Crea un clúster de administrador con la consola de Google Cloud

Usa la Google Cloud consola para crear un clúster de administrador para el software de Google Distributed Cloud solo para que VMware use una interfaz gráfica de usuario para obtener orientación estructurada. También puedes crear un clúster de administrador con gkectl o la consola deGoogle Cloud .

Antes de comenzar

  • Asegúrate de haber configurado tu estación de trabajo de administrador y de poder acceder a ella como se describe en Crea una estación de trabajo de administrador.

  • Asegúrate de que los archivos de claves JSON para las cuentas de servicio estén en tu estación de trabajo de administrador.

  • Revisa el documento de planificación de direcciones IP. Asegúrate de tener suficientes direcciones IP disponibles para los tres nodos del plano de control y una VIP del plano de control. Si planeas crear clústeres de usuario de kubeception, debes tener suficientes direcciones IP disponibles para los nodos del plano de control de esos clústeres de usuario.

  • Revisa la descripción general del balanceo de cargas y revisa la decisión sobre el tipo de balanceador de cargas que deseas usar. En el caso de los balanceadores de cargas manuales, debes configurarlos antes de crear el clúster de administrador.

  • Si usas gkectl para crear el clúster de administrador, decide si deseas usar un registro público o privado para los componentes de Google Distributed Cloud. Para obtener información sobre cómo usar un registro privado de Docker, consulta privateRegistry. Ni Terraform ni la consola de Google Cloud admiten el uso de un registro privado de Docker para los componentes del sistema.

  • Decide qué tipo de sistema operativo deseas ejecutar en los nodos del clúster de administrador.

  • Si tu organización requiere que el tráfico saliente pase por un servidor proxy, asegúrate de incluir en la lista de entidades permitidas las APIs requeridas y la dirección de Artifact Registry.

  • En la versión 1.29 y versiones posteriores, las verificaciones previas del servidor están habilitadas de forma predeterminada. Las verificaciones previas del lado del servidor requieren reglas de firewall adicionales. En Reglas de firewall para clústeres de administrador, busca "Verificaciones previas al vuelo" y asegúrate de que todas las reglas de firewall necesarias estén configuradas. Las comprobaciones previas del servidor se ejecutan en el clúster de arranque en lugar de forma local en la estación de trabajo de administrador.

Descripción general del procedimiento

Antes de crear el clúster de administrador, debes ejecutar el comando gkectl register bootstrap en la estación de trabajo de administrador. Este comando implementa un clúster de Kubernetes en Docker (kind) en la estación de trabajo del administrador. Este clúster de arranque aloja los controladores de Kubernetes necesarios para crear el clúster de administrador. Cuando crees el clúster de administrador, los controladores del clúster de arranque aprovisionarán nodos, ejecutarán verificaciones previas y registrarán el clúster de administrador en la flota. El clúster de arranque se borra automáticamente después de que se crea correctamente el clúster de administrador.

A continuación, se indican los pasos generales para crear un clúster de administrador con la consola:

  1. En la consola, ingresas la información que requiere gkectl register bootstrap. La consola muestra el comando gkectl register bootstrap con la información que ingresaste. El comando que se muestra también incluye marcas para las rutas de acceso que deberás especificar antes de ejecutar el comando.

  2. En tu estación de trabajo de administrador, ejecuta gkectl register bootstrap para crear el clúster de arranque. Cuando el comando termina de crear el clúster de arranque, el resultado te indica que debes finalizar la configuración del clúster de administrador. El proceso continúa ejecutándose hasta que se crea el clúster de administrador.

  3. Volverás a la consola para terminar de ingresar la información necesaria para crear el clúster. Durante la creación del clúster, el comando gkectl register bootstrap genera información de progreso y escribe registros en tu estación de trabajo de administrador. Cuando se crea el clúster de administrador, el clúster de arranque se borra automáticamente.

Comienza a configurar el clúster

  1. En la consola, ve a la página Crea un clúster en VMware.

    Ir a Crea un clúster en VMware

  2. Selecciona el proyecto de Google Cloud en el que deseas crear el clúster.

    Cuando crees el clúster de arranque en una sección posterior, el ID del proyecto seleccionado se mostrará en el comando gkectl register bootstrap en la marca --project-id.

  3. Asegúrate de que esté seleccionada la opción Crea un clúster de administrador.

  4. Haz clic en Siguiente: Instala el entorno de arranque.

Instala el entorno de arranque

En esta sección, ingresarás la información que requiere el comando gkectl register bootstrap. A medida que ingresas valores en los campos de la IU, la consola los copia en las marcas correspondientes del comando gkectl register bootstrap que se muestra en la sección Entorno de arranque desde la estación de trabajo de administrador en la parte inferior de la página.

Conceptos básicos del entorno de arranque

  1. Ingresa un Nombre para el clúster de administrador. La consola usa el nombre del clúster como el valor de la marca --target-cluster-name en el comando gkectl register bootstrap que se muestra en la parte inferior de la página. El nombre tiene una longitud máxima de 20 caracteres.

  2. En el campo Google Cloud Ubicación de la API, selecciona una Google Cloud región de la lista. Este parámetro de configuración especifica la región en la que se ejecutan las siguientes APIs y servicios:

    • API de GKE On-Prem (gkeonprem.googleapis.com)
    • Servicio de flota (gkehub.googleapis.com)
    • Servicio de Connect (gkeconnect.googleapis.com)

    Este parámetro de configuración también controla la región en la que se almacena lo siguiente:

    • Los metadatos del clúster que la API de GKE On-Prem necesita para administrar el ciclo de vida del clúster
    • Los datos de Cloud Logging y Cloud Monitoring de los componentes del sistema
    • El registro de auditoría de administrador creado por los registros de auditoría de Cloud

    El campo Google Cloud API Location corresponde a la marca --location en el comando gkectl register bootstrap.

  3. En el campo Versión del clúster de administrador, ingresa la versión que se usará para crear el clúster. La versión que selecciones aquí debe coincidir con la versión del paquete que especifiques en la marca --bundle-path del comando gkectl register bootstrap.

Configuración de vCenter

Si usaste gkeadm para crear tu estación de trabajo de administrador, abre el archivo de configuración de la estación de trabajo de administrador para que puedas copiar valores de la sección vCenter a los campos de la consola. Ten en cuenta que el archivo de configuración del clúster de administrador generado también contiene esta información.

La mayoría de los campos de esta sección son inmutables. Consulta la sección vCenter en la referencia del archivo de configuración del clúster de administrador si necesitas saber si un campo es mutable o inmutable.

  1. En el campo Dirección, ingresa la dirección de vCenter Server.

    • Archivo de configuración de la estación de trabajo de administrador: Usa el valor del campo vCenter.credentials.address.

    • El campo Address corresponde a la marca --vcenter-address en el comando gkectl register bootstrap.

  2. En el campo Centro de datos, ingresa el nombre de tu centro de datos de vCenter.

    • Archivo de configuración de la estación de trabajo de administrador: Usa el valor del campo vCenter.datacenter.

    • El campo Datacenter corresponde a la marca --vcenter-datacenter en el comando gkectl register bootstrap.

  3. En el campo Cluster Name, ingresa el nombre de tu clúster de vCenter.

    • Archivo de configuración de la estación de trabajo de administrador: Usa el valor del campo vCenter.cluster.

    • El campo Nombre del clúster corresponde a la marca --vcenter-cluster en el comando gkectl register bootstrap.

  4. En el campo Grupo de recursos, ingresa el nombre o la ruta de tu grupo de recursos de vCenter.

    • Archivo de configuración de la estación de trabajo de administrador: Usa el valor del campo vCenter.resourcePool.

    • El campo Grupo de recursos corresponde a la marca --vcenter-resource-pool en el comando gkectl register bootstrap.

  5. Para configurar una opción de almacenamiento, ingresa una de las siguientes opciones:

    • Campo Almacén de datos: Ingresa el nombre de tu almacén de datos de vCenter. El valor que especifiques debe ser un nombre, no una ruta. Si necesitas ingresar una ruta, hazlo en el campo Carpeta.

      • Archivo de configuración de la estación de trabajo de administrador: Usa el valor del campo vCenter.datastore.

      • El campo Datastore corresponde a la marca --vcenter-datastore en el comando gkectl register bootstrap.

    • Campo Nombre de la política de almacenamiento: Ingresa el nombre de la política de almacenamiento de VM para los nodos del clúster. Para obtener más información, consulta Configura una política de almacenamiento.

      • Archivo de configuración de la estación de trabajo de administrador: Usa el valor del campo vCenter.storagePolicyName.

      • El campo Nombre de la política de almacenamiento corresponde a la marca --vcenter-storage-policy en el comando gkectl register bootstrap.

    Debes ingresar un valor en el campo Datastore o en el campo Nombre de la política de almacenamiento, pero no en ambos.

  6. De manera opcional, en el campo Carpeta, ingresa el nombre de la carpeta de vCenter en la que se ubicarán las VMs del clúster.

    • Archivo de configuración de la estación de trabajo de administrador: Usa el valor del campo vCenter.folder.

    • El campo Folder corresponde a la marca --vcenter-folder en el comando gkectl register bootstrap.

  7. En el campo Red, ingresa el nombre de tu red de vCenter.

    • Archivo de configuración de la estación de trabajo de administrador: Usa el valor del campo vCenter.network.

    • El campo Network corresponde a la marca --vcenter-network en el comando gkectl register bootstrap.

  8. En el campo Ruta de acceso al certificado de la AC, ingresa la ruta de acceso al certificado de la AC raíz de tu servidor de vCenter.

    • Si usaste gkeadm para crear tu estación de trabajo de administrador, gkeadm copió el archivo de certificado de la AC que tenías de forma local en tu estación de trabajo de administrador.

    • El campo ruta de acceso al certificado de la AC corresponde a --vcenter-ca-cert-path en el comando gkectl register bootstrap.

Obtén el certificado de la AC

Después de crear el clúster de arranque, deberás proporcionar el certificado de la CA de vCenter en formato PEM en el campo Datos del certificado de la CA de la página Conceptos básicos del clúster. Ejecuta el siguiente comando para mostrar el certificado:

cat CA_CERT_PATH

Reemplaza CA_CERT_PATH por la ruta de acceso al certificado de la AC raíz de tu servidor de vCenter. Si ejecutas este comando de forma local, usa la ruta de acceso en vCenter.caCertPath en el archivo de configuración de la estación de trabajo de administrador.

Copia todo el certificado en un editor de texto para que puedas pegarlo en el campo Datos del certificado de la AC de la página Conceptos básicos del clúster después de que se cree el clúster de arranque.

Inicia el entorno desde la estación de trabajo de administrador

Cuando ejecutas el comando gkectl register bootstrap, se te solicita el nombre de usuario y la contraseña de la cuenta de vCenter. Asegúrate de tener las credenciales disponibles. Si usaste gkeadm para crear la estación de trabajo de administrador, el nombre de usuario y la contraseña se encuentran en el archivo credential.yaml.

  1. Desplázate hasta la sección Inicia el entorno desde la estación de trabajo de administrador para mostrar el comando gkectl register bootstrap.

    Deja esta página abierta mientras vas a tu estación de trabajo de administrador para crear el clúster de arranque.

  2. Copia y pega el comando gkectl register bootstrap en un editor de texto para que puedas especificar valores para las siguientes marcas:

        ./gkectl register bootstrap \
      ...
      --bundle-path=BUNDLE_PATH \
      ...
      --component-access-service-account-key-path=COMPONENT_ACCESS_SA_PATH \
      --register-service-account-key-path=CONNECT_REGISTER_SA_PATH \
      --stackdriver-service-account-key-path=LOG_MON_SA_PATH \
      --cloud-audit-logging-service-account-key-path=CLOUD_AUDIT_SA_PATH \
      --admin-kubeconfig-out=KUBECONFIG_NAME

    Reemplaza lo siguiente por las rutas de acceso de la estación de trabajo de administrador:

    • BUNDLE_PATH: Es la ruta de acceso al archivo del paquete. Si usaste gkeadm para crear la estación de trabajo de administrador, el archivo de paquete se encuentra en /var/lib/gke/bundles/. El nombre del archivo depende de la versión de Google Distributed Cloud, por ejemplo, gke-onprem-vsphere-1.31.0-gke.889-full.tgz.
    • COMPONENT_ACCESS_SA_PATH: Es la ruta de acceso al archivo de claves de la cuenta de servicio de acceso a componentes.
    • CONNECT_REGISTER_SA_PATH: Es la ruta de acceso al archivo de claves de la cuenta de servicio de connect-register.
    • LOG_MON_SA_PATH: Es la ruta de acceso al archivo de claves de la cuenta de servicio de supervisión y registro.
    • CLOUD_AUDIT_SA_PATH: Es la ruta de acceso a la cuenta de servicio de registro de auditoría. Si no creaste una cuenta de servicio de registro de auditoría, especifica la ruta de acceso al archivo de claves de la cuenta de servicio de supervisión de registros.
    • KUBECONFIG_NAME: Es el nombre del archivo kubeconfig que crea el comando gkectl register bootstrap. Si no especificas esta marca, el comando crea el archivo con el nombre kubeconfig en el directorio de trabajo actual. Si hay un archivo existente llamado kubeconfig, el comando lo reemplaza.

    Además, si usaste gkeadm para crear tu estación de trabajo de administrador, gkectl se descargó en el directorio /usr/bin/. En este caso, quita ./ del comienzo del comando, ya que gkectl no está en el directorio de trabajo actual.

  3. Usa SSH para conectarte a tu estación de trabajo de administrador.

  4. Copia el comando y pégalo en una ventana de la terminal en tu estación de trabajo de administrador.

  5. Cuando se te solicite, ingresa (o copia y pega) el nombre de usuario de vCenter. El nombre de usuario no se muestra en la pantalla.

  6. Cuando se te solicite, ingresa (o copia y pega) la contraseña de vCenter. La contraseña no se muestra en la pantalla.

El comando ejecuta numerosas validaciones. Después de que gkectl cree correctamente el clúster de arranque, verás un resultado similar al siguiente, que se trunca para facilitar la lectura:

Running workstation validations
- Validation Category: Workstation
    - [SUCCESS] Workstation OS
    - [SUCCESS] Workstation Hardware
    - [SUCCESS] Workstation Package
    - [SUCCESS] Workstation NTP
    - [SUCCESS] Workstation Docker
...
All validation results were SUCCESS.
Unpacking GKE on-prem bundle: /var/lib/gke/bundles/gke-onprem-vsphere-1.31.0-gke.889-full.tgz
...
Successfully created and registered the bootstrap cluster
...
Waiting for preflight checks to run or OnPremAdminCluster to be applied...... -

El proceso continúa ejecutándose hasta que se crea el clúster de administrador.

Si sales del comando gkectl register bootstrap antes de que se cree el clúster de administrador, la creación fallará y deberás borrar el clúster de inicio con el siguiente comando:

gkectl delete bootstrap \
    --target-cluster-name=ADMIN_CLUSTER_NAME \
    --project-id=PROJECT_ID \
    --location=REGION \
     --register-service-account-key-path=CONNECT_REGISTER_SA_PATH

Termina de configurar el clúster de administrador

Regresa a la consola y sigue estos pasos:

  1. En la página Instaar el entorno de arranque, haz clic en Revisar conexión.

    Si se realiza de forma correcta, la consola mostrará Se estableció la conexión.

    Debes establecer la conexión con el clúster de arranque antes de continuar. Si no se establece la conexión, verifica los argumentos que especificaste para el comando gkectl register bootstrap:

    • Asegúrate de que el valor de --target-cluster-name coincida con el nombre del clúster de administrador que se muestra en la sección Aspectos básicos del entorno de arranque.

    • Asegúrate de que el valor de --project-id coincida con el ID del proyecto que seleccionaste en la consola.

    Si necesitas cambiar el nombre del clúster de inicialización, el ID del proyecto o cualquier otro valor de la marca, haz lo siguiente:

    1. Ingresa Ctrl-C para salir de gkectl register bootstrap.

    2. Borra el clúster de arranque:

      gkectl delete bootstrap \
  --target-cluster-name=ADMIN_CLUSTER_NAME \
  --project-id=PROJECT_ID \
  --location=REGION \
  --register-service-account-key-path=CONNECT_REGISTER_SA_PATH

    3. Vuelve a ejecutar el comando gkectl register bootstrap.

  2. Haz clic en Siguiente: Conceptos básicos del clúster para comenzar a configurar el clúster de administrador.

Aspectos básicos del clúster

  1. En el campo Datos del certificado de la AC, copia y pega el certificado de la AC de vCenter completo en formato PEM, como se describió anteriormente en la sección Obtén el certificado de la AC.

  2. En la sección Autorización, ingresa las direcciones de correo electrónico de los usuarios a los que deseas otorgar el rol de Kubernetes clusterrole/view de solo lectura. Observa que tu dirección de correo electrónico se agrega automáticamente. Las políticas de control de acceso basado en roles (RBAC) que se aplican permiten a los usuarios ejecutar comandos de solo lectura a través de la puerta de enlace de Connect.

  3. Haz clic en Next Control Plane.

Plano de control

  1. Revisa la configuración predeterminada en la sección Plano de control y cámbiala según sea necesario.

  2. En la sección IPs de nodo del plano de control, ingresa las direcciones IP en los siguientes campos:

    • Puerta de enlace: Es la dirección IP de la puerta de enlace predeterminada para la subred que tiene los nodos del clúster.

    • Máscara de red: Es la máscara de red de la subred que tiene los nodos del clúster.

    • Direcciones IP: Ingresa la dirección IP y, de forma opcional, el nombre de host para los tres nodos del plano de control.

  3. Haz clic en Siguiente: Herramientas de redes.

Redes

En esta sección, especificarás la información de redes necesaria para crear el clúster de administrador.

  1. En la sección CIDR de servicios y Pods, acepta los valores predeterminados para los rangos de direcciones IP del Pod y del Service de Kubernetes, o bien ingresa rangos de direcciones CIDR diferentes.

    • CIDR de servicio: El rango más pequeño posible es /24. El rango más grande posible es /12.

    • CIDR de Pod: El rango más pequeño posible es /18. El rango más grande posible es /8.

  2. En la sección Configuración del host, especifica los servidores NTP, los servidores DNS y, de manera opcional, los dominios de búsqueda de DNS que usan las VMs que son los nodos del clúster. Después de que se crea el clúster, no puedes modificar estos valores.

  3. Haz clic en Siguiente: Balanceador de cargas.

Balanceador de cargas

En esta sección, seleccionarás el tipo de balanceador de cargas que se usará. Para obtener más información, consulta la Descripción general del balanceo de cargas.

  1. En la lista Tipo de balanceador de cargas, selecciona un balanceador de cargas:

    • Incluido en MetalLB: El balanceador de cargas de MetalLB se incluye en el balanceo de cargas manual y requiere menos configuración. Los componentes de MetalLB se ejecutan en los nodos del clúster, por lo que no tienes que crear VMs separadas para tu balanceador de cargas.

    • Manual: Puedes usar cualquier balanceador de cargas que elijas, siempre y cuando lo configures antes de crear el clúster. Con cualquier balanceador de cargas que configures de forma manual, debes configurar las asignaciones entre las IPs virtuales (VIP), las direcciones de nodos y los valores de nodePort.

  2. En el campo VIP del plano de control, ingresa la VIP que se usará para el tráfico enviado al servidor de la API de Kubernetes.

  3. Haz clic en Verificar y crear.

    La consola muestra mensajes de estado a medida que verifica la configuración y crea el clúster en tu centro de datos.

    Si hay un problema con la configuración, la consola mostrará un mensaje de error que debe ser lo suficientemente claro como para solucionar el problema de configuración y volver a crear el clúster.

Los detalles sobre el proceso de creación del clúster se muestran en tu estación de trabajo de administrador. Si las verificaciones previas se aprueban, verás algo similar a lo siguiente:

[2023-03-22 23:12:47+0000] Waiting for cluster kubeconfig to become ready OK
[2023-03-22 23:15:47+0000] Writing kubeconfig file
[2023-03-22 23:15:47+0000] kubeconfig of cluster being created is present at gkectl-workspace/abm-cluster-1/abm-cluster-1-kubeconfig
[2023-03-22 23:15:47+0000] Please restrict access to this file as it contains authentication credentials of your cluster.
[2023-03-22 23:15:47+0000] Waiting for cluster to become ready OK
[2023-03-22 23:20:17+0000] Please run
[2023-03-22 23:20:17+0000] kubectl --kubeconfig gkectl-workspace/abm-cluster-1/abm-cluster-1-kubeconfig get nodes
[2023-03-22 23:20:17+0000] to get cluster nodes status.
[2023-03-22 23:20:17+0000] Waiting for node pools to become ready OK
[2023-03-22 23:20:37+0000] Waiting for metrics to become ready in GCP OK
[2023-03-22 23:25:38+0000] Waiting for cluster API provider to install in the created admin cluster OK
[2023-03-22 23:25:48+0000] Moving admin cluster resources to the created admin cluster
[2023-03-22 23:25:51+0000] Waiting for node update jobs to finish OK
[2023-03-22 23:27:41+0000] Flushing logs... OK
[2023-03-22 23:27:41+0000] Deleting membership... OK
[2023-03-22 23:27:42+0000] Deleting bootstrap cluster.

Conéctate al clúster de administrador

El comando gkectl register bootstrap crea un archivo kubeconfig para el clúster de administrador en tu estación de trabajo de administrador. Si no especificaste la marca --admin-kubeconfig-out cuando ejecutaste gkectl register bootstrap, el comando crea un archivo kubeconfig llamado kubeconfig en el directorio en el que ejecutaste el comando.

Debes restringir el acceso a este kubeconfig porque contiene credenciales de autenticación para el clúster.

Además, puedes ejecutar comandos kubectl de solo lectura a través de la puerta de enlace de Connect.

  1. Ejecuta el siguiente comando en una computadora que tenga gcloud CLI para obtener una entrada kubeconfig que pueda acceder al clúster a través de la puerta de enlace de conexión.

    gcloud container fleet memberships get-credentials ADMIN_CLUSTER_NAME \
    --project=PROJECT_ID

    El resultado es similar a lo siguiente:

    Starting to build Gateway kubeconfig...
Current project_id: PROJECT_ID
A new kubeconfig entry "connectgateway_PROJECT_ID_global_ADMIN_CLUSTER_NAME" has been generated and set as the current context.

  2. Ahora puedes ejecutar comandos de kubectl de solo lectura a través de la puerta de enlace de conexión, como los siguientes:

    kubectl get pods -A

    Si necesitas privilegios administrativos completos para el clúster de administrador, consulta Configura la puerta de enlace de Connect.