Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Administratorcluster mit Terraform erstellen

Verwenden Sie Terraform, um einen Administratorcluster für die Google Distributed Cloud-Software nur für VMware zu erstellen, wenn Sie Terraform bereits zum Verwalten Ihrer Google Cloud und lokalen VMware-Ressourcen verwenden. Sie können auch einen Administratorcluster mit gkectl oder Google Cloud Console erstellen.

Hinweis

Prüfen Sie, ob Sie Ihre Administrator-Workstation eingerichtet haben und sich bei ihr anmelden können, wie unter Administrator-Workstation erstellen beschrieben.
Prüfen Sie, ob sich die JSON-Schlüsseldateien für die Dienstkonten auf Ihrer Administrator-Workstation befinden.
Lesen Sie das Dokument zur Planung der IP-Adressen. Prüfen Sie, ob genügend IP-Adressen für die drei Knoten der Steuerungsebene und eine virtuelle IP-Adresse der Steuerungsebene verfügbar sind. Wenn Sie beabsichtigen, kubeception-Nutzer-Cluster zu erstellen, müssen Sie genügend IP-Adressen für die Knoten auf der Steuerungsebene dieser Nutzer-Cluster zur Verfügung haben.
Lesen Sie die Übersicht über das Load-Balancing und prüfen Sie noch einmal Ihre Entscheidung, welche Art von Load-Balancer Sie verwenden möchten. Bei manuellen Load-Balancern müssen Sie den Load-Balancer einrichten, bevor Sie Ihren Administratorcluster erstellen.
Wenn Sie gkectl verwenden, um den Administratorcluster zu erstellen, entscheiden Sie, ob Sie eine öffentliche oder private Registry für Google Distributed Cloud-Komponenten verwenden möchten. Informationen zur Verwendung einer privaten Docker-Registry finden Sie unter privateRegistry. Weder Terraform noch die Google Cloud Console unterstützen die Verwendung einer privaten Docker Registry für Systemkomponenten.
Entscheiden Sie, welche Art von Betriebssystem Sie auf Ihren Administratorclusterknoten ausführen möchten.
Wenn in Ihrem Unternehmen der ausgehende Traffic über einen Proxy Server geleitet werden muss, sollten Sie eine Zulassungsliste für die erforderlichen APIs und die Artifact Registry-Adresse erstellen.
In Version 1.29 und höher sind serverseitige Preflight-Prüfungen standardmäßig aktiviert. Für serverseitige Preflight-Prüfungen sind zusätzliche Firewallregeln erforderlich. Suchen Sie in den Firewallregeln für Administratorcluster nach „Preflight-Prüfungen“ und achten Sie darauf, dass alle erforderlichen Firewallregeln konfiguriert sind. Serverseitige Preflight-Prüfungen werden auf dem Bootstrap-Cluster und nicht lokal auf der Administrator-Workstation ausgeführt.

Verfahrensübersicht

Bevor Sie den Administratorcluster erstellen, müssen Sie den Befehl gkectl register bootstrap auf Ihrer Administrator-Workstation ausführen. Mit diesem Befehl wird ein Kubernetes in Docker (kind)-Cluster auf der Administrator-Workstation bereitgestellt. Dieser Bootstrap-Cluster hostet die Kubernetes-Controller, die zum Erstellen des Administratorclusters erforderlich sind. Wenn Sie den Administratorcluster erstellen, stellen die Controller im Bootstrap-Cluster Knoten bereit, führen Preflight-Prüfungen aus und registrieren den Administratorcluster bei der Flotte. Der Bootstrap-Cluster wird nach der Erstellung des Administratorclusters automatisch gelöscht.

Im Folgenden finden Sie die allgemeinen Schritte zum Erstellen eines Administratorclusters mit Terraform:

Füllen Sie Ihre Konfigurationsdatei aus. Verwenden Sie die google_gkeonprem_vmware_admin_cluster Ressource und das folgende Beispiel, um die main.tf Konfigurations datei zu erstellen.
Erstellen Sie einen bootstrap-Cluster. Führen Sie gkectl register bootstrap aus, um den Bootstrap-Cluster zu erstellen. Wenn der Befehl den Bootstrap-Cluster erstellt hat, werden Sie in der Ausgabe aufgefordert, die Konfiguration des Administratorclusters abzuschließen. Der Vorgang wird fortgesetzt, bis der Administratorcluster erstellt wurde.
Erstellen Sie einen Administratorcluster. Führen Sie in einem anderen Terminalfenster oder auf einem anderen Computer mit Zugriff auf die GKE On-Prem API terraform-Befehle aus, um einen neuen Administratorcluster zu erstellen, wie in der ausgefüllten Konfigurationsdatei main.tf angegeben.

Konfigurationsdatei ausfüllen

Im folgenden Beispiel wird ein Administratorcluster mit Hochverfügbarkeit (HA) mit drei Knoten der Steuerungsebene mit MetalLB erstellt. Ab Version 1.28 müssen neue Administratorcluster hochverfügbar sein. Aus diesem Grund müssen Sie control_plane_node.replicas auf 3 festlegen.

Weitere Informationen und Beispiele finden Sie in der google_gkeonprem_vmware_admin_cluster Referenzdokumentation. Informationen zur Verwendung einer privaten Registry für System-Images finden Sie unter Private Container-Registry konfigurieren.

Füllen Sie die Platzhaltervariablen im folgenden Beispiel aus und kopieren Sie es dann in main.tf. Wenn Sie Ihre Administrator-Workstation mit gkeadm erstellt haben, öffnen Sie die Konfigurationsdatei der Administrator-Workstation, damit Sie Werte aus dem Abschnitt vCenter in die entsprechenden Platzhaltervariablen kopieren können.

resource "google_gkeonprem_vmware_admin_cluster" "admin-cluster-metallb" {
  provider = google-beta
  name = "ADMIN_CLUSTER_NAME"
  project = "PROJECT_ID"
  location = "REGION"
  description = "DESCRIPTION"
  bootstrap_cluster_membership = "projects/PROJECT_ID/locations/REGION/memberships/bootstrap-ADMIN_CLUSTER_NAME"
  on_prem_version = "VERSION"
  image_type = "IMAGE_TYPE"
  vcenter {
    address = "VCENTER_ADDRESS"
    datacenter = "DATA_CENTER"
    cluster = "VCENTER_CLUSTER"
    resource_pool = "RESOURCE_POOL"
    datastore = "DATASTORE"
    ca_cert_data = "CA_CERT_DATA"
  }
  network_config {
    service_address_cidr_blocks = ["10.96.232.0/24"]
    pod_address_cidr_blocks = ["192.168.0.0/16"]
    vcenter_network = "NETWORK"
    dhcp_ip_config {
      enabled = true
    }
    host_config {
      dns_servers = ["DNS_SERVERS"]
      ntp_servers = ["NTP_SERVERS"]
    }
    ha_control_plane_config {
      control_plane_ip_block {
        gateway = "GATEWAY"
        netmask = "NETMASK"
        ips {
          hostname = "CONTROL_PLANE_HOST_1"
          ip       = "CONTROL_PLANE_NODE_IP_1"
        }
        ips {
          hostname = "CONTROL_PLANE_HOST_2"
          ip       = "CONTROL_PLANE_NODE_IP_2"
        }
        ips {
          hostname = "CONTROL_PLANE_HOST_3"
          ip       = "CONTROL_PLANE_NODE_IP_3"
        }
      }
    }
  }
  control_plane_node {
     cpus = NUM_CPUS
     memory = MEMORY
     replicas = 3
  }
  load_balancer {
    vip_config {
      control_plane_vip = "CONTROL_PLANE_VIP"
    }
    metal_lb_config {
      enabled = true
    }
  }
}

Ersetzen Sie Folgendes:

ADMIN_CLUSTER_NAME: der Name für den Administratorcluster. Der Name darf maximal 20 Zeichen lang sein.
PROJECT_ID: die Google Cloud Projekt-ID.
REGION: die Google Cloud Region, in der die GKE On-Prem API (gkeonprem.googleapis.com), der Flottendienst (gkehub.googleapis.com) und der Connect-Dienst (gkeconnect.googleapis.com) ausgeführt werden. Geben Sie us-west1 oder eine andere unterstützte Region an.

Das Feld location entspricht dem Flag --location im Befehl gkectl register bootstrap.
DESCRIPTION: eine Beschreibung des Administratorclusters.
VERSION: die Google Distributed Cloud-Version für den Cluster. Das Erstellen eines Clusters mit Terraform wird nur in Version 1.28 und höher unterstützt. Die hier angegebene Version muss mit der Version des Bundles übereinstimmen, die Sie im --bundle-path Flag im gkectl register bootstrap Befehl angeben. Eine Liste der Versionen finden Sie unter Google Distributed Cloud-Versionen.
IMAGE_TYPE: der Typ des Betriebssystem-Images, das auf Ihren Administratorclusterknoten ausgeführt werden soll. Geben Sie einen der folgenden Werte an: "ubuntu_containerd", "cos", "ubuntu_cgv2" oder "cos_cgv2".
VCENTER_ADDRESS: die vCenter Server-Adresse.
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem vCenter.credentials.address Feld.
- Das Feld vcenter.address entspricht dem Flag --vcenter-address im Befehl gkectl register bootstrap.
DATA_CENTER: der Name Ihres vCenter-Rechenzentrums.
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem vCenter.datacenter Feld.
- Das Feld vcenter.datacenter entspricht dem Flag --vcenter-datacenter im Befehl gkectl register bootstrap.
VCENTER_CLUSTER: der Name Ihres vCenter-Clusters.
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem vCenter.cluster Feld.
- Das Feld vcenter.cluster entspricht dem Flag --vcenter-cluster im Befehl gkectl register bootstrap.
RESOURCE_POOL: der Name oder Pfad Ihres vCenter-Ressourcenpools.
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem vCenter.resourcePool Feld.
- Das Feld vcenter.resource_pool entspricht dem Flag --vcenter-resource-pool im Befehl gkectl register bootstrap.
DATASTORE: der Name Ihres vCenter-Datenspeichers. Der angegebene Wert muss ein Name und kein Pfad sein. Wenn Sie einen Pfad eingeben müssen, fügen Sie das folgende Feld hinzu: folder = "FOLDER"
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem vCenter.datastore Feld.
- Das vcenter.datastore Feld entspricht dem --vcenter-datastore Flag im gkectl register bootstrap Befehl.
Wenn Sie eine VM-Speicherrichtlinie für die Clusterknoten verwenden möchten, entfernen Sie das vcenter.datastore Feld und fügen Sie vcenter.storage_policy_name stattdessen hinzu. Fügen Sie außerdem dem Befehl gkectl register bootstrap das Flag --vcenter-storage-policy hinzu. Sie müssen einen Wert für vcenter.datastore oder vcenter.storage_policy_name angeben, aber nicht für beide.
FOLDER: der Name des vCenter-Ordners, in dem sich Ihre Cluster- VMs befinden. Wenn Sie keinen Ordner verwenden, entfernen Sie dieses Feld.
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem vCenter.folder Feld.
- Das Feld vcenter.folder entspricht dem Flag --vcenter-folder im Befehl gkectl register bootstrap.
CA_CERT_DATA: das vCenter-CA-Zertifikat im PEM-Format, wobei alle Zeilenumbrüche durch den String \n ersetzt wurden.
1. Führen Sie den folgenden Befehl aus, um Zeilenumbrüche durch \n zu ersetzen:
```
awk 'ORS="\\n" {print}' CA_CERT_PATH_LOCAL
```
  Ersetzen Sie CA_CERT_PATH_LOCAL durch den Pfad zum Root-CA-Zertifikat für Ihren vCenter-Server. Wenn Sie Ihre Administrator-Workstation mit gkeadm erstellt haben, können Sie den Wert aus dem Feld caCertPath in der Konfigurationsdatei der Administrator-Workstation verwenden. Dies ist der Pfad auf Ihrem lokalen Computer. gkeadm hat die CA-Zertifikatsdatei auf Ihre Administrator-Workstation kopiert. Sie müssen den Pfad der Administrator-Workstation im Flag --vcenter-ca-cert-path im Befehl gkectl register bootstrap angeben.
2. Kopieren Sie die Ausgabe des vorherigen Befehls und fügen Sie sie in die Platzhaltervariable CA_CERT_DATA ein.
NETWORK: der Name Ihres vCenter-Netzwerks.
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem vCenter.network Feld.
- Das Feld network_config.vcenter_network entspricht dem Flag --vcenter-network im Befehl gkectl register bootstrap.
GATEWAY: die IP-Adresse des Standardgateways für das Subnetz mit Ihren Clusterknoten der Steuerungsebene.
NETMASK: die Netzmaske für das Subnetz mit Ihren Clusterknoten der Steuerungsebene.
DNS_SERVERS: die IP-Adresse des DNS-Servers.
NTP_SERVERS: die IP-Adresse des Zeitservers (NTP).
Geben Sie im Abschnitt control_plane_ip_block.ips die IP-Adressen und optional den Hostnamen für die drei Knoten der Steuerungsebene ein. Wenn Sie keinen Hostnamen eingeben, entfernen Sie die Felder hostname aus der Konfiguration.
NUM_CPUS : die Anzahl der vCPUs für jeden Knoten der Steuerungsebene im Administratorcluster. Muss mindestens 4 sein.
MEMORY: die Anzahl der Mebibyte Arbeitsspeicher für jeden Knoten der Steuerungsebene im Administratorcluster. Muss mindestens 8192 sein, wir empfehlen jedoch 16384.
CONTROL_PLANE_VIP: die IP-Adresse, die Sie auf dem Load-Balancer für den Kubernetes API-Server des Administratorclusters konfiguriert haben.

Optional: Private Registry konfigurieren

Standardmäßig ruft Google Distributed Cloud beim Erstellen oder Aktualisieren von Clustern System Images aus gcr.io/gke-on-prem-release mit dem Dienstkonto für den Komponentenzugriff ab. Optional können Sie Ihren eigenen Container-Registry-Server angeben, damit System-Images stattdessen von Ihrem privaten Registry-Server abgerufen werden.

So konfigurieren Sie eine private Registry:

Fügen Sie der Konfigurationsdatei für den Administratorcluster Folgendes hinzu:
```
private_registry_config {
  address = "ADDRESS"
  ca_cert = "CA_CERT"
}
```
Ersetzen Sie Folgendes:
- ADDRESS: die IP-Adresse oder der FQDN (Fully Qualified Domain Name) der Maschine, auf der Ihre private Registry ausgeführt wird.
- CA_CERT: die CA-Zertifikatsdaten des öffentlichen Schlüssels, wobei alle Zeilenumbrüche durch den String \n ersetzt wurden.
1. Führen Sie den folgenden Befehl aus, um Zeilenumbrüche durch \n zu ersetzen:
```
awk 'ORS="\\n" {print}' PUBLIC_KEY_PATH
```
  Ersetzen Sie PUBLIC_KEY_PATH durch den Pfad zum öffentlichen Schlüssel.
2. Kopieren Sie die Ausgabe des vorherigen Befehls und fügen Sie sie in die Platzhaltervariable CA_CERT ein.
Wenn sich Ihr Netzwerk hinter einem Proxyserver befindet, fügen Sie Folgendes hinzu:
```
proxy {
  url: "PROXY_SERVER_ADDRESS"
  no_proxy: "BYPASS_LIST"
}
```
Ersetzen Sie Folgendes:
- PROXY_SERVER_ADDRESS: die HTTP-Adresse Ihres Proxyservers. Geben Sie die Portnummer an, auch wenn sie mit dem Standardport des Schemas identisch ist.
- BYPASS_LIST: eine durch Kommas getrennte Liste mit IP-Adressen, IP-Adressbereichen, Hostnamen und Domainnamen, die nicht durch den Proxyserver geleitet werden sollen.
Beispiel:
```
url: "http://my-proxy.example.local:80"
no_proxy: "192.0.2.0/24,my-host.example.local,198.51.100.0"
```
Wenn Google Distributed Cloud eine Anfrage an eine dieser Adressen, Hosts oder Domains sendet, wird der Proxyserver umgangen und die Anfrage direkt an das Ziel gesendet.

Weitere Informationen zur Verwendung einer privaten Registry, einschließlich der Unterschiede zwischen normalen und erweiterten Clustern, finden Sie unter Private Container-Registry konfigurieren.

Konfigurationsdatei und -plan prüfen

Führen Sie im Verzeichnis, in dem sich main.tf befindet, die folgenden Befehle aus:

Initialisieren Sie Terraform:
```
terraform init
```
Terraform installiert alle erforderlichen Bibliotheken, z. B. den Google Cloud Anbieter. Beheben Sie bei Bedarf alle Fehler in maint.tf.
Erstellen Sie den Terraform-Plan:
```
terraform plan -out tfplan
```
Überprüfen Sie die Konfiguration und nehmen Sie bei Bedarf Änderungen vor.

Bevor Sie den Plan anwenden, müssen Sie zuerst den Bootstrap-Cluster erstellen, wie im nächsten Abschnitt beschrieben.

Bootstrap-Cluster erstellen

Wenn Sie den Befehl gkectl register bootstrap ausführen, werden Sie aufgefordert, den Nutzernamen und das Passwort des vCenter-Kontos einzugeben. Halten Sie die Anmeldedaten bereit. Wenn Sie die Administrator-Workstation mit gkeadm erstellt haben, befinden sich der Nutzername und das Passwort in der Datei credential.yaml.

Melden Sie sich über SSH auf Ihrer Administrator-Workstation an.
Authentifizieren Sie sich mit dem Google Cloud CLI:
```
gcloud auth login
```
Führen Sie den folgenden Befehl aus, um den Bootstrap-Cluster zu erstellen. Viele der Flag-Werte sind dieselben wie in den Feldern main.tf. Beachten Sie jedoch, dass der Befehl zusätzliche Werte erfordert, die Sie in den angegebenen Platzhaltervariablen angeben müssen.
```
gkectl register bootstrap \
    --target-cluster-name=ADMIN_CLUSTER_NAME \
    --project-id=PROJECT_ID \
    --location=REGION \
    --vcenter-address=VCENTER_ADDRESS \
    --vcenter-datacenter=DATA_CENTER \
    --vcenter-cluster=VCENTER_CLUSTER \
    --vcenter-resource-pool=RESOURCE_POOL \
    --vcenter-datastore=DATASTORE \
    --vcenter-network=NETWORK \
    --vcenter-ca-cert-path=CA_CERT_PATH \
    --bundle-path=BUNDLE_PATH \
    --component-access-service-account-key-path=COMPONENT_ACCESS_SA_PATH \
    --register-service-account-key-path=CONNECT_REGISTER_SA_PATH \
    --stackdriver-service-account-key-path=LOG_MON_SA_PATH \
    --cloud-audit-logging-service-account-key-path=CLOUD_AUDIT_SA_PATH \
    --admin-kubeconfig-out=KUBECONFIG_NAME
```
Ersetzen Sie Folgendes durch Pfade der Administrator-Workstation:
- CA_CERT_PATH: der Pfad zum Root-CA-Zertifikat für Ihren vCenter-Server.
- BUNDLE_PATH: der Pfad zur Bundle-Datei. Wenn Sie die Administrator-Workstation mit gkeadm erstellt haben, befindet sich die Bundle-Datei in /var/lib/gke/bundles/. Der Dateiname hängt von der Google Distributed Cloud-Version ab, z. B. gke-onprem-vsphere-1.31.0-gke.889-full.tgz.
- COMPONENT_ACCESS_SA_PATH: der Pfad zur Schlüsseldatei für das Dienstkonto für den Komponentenzugriff.
- CONNECT_REGISTER_SA_PATH: der Pfad zur Schlüsseldatei für das Connect-Register-Dienstkonto.
- LOG_MON_SA_PATH: der Pfad zur Schlüsseldatei für das Logging-Monitoring-Dienstkonto.
- CLOUD_AUDIT_SA_PATH: der Pfad zum Dienstkonto für das Audit-Logging. Wenn Sie kein Dienstkonto für das Audit-Logging erstellt haben, geben Sie den Pfad zur Schlüsseldatei für das Logging-Monitoring-Dienstkonto an.
- KUBECONFIG_NAME: der Name für die kubeconfig-Datei, die mit dem Befehl gkectl register bootstrap erstellt wird. Wenn Sie dieses Flag nicht angeben, erstellt der Befehl die Datei mit dem Namen kubeconfig im aktuellen Arbeitsverzeichnis. Wenn bereits eine Datei mit dem Namen kubeconfig vorhanden ist, wird sie vom Befehl überschrieben.
Ändern Sie den Befehl nach Bedarf für die folgenden Flags:
- Wenn Sie in main.tf einen Ordner angegeben haben, fügen Sie das folgende Flag hinzu: --vcenter-folder=FOLDER
- Wenn Sie in main.tf eine VM-Speicherrichtlinie angegeben haben, entfernen Sie --vcenter-datastore und fügen Sie das folgende Flag hinzu: --vcenter-storage-policy-name=STORAGE_POLICY_NAME
- Wenn sich Ihre Administrator-Workstation in einem Netzwerk befindet, das sich hinter einem Proxyserver befindet, fügen Sie die folgenden Flags hinzu:
  - --proxy-url=PROXY_URL
  - --no-proxy=NO_PROXY
  Ersetzen Sie Folgendes:
  - PROXY_URL: die URL des Proxyservers.
  - NO_PROXY: die durch Kommas getrennten Domains und IP-Adressen, die nicht über den Proxy geleitet werden sollen.
Wenn Sie ein Flag hinzufügen, fügen Sie den Backslash für die Befehlszeilenfortsetzung hinzu.
Geben Sie bei Aufforderung den vCenter-Nutzernamen ein (oder kopieren Sie ihn und fügen Sie ihn ein). Der Nutzername wird nicht auf dem Bildschirm angezeigt.
Geben Sie bei Aufforderung das vCenter-Passwort ein (oder kopieren Sie es und fügen Sie es ein). Das Passwort wird nicht auf dem Bildschirm angezeigt.

Der Befehl führt zahlreiche Validierungen aus. Nachdem gkectl den Bootstrap-Cluster erfolgreich erstellt hat, wird eine Ausgabe angezeigt, die in etwa so aussieht (zur besseren Lesbarkeit gekürzt):

Running workstation validations
- Validation Category: Workstation
    - [SUCCESS] Workstation OS
    - [SUCCESS] Workstation Hardware
    - [SUCCESS] Workstation Package
    - [SUCCESS] Workstation NTP
    - [SUCCESS] Workstation Docker
...
All validation results were SUCCESS.
Unpacking GKE on-prem bundle: /var/lib/gke/bundles/gke-onprem-vsphere-1.31.0-gke.889-full.tgz
...
Successfully created and registered the bootstrap cluster
...
Waiting for preflight checks to run or OnPremAdminCluster to be applied...... -

Der Vorgang wird fortgesetzt, bis der Administratorcluster erstellt wurde.

Wenn Sie den Befehl gkectl register bootstrap beenden, bevor der Administratorcluster erstellt wurde, schlägt die Erstellung fehl. Sie müssen den Bootstrap-Cluster dann mit dem folgenden Befehl löschen:

gkectl delete bootstrap \
    --target-cluster-name=ADMIN_CLUSTER_NAME \
    --project-id=PROJECT_ID \
    --location=REGION \
     --register-service-account-key-path=CONNECT_REGISTER_SA_PATH

Erstellen Sie den Administratorcluster.

Wenden Sie den Terraform-Plan an, um den Administratorcluster zu erstellen:

terraform apply "tfplan"

Das Erstellen des Administratorclusters dauert etwa 15 Minuten oder länger. Sie können den Cluster in der Google Cloud Console auf der Seite GKE-Cluster aufrufen.

Verbindung zum Administratorcluster herstellen

Mit dem Befehl gkectl register bootstrap wird auf Ihrer Administrator-Workstation eine kubeconfig-Datei für den Administratorcluster erstellt. Wenn Sie beim Ausführen von gkectl register bootstrap das --admin-kubeconfig-out Flag nicht angegeben haben, erstellt der Befehl eine kubeconfig-Datei mit dem Namen kubeconfig in dem Verzeichnis, in dem Sie den Befehl ausgeführt haben.

Sie müssen den Zugriff auf diese kubeconfig-Datei einschränken, da sie Authentifizierungsdaten für den Cluster enthält.

Außerdem können Sie kubectl-Befehle mit Lesezugriff über das Connect-Gateway ausführen.

Führen Sie den folgenden Befehl auf einem Computer mit der gcloud CLI aus, um einen kubeconfig-Eintrag abzurufen, der über das Connect-Gateway auf den Cluster zugreifen kann.

gcloud container fleet memberships get-credentials ADMIN_CLUSTER_NAME \
    --project=PROJECT_ID

Die Ausgabe sieht etwa so aus:

Starting to build Gateway kubeconfig...
Current project_id: PROJECT_ID
A new kubeconfig entry "connectgateway_PROJECT_ID_global_ADMIN_CLUSTER_NAME" has been generated and set as the current context.

Sie können jetzt kubectl-Befehle mit Lesezugriff über das Connect-Gateway ausführen, z. B.:
```
kubectl get pods -A
```
Wenn Sie vollständige Administratorberechtigungen für den Administratorcluster benötigen, lesen Sie Connect-Gateway einrichten.