Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Administratorcluster mit Terraform erstellen

Verwenden Sie Terraform, um einen Administratorcluster für Google Distributed Cloud-Software nur für VMware zu erstellen, wenn Sie Terraform bereits zum Verwalten Ihrer Google Cloud und lokalen VMware-Ressourcen verwenden. Sie können einen Administratorcluster auch mit gkectl oder der Google Cloud Console erstellen.

Hinweis

Prüfen Sie, ob Sie Ihre Administrator-Workstation eingerichtet haben und sich bei ihr anmelden können, wie unter Administrator-Workstation erstellen beschrieben.
Die JSON-Schlüsseldateien für die Dienstkonten müssen sich auf Ihrer Administrator-Workstation befinden.
Lesen Sie das Dokument zur Planung der IP-Adressen. Achten Sie darauf, dass genügend IP-Adressen für die drei Knoten der Steuerungsebene und eine virtuelle IP-Adresse der Steuerungsebene verfügbar sind. Wenn Sie beabsichtigen, kubeception-Nutzer-Cluster zu erstellen, müssen Sie genügend IP-Adressen für die Knoten auf der Steuerungsebene dieser Nutzer-Cluster zur Verfügung haben.
Lesen Sie die Übersicht über das Load-Balancing und prüfen Sie noch einmal Ihre Entscheidung, welche Art von Load-Balancer Sie verwenden möchten. Bei manuellen Load-Balancern müssen Sie den Load-Balancer einrichten, bevor Sie Ihren Administratorcluster erstellen.
Wenn Sie gkectl zum Erstellen des Administratorclusters verwenden, entscheiden Sie, ob Sie eine öffentliche oder private Registry für Google Distributed Cloud-Komponenten verwenden möchten. Informationen zur Verwendung einer privaten Docker-Registry finden Sie unter privateRegistry. Weder Terraform noch die Google Cloud Konsole unterstützen die Verwendung einer privaten Docker-Registry für Systemkomponenten.
Entscheiden Sie, welche Art von Betriebssystem Sie auf Ihren Administratorclusterknoten ausführen möchten.
Wenn in Ihrem Unternehmen der ausgehende Traffic über einen Proxy-Server geleitet werden muss, sollten Sie eine Zulassungsliste für die erforderlichen APIs und die Artifact Registry-Adresse erstellen.
In Version 1.29 und höher sind serverseitige Preflight-Prüfungen standardmäßig aktiviert. Für serverseitige Preflight-Prüfungen sind zusätzliche Firewallregeln erforderlich. Suchen Sie in den Firewallregeln für Administratorcluster nach „Preflight-Prüfungen“ und achten Sie darauf, dass alle erforderlichen Firewallregeln konfiguriert sind. Serverseitige Preflight-Prüfungen werden auf dem Bootstrap-Cluster und nicht lokal auf der Administrator-Workstation ausgeführt.

Verfahrensübersicht

Bevor Sie den Administratorcluster erstellen, müssen Sie den Befehl gkectl register bootstrap auf Ihrer Administrator-Workstation ausführen. Mit diesem Befehl wird ein Kubernetes in Docker-Cluster (Kind) auf der Administratorworkstation bereitgestellt. Dieser Bootstrap-Cluster hostet die Kubernetes-Controller, die zum Erstellen des Administratorclusters erforderlich sind. Wenn Sie den Administratorcluster erstellen, stellen die Controller im Bootstrap-Cluster Knoten bereit, führen Preflight-Prüfungen aus und registrieren den Administratorcluster bei der Flotte. Der Bootstrap-Cluster wird nach der Erstellung des Administratorclusters automatisch gelöscht.

Im Folgenden finden Sie die allgemeinen Schritte zum Erstellen eines Administratorclusters mit Terraform:

Füllen Sie Ihre Konfigurationsdatei aus. Verwenden Sie die Ressource google_gkeonprem_vmware_admin_cluster und das folgende Beispiel, um die Konfigurationsdatei main.tf zu erstellen.
Erstellen Sie einen bootstrap-Cluster. Führen Sie gkectl register bootstrap aus, um den Bootstrap-Cluster zu erstellen. Wenn der Bootstrap-Cluster erstellt wurde, werden Sie in der Ausgabe aufgefordert, die Konfiguration des Administratorclusters abzuschließen. Der Prozess wird fortgesetzt, bis der Administratorcluster erstellt ist.
Erstellen Sie einen Administratorcluster. Führen Sie in einem anderen Terminalfenster oder auf einem anderen Computer, der Zugriff auf die GKE On-Prem API hat, terraform-Befehle aus, um einen neuen Administratorcluster zu erstellen, wie in der ausgefüllten Konfigurationsdatei main.tf angegeben.

Konfigurationsdatei ausfüllen

Im folgenden Beispiel wird gezeigt, wie Sie einen Administratorcluster mit Hochverfügbarkeit (HA) mit drei Knoten auf Steuerungsebene mit MetalLB erstellen. Ab Version 1.28 müssen neue Administratorcluster hochverfügbar sein. Aus diesem Grund müssen Sie control_plane_node.replicas auf 3 festlegen.

Weitere Informationen und Beispiele finden Sie in der Referenzdokumentation zu google_gkeonprem_vmware_admin_cluster Informationen zur Verwendung einer privaten Registry für System-Images finden Sie unter Private Container-Registry konfigurieren.

Füllen Sie die Platzhaltervariablen im folgenden Beispiel aus und kopieren Sie es dann in main.tf. Wenn Sie Ihre Administratorworkstation mit gkeadm erstellt haben, öffnen Sie die Konfigurationsdatei der Administratorworkstation, damit Sie Werte aus dem Abschnitt vCenter in die entsprechenden Platzhaltervariablen kopieren können.

resource "google_gkeonprem_vmware_admin_cluster" "admin-cluster-metallb" {
  provider = google-beta
  name = "ADMIN_CLUSTER_NAME"
  project = "PROJECT_ID"
  location = "REGION"
  description = "DESCRIPTION"
  bootstrap_cluster_membership = "projects/PROJECT_ID/locations/REGION/memberships/bootstrap-ADMIN_CLUSTER_NAME"
  on_prem_version = "VERSION"
  image_type = "IMAGE_TYPE"
  vcenter {
    address = "VCENTER_ADDRESS"
    datacenter = "DATA_CENTER"
    cluster = "VCENTER_CLUSTER"
    resource_pool = "RESOURCE_POOL"
    datastore = "DATASTORE"
    ca_cert_data = "CA_CERT_DATA"
  }
  network_config {
    service_address_cidr_blocks = ["10.96.232.0/24"]
    pod_address_cidr_blocks = ["192.168.0.0/16"]
    vcenter_network = "NETWORK"
    dhcp_ip_config {
      enabled = true
    }
    host_config {
      dns_servers = ["DNS_SERVERS"]
      ntp_servers = ["NTP_SERVERS"]
    }
    ha_control_plane_config {
      control_plane_ip_block {
        gateway = "GATEWAY"
        netmask = "NETMASK"
        ips {
          hostname = "CONTROL_PLANE_HOST_1"
          ip       = "CONTROL_PLANE_NODE_IP_1"
        }
        ips {
          hostname = "CONTROL_PLANE_HOST_2"
          ip       = "CONTROL_PLANE_NODE_IP_2"
        }
        ips {
          hostname = "CONTROL_PLANE_HOST_3"
          ip       = "CONTROL_PLANE_NODE_IP_3"
        }
      }
    }
  }
  control_plane_node {
     cpus = NUM_CPUS
     memory = MEMORY
     replicas = 3
  }
  load_balancer {
    vip_config {
      control_plane_vip = "CONTROL_PLANE_VIP"
    }
    metal_lb_config {
      enabled = true
    }
  }
}

Ersetzen Sie Folgendes:

ADMIN_CLUSTER_NAME: der Name des Administratorclusters. Der Name darf maximal 20 Zeichen lang sein.
PROJECT_ID: die Google Cloud Projekt-ID.
REGION: die Google Cloud Region, in der die GKE On-Prem API (gkeonprem.googleapis.com), der Flottendienst (gkehub.googleapis.com) und der Connect-Dienst (gkeconnect.googleapis.com) ausgeführt werden. Geben Sie us-west1 oder eine andere unterstützte Region an.

Das Feld location entspricht dem Flag --location im Befehl gkectl register bootstrap.
DESCRIPTION: eine Beschreibung des Administratorclusters.
VERSION: die Google Distributed Cloud-Version für den Cluster. Das Erstellen eines Clusters mit Terraform wird nur in Version 1.28 und höher unterstützt. Die hier angegebene Version muss mit der Version des Bundles übereinstimmen, die Sie im --bundle-path-Flag im gkectl register bootstrap-Befehl angeben. Eine Liste der Versionen finden Sie unter Google Distributed Cloud-Versionen.
IMAGE_TYPE: Der Typ des Betriebssystem-Images, das auf den Knoten Ihres Administratorclusters ausgeführt werden soll. Geben Sie einen der folgenden Werte an: „ubuntu_containerd“, „cos“, „ubuntu_cgv2“ oder „cos_cgv2“.
VCENTER_ADDRESS: die vCenter Server-Adresse.
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem Feld vCenter.credentials.address.
- Das Feld vcenter.address entspricht dem Flag --vcenter-address im Befehl gkectl register bootstrap.
DATA_CENTER: Der Name Ihres vCenter-Rechenzentrums.
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem Feld vCenter.datacenter.
- Das Feld vcenter.datacenter entspricht dem Flag --vcenter-datacenter im Befehl gkectl register bootstrap.
VCENTER_CLUSTER: Der Name Ihres vCenter-Clusters.
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem Feld vCenter.cluster.
- Das Feld vcenter.cluster entspricht dem Flag --vcenter-cluster im Befehl gkectl register bootstrap.
RESOURCE_POOL: Der Name oder Pfad Ihres vCenter-Ressourcenpools.
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem Feld vCenter.resourcePool.
- Das Feld vcenter.resource_pool entspricht dem Flag --vcenter-resource-pool im Befehl gkectl register bootstrap.
DATASTORE: Der Name Ihres vCenter-Datenspeichers. Der angegebene Wert muss ein Name und kein Pfad sein. Wenn Sie einen Pfad eingeben müssen, fügen Sie das folgende Feld hinzu: folder = "FOLDER"
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem Feld vCenter.datastore.
- Das Feld vcenter.datastore entspricht dem Flag --vcenter-datastore im Befehl gkectl register bootstrap.
Wenn Sie eine VM-Speicherrichtlinie für die Clusterknoten verwenden möchten, entfernen Sie das Feld vcenter.datastore und fügen Sie stattdessen vcenter.storage_policy_name hinzu. Fügen Sie außerdem dem Befehl gkectl register bootstrap das Flag --vcenter-storage-policy hinzu. Sie müssen entweder einen Wert für vcenter.datastore oder für vcenter.storage_policy_name angeben, aber nicht für beide.
FOLDER: Der Name des vCenter-Ordners, in dem sich Ihre Cluster-VMs befinden sollen. Wenn Sie keinen Ordner verwenden, entfernen Sie dieses Feld.
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem Feld vCenter.folder.
- Das Feld vcenter.folder entspricht dem Flag --vcenter-folder im Befehl gkectl register bootstrap.
CA_CERT_DATA: Das vCenter-CA-Zertifikat im PEM-Format, wobei alle Zeilenumbrüche durch den String \n ersetzt wurden.
1. Führen Sie den folgenden Befehl aus, um Zeilenumbrüche durch \n zu ersetzen:
```
awk 'ORS="\\n" {print}' CA_CERT_PATH_LOCAL
```
  Ersetzen Sie CA_CERT_PATH_LOCAL durch den Pfad zum Root-CA-Zertifikat für Ihren vCenter-Server. Wenn Sie Ihre Administratorworkstation mit gkeadm erstellt haben, können Sie den Wert aus dem Feld caCertPath in der Konfigurationsdatei der Administratorworkstation verwenden. Das ist der Pfad auf Ihrem lokalen Computer. gkeadm Die CA-Zertifikatsdatei wurde auf Ihre Administrator-Workstation kopiert. Sie müssen den Pfad der Administrator-Workstation im Flag --vcenter-ca-cert-path im Befehl gkectl register bootstrap angeben.
2. Kopieren Sie die Ausgabe des vorherigen Befehls und fügen Sie sie in die Platzhaltervariable CA_CERT_DATA ein.
NETWORK: der Name Ihres vCenter-Netzwerks.
- Konfigurationsdatei für die Administrator-Workstation: Verwenden Sie den Wert aus dem Feld vCenter.network.
- Das Feld network_config.vcenter_network entspricht dem Flag --vcenter-network im Befehl gkectl register bootstrap.
GATEWAY: die IP-Adresse des Standardgateways für das Subnetz mit Ihren Knoten der Steuerungsebene.
NETMASK: Die Netzmaske für das Subnetz mit den Knoten des Steuerungsebenenclusters.
DNS_SERVERS: die IP-Adresse des DNS-Servers.
NTP_SERVERS: die IP-Adresse des Zeitservers (NTP).
Geben Sie im Abschnitt control_plane_ip_block.ips die IP-Adressen und optional die Hostnamen für die drei Knoten der Steuerungsebene ein. Wenn Sie keinen Hostnamen eingeben, entfernen Sie die hostname-Felder aus der Konfiguration.
NUM_CPUS : Die Anzahl der vCPUs für jeden Knoten der Steuerungsebene im Administratorcluster. Muss mindestens 4 sein.
MEMORY: Anzahl der Mebibyte Arbeitsspeicher für jeden Knoten der Steuerungsebene im Administratorcluster. Muss mindestens 8.192 sein. Wir empfehlen jedoch 16.384.
CONTROL_PLANE_VIP: die IP-Adresse, die Sie auf dem Load-Balancer für den Kubernetes API-Server des Administratorclusters konfiguriert haben.

Optional: Private Registry konfigurieren

Standardmäßig ruft Google Distributed Cloud beim Erstellen oder Aktualisieren von Clustern System-Images aus gcr.io/gke-on-prem-release mit dem Dienstkonto für den Komponentenzugriff ab. Optional können Sie Ihren eigenen Container-Registry-Server angeben, damit System-Images stattdessen von Ihrem privaten Registry-Server abgerufen werden.

So konfigurieren Sie eine private Registry:

Fügen Sie der Konfigurationsdatei für den Administratorcluster Folgendes hinzu:
```
private_registry_config {
  address = "ADDRESS"
  ca_cert = "CA_CERT"
}
```
Ersetzen Sie Folgendes:
- ADDRESS: Die IP-Adresse oder der FQDN (Fully Qualified Domain Name) der Maschine, auf der Ihre private Registry ausgeführt wird.
- CA_CERT: Die CA-Zertifikatsdaten des öffentlichen Schlüssels, wobei alle Zeilenumbrüche durch den String \n ersetzt wurden.
1. Führen Sie den folgenden Befehl aus, um Zeilenumbrüche durch \n zu ersetzen:
```
awk 'ORS="\\n" {print}' PUBLIC_KEY_PATH
```
  Ersetzen Sie PUBLIC_KEY_PATH durch den Pfad zum öffentlichen Schlüssel.
2. Kopieren Sie die Ausgabe des vorherigen Befehls und fügen Sie sie in die Platzhaltervariable CA_CERT ein.
Wenn sich Ihr Netzwerk hinter einem Proxyserver befindet, fügen Sie Folgendes hinzu:
```
proxy {
  url: "PROXY_SERVER_ADDRESS"
  no_proxy: "BYPASS_LIST"
}
```
Ersetzen Sie Folgendes:
- PROXY_SERVER_ADDRESS: die HTTP-Adresse Ihres Proxyservers. Geben Sie die Portnummer an, auch wenn sie mit dem Standardport des Schemas identisch ist.
- BYPASS_LIST: Eine durch Kommas getrennte Liste mit IP-Adressen, IP-Adressbereichen, Hostnamen und Domainnamen, die nicht durch den Proxyserver geleitet werden sollen.
Beispiel:
```
url: "http://my-proxy.example.local:80"
no_proxy: "192.0.2.0/24,my-host.example.local,198.51.100.0"
```
Wenn Google Distributed Cloud eine Anfrage an eine dieser Adressen, Hosts oder Domains sendet, wird die Anfrage direkt an das Ziel gesendet und umgeht den Proxyserver.

Weitere Informationen zur Verwendung einer privaten Registry, einschließlich der Unterschiede zwischen normalen und erweiterten Clustern, finden Sie unter Private Container-Registry konfigurieren.

Konfigurationsdatei und Plan prüfen

Führen Sie im Verzeichnis, in dem sich main.tf befindet, die folgenden Befehle aus:

Initialisieren Sie Terraform:
```
terraform init
```
Terraform installiert alle erforderlichen Bibliotheken, z. B. den Google Cloud -Anbieter. Beheben Sie bei Bedarf alle Fehler in maint.tf.
Erstellen Sie den Terraform-Plan:
```
terraform plan -out tfplan
```
Überprüfen Sie die Konfiguration und nehmen Sie bei Bedarf Änderungen vor.

Bevor Sie den Plan anwenden können, müssen Sie zuerst den Bootstrap-Cluster erstellen, wie im nächsten Abschnitt beschrieben.

Bootstrap-Cluster erstellen

Wenn Sie den Befehl gkectl register bootstrap ausführen, werden Sie aufgefordert, den Nutzernamen und das Passwort des vCenter-Kontos einzugeben. Halten Sie die Anmeldedaten bereit. Wenn Sie die Administrator-Workstation mit gkeadm erstellt haben, befinden sich der Nutzername und das Passwort in der Datei credential.yaml.

Melden Sie sich über SSH an Ihrer Administrator-Workstation an.
Authentifizieren Sie sich mit dem Google Cloud CLI:
```
gcloud auth login
```
Führen Sie den folgenden Befehl aus, um den Bootstrap-Cluster zu erstellen. Viele der Flag-Werte sind mit denen in den main.tf-Feldern identisch. Beachten Sie jedoch, dass der Befehl zusätzliche Werte erfordert, die Sie in den bereitgestellten Platzhaltervariablen angeben müssen.
```
gkectl register bootstrap \
    --target-cluster-name=ADMIN_CLUSTER_NAME \
    --project-id=PROJECT_ID \
    --location=REGION \
    --vcenter-address=VCENTER_ADDRESS \
    --vcenter-datacenter=DATA_CENTER \
    --vcenter-cluster=VCENTER_CLUSTER \
    --vcenter-resource-pool=RESOURCE_POOL \
    --vcenter-datastore=DATASTORE \
    --vcenter-network=NETWORK \
    --vcenter-ca-cert-path=CA_CERT_PATH \
    --bundle-path=BUNDLE_PATH \
    --component-access-service-account-key-path=COMPONENT_ACCESS_SA_PATH \
    --register-service-account-key-path=CONNECT_REGISTER_SA_PATH \
    --stackdriver-service-account-key-path=LOG_MON_SA_PATH \
    --cloud-audit-logging-service-account-key-path=CLOUD_AUDIT_SA_PATH \
    --admin-kubeconfig-out=KUBECONFIG_NAME
```
Ersetzen Sie Folgendes durch Pfade zur Administrator-Workstation:
- CA_CERT_PATH: Der Pfad zum Stamm-CA-Zertifikat für Ihren vCenter-Server.
- BUNDLE_PATH: der Pfad zur Bundle-Datei. Wenn Sie gkeadm zum Erstellen der Administrator-Workstation verwendet haben, befindet sich die Bundle-Datei in /var/lib/gke/bundles/. Der Dateiname hängt von der Google Distributed Cloud-Version ab, z. B. gke-onprem-vsphere-1.31.0-gke.889-full.tgz.
- COMPONENT_ACCESS_SA_PATH: der Pfad zur Schlüsseldatei für das Dienstkonto für den Komponentenzugriff.
- CONNECT_REGISTER_SA_PATH: der Pfad zur Schlüsseldatei für das Dienstkonto „connect-register“.
- LOG_MON_SA_PATH: der Pfad zur Schlüsseldatei für das Dienstkonto für Logging und Monitoring.
- CLOUD_AUDIT_SA_PATH: Der Pfad zum Dienstkonto für die Audit-Log-Funktion. Wenn Sie kein Audit-Logging-Dienstkonto erstellt haben, geben Sie den Pfad zur Schlüsseldatei für das Logging-Monitoring-Dienstkonto an.
- KUBECONFIG_NAME: Der Name der kubeconfig-Datei, die mit dem Befehl gkectl register bootstrap erstellt wird. Wenn Sie dieses Flag nicht angeben, wird die Datei mit dem Namen kubeconfig im aktuellen Arbeitsverzeichnis erstellt. Wenn eine Datei mit dem Namen kubeconfig vorhanden ist, wird sie durch den Befehl überschrieben.
Passen Sie den Befehl nach Bedarf für die folgenden Flags an:
- Wenn Sie in main.tf einen Ordner angegeben haben, fügen Sie das folgende Flag hinzu: --vcenter-folder=FOLDER
- Wenn Sie in main.tf eine VM-Speicherrichtlinie angegeben haben, entfernen Sie --vcenter-datastore und fügen Sie das folgende Flag hinzu: --vcenter-storage-policy-name=STORAGE_POLICY_NAME
- Wenn sich Ihre Administrator-Workstation in einem Netzwerk befindet, das sich hinter einem Proxyserver befindet, fügen Sie die folgenden Flags hinzu:
  - --proxy-url=PROXY_URL
  - --no-proxy=NO_PROXY
  Ersetzen Sie Folgendes:
  - PROXY_URL: die URL des Proxyservers.
  - NO_PROXY: Der Wert der Domains und IP-Adressen, die vom Proxying ausgeschlossen sind, durch Komma getrennt.
Wenn Sie ein Flag hinzufügen, achten Sie darauf, dass Sie den Backslash-Zeichen (\) für die Fortsetzung der Befehlszeile hinzufügen.
Geben Sie den vCenter-Nutzernamen ein (oder kopieren Sie ihn und fügen Sie ihn ein), wenn Sie dazu aufgefordert werden. Der Nutzername wird nicht auf dem Bildschirm angezeigt.
Geben Sie das vCenter-Passwort ein (oder kopieren Sie es und fügen Sie es ein), wenn Sie dazu aufgefordert werden. Das Passwort wird nicht auf dem Bildschirm angezeigt.

Mit dem Befehl werden zahlreiche Validierungen ausgeführt. Nachdem gkectl den Bootstrap-Cluster erfolgreich erstellt hat, wird eine Ausgabe angezeigt, die in etwa so aussieht (zur besseren Lesbarkeit gekürzt):

Running workstation validations
- Validation Category: Workstation
    - [SUCCESS] Workstation OS
    - [SUCCESS] Workstation Hardware
    - [SUCCESS] Workstation Package
    - [SUCCESS] Workstation NTP
    - [SUCCESS] Workstation Docker
...
All validation results were SUCCESS.
Unpacking GKE on-prem bundle: /var/lib/gke/bundles/gke-onprem-vsphere-1.31.0-gke.889-full.tgz
...
Successfully created and registered the bootstrap cluster
...
Waiting for preflight checks to run or OnPremAdminCluster to be applied...... -

Der Prozess wird fortgesetzt, bis der Administratorcluster erstellt ist.

Wenn Sie den Befehl gkectl register bootstrap beenden, bevor der Administratorcluster erstellt wurde, schlägt die Erstellung fehl. Sie müssen den Bootstrap-Cluster dann mit dem folgenden Befehl löschen:

gkectl delete bootstrap \
    --target-cluster-name=ADMIN_CLUSTER_NAME \
    --project-id=PROJECT_ID \
    --location=REGION \
     --register-service-account-key-path=CONNECT_REGISTER_SA_PATH

Erstellen Sie den Administratorcluster.

Wenden Sie den Terraform-Plan an, um den Administratorcluster zu erstellen:

terraform apply "tfplan"

Das Erstellen des Administratorclusters dauert mindestens 15 Minuten. Sie können den Cluster in der Google Cloud Console auf der Seite GKE-Cluster aufrufen.

Verbindung zum Administratorcluster herstellen

Mit dem Befehl gkectl register bootstrap wird auf Ihrer Administratorworkstation eine kubeconfig-Datei für den Administratorcluster erstellt. Wenn Sie beim Ausführen von gkectl register bootstrap das Flag --admin-kubeconfig-out nicht angegeben haben, wird mit dem Befehl eine kubeconfig-Datei namens kubeconfig in dem Verzeichnis erstellt, in dem Sie den Befehl ausgeführt haben.

Sie müssen den Zugriff auf diese kubeconfig einschränken, da sie Authentifizierungsdaten für den Cluster enthält.

Außerdem können Sie kubectl-Befehle mit Lesezugriff über das Connect-Gateway ausführen.

Führen Sie den folgenden Befehl auf einem Computer mit installierter gcloud CLI aus, um einen kubeconfig-Eintrag abzurufen, der über das Connect-Gateway auf den Cluster zugreifen kann.

gcloud container fleet memberships get-credentials ADMIN_CLUSTER_NAME \
    --project=PROJECT_ID

Die Ausgabe sieht etwa so aus:

Starting to build Gateway kubeconfig...
Current project_id: PROJECT_ID
A new kubeconfig entry "connectgateway_PROJECT_ID_global_ADMIN_CLUSTER_NAME" has been generated and set as the current context.

Sie können jetzt schreibgeschützte kubectl-Befehle über das Connect-Gateway ausführen, z. B. die folgenden:
```
kubectl get pods -A
```
Wenn Sie vollständige Administratorrechte für den Administratorcluster benötigen, lesen Sie den Abschnitt Connect-Gateway einrichten.