זמין במאמר הגדרת אפשרויות משיכת תמונות של kubelet.

kubeletConfig.registryPullQPS

זה שינוי אופציונלי. מספר שלם (לא שלילי). מציין את קצב העיבוד של שאילתות לשליפת תמונות מ-Artifact Registry בשאילתות לשנייה (QPS). אם הערך של registryPullQPS גדול מ-0, קצב השאילתות מוגבל למספר השאילתות לשנייה שמוגדר. אם המדיניות registryPullQPS מוגדרת לערך 0, אין הגבלה על קצב השאילתות. ערך ברירת המחדל הוא 5.

השדה הזה תואם לאפשרות ההגדרה של kubelet‏ (v1beta1)‏ registryPullQPS.

אפשר להגדיר את השדה הזה כשיוצרים, מעדכנים או משדרגים אשכול, וההגדרה נשמרת גם אחרי שמשדרגים את האשכול. מידע נוסף זמין במאמר הגדרת אפשרויות משיכת תמונות של kubelet.

kubeletConfig.serializeImagePulls

זה שינוי אופציונלי. ערך בוליאני (true|false). השדה הזה מציין אם פעולות המשיכה (pull) ב-Artifact Registry מעובדות במקביל או אחת בכל פעם. ברירת המחדל היא true, שמציינת שהשליפות מעובדות אחת בכל פעם. אם הערך מוגדר ל-false, ‏ kubelet מושך תמונות במקביל. השדה הזה תואם לאפשרות ההגדרה של kubelet‏ (v1beta1)‏ serializeImagePulls.

אפשר להגדיר את השדה הזה כשיוצרים, מעדכנים או משדרגים אשכול, וההגדרה נשמרת גם אחרי שמשדרגים את האשכול. מידע נוסף זמין במאמר הגדרת אפשרויות משיכת תמונות של kubelet.

taints

זה שינוי אופציונלי. אובייקט. ההגדרה taint בצומת מאפשרת לסמן צומת כך שהמתזמן יימנע משימוש בו עבור פודים מסוימים או ימנע שימוש בו. כתם (taint) מורכב מצמד מפתח/ערך ומאפקט משויך. הערכים key ו-value הם מחרוזות שמשמשות לזיהוי ההכתמה, והערך effect מציין איך הפודים מטופלים בצומת. לאובייקט taints יכולים להיות כמה מאפייני taint.

השדה effect יכול לקבל אחד מהערכים הבאים:

• ‫NoSchedule – אי אפשר לתזמן פוד בצומת אלא אם יש לו התאמה לסבילות.
• ‫PreferNoSchedule – המערכת לא תציב ב-Pod את ה-Taint שלא מתאים לצומת, אבל זה לא חובה.
• ‫NoExecute – פודים שלא יכולים לסבול את הכתם מפונים באופן מיידי, ופודים שיכולים לסבול את הכתם לעולם לא מפונים.

בתוכנת Google Distributed Cloud, ה-taints מסונכרנים עם הצמתים של מאגר הצמתים, אלא אם ה-annotation‏ baremetal.cluster.gke.io/label-taint-no-sync מוחל על האשכול. מידע נוסף על דחיות (taints) זמין במאמר דחיות (taints) וטולרנטיות.

לדוגמה:

  taints:
  - key: status
    value: testpool
    effect: NoSchedule
  

labels

זה שינוי אופציונלי. מיפוי (צמדי מפתח/ערך). התוויות מותאמות לצמתים של מאגר הצמתים, אלא אם ההערה baremetal.cluster.gke.io/label-taint-no-sync מוחלת על האשכול. מידע נוסף על תוויות זמין במאמר תוויות וכלים לבחירת תוויות.

upgradeStrategy

זה שינוי אופציונלי. בקטע הזה מפורטות ההגדרות של אסטרטגיית השדרוג של הצמתים במאגר צמתים של עובדים. מידע נוסף זמין במאמר בנושא שדרוגים מקבילים. הערה: אין להוסיף את הקטע הזה למאגרי צמתים של מישור הבקרה או של מאזן עומסים.

upgradeStrategy.parallelUpgrade

זה שינוי אופציונלי. בקטע הזה מוסבר איך להגדיר שדרוגים מקבילים של צמתים במאגר צמתים של עובדים. בשדרוג אופייני של אשכול ברירת מחדל, כל צומת באשכול משודרג ברצף, אחד אחרי השני. אפשר להגדיר מאגרי צמתים של עובדים כך שכמה צמתים ישודרגו במקביל כשמשדרגים את האשכול. שדרוג צמתים במקביל מאיץ משמעותית את שדרוגי האשכולות, במיוחד באשכולות עם מאות צמתים.

במאגר של צמתי worker, אפשר לציין את מספר הצמתים לשדרוג בו-זמנית, ולהגדיר סף מינימלי למספר הצמתים שיכולים להריץ עומסי עבודה במהלך תהליך השדרוג.

מידע נוסף זמין במאמר בנושא אסטרטגיית שדרוג של צומת.

apiVersion: baremetal.cluster.gke.io/v1
kind: NodePool
metadata:
  name: np1
  namespace: cluster-cluster1
spec:
  clusterName: cluster1
  nodes:
  - address:  10.200.0.1
  ...
  upgradeStrategy:
    parallelUpgrade:
      concurrentNodes: 2
      minimumAvailableNodes: 5
        

upgradeStrategy.parallelUpgrade.concurrentNodes

זה שינוי אופציונלי. מספר שלם (חיובי). ברירת מחדל: 1. מקסימום: 15. כברירת מחדל (1), הצמתים משודרגים ברצף, אחד אחרי השני. כשמגדירים את concurrentNodes למספר גדול מ-1, השדה הזה מציין את מספר הצמתים לשדרוג במקביל. חשוב לזכור את המגבלות הבאות לגבי concurrentNodes:

• הערך לא יכול להיות גדול יותר מהמספר הקטן מבין שני המספרים הבאים: 50% ממספר הצמתים במאגר הצמתים או המספר הקבוע 15. לדוגמה, אם במאגר הצמתים יש 20 צמתים, אי אפשר לציין ערך שגדול מ-10. אם במאגר הצמתים יש 100 צמתים, 15 הוא הערך המקסימלי שאפשר לציין.
• כשמשתמשים בשדה הזה יחד עם השדה minimumAvailableNodes, הערכים המשולבים שלהם לא יכולים לחרוג מהמספר הכולל של הצמתים במאגר הצמתים. לדוגמה, אם במאגר הצמתים יש 20 צמתים והערך של minimumAvailableNodes הוא 18, הערך של concurrentNodes לא יכול להיות גבוה מ-2.

שדרוגים מקבילים לא מכבדים את התקציב לשיבוש Pod (PDB). אם עומסי העבודה שלכם רגישים לשיבושים, מומלץ לציין minimumAvailableNodes כדי להבטיח שכמות מסוימת של צמתים תישאר זמינה להרצת עומסי עבודה במהלך תהליך השדרוג. מידע נוסף זמין במאמר בנושא שדרוגים מקבילים.

upgradeStrategy.parallelUpgrade.minimumAvailableNodes

זה שינוי אופציונלי. מספר שלם (לא שלילי). ברירת מחדל: תלוי ב-concurrentNodes. מידע נוסף על ערכי ברירת המחדל של minimumAvailableNodes זמין במאמר בנושא ברירות מחדל של שדרוג מקביל. הפרמטר minimumAvailableNodes מאפשר לציין את מספר הצמתים במאגר הצמתים שצריכים להישאר זמינים לאורך תהליך השדרוג. צומת נחשב ללא זמין בזמן שמתבצע בו שדרוג. צומת נחשב גם כלא זמין אם מתקיים אחד מהתנאים הבאים:

• הצומת במצב תחזוקה
• הצומת נמצא בתהליך התאמה
• הצומת נתקע באמצע השדרוג

כשמשתמשים בשדה הזה יחד עם השדה concurrentNodes, הערכים המשולבים שלהם לא יכולים לחרוג מהמספר הכולל של הצמתים ב-מאגר הצמתים. לדוגמה, אם במאגר הצמתים יש 20 צמתים והערך של concurrentNodes הוא 10, הערך של minimumAvailableNodes לא יכול להיות גבוה מ-10.

ערך גבוה של minimumAvailableNodes ממזער בעיות בקיבולת של תזמון פודים, ולכן עוזר להגן על עומסי עבודה במהלך שדרוג של אשכול. עם זאת, ערך גבוה של minimumAvailableNodes מגדיל את הסיכון לכך שהשדרוג ייתקע בהמתנה לצמתים שיהפכו לזמינים. מידע נוסף זמין במאמר בנושא שדרוגים מקבילים.

privateRegistries

זה שינוי אופציונלי. בקטע הזה מציינים מאגר פרטי לשימוש בתמונות של עומסי עבודה. שיטה זו להגדרת המאגר הפרטי בקטע credentials של קובץ התצורה של האשכול מיועדת לאשכולות היברידיים או לאשכולות עצמאיים שיש להם רק מאגרי צמתים של עובדים.

מידע נוסף על הגדרת גישת צמתים למאגר פרטי זמין במאמר הגדרת צמתים לאימות במאגר פרטי.

לדוגמה:

---
gcrKeyPath: baremetal/gcr.json
sshPrivateKeyPath: .ssh/id_rsa
...
privateRegistries:
  - host: 10.200.0.2:5007
    caCertPath: /root/cert.pem
    pullCredentialConfigPath: /root/dockerconfig.json
...

privateRegistries.host

מחרוזת. בשדה הזה מציינים את המארח והיציאה של מאגר פרטי יחיד. אפשר לציין את המארח באמצעות שם דומיין או כתובת IP. לא כוללים את הקידומת http או https.

השדה host נדרש כשמציינים מאגר פרטי עבור אשכול היברידי או אשכול עצמאי.

לדוגמה:

- host: 10.200.0.2:5007

privateRegistries.caCertPath

זה שינוי אופציונלי. מחרוזת. הנתיב של קובץ אישור ה-CA (CA בסיסי של השרת) אם שרת הרישום משתמש באישור TLS פרטי. אם הרשם המקומי שלכם לא דורש אישור TLS פרטי, אתם יכולים להשמיט את השדה הזה.

privateRegistries.pullCredentialConfigPath

זה שינוי אופציונלי. מחרוזת. הנתיב של קובץ התצורה של Docker CLI, ‏ config.json. ‫Docker שומר את הגדרות האימות בקובץ תצורה. השדה הזה רלוונטי רק לשימוש במאגרי מידע פרטיים ברמת הצומת.

משתמשים בשדה pullCredentialConfigPath כשמגדירים אשכול היברידי או עצמאי כדי לתת לצמתים גישה למאגר פרטי שנדרש בו אימות.

registryMirrors

זה שינוי אופציונלי. בקטע הזה מציינים מראה של מאגר שבו ישתמשו להתקנת אשכולות, במקום Artifact Registry‏ (gcr.io). מידע נוסף על שימוש במראה של מאגר זמין במאמר שימוש במראה של מאגר לתמונות של קונטיינרים.

לדוגמה:

registryMirrors:
  - endpoint: https://172.18.0.20:5000
    caCertPath: /root/ca.crt
    pullCredentialConfigPath: /root/.docker/config.json
    hosts:
      - somehost.io
      - otherhost.io

registryMirrors.endpoint

מחרוזת. נקודת הקצה של השיקוף, שכוללת את כתובת ה-IP ומספר היציאה של שרת הרישום. אופציונלי, אתם יכולים להשתמש במרחב שמות משלכם בשרת הרישום במקום במרחב השמות הבסיסי. בלי מרחב שמות, הפורמט של נקודת הקצה הוא REGISTRY_IP:PORT. כשמשתמשים במרחב שמות, פורמט נקודת הקצה הוא REGISTRY_IP:PORT/v2/NAMESPACE. חובה להשתמש ב-/v2 כשמציינים מרחב שמות.

השדה endpoint נדרש כשמציינים מראה של מאגר. אפשר לציין כמה שרתים משוכפלים ונקודות קצה.

לדוגמה:

- endpoint: https://172.18.0.20:5000/v2/test-namespace

registryMirrors.caCertPath

זה שינוי אופציונלי. מחרוזת. הנתיב של קובץ אישור ה-CA (CA בסיסי של השרת) אם שרת הרישום משתמש באישור TLS פרטי. אם הרשם המקומי שלכם לא דורש אישור TLS פרטי, אתם יכולים להשמיט את השדה הזה.

registryMirrors.pullCredentialConfigPath

זה שינוי אופציונלי. מחרוזת. הנתיב של קובץ התצורה של Docker CLI, ‏ config.json. Docker שומר את הגדרות האימות בקובץ התצורה. השדה הזה רלוונטי רק לשימוש במאגרי תמונות של רישום. אם שרת הרישום לא דורש קובץ הגדרות של Docker לאימות, ברירת המחדל היא false.

לדוגמה:

registryMirrors:
  - endpoint: https://172.18.0.20:5000
    caCertPath: /root/ca.crt
    pullCredentialConfigPath: /root/.docker/config.json
        

registryMirrors.hosts

זה שינוי אופציונלי. מערך של שמות דומיין למארחים שמשוכפלים באופן מקומי עבור שיקוף הרישום הנתון (endpoint). כשזמן הריצה של הקונטיינר נתקל בבקשות משיכה של תמונות ממארח שצוין, הוא בודק קודם את שיקוף הרישום המקומי. למידע נוסף, אפשר לעיין במאמר בנושא יצירת אשכולות ממראה של מאגר.

לדוגמה:

registryMirrors:
  - endpoint: https://172.18.0.20:5000
    caCertPath: /root/ca.crt
    pullCredentialConfigPath: /root/.docker/config.json
    hosts:
    - somehost.io
    - otherhost.io
         

פרטי כניסה

קובץ התצורה של האשכול שנוצר על ידי bmctl כולל שדות לציון נתיבים לקובצי פרטי כניסה ומפתחות במערכת הקבצים המקומית. פרטי הכניסה והמפתחות האלה נדרשים כדי לחבר את האשכולות אחד לשני ול Google Cloud פרויקט.

לדוגמה:

gcrKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
sshPrivateKeyPath: /home/root-user/.ssh/id_rsa
gkeConnectAgentServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
gkeConnectRegisterServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
cloudOperationsServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json
        

gcrKeyPath

מחרוזת. הנתיב למפתח של חשבון שירות שיש לו הרשאות IAM שנדרשות לגישה למשאבי Artifact Registry.

sshPrivateKeyPath

מחרוזת. הנתיב למפתח ה-SSH הפרטי. נדרש SSH כדי לגשת לצומת.

gkeConnectAgentServiceAccountKeyPath

מחרוזת. הנתיב למפתח של חשבון השירות של הסוכן. ‫Google Distributed Cloud משתמש בחשבון השירות הזה כדי לשמור על חיבור בין האשכולות המקומיים לבין Google Cloud.

הוראות להגדרת חשבון השירות הזה זמינות במאמר הגדרת חשבונות שירות לשימוש עם Connect.

gkeConnectRegisterServiceAccountKeyPath

מחרוזת. הנתיב למפתח של חשבון השירות של שירות ההרשמה. חשבון השירות הזה משמש את Google Distributed Cloud כדי לרשום את אשכולות המשתמשים שלכם ב- Google Cloud.

הוראות להגדרת חשבון השירות הזה זמינות במאמר הגדרת חשבונות שירות לשימוש עם Connect.

cloudOperationsServiceAccountKeyPath

מחרוזת. הנתיב למפתח של חשבון השירות של הפעולות. ב-Google Distributed Cloud, חשבון השירות של הפעולות משמש לאימות ב-Google Cloud Observability כדי לקבל גישה ל-Logging API ול-Monitoring API. למעט אשכולות משתמשים, נדרש מפתח של חשבון שירות של פעולות. אשכולות המשתמשים משתמשים בהרשאות שצוינו עבור האשכול המנהל (אדמין או היברידי).

אי אפשר להשבית את Cloud Logging ו-Cloud Monitoring באשכולות.

הוראות להגדרת חשבון השירות הזה מופיעות במאמר הגדרת חשבונות שירות.

ipv4

הגדרת טווח ה-CIDR של IPv4. צריך לספק לפחות אחד מהשדות ipv4 או ipv6 עבור המשאב ClusterCidrConfig.

ipv4.cidr

מחרוזת. הגדרה של בלוק ה-CIDR של צומת IPv4. לכל צומת יכול להיות רק טווח אחד מכל משפחה. בלוק ה-CIDR הזה צריך להיות זהה ל-CIDR של ה-Pod שמתואר במשאב Cluster.

לדוגמה:

ipv4:
  cidr: "10.1.0.0/16"
         

ipv4.perNodeMaskSize

מספר שלם. הגדרת גודל המסכה של בלוק ה-CIDR של IPv4 של הצומת. לדוגמה, הערך 24 מתורגם למסכת רשת /24. מוודאים שמסיכת הרשת של בלוק ה-CIDR של הצומת גדולה יותר ממספר הפודים המקסימלי ש-kubelet יכול לתזמן, שמוגדר בדגל --max-pods של kubelet.

ipv6

הגדרת טווח ה-CIDR של IPv6. צריך לספק לפחות אחד מהשדות ipv4 או ipv6 עבור המשאב ClusterCidrConfig.

ipv6.cidr

מחרוזת. הגדרה של בלוק ה-CIDR של צומת IPv6. לכל צומת יכול להיות רק טווח אחד מכל משפחה.

לדוגמה:

ipv6:
  cidr: "2620:0:1000:2631:3:10:3:0/112"
         

ipv6.perNodeMaskSize

מספר שלם. הגדרת גודל המסכה של בלוק ה-CIDR של IPv6 של הצומת. לדוגמה, הערך 120 מתורגם למסכת רשת /120. מוודאים שמסיכת הרשת של בלוק ה-CIDR של הצומת גדולה יותר ממספר הפודים המקסימלי ש-kubelet יכול לתזמן, שמוגדר בדגל --max-pods של kubelet.

nodeSelector.matchLabels

הגדרה שקובעת לאילו צמתים חלה הגדרת ה-CIDR. בורר צמתים ריק פועל כברירת מחדל שחלה על כל הצמתים.

לדוגמה:

nodeSelector:
  matchLabels:
    baremetal.cluster.gke.io/node-pool: "workers"