יצירת אשכול אדמין באמצעות מסוף Google Cloud

אפשר להשתמש במסוף Google Cloud כדי ליצור אשכול אדמין לתוכנת Google Distributed Cloud רק ל-VMware, כדי להשתמש בממשק משתמש גרפי להנחיות מובנות. אפשר גם ליצור אשכול אדמין באמצעות gkectl או מסוףGoogle Cloud .

לפני שמתחילים

• חשוב לוודא שהגדרתם את תחנת העבודה לאדמין ושאתם יכולים להיכנס אליה כמו שמתואר במאמר יצירת תחנת עבודה לאדמין.

• מוודאים שקובצי מפתח ה-JSON של חשבונות השירות נמצאים בתחנת העבודה של האדמין.

• מעיינים במסמך התכנון של כתובות ה-IP. מוודאים שיש מספיק כתובות IP זמינות לשלושת הצמתים של רמת הבקרה ולכתובת ה-IP הווירטואלית של רמת הבקרה. אם אתם מתכננים ליצור אשכולות משתמשים מסוג kubeception, אתם צריכים לוודא שיש לכם מספיק כתובות IP זמינות לצמתי מישור הבקרה של אשכולות המשתמשים האלה.

• כדאי לעיין בסקירה הכללית על איזון עומסים ולשקול מחדש את ההחלטה לגבי סוג מאזן העומסים שבו רוצים להשתמש. במאזני עומסים שמוגדרים באופן ידני, צריך להגדיר את מאזן העומסים לפני שיוצרים את אשכול האדמין.

• אם אתם משתמשים ב-gkectl כדי ליצור את אשכול האדמין, אתם צריכים להחליט אם אתם רוצים להשתמש במאגר ציבורי או פרטי לרכיבי Google Distributed Cloud. מידע על שימוש במאגר פרטי של Docker זמין במאמר privateRegistry. אי אפשר להשתמש במאגר Docker פרטי לרכיבי מערכת, גם לא ב-Terraform וגם לא במסוף Google Cloud .

• מחליטים איזה סוג של מערכת הפעלה רוצים להפעיל בצמתים של אשכול האדמין.

• אם הארגון שלכם דורש שתעבורה יוצאת תעבור דרך שרת proxy, הקפידו להוסיף לרשימת ההיתרים את ממשקי ה-API הנדרשים ואת הכתובת של Artifact Registry.

• בגרסה 1.29 ומעלה, בדיקות מקדימות בצד השרת מופעלות כברירת מחדל. בדיקות קדם-הפעלה בצד השרת דורשות כללי חומת אש נוספים. בקטע Firewall rules for admin clusters (כללי חומת אש לאשכולות אדמין), מחפשים את האפשרות Preflight checks (בדיקות לפני המראה) ומוודאים שכל כללי חומת האש הנדרשים מוגדרים. בדיקות מקדימות בצד השרת מופעלות באשכול bootstrap במקום באופן מקומי בתחנת העבודה של האדמין.

סקירה כללית של התהליך

לפני שיוצרים את אשכול האדמין, צריך להריץ את הפקודה gkectl register bootstrap בתחנת העבודה של האדמין. הפקודה הזו פורסת אשכול Kubernetes ב-Docker ‏(kind) בתחנת העבודה של האדמין. באשכול האתחול הזה מתארחים בקרי Kubernetes שנדרשים ליצירת אשכול האדמין. כשיוצרים את אשכול האדמין, הבקרים באשכול ה-bootstrap יקצו צמתים, יריצו בדיקות קדם-הפעלה וירשמו את אשכול האדמין ב-Fleet. אחרי שנוצר אשכול האדמין, אשכול האתחול נמחק אוטומטית.

אלה השלבים העיקריים ליצירת אשכול אדמין באמצעות המסוף:

1. במסוף, מזינים את המידע שנדרש על ידי gkectl register bootstrap. במסוף מוצגת הפקודה gkectl register bootstrap עם המידע שהזנתם. הפקודה שמוצגת כוללת גם דגלים לנתיבים שתצטרכו לציין לפני שתריצו את הפקודה.

2. בתחנת העבודה של האדמין, מריצים את gkectl register bootstrap כדי ליצור את אשכול האתחול. בסיום הפקודה ליצירת אשכול האתחול, הפלט מודיע לכם שעליכם לסיים את הגדרת אשכול האדמין. התהליך ממשיך לפעול עד ליצירת אשכול האדמין.

3. חוזרים למסוף כדי לסיים להזין את המידע שנדרש ליצירת האשכול. במהלך יצירת האשכול, הפקודה gkectl register bootstrap מציגה מידע על ההתקדמות וכותבת יומנים בתחנת העבודה של האדמין. כשיוצרים את אשכול האדמין, אשכול ה-bootstrap נמחק אוטומטית.

מתחילים להגדיר את האשכול

1. במסוף, עוברים לדף Create a cluster on VMware.

   איך יוצרים אשכול ב-VMware

2. בוחרים את Google Cloud הפרויקט שבו רוצים ליצור את האשכול.

   כשיוצרים את אשכול האתחול בקטע הבא, מזהה הפרויקט שנבחר מוצג בפקודה gkectl register bootstrap בדגל --project-id.

3. מוודאים שהאפשרות Create an admin cluster (יצירת אשכול אדמין) מסומנת.

4. לוחצים על הבא: התקנת סביבת bootstrap.

התקנת סביבת bootstrap

בקטע הזה מזינים את המידע שנדרש לפקודה gkectl register bootstrap. כשמזינים ערכים בשדות בממשק המשתמש, המסוף מעתיק את הערכים לדגלים המתאימים של הפקודה gkectl register bootstrap שמוצגת בקטע סביבת Bootstrap מתחנת עבודה של אדמין בחלק התחתון של הדף.

מידע בסיסי על סביבת Bootstrap

1. מזינים שם לאשכול האדמין. המסוף משתמש בשם האשכול כערך של הדגל --target-cluster-name בפקודה gkectl register bootstrap שמוצגת בתחתית הדף. האורך המקסימלי של השם הוא 20 תווים.

2. בשדה Google Cloud מיקום ה-API, בוחרים אזור מהרשימה. Google Cloudההגדרה הזו מציינת את האזור שבו פועלים ממשקי ה-API והשירותים הבאים:

   • ‫GKE On-Prem API ‏ (gkeonprem.googleapis.com)
   • שירות Fleet (gkehub.googleapis.com)
   • חיבור שירות (gkeconnect.googleapis.com)

   ההגדרה הזו קובעת גם את האזור שבו מאוחסנים:

   • המטא-נתונים של האשכול שנדרשים ל-GKE On-Prem API כדי לנהל את מחזור החיים של האשכול
   • הנתונים של רכיבי המערכת ב-Cloud Logging וב-Cloud Monitoring
   • יומן הביקורת של האדמין שנוצר על ידי יומני הביקורת של Cloud

   השדה Google Cloud API Location תואם לדגל --location בפקודה gkectl register bootstrap.

3. בשדה Admin cluster version (גרסת אשכול Admin), מזינים את הגרסה שבה רוצים להשתמש כדי ליצור את האשכול. הגרסה שתבחרו כאן צריכה להיות זהה לגרסת החבילה שתציינו בדגל --bundle-path בפקודה gkectl register bootstrap.

הגדרת vCenter

אם השתמשתם ב-gkeadm כדי ליצור את תחנת העבודה לאדמין, פותחים את קובץ ההגדרות של תחנת העבודה לאדמין כדי להעתיק ערכים מהקטע vCenter לשדות במסוף. שימו לב שקובץ ההגדרות של אשכול האדמין שנוצר מכיל גם את המידע הזה.

רוב השדות בקטע הזה הם קבועים. אם אתם רוצים לדעת אם שדה מסוים ניתן לשינוי או לא, תוכלו לעיין בvCenter בקובץ ההפניה של התצורה של אשכול האדמין.

1. בשדה כתובת, מזינים את הכתובת של vCenter Server.

   • קובץ ההגדרה של תחנת העבודה לאדמין: משתמשים בערך מהשדה vCenter.credentials.address.

   • השדה Address (כתובת) תואם לדגל --vcenter-address בפקודה gkectl register bootstrap.

2. בשדה Datacenter, מזינים את השם של מרכז הנתונים של vCenter.

   • קובץ ההגדרה של תחנת העבודה לאדמין: משתמשים בערך מהשדה vCenter.datacenter.

   • השדה Datacenter תואם לדגל --vcenter-datacenter בפקודה gkectl register bootstrap.

3. בשדה שם האשכול, מזינים את השם של אשכול vCenter.

   • קובץ ההגדרה של תחנת העבודה לאדמין: משתמשים בערך מהשדה vCenter.cluster.

   • השדה Cluster Name (שם האשכול) תואם לדגל --vcenter-cluster בפקודה gkectl register bootstrap.

4. בשדה Resource pool (מאגר משאבים), מזינים את השם או הנתיב של מאגר המשאבים של vCenter.

   • קובץ ההגדרה של תחנת העבודה לאדמין: משתמשים בערך מהשדה vCenter.resourcePool.

   • השדה Resource pool תואם לדגל --vcenter-resource-pool בפקודה gkectl register bootstrap.

5. מגדירים אפשרות אחסון על ידי הזנת אחת מהאפשרויות הבאות:

   • שדה Datastore: מזינים את השם של מאגר הנתונים של vCenter. הערך שאתם מציינים צריך להיות שם, ולא נתיב. אם צריך להזין נתיב, מזינים אותו בשדה תיקייה.

     • קובץ ההגדרה של תחנת העבודה לאדמין: משתמשים בערך מהשדה vCenter.datastore.

     • השדה Datastore תואם לדגל --vcenter-datastore בפקודה gkectl register bootstrap.

   • בשדה Storage policy name (שם מדיניות האחסון): מזינים את השם של מדיניות האחסון של מכונות וירטואליות עבור צמתי האשכול. מידע נוסף זמין במאמר בנושא הגדרת מדיניות אחסון.

     • קובץ ההגדרה של תחנת העבודה לאדמין: משתמשים בערך מהשדה vCenter.storagePolicyName.

     • השדה Storage policy name תואם לדגל --vcenter-storage-policy בפקודה gkectl register bootstrap.

   חובה להזין ערך בשדה Datastore או בשדה Storage Policy Name, אבל לא בשניהם.

6. אופציונלי: בשדה Folder (תיקייה), מזינים את השם של תיקיית vCenter שבה ימוקמו מכונות וירטואליות של האשכול.

   • קובץ ההגדרה של תחנת העבודה לאדמין: משתמשים בערך מהשדה vCenter.folder.

   • השדה Folder תואם לדגל --vcenter-folder בפקודה gkectl register bootstrap.

7. בשדה Network, מזינים את השם של רשת vCenter.

   • קובץ ההגדרה של תחנת העבודה לאדמין: משתמשים בערך מהשדה vCenter.network.

   • השדה Network תואם לדגל --vcenter-network בפקודה gkectl register bootstrap.

8. בשדה CA certificate path (נתיב לאישור CA), מזינים את הנתיב אל אישור הבסיס של ה-CA עבור vCenter Server.

   • אם השתמשתם ב-gkeadm כדי ליצור את תחנת העבודה של האדמין, gkeadm העתיק את קובץ אישור ה-CA שהיה לכם באופן מקומי לתחנת העבודה של האדמין.

   • השדה נתיב אישור CA תואם ל---vcenter-ca-cert-path בפקודה gkectl register bootstrap.

קבלת אישור CA

אחרי שיוצרים את אשכול ה-bootstrap, צריך לספק את אישור ה-CA של vCenter בפורמט PEM בשדה CA certificate data בדף Cluster basics. מריצים את הפקודה הבאה כדי להציג את האישור:

cat CA_CERT_PATH

מחליפים את CA_CERT_PATH בנתיב לאישור CA הבסיסי של vCenter Server. אם מריצים את הפקודה הזו באופן מקומי, צריך להשתמש בנתיב ב-vCenter.caCertPath בקובץ התצורה של תחנת העבודה של האדמין.

מעתיקים את אישור ה-CA כולו לעורך טקסט כדי שתוכלו להדביק אותו בשדה CA certificate data בדף Cluster basics אחרי שיוצרים את אשכול ה-bootstrap.

הפעלת סביבת Bootstrap מתחנת עבודה של אדמין

כשמריצים את הפקודה gkectl register bootstrap, מוצגת בקשה להזין את שם המשתמש והסיסמה של חשבון vCenter. חשוב לוודא שיש לכם את פרטי הכניסה. אם השתמשתם ב-gkeadm כדי ליצור את תחנת העבודה של האדמין, שם המשתמש והסיסמה נמצאים בקובץ credential.yaml.

1. גוללים לקטע Bootstrap environment from admin workstation (הפעלת סביבת Bootstrap מתחנת עבודה של אדמין) כדי להציג את הפקודה gkectl register bootstrap.

   משאירים את הדף הזה פתוח ועוברים לתחנת העבודה של האדמין כדי ליצור את אשכול האתחול.

2. מעתיקים את הפקודה gkectl register bootstrap ומדביקים אותה בעורך טקסט כדי לציין ערכים לדגלים הבאים:

       ./gkectl register bootstrap \
         ...
         --bundle-path=BUNDLE_PATH \
         ...
         --component-access-service-account-key-path=COMPONENT_ACCESS_SA_PATH \
         --register-service-account-key-path=CONNECT_REGISTER_SA_PATH \
         --stackdriver-service-account-key-path=LOG_MON_SA_PATH \
         --cloud-audit-logging-service-account-key-path=CLOUD_AUDIT_SA_PATH \
         --admin-kubeconfig-out=KUBECONFIG_NAME
   

   מחליפים את הערכים הבאים בנתיבים של תחנת העבודה של האדמין:

   • ‫BUNDLE_PATH: הנתיב לקובץ החבילה. אם השתמשתם ב-gkeadm כדי ליצור את תחנת העבודה של האדמין, קובץ החבילה נמצא ב-/var/lib/gke/bundles/. שם הקובץ תלוי בגרסה של Google Distributed Cloud, לדוגמה, gke-onprem-vsphere-1.31.0-gke.889-full.tgz.
   • ‫COMPONENT_ACCESS_SA_PATH: הנתיב לקובץ המפתח של חשבון השירות של רכיב הגישה.
   • ‫CONNECT_REGISTER_SA_PATH: הנתיב לקובץ המפתח של חשבון השירות connect-register.
   • ‫LOG_MON_SA_PATH: הנתיב לקובץ המפתח של חשבון השירות של שירות הרישום ביומן והמעקב.
   • ‫CLOUD_AUDIT_SA_PATH: הנתיב לחשבון השירות של יומן הביקורת. אם לא יצרתם חשבון שירות לרישום ביומן ביקורת, מציינים את הנתיב לקובץ המפתח של חשבון השירות של שירות הרישום ביומן והמעקב.
   • ‫KUBECONFIG_NAME: השם של קובץ ה-kubeconfig שנוצר באמצעות הפקודה gkectl register bootstrap. אם לא מציינים את הדגל הזה, הפקודה יוצרת את הקובץ בשם kubeconfig בספריית העבודה הנוכחית. אם קיים קובץ בשם kubeconfig, הפקודה מחליפה את הקובץ.

   בנוסף, אם השתמשתם ב-gkeadm כדי ליצור את תחנת העבודה של האדמין, הקובץ gkectl הורד לספרייה /usr/bin/. במקרה כזה, צריך להסיר את ./ מתחילת הפקודה כי gkectl לא נמצא בספריית העבודה הנוכחית.

3. משתמשים ב-SSH כדי להתחבר לתחנת העבודה של האדמין.

4. מעתיקים את הפקודה ומדביקים אותה בחלון מסוף בתחנת העבודה של האדמין.

5. כשמתבקשים, מזינים (או מעתיקים ומדביקים) את שם המשתמש ב-vCenter. שם המשתמש לא מוצג במסך.

6. כשמופיעה בקשה, מזינים (או מעתיקים ומדביקים) את הסיסמה של vCenter. הסיסמה לא מוצגת במסך.

הפקודה מריצה מספר רב של אימותים. אחרי ש-gkectl יוצר את אשכול ה-bootstrap, מוצג פלט שדומה לזה (הפלט קוצר כדי שיהיה קל יותר לקרוא אותו):

Running workstation validations
- Validation Category: Workstation
    - [SUCCESS] Workstation OS
    - [SUCCESS] Workstation Hardware
    - [SUCCESS] Workstation Package
    - [SUCCESS] Workstation NTP
    - [SUCCESS] Workstation Docker
...
All validation results were SUCCESS.
Unpacking GKE on-prem bundle: /var/lib/gke/bundles/gke-onprem-vsphere-1.31.0-gke.889-full.tgz
...
Successfully created and registered the bootstrap cluster
...
Waiting for preflight checks to run or OnPremAdminCluster to be applied...... -

התהליך ממשיך לפעול עד שנוצר אשכול האדמין.

אם יוצאים מהפקודה gkectl register bootstrap לפני שנוצר אשכול האדמין, יצירת אשכול האדמין נכשלת, ותצטרכו למחוק את אשכול האתחול באמצעות הפקודה הבאה:

gkectl delete bootstrap \
    --target-cluster-name=ADMIN_CLUSTER_NAME \
    --project-id=PROJECT_ID \
    --location=REGION \
     --register-service-account-key-path=CONNECT_REGISTER_SA_PATH

סיום ההגדרה של אשכול האדמין

חוזרים למסוף ומבצעים את השלבים הבאים:

1. בדף Install bootstrap environment (התקנת סביבת bootstrap), לוחצים על Check Connection (בדיקת החיבור).

   אם הפעולה מצליחה, מוצגת בהודעה הבאה במסוף: check_circle Connection established.

   צריך ליצור את החיבור לאשכול bootstrap לפני שממשיכים. אם החיבור לא נוצר, צריך לבדוק את הארגומנטים שציינתם בפקודה gkectl register bootstrap:

   • מוודאים שהערך של --target-cluster-name זהה לשם אשכול האדמין שמוצג בקטע Bootstrap environment basics (היסודות של סביבת האתחול).

   • מוודאים שהערך של --project-id תואם למזהה של הפרויקט שבחרתם במסוף.

   אם אתם צריכים לשנות את השם של אשכול ה-bootstrap, את מזהה הפרויקט או ערכים אחרים של דגלים, אתם צריכים לבצע את הפעולות הבאות:

   1. מזינים Ctrl-C כדי לצאת מ-gkectl register bootstrap.

   2. מוחקים את אשכול ה-bootstrap:

      gkectl delete bootstrap \
        --target-cluster-name=ADMIN_CLUSTER_NAME \
        --project-id=PROJECT_ID \
        --location=REGION \
        --register-service-account-key-path=CONNECT_REGISTER_SA_PATH
      

   3. מריצים מחדש את הפקודה gkectl register bootstrap.

2. לוחצים על הבא: יסודות של אשכול כדי להתחיל להגדיר את אשכול הניהול.

מידע בסיסי על אשכולות

1. בשדה CA certificate data, מעתיקים ומדביקים את כל אישור ה-CA של vCenter בפורמט PEM, כמו שמתואר בקטע Get the CA certificate.

2. בקטע הרשאה, מזינים את כתובות האימייל של המשתמשים שרוצים להעניק להם את תפקיד Kubernetes clusterrole/view לקריאה בלבד. שימו לב שכתובת האימייל שלכם נוספת באופן אוטומטי. כללי המדיניות של בקרת הגישה מבוססת-תפקידים (RBAC) שמוחלים מאפשרים למשתמשים להריץ פקודות לקריאה בלבד דרך שער החיבור.

3. לוחצים על Next Control Plane (המישור הבא של הבקרה).

מישור הבקרה

1. בודקים את הגדרות ברירת המחדל בקטע מישור הבקרה ומשנים אותן לפי הצורך.

2. בקטע Control plane node IPs, מזינים את כתובות ה-IP בשדות הבאים:

   • שער: כתובת ה-IP של שער ברירת המחדל של רשת המשנה שכוללת את צמתי האשכול.

   • Netmask: מסכת הרשת של רשת המשנה שכוללת את צמתי האשכול.

   • כתובות IP: מזינים את כתובת ה-IP ואת שם המארח (אופציונלי) של שלושת הצמתים של מישור הבקרה.

3. לוחצים על הבא: רשת.

Networking

בקטע הזה מציינים את פרטי הרשת שנדרשים ליצירת אשכול האדמין.

1. בקטע Service and Pod CIDRs (כתובות CIDR של שירותים ו-Pods), מאשרים את ערכי ברירת המחדל של טווחי כתובות ה-IP של שירותים ו-Pods ב-Kubernetes, או מזינים טווחי כתובות CIDR שונים.

   • ‫Service CIDR: הטווח הכי קטן שאפשר: /24. הטווח הגדול ביותר האפשרי: /12.

   • ‫Pod CIDR: הטווח הכי קטן שאפשר: /18. הטווח הגדול ביותר האפשרי: /8`.

2. בקטע Host config, מציינים את שרתי ה-NTP, שרתי ה-DNS ואת דומייני החיפוש של ה-DNS שבהם נעשה שימוש במכונות הווירטואליות שהן הצמתים של האשכול. אחרי שיוצרים את האשכול, אי אפשר לשנות את הערכים האלה.

3. לוחצים על הבא: מאזן עומסים.

מאזן עומסים

בקטע הזה בוחרים את סוג מאזן העומסים שרוצים להשתמש בו. מידע נוסף מופיע במאמר סקירה כללית על איזון עומסים.

1. ברשימה Load balancer type (סוג מאזן העומסים), בוחרים מאזן עומסים:

   • חבילה עם MetalLB: מאזן העומסים MetalLB כלול בחבילה ודורש פחות הגדרות מאשר איזון עומסים ידני. רכיבי MetalLB פועלים בצמתי האשכול, כך שלא צריך ליצור מכונות וירטואליות נפרדות למאזן העומסים.

   • ידני: אתם יכולים להשתמש בכל מאזן עומסים שתבחרו, בתנאי שתגדירו אותו לפני יצירת האשכול. בכל מאזן עומסים שמגדירים באופן ידני, צריך להגדיר מיפויים בין כתובות IP וירטואליות (VIP), כתובות צמתים וערכי NodePort.

2. בשדה Control plane VIP (כתובת IP וירטואלית של מישור הבקרה), מזינים את כתובת ה-IP הווירטואלית שתשמש לתעבורת נתונים שנשלחת לשרת ה-API של Kubernetes.

3. לוחצים על אימות ויצירה.

   במסוף מוצגות הודעות סטטוס בזמן שהמערכת מאמתת את ההגדרות ויוצרת את האשכול במרכז הנתונים.

   אם יש בעיה בהגדרה, במסוף מוצגת הודעת שגיאה שאמורה להיות ברורה מספיק כדי שתוכלו לתקן את בעיית ההגדרה ולנסות שוב ליצור את האשכול.

פרטים על תהליך יצירת האשכול מוצגים בתחנת העבודה של האדמין. אם הבדיקות המקדימות עוברות, יופיע משהו כזה:

[2023-03-22 23:12:47+0000] Waiting for cluster kubeconfig to become ready OK
[2023-03-22 23:15:47+0000] Writing kubeconfig file
[2023-03-22 23:15:47+0000] kubeconfig of cluster being created is present at gkectl-workspace/abm-cluster-1/abm-cluster-1-kubeconfig
[2023-03-22 23:15:47+0000] Please restrict access to this file as it contains authentication credentials of your cluster.
[2023-03-22 23:15:47+0000] Waiting for cluster to become ready OK
[2023-03-22 23:20:17+0000] Please run
[2023-03-22 23:20:17+0000] kubectl --kubeconfig gkectl-workspace/abm-cluster-1/abm-cluster-1-kubeconfig get nodes
[2023-03-22 23:20:17+0000] to get cluster nodes status.
[2023-03-22 23:20:17+0000] Waiting for node pools to become ready OK
[2023-03-22 23:20:37+0000] Waiting for metrics to become ready in GCP OK
[2023-03-22 23:25:38+0000] Waiting for cluster API provider to install in the created admin cluster OK
[2023-03-22 23:25:48+0000] Moving admin cluster resources to the created admin cluster
[2023-03-22 23:25:51+0000] Waiting for node update jobs to finish OK
[2023-03-22 23:27:41+0000] Flushing logs... OK
[2023-03-22 23:27:41+0000] Deleting membership... OK
[2023-03-22 23:27:42+0000] Deleting bootstrap cluster.

התחברות לאשכול הניהול

הפקודה gkectl register bootstrap יוצרת קובץ kubeconfig עבור אשכול האדמין בתחנת העבודה של האדמין. אם לא ציינתם את הדגל --admin-kubeconfig-out כשביצעתם את הפקודה gkectl register bootstrap, הפקודה יוצרת קובץ kubeconfig בשם kubeconfig בספרייה שבה הפעלתם את הפקודה.

צריך להגביל את הגישה אל kubeconfig כי הוא מכיל פרטי אימות של האשכול.

בנוסף, אפשר להריץ פקודות של kubectl לקריאה בלבד דרך שער החיבור.

1. מריצים את הפקודה הבאה במחשב שמותקן בו ה-CLI של gcloud כדי לקבל רשומה kubeconfig שמאפשרת גישה לאשכול דרך שער החיבור.

   gcloud container fleet memberships get-credentials ADMIN_CLUSTER_NAME \
       --project=PROJECT_ID
   

   הפלט אמור להיראות כך:

   Starting to build Gateway kubeconfig...
   Current project_id: PROJECT_ID
   A new kubeconfig entry "connectgateway_PROJECT_ID_global_ADMIN_CLUSTER_NAME" has been generated and set as the current context.
   

2. עכשיו אפשר להריץ פקודות של kubectl לקריאה בלבד דרך שער החיבור, כמו הפקודות הבאות:

   kubectl get pods -A
   

   אם אתם צריכים הרשאות אדמין מלאות לאשכול האדמין, תוכלו להיעזר במאמר בנושא הגדרת שער החיבור.